V tem članku bomo govorili o še eni nestandardni težavi: vprašanjih onemogoči skupinsko politiko v računalniku kot del domene Windows. Zakaj bi pravzaprav morda potrebovali takšno funkcijo? Odgovor na to vprašanje je v vsakem primeru individualen. To je lahko želja regionalnega skrbnika, da omeji uporabo omejitev, ki jih skupinske politike naložijo na njegov delovni računalnik, in / ali želja, da zapustite budne oči varnostnikov (in odstranite protivirusni program ali določen program za nadzor dostopa do zunanjih medijev na svojem računalniku) ali Drug "pomemben" razlog (na primer upravitelj opravil je onemogočen). Ne bomo razpravljali o uporabnosti in potencialnih nevarnostih onemogočanja skupinskih politik na delovni postaji na neki domeni. Poskušali bomo le hipotetično ugotoviti: ali je mogoče deaktivirati delovanje skupinskih pravilnikov na računalniku z operacijskim sistemom Windows.
Odgovorim: da, lahko se prepričate, da pravilniki skupine niso uporabljeni za računalnik v domeni in za to vam ni treba imeti skrbniških pravic domene / podjetja. Dovolj je, da imamo na računalniku, ki nas zanima, lokalne pravice skrbnika (in to še enkrat kaže na to) NE uporabnikom daj pravice skrbnika za delovne postaje!).
Spodnje besedilo se nanaša na odjemalca, ki temelji na sistemu Windows 7, vendar obstajajo dobri razlogi za domnevo, da bo metoda delovala tudi na drugih odjemalskih operacijskih sistemih.
Vsi vemo, da je storitev odgovorna za uporabo skupinskih pravilnikov v sistemu Windows 7 Odjemalec skupinske politike (gpsvc), zato je logično dejanje preprosto onemogočiti to storitev. To lahko storite z zagonom v varnem načinu ali z zagonom cmd kot sistema
in zagon ukaza
neto stop gpsvc
Toda težava je v tem, da bo čez nekaj časa sistem sam zagnal to storitev in s tem ne morete storiti ničesar.
Obstaja pa izvirnejša rešitev: v celoti prepovedati dostop sistema do te storitve, zato preprosto ne bo imel pravic za zagon. Kot se spomnite, so parametri vseh storitev shranjeni v registru, naša naloga pa je, da iz sistema v celoti odvzamemo sistemski storitvi Group Policy..
Če želite to narediti:
- odprite urejevalnik registra regedit.exe
- Poiščite podružnico HKLM \ SYSTEM \ CurrentControlSet \ services \ gpsvc (to je samo podružnica odjemalca za skupinsko politiko)
- Z desno miškino tipko kliknite vejo gpsrv in izberite Dovoljenja, nato pa pojdite na zavihek Lastnik in se postavite za lastnika podružnice
- Nato na kartici Dovoljenja izbrišite pravice za vse, razen vašega računa, zato bodo pravice videti tako
- Nato spremenimo vrsto zagona storitve odjemalca za skupinsko politiko v "Onemogočeno", to lahko storimo s spreminjanjem vrednosti tipke Start iz 2 naprej 4
- Znova zaženite in preverite, ali pravilniki skupine po zagonu ne veljajo več.
Vendar obstaja ena težava: s takšnim izklopom se bo v pladnju občasno pojavilo okno z besedilom: Povezava s storitvijo Windows ni uspela. Windows se ni mogel povezati s storitvijo odjemalca za skupinsko politiko. Ta težava preprečuje, da bi se standardni uporabniki prijavili v sistem.
Kot skrbniški uporabnik si lahko ogledate sistemski dnevnik dogodkov za podrobnosti, zakaj se storitev ni odzvala.
Toda to opozorilo je lahko tudi onemogočeno, za kar odpremo urejevalnik registra:
- Iščemo podružnico HKLM \ SYSTEM \ CurrentControlSet \ Control \ Winlogon \ Obvestila \ Komponente \ GPClient
- Postanemo tudi njen lastnik in si damo polne pravice do te niti
- Naredimo varnostno kopijo te veje in jo nato izbrišemo
Tako enostavno in dovolj hitro, smo popolnoma onemogočili odjemalca Group Policy v operacijskem sistemu Windows 7, zaradi česar lahko z računalnikom storite karkoli. Toda ne pustite, da se administratorji domene ali računalniška varnostna služba znajdejo, sicer bo škodilo! 🙂
