Bypass GPO domaine avec un compte local ? - Win 10 - Windows & Software
Marsh Posté le 29-03-2021 à 10:51:22
Si c’est une machine pro, tu sais qu’on ne permettra jamais de contourner la moindre restriction imposée par l’entreprise ? Et que la seule chose qu’on te répondra tout en restant dans les clous de la charte du forum (et de la loi, aussi), c’est d’aller demander au SI de l’entreprise à qui la machine appartient ?
Marsh Posté le 29-03-2021 à 17:02:28
C'est pour mon usage perso à la maison. Précisé dans la première phrase.
Jamais je me permettrais de faire ça en entreprise, c'est stupide et juste bon pour se faire virer. Si y'a trop de restrictions que j'estime bloquant pour certaines taches, je passe un coup de fil au SI voir si c'est possible de débloquer (ce qui est déjà arrivé).
Pour se connecter en local sur une machine pro, faut déjà connaître le MDP, ce qui n'est en général pas le cas. Difficile donc de contourner quoi que ce soit.
Marsh Posté le 29-03-2021 à 17:49:07
Tu as des GPO chez toi ???
Mais mais mais ... pourquoi faire ??
Marsh Posté le 29-03-2021 à 18:06:12
nex84 a écrit : Tu as des GPO chez toi ??? |
Chez moi aussi
Sauf que je comprends pas sa question. S'il gère lui-même ses gpos, je comprends pas son souci.
Marsh Posté le 29-03-2021 à 18:33:18
nex84 a écrit : Tu as des GPO chez toi ??? |
Je paramètre beaucoup de choses sur mes PC et VMs (fond d'écran, MAJ, pilotes, cortana, lecteurs réseau, suppression de l'écran de verrouillage...) Et ça m'évite de passer par l'éditeur local, ce qui est hyper relou à chaque fois. Sur une installation neuve je gagne un temps fou.
flash_gordon a écrit : |
Je reformule :
Lorsque qu'une machine est intégré au domaine, si des GPO ordinateur sont appliquées, elles affectent indifféremment les comptes locaux et ceux du domaine. Et pour des raisons de tests, je voudrais quand j'en ai envie, pouvoir me connecter avec un compte local et faire comme si le domaine n'existait pas.
En l'état, je suis obligé de la repasser en workgroup, faire ce que j'ai à faire et ensuite la réintégrer, ce qui est franchement relou (aller dans les paramètres, redémarrer 2 fois...)
Marsh Posté le 30-03-2021 à 10:59:30
Un GPO ordinateur s'applique à un ordinateur. Si tu ne veux plus qu'elle s'applique, tu joues sur le filtrage de sécurité ou l'héritage. Mais ça ne concernera toujours que le compte ordinateur et pas les comptes utilisateurs, et il faudra sans doute un voire deux redémarrages pour que les modifications soient appliquées de toute façon.
Marsh Posté le 30-03-2021 à 17:45:54
nebulios a écrit : Un GPO ordinateur s'applique à un ordinateur. Si tu ne veux plus qu'elle s'applique, tu joues sur le filtrage de sécurité ou l'héritage. Mais ça ne concernera toujours que le compte ordinateur et pas les comptes utilisateurs, et il faudra sans doute un voire deux redémarrages pour que les modifications soient appliquées de toute façon. |
Oui je connais
Mais finalement après pas mal de recherches, il existe une solution toute bête : supprimer les clés de registres où sont stockées les GPO. Notamment celle-ci :
HKLM\Software\Policies\Microsoft
Une fois supprimé j'ai immédiatement accès aux paramètres bloqués (dans mon exemple la sélection du mode de MAJ).
Ensuite je n'ai plus qu'à me reconnecter avec un compte du domaine et lancer un gpupdate /force pour que tout se remette en place ou attendre le prochain redémarrage.
Marsh Posté le 30-03-2021 à 22:50:53
Tu joues avec le feu
Personne n'est dupe que t'as pas la main sur les GPO. Que c'est un poste pro
Marsh Posté le 01-04-2021 à 20:35:23
C'est bien connu que l'utilisateur lambda a les RSAT sur son poste et le MDP root du DC
Marsh Posté le 02-04-2021 à 08:43:17
Alors à ce moment là tu déplaces l'objet computer d'une OU sur laquelle s'applique les GPO computer vers une OU où ne s'appliquent pas les GPO computer.
C'est un simple glisser/déplacer et pas besoin d'aller trifouiller la BDR du PC.
Marsh Posté le 02-04-2021 à 17:00:47
C'est une autre possibilité.
Je pense aussi qu'il faut que je réorganise plus finement tout ça. Car si la majorité des GPO sont à destination de 10. J'ai aussi plusieurs VM 7/vista/XP auxquelles elles n'ont pas vraiment de raison de s'appliquer.
Marsh Posté le 03-04-2021 à 09:41:52
Cela m'apparait être la seule possibilité. Ou alors tout autre moyen dans la console AD.
Mais aller trifouiller le membre du domaine en supprimant des clés BDR c'est laid et potentiellement à effet de bord.
Marsh Posté le 29-03-2021 à 02:34:13
Bonsoir,
Ma question est pour une utilisation perso, mais ça aurait peut-être plus sa place en catégorie pro ?
J'utilise un AD samba pour centraliser tous mes paramètres et je me demandais s'il était possible, lorsque qu'une station est dans le domaine, d'ignorer les GPOs ordinateur lorsqu'on est connecté avec un compte local ? Vu que tous les paramètres ne peuvent pas s’appliquer en config utilisateur, pour certains (comme les MAJ auto) j'aimerais des fois avoir de nouveau la main sur le réglage lorsque je suis en local.
En théorie, d'après ce que j'ai lu ce n'est pas possible et il faut repasser la machine en workgroup (ce qui est le fonctionnement logique), mais existe-t-il peut-être une technique "cachée" ? Genre clé de registre ?
Merci
Message édité par renaud072 le 29-03-2021 à 02:42:20
---------------
MSI B450 Tomahawk MAX - R7 3700X - Ballistix 2x8 + 2x16 Go 3200 Mhz CL16 - RX570 4 Go / Laptop : Lenovo Gaming 3 - R5 5600H - RX Vega 8/GTX 1650 - 32 Go