У цій статті поговоримо про чергову нестандартної задачі: питаннях відключення дії групової політики на комп'ютері в складі домену Windows. Навіщо, власне, може знадобитися така функція? Відповідь на це питання в кожному конкретному випадку індивідуальний. Це може бути бажання регіонального адміністратора обмежити застосування до свого робочого комп'ютера обмежень, що накладаються груповими політиками, і / або бажання піти з-під невсипущого ока безпечники (і видалити на своєму комп'ютері антивірус або ж якусь програму контролю доступу до зовнішніх носіїв), або ж якась інша "важлива" причина (наприклад, відключений task manager). Доцільність і потенційні небезпеки відключення групових політик на робочої станції в домені ми обговорювати не буде. Спробуємо лише гіпотетично розібратися: чи можливо відключити дію групових політик на машині Windows.
Відповідаю: так можна зробити так, щоб на комп'ютер в домен не застосовувалися групові політики, і для цього зовсім не потрібно мати права domain / enterprise адміна. Досить мати права локального адміністратора на цікавій для нас машині (а це в черговий раз говорить про те, що НЕ МОЖНА давати права адміністратора на робочих станціях користувачам!).
Наведений нижче текст відноситься до клієнта на базі Windows 7, але є небезпідставні підстави вважати, що і на інших клієнтських ОС методика буде працювати.
Всі ми знаємо, що за застосування групових політик в Windows 7 відповідає служба Group Policy Client (gpsvc), тому логічна дія просто відключити цю службу. Це можна зробити, завантажившись в безпечному режимі або, запустивши cmd від імені system
і виконавши команду
net stop gpsvc
Але проблема в тому, що через деякий час, система сама запустить цю службу, і ви з цим вдіяти нічого не зможете.
Але є більш оригінальне рішення: зовсім заборонити системі доступ до цієї служби, в результаті у неї просто не буде прав на її запуск. Як ви пам'ятаєте, параметри всіх служб зберігаються в реєстрі, і наше завдання - забрати права у System цілком на службу групових політик.
Для цього:
- відкриваємо редактор реєстру regedit.exe
- знаходимо гілку HKLM \ SYSTEM \ CurrentControlSet \ services \ gpsvc (Це як раз гілка служби Group Policy Client)
- Правою кнопкою тиснемо по гілці gpsrv і вибираємо Permissions, потім йдемо на вкладку Owner і робимо себе власником гілки
- Потім на вкладці Permissions видаляємо права у всіх, крім свого облікового запису, в результаті права будуть виглядати так
- Потім міняємо тип запуску служби Group Policy Client на "Disabled", це можна зробити, змінивши значення ключа Start з 2 на 4
- Перезавантажуємося і перевіряємо, що після завантаження групові політики більше не застосовуються.
Але є одна проблема: при такому відключенні в треї буде періодично вискакувати вікно з текстом: Failed to connect to a Windows service. Windows could not connect to the Group Policy Client Service. This problem prevents standard users from logging on to the system.
As an administrative user, you can review the System Event Log for details about why the service did not respond.
Але і це попередження можна відключити, для чого відкриваємо редактор реєстру:
- шукаємо гілку HKLM \ SYSTEM \ CurrentControlSet \ Control \ Winlogon \ Notifications \ Components \ GPClient
- Також стаємо її власником, і даємо собі повні права на цю гілку
- Робимо резервну копію даної гілки, після чого видаляємо її
Ось так досить просто і швидко ми повністю відключили клієнт групових політик в Windows 7, в результаті чого з комп'ютером можна робити що завгодно. Але не дайте адміністраторам домену або службі комп'ютерної безпеки виявити себе, а то буде боляче! 🙂
