Bypass GPO domaine avec un compte local ?

Bypass GPO domaine avec un compte local ? - Win 10 - Windows & Software

Marsh Posté le 29-03-2021 à 02:34:13    

Bonsoir,

 

Ma question est pour une utilisation perso, mais ça aurait peut-être plus sa place en catégorie pro ?

 

J'utilise un AD samba pour centraliser tous mes paramètres et je me demandais s'il était possible, lorsque qu'une station est dans le domaine, d'ignorer les GPOs ordinateur lorsqu'on est connecté avec un compte local ? Vu que tous les paramètres ne peuvent pas s’appliquer en config utilisateur, pour certains (comme les MAJ auto) j'aimerais des fois avoir de nouveau la main sur le réglage lorsque je suis en local.

 

En théorie, d'après ce que j'ai lu ce n'est pas possible et il faut repasser la machine en workgroup (ce qui est le fonctionnement logique), mais existe-t-il peut-être une technique "cachée" ? Genre clé de registre ?

 

Merci  :)


Message édité par renaud072 le 29-03-2021 à 02:42:20

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 29-03-2021 à 02:34:13   

Reply

Marsh Posté le 29-03-2021 à 10:51:22    

Si c’est une machine pro, tu sais qu’on ne permettra jamais de contourner la moindre restriction imposée par l’entreprise ? Et que la seule chose qu’on te répondra tout en restant dans les clous de la charte du forum (et de la loi, aussi), c’est d’aller demander au SI de l’entreprise à qui la machine appartient ?

Reply

Marsh Posté le 29-03-2021 à 17:02:28    

C'est pour mon usage perso à la maison. Précisé dans la première phrase.

 

Jamais je me permettrais de faire ça en entreprise, c'est stupide et juste bon pour se faire virer. Si y'a trop de restrictions que j'estime bloquant pour certaines taches, je passe un coup de fil au  SI voir si c'est possible de débloquer (ce qui est déjà arrivé).

 

Pour se connecter en local sur une machine pro, faut déjà connaître le MDP, ce qui n'est en général pas le cas. Difficile donc de contourner quoi que ce soit.


Message édité par renaud072 le 29-03-2021 à 17:11:01

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 29-03-2021 à 17:49:07    

Tu as des GPO chez toi ???
 
Mais mais mais ... pourquoi faire ??
 [:yiipaa:4]

Message cité 2 fois
Message édité par nex84 le 29-03-2021 à 17:49:16

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 29-03-2021 à 18:06:12    

nex84 a écrit :

Tu as des GPO chez toi ???


 
Chez moi aussi [:cupra]
 
Sauf que je comprends pas sa question. S'il gère lui-même ses gpos, je comprends pas son souci.


---------------
Survivre à sa migration WP->Android /  Les features Windows que vous ne connaissez pas
Reply

Marsh Posté le 29-03-2021 à 18:33:18    

nex84 a écrit :

Tu as des GPO chez toi ???
 
Mais mais mais ... pourquoi faire ??
 [:yiipaa:4]


 
Je paramètre beaucoup de choses sur mes PC et VMs (fond d'écran, MAJ, pilotes, cortana, lecteurs réseau, suppression de l'écran de verrouillage...)   :jap: Et ça m'évite de passer par l'éditeur local, ce qui est hyper relou à chaque fois. Sur une installation neuve je gagne un temps fou.
 

flash_gordon a écrit :


Sauf que je comprends pas sa question. S'il gère lui-même ses gpos, je comprends pas son souci.


 
Je reformule :  
 
Lorsque qu'une machine est intégré au domaine, si des GPO ordinateur sont appliquées, elles affectent indifféremment les comptes locaux et ceux du domaine. Et pour des raisons de tests, je voudrais quand j'en ai envie, pouvoir me connecter avec un compte local et faire comme si le domaine n'existait pas.  
 
En l'état, je suis obligé de la repasser en workgroup, faire ce que j'ai à faire et ensuite la réintégrer, ce qui est franchement relou (aller dans les paramètres, redémarrer 2 fois...)


Message édité par renaud072 le 29-03-2021 à 18:37:56

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 30-03-2021 à 10:59:30    

Un GPO ordinateur s'applique à un ordinateur. Si tu ne veux plus qu'elle s'applique, tu joues sur le filtrage de sécurité ou l'héritage. Mais ça ne concernera toujours que le compte ordinateur et pas les comptes utilisateurs, et il faudra sans doute un voire deux redémarrages pour que les modifications soient appliquées de toute façon.

Reply

Marsh Posté le 30-03-2021 à 17:45:54    

nebulios a écrit :

Un GPO ordinateur s'applique à un ordinateur. Si tu ne veux plus qu'elle s'applique, tu joues sur le filtrage de sécurité ou l'héritage. Mais ça ne concernera toujours que le compte ordinateur et pas les comptes utilisateurs, et il faudra sans doute un voire deux redémarrages pour que les modifications soient appliquées de toute façon.

 

Oui je connais  :jap:

 

Mais finalement après pas mal de recherches, il existe une solution toute bête : supprimer les clés de registres où sont stockées les GPO. Notamment celle-ci :

 

HKLM\Software\Policies\Microsoft

 

Une fois supprimé j'ai immédiatement accès aux paramètres bloqués (dans mon exemple la sélection du mode de MAJ).

 

Ensuite je n'ai plus qu'à me reconnecter avec un compte du domaine et lancer un gpupdate /force pour que tout se remette en place ou attendre le prochain redémarrage.

 



Message édité par renaud072 le 30-03-2021 à 17:46:21

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 30-03-2021 à 22:50:53    

Tu joues avec le feu :o
 
Personne n'est dupe que t'as pas la main sur les GPO. Que c'est un poste pro :D

Reply

Marsh Posté le 01-04-2021 à 20:35:23    

C'est bien connu que l'utilisateur lambda a les RSAT sur son poste et le MDP root du DC :p  
 
https://i.imgur.com/ovAKEqZ.png


---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 01-04-2021 à 20:35:23   

Reply

Marsh Posté le 02-04-2021 à 08:43:17    

Alors à ce moment là tu déplaces l'objet computer d'une OU sur laquelle s'applique les GPO computer vers une OU où ne s'appliquent pas les GPO computer.
C'est un simple glisser/déplacer et pas besoin d'aller trifouiller la BDR du PC.

Reply

Marsh Posté le 02-04-2021 à 17:00:47    

C'est une autre possibilité.

 

Je pense aussi qu'il faut que je réorganise plus finement tout ça. Car si la majorité des GPO sont à destination de 10. J'ai aussi plusieurs VM 7/vista/XP auxquelles elles n'ont pas vraiment de raison de s'appliquer.


Message édité par renaud072 le 02-04-2021 à 17:03:24

---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go
Reply

Marsh Posté le 03-04-2021 à 09:41:52    

Cela m'apparait être la seule possibilité. Ou alors tout autre moyen dans la console AD.
Mais aller trifouiller le membre du domaine en supprimant des clés BDR c'est laid et potentiellement à effet de bord.


Message édité par ShonGail le 03-04-2021 à 09:42:07
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed