У цій статті поговоримо про чергову нестандартної задачі: питаннях відключення дії групової політики на комп’ютері в складі домену Windows. Навіщо, власне, може знадобитися така функція? Відповідь на це питання в кожному конкретному випадку індивідуальний. Це може бути бажання регіонального адміністратора обмежити застосування до свого робочого комп’ютера обмежень, що накладаються груповими політиками, і / або бажання піти з-під невсипущого ока безпечники (і видалити на своєму комп’ютері антивірус або ж якусь програму контролю доступу до зовнішніх носіїв), або ж якась інша «важлива» причина (наприклад, відключений task manager). Доцільність і потенційні небезпеки відключення групових політик на робочої станції в домені ми обговорювати не буде. Спробуємо лише гіпотетично розібратися: чи можливо відключити дію групових політик на машині Windows.

Відповідаю: так можна зробити так, щоб на комп’ютер в домен не застосовувалися групові політики, і для цього зовсім не потрібно мати права domain / enterprise адміна. Досить мати права локального адміністратора на цікавій для нас машині (а це в черговий раз говорить про те, що НЕ МОЖНА давати права адміністратора на робочих станціях користувачам!).
Не вдалося підключитися до служби Windows.  Windows не вдалося підключитися до служби клієнта групової політики
Наведений нижче текст відноситься до клієнта на базі Windows 7, але є небезпідставні підстави вважати, що і на інших клієнтських ОС методика буде працювати.

Всі ми знаємо, що за застосування групових політик в Windows 7 відповідає служба Клієнт групової політики (gpsvc), Тому логічна дія просто відключити цю службу. Це можна зробити, завантажившись в безпечному режимі або, запустивши cmd від імені system

і виконавши команду

net stop gpsvc

Але проблема в тому, що через деякий час, система сама запустить цю службу, і ви з цим вдіяти нічого не зможете.

Але є більш оригінальне рішення: зовсім заборонити системі доступ до цієї служби, в результаті у неї просто не буде прав на її запуск. Як ви пам’ятаєте, параметри всіх служб зберігаються в реєстрі, і наше завдання – забрати права у System цілком на службу групових політик.

Для цього:

  • відкриваємо редактор реєстру regedit.exe
  • знаходимо гілку HKLM SYSTEM CurrentControlSet services gpsvc (Це як раз гілка служби Group Policy Client)
  • Правою кнопкою тиснемо по гілці gpsrv і вибираємо Permissions, потім йдемо на вкладку Owner і робимо себе власником гілки
  • Потім на вкладці Permissions видаляємо права у всіх, крім свого облікового запису, в результаті права будуть виглядати таквідключаємо групові політики в windows 7
  • Потім міняємо тип запуску служби Group Policy Client на «Disabled», це можна зробити, змінивши значення ключа Start з 2 на 4Відключаємо клієнт group policy в windows_7
  • Перезавантажуємося і перевіряємо, що після завантаження групові політики більше не застосовуються.

Але є одна проблема: при такому відключенні в треї буде періодично вискакувати вікно з текстом: Не вдалося підключитися до служби Windows. Windows не вдалося підключитися до служби клієнта групової політики. Ця проблема заважає звичайним користувачам входити в систему.
Як адміністративний користувач, ви можете переглянути журнал системних подій, щоб отримати докладні відомості про те, чому служба не відповіла.

Але і це попередження можна відключити, для чого відкриваємо редактор реєстру:

  • шукаємо гілку HKLM SYSTEM CurrentControlSet Control Winlogon Notifications Components GPClient
  • Також стаємо її власником, і даємо собі повні права на цю гілку
  • Робимо резервну копію даної гілки, після чого видаляємо її

Ось так досить просто і швидко ми повністю відключили клієнт групових політик в Windows 7, в результаті чого з комп’ютером можна робити що завгодно. Але не дайте адміністраторам домену або службі комп’ютерної безпеки виявити себе, а то буде боляче! 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *