V tomto článku budeme hovoriť o ďalšom neštandardnom probléme: otázky zakážte skupinovú politiku v počítači ako súčasť domény Windows. Prečo by vlastne mohla byť takáto funkcia potrebná? Odpoveď na túto otázku je v každom prípade individuálna. Môže to byť požiadavka regionálneho správcu obmedziť uplatňovanie obmedzení uložených skupinovými politikami na jeho pracovný počítač a / alebo želanie nechať pozorné oči strážcov (a odstrániť antivírusový program alebo určitý program na kontrolu prístupu k externým médiám na svojom počítači), alebo Ďalší „dôležitý“ dôvod (napríklad je zakázaný správca úloh). Nebudeme diskutovať o výhodnosti a potenciálnych nebezpečenstvách, ktoré môžu vyradiť skupinové politiky na pracovnej stanici v doméne. Pokúsime sa iba hypoteticky prísť na to: je možné zakázať činnosť skupinových politík na počítači so systémom Windows.
Odpoviem: áno, môžete sa ubezpečiť, že skupinové pravidlá sa neuplatňujú na počítač v doméne, a preto nemusíte mať práva správcu domény / podniku. Postačuje mať práva miestneho administrátora na počítači, o ktorý sa zaujímame (a to opäť naznačuje, že NOT poskytnúť používateľom práva na pracovné stanice!).
Nasledujúci text sa týka klienta založeného na systéme Windows 7, ale existujú dobré dôvody domnievať sa, že táto metóda bude fungovať aj na iných klientskych operačných systémoch..
Všetci vieme, že služba je zodpovedná za uplatňovanie skupinových politík v systéme Windows 7 Klient skupinovej politiky (gpsvc), logickou akciou je preto jednoducho túto službu zakázať. To možno dosiahnuť zavedením systému v núdzovom režime alebo spustením cmd ako systému
a spustenie príkazu
net stop gpsvc
Problém je však v tom, že po chvíli systém sám spustí túto službu a vy s tým nemôžete urobiť nič.
Existuje však originálnejšie riešenie: úplne zakázať systémový prístup k tejto službe, v dôsledku toho jednoducho nebude mať práva na jeho spustenie. Ako si pamätáte, parametre všetkých služieb sú uložené v registri a našou úlohou je úplne odobrať práva zo systému na službu skupinovej politiky..
Postupujte takto:
- otvorte editor databázy Registry regedit.exe
- Nájdite pobočku HKLM \ SYSTEM \ CurrentControlSet \ services \ gpsvc (jedná sa iba o pobočku služby Group Policy Client)
- Pravým tlačidlom myši kliknite na vetvu gpsrv a vyberte položku Povolenia, potom prejdite na kartu Vlastník a urobte z nej vlastníka vetvy.
- Potom na karte Povolenia vymažte práva pre všetkých okrem vášho účtu, takže práva budú vyzerať takto
- Potom zmeníme typ spustenia klientskej služby Group Policy na hodnotu „Disabled“, čo sa dá dosiahnuť zmenou hodnoty tlačidla Štart z 2 na 4
- Reštartujte počítač a overte, či sa po zavedení systému už neuplatňujú skupinové pravidlá.
Je tu však jeden problém: pri takomto vypínaní sa v zásobníku pravidelne objaví okno s textom: Nepodarilo sa pripojiť k službe Windows. Systém Windows sa nemohol pripojiť k klientskej službe skupinovej politiky. Tento problém bráni štandardným používateľom prihlásiť sa do systému.
Ako administrátor môžete skontrolovať denník systémových udalostí, kde nájdete podrobnosti o tom, prečo služba neodpovedala.
Toto upozornenie však možno zakázať, pre ktoré otvoríme editor registrov:
- Hľadáme pobočku HKLM \ SYSTEM \ CurrentControlSet \ Control \ Winlogon \ Notifications \ Components \ GPClient
- Stali sme sa tiež jeho vlastníkom a na toto vlákno si dávame plné práva
- Vytvoríme záložnú kópiu tejto vetvy a potom ju odstránime
Tak jednoduché a dostatočne rýchle, v systéme Windows 7 sme úplne zakázali klienta skupinovej politiky, vďaka čomu môžete s počítačom robiť čokoľvek. Nedovoľte, aby sa však našli správcovia domény alebo počítačová bezpečnostná služba, inak to bude bolieť! 🙂
