V tomto článku budeme hovořit o dalším nestandardním problému: otázkách zakažte v počítači zásady skupiny jako součást domény Windows. Proč vlastně může taková funkce potřebovat? Odpověď na tuto otázku je v každém případě individuální. Může to být touha regionálního správce omezit uplatňování omezení uložených skupinovou politikou na jeho pracovní počítač nebo touhu nechat pozorné ostrahy strážců (a odstranit antivirový program nebo určitý program pro kontrolu přístupu k externím médiím na svém počítači), nebo Další „důležitý“ důvod (například je zakázán správce úloh). Nebudeme diskutovat o výhodnosti a možném nebezpečí deaktivace skupinových zásad na pracovní stanici v doméně. Pokusíme se pouze hypoteticky zjistit: je možné zakázat činnost skupinových zásad na počítači se systémem Windows.
Odpověď: ano, můžete se ujistit, že skupinové zásady nejsou aplikovány na počítač v doméně, a proto k tomu nemusíte mít práva správce domény / podniku. Stačí mít práva místního správce na počítači, o který se zajímáme (a to opět naznačuje, že NE udělit uživatelům práva na pracovní stanice!).
Následující text se týká klienta založeného na Windows 7, ale existují dobré důvody se domnívat, že metoda bude fungovat i na jiných klientských operačních systémech..
Všichni víme, že služba je zodpovědná za uplatňování zásad skupiny v systému Windows 7 Klient zásad skupiny (gpsvc), logickou akcí je proto tuto službu jednoduše zakázat. To lze provést zavedením v nouzovém režimu nebo spuštěním cmd jako systému
a spuštění příkazu
net stop gpsvc
Problém je však v tom, že po chvíli systém sám spustí tuto službu a vy s tím nemůžete nic dělat.
Existuje však mnohem originálnější řešení: zcela zakázat systémový přístup k této službě, v důsledku toho prostě nebude mít práva na její provozování. Jak si pamatujete, parametry všech služeb jsou uloženy v registru a naším úkolem je zcela odebrat práva ze systému na službu Zásady skupiny..
Postupujte takto:
- otevřete editor registru regedit.exe
- Najděte větev HKLM \ SYSTEM \ CurrentControlSet \ services \ gpsvc (jedná se pouze o pobočku služby Group Policy Client)
- Pravým tlačítkem myši klikněte na větev gpsrv a vyberte možnost Oprávnění, poté přejděte na kartu Vlastník a staňte se majitelem větve.
- Poté na kartě Oprávnění vymažte práva pro všechny kromě vašeho účtu, takže práva budou vypadat takto
- Poté změníme typ spouštění klientské služby Zásady skupiny na „Zakázáno“, což lze provést změnou hodnoty tlačítka Start z 2 dál 4
- Restartujte a ověřte, že po zavedení systému již zásady skupiny neplatí.
Je tu však jeden problém: při takovém vypnutí se v zásobníku pravidelně objeví okno s textem: Nepodařilo se připojit ke službě Windows. Systém Windows se nemohl připojit k klientské službě Zásady skupiny. Tento problém brání běžným uživatelům v přihlášení do systému.
Jako administrativní uživatel si můžete prohlédnout podrobnosti o tom, proč služba neodpověděla.
Toto varování však lze zakázat, pro které otevřeme editor registru:
- Hledáme pobočku HKLM \ SYSTEM \ CurrentControlSet \ Control \ Winlogon \ Notifications \ Components \ GPClient
- Stali jsme se také jejím vlastníkem a dáváme si na toto vlákno plná práva
- Vytvoříme záložní kopii této větve a poté ji odstraníme
Je to tak jednoduché a dostatečně rychlé, že jsme ve Windows 7 úplně zakázali klienta Group Policy, díky kterému můžete s počítačem dělat cokoli. Nedopusťte však, aby se správci domény nebo služba zabezpečení počítače ocitli, jinak by to bolelo! 🙂