Windows

Windows 域管理員權限不足?

  • February 15, 2015

我有一個實驗室(ish)環境,我在一個森林中有一個域。我有一個由我的組織提供給我的客戶端的 Windows 7 映像(我沒有建構它,不完全確定是誰做的),我發現有許多使用者項目(甚至是管理員使用者,即使是域管理員使用者)在 Windows 7 環境中也無法更改,包括但不限於 IE 中的受信任站點、電源選項(特別是配置何時鎖定顯示)等。這些是我想要影響的主要兩個,但我看到了“某些設置由您的管理員控制..”的消息,我已經看到了大約一百萬個文章。

到目前為止我嘗試過的 - 組策略 - 系統資料庫設置 - 本地安全策略 - 解鎖“隱藏”管理員並使用它們 - 將使用者添加到“受限組”

這些似乎都沒有效果。應用了組策略,並且 GPResult 顯示了我所期望的。例如,我看到了我在 GPO 中應用的自定義電源配置文件,它甚至設置了我擁有的所有設置,除了“禁用顯示”設置,它仍然設置為沒有我的策略的設置,並且仍然顯示為灰色以防止更改。

還有什麼我可以看的東西來重新控制我的客戶端機器嗎?

**** 更新 **** 我之前沒有明確指出,但我已將電腦移動到不繼承 GPO 的新 OU 中,並且根據建議我從域中刪除了電腦。設置保持不變。當失敗時,我重新啟用了本地管理員並以相同的身份登錄以查看是否可以解決問題,但沒有。我從一開始就懷疑無論問題是在圖像級別完成的,因為所有工作站都是基於相同的圖像建構的,並且(如圖所示)它似乎是一個既不是由域設置也不是通過組策略可忽略的設置(至少不是我知道的方式)

如果這些設置的 GPO 未在您的域中定義,則它們很可能是在映像的本地策略中設置的。

從本地機器執行gpedit.msc並檢查那裡的設置,我敢打賭你會找到你要找的東西。

為您提供消息的“無法更改”some settings are controlled by your administrator的設置是由 GPO 控制的設置。

“更正”這涉及停止強制這些設置應用於相關機器的 GPO。你提到你有域管理員權限,所以……

[如果你還沒有這樣做,你會想要使用RSAT。]

您可能應該做的是使用Active Directory Users and Computers(%SystemRoot%\system32\dsa.msc) 在 AD 中創建一個測試 OU,然後將這台機器移入其中。然後,使用Group Policy Management(%SystemRoot%\system32\gpmc.msc),您會想要阻止對該 OU 的繼承。由於您剛剛創建了它,因此不應直接連結任何 GPO。gpupdate /force從命令行執行以應用新的

$$ lack of $$GPO,然後重新啟動。然後,您可以隨意更改所需的設置,或在您認為合適的情況下在機器上測試 GPO(通過在您創建的 OU 中創建和連結它們)。 或者,作為一次性方法,您始終可以從域中刪除電腦,這也將阻止 GPO 應用到它。

我想你也可以只更改/刪除有問題的 GPO,但這是一個全域更改,不僅適用於你的機器,所以要小心。這也是惹惱您的 AD 管理員(如果他們存在)的好方法,或者發現如果他們不存在,為什麼應該讓專業管理員處理您的 AD 環境。

編輯:正如 MDMarra 所指出的,這不會神奇地逆轉

$$ most of $$GPO 應用的設置,但允許您將它們更改為您想要的。在 GPO 不再應用後,將它們更改為您想要的內容是使用GPEdit.msc編輯本地策略或使用 regedit 刪除以下密鑰,如此處建議[HKEY_CURRENT_USER\Software\Policies\Microsoft]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

(抱歉,我專注於如何從域中“重新獲得控制權”,並沒有考慮扭轉應用的 GPO。)

引用自:https://serverfault.com/questions/408366