00m.Ru
4Июл/140

Как отключить применение GPO на Windows 7/8

Все мы знаем, что за применение групповых политик в Windows 7/8 отвечает служба Group Policy Client (gpsvc), поэтому логичное действие просто отключить эту службу. Это можно сделать, загрузившись в безопасном режиме или, запустив cmd от имени system и выполнив команду

net stop gpsvc

Но проблема в том, что через некоторое время, система сама запустит эту службу, и вы с этим поделать ничего не сможете.
Но есть более оригинальное решение: совсем запретить системе доступ к этой службе, в результате у нее просто не будет прав на ее запуск. Как вы помните, параметры всех служб хранятся в реестре, и наша задача – забрать права у System целиком на службу групповых политик.

Для этого:

  • открываем редактор реестра regedit.exe
  • Находим ветку HKLM\SYSTEM\CurrentControlSet\services\gpsvc (это как раз ветка службы Group Policy Client)
  • Правой кнопкой жмем по ветке gpsvc и выбираем Permissions, затем идем на вкладку Owner и делаем себя владельцем ветки
  • Затем на вкладке Permissions удаляем права у всех, кроме своей учетной записи, отключаем групповые политики в windows 7
  • Затем меняем тип запуска службы Group Policy Client на «Disabled», это можно сделать, изменив значение ключа Start с 2 на 4 Отключаем клиент group policy в windows_7
  • Перезагружаемся и проверяем, что после загрузки групповые политики больше не применяются.

Но есть одна проблема: при таком отключении в трее будет периодически выскакивать окно с текстом: Failed to connect to a Windows service. Windows could not connect to the Group Policy Client Service. This problem prevents standard users from logging on to the system.
As an administrative user, you can review the System Event Log for details about why the service didn’t respond.

Но и это предупреждение можно отключить, для чего открываем редактор реестра:

  • Ищем ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Winlogon\Notifications\Components\GPClient
  • Также становимся ее владельцем, и даем себе полные права на эту ветку
  • Делаем резервную копию данной ветки, после чего удаляем ее

Вот так достаточно просто и быстро мы полностью отключили клиент групповых политик в Windows 7/8, в результате чего с компьютером можно делать что угодно. Но не дайте администраторам домена или службе компьютерной безопасности обнаружить себя, а то будет больно!

29Ноя/120

Как почистить AD от не использующихся компов

Возникла такая необходимость почистить AD от давно мертвых компов, начал искать решения и нашел просто замечательную статью. Да простить меня автор, но я просто обязан опубликовать ее, ибо сберегла мне она очень много времени. надеюсь и вам поможет.  Публикую  слово в слово!

Рано или поздно в Active Directory появляются "мертвые" машины. Их уже нет. Их списали, переименовали, забросили в углу. Они не работают, а учетные записи от них остались. В большой компании они занимают лишнее место в и без того не маленькой базе AD. Встает вопрос о том, как эти записи найти и уничтожить.

Есть коммерческая утилита Janitor (в дословном переводе - уборщик) от Special Operations Software, но большой необходимости я в ней не вижу, ибо тот же функционал предлагает бесплатная утилитка OldCmp. Она без GUI, но вряд ли это недостаток.

OldCmp - один единственный исполняемый файл. Чтобы найти машины, не использовавшиеся 100 дней, запускаем:

oldcmp -report -age 100

В ответ утилита создаст файл HTML с отчетом. О том, сколько компьютер не использовался, OldCmp узнает по дате последней смены пароля. Не путайте со сменой пользовательского пароля. У компьютеров есть свои пароли, которые они меняют без вашей помощи, по умолчанию в домене каждые 30 дней. В домене на базе Windows 2003 можно обрабатывать машины не по дате смены пароля, а по дате последнего логона на них, добавив ключ -llts:

oldcmp -report -age 100 -llts

Далее можно удалять машины, но лучше сначала отключить, и посмотреть что будет 🙂

oldcmp -disable -unsafe -forreal -llts -age 100

Если никаких проблем не выявлено, можно удалять:

oldcmp -delete -unsafe -forreal -llts -age 100

Все остальное можно найти в документации к программе. Ниже привожу примеры из документации, по ним и так все понятно:

Ex1:
oldcmp /?
Display this help
Ex2a:
oldcmp -report
Generate html report of all cmpaccs > 90 days old
Ex2a:
oldcmp -report -format dhtml -sh
Generate dhtml report of all cmpaccs > 90 days old
Open the report after generating it
Ex2c:
oldcmp -report -format csv
Generate csv report of all cmpaccs > 90 days old
Ex3a:
oldcmp -report -age 0
Generate html report of all cmpaccs
Ex3b:
oldcmp -report -age 0 -format csv -delim tab
Generate csv (tab delimited) report of all cmpaccs
Ex4:
oldcmp -report -age 0 -onlydisabled
Generate html report of all disabled cmpaccs
Ex5:
oldcmp -report -age 0 -onlydisabled -sort cn
Generate html report of all disabled cmpaccs, sort on name
Ex6:
oldcmp -delete -age 0 -onlydisabled
Generate html report of all disabled cmpaccs, sort on pwage
Will show you what it would try to delete. Only up to 10.
Ex7:
oldcmp -delete -age 0 -onlydisabled -safety 100
Generate html report of all disabled cmpaccs, sort on pwage
Will show you what it would try to delete. Only up to 100.
Ex8:
oldcmp -delete -age 0 -onlydisabled -unsafe
Generate html report of all disabled cmpaccs, sort on pwage
Will show you what it would try to delete. All cmpaccs.
Ex9:
oldcmp -delete -age 0 -onlydisabled -unsafe -forreal
Generate html report of all disabled cmpaccs, sort on pwage
Will REALLY DELETE all accounts identified.
Ex10:
oldcmp -disable -unsafe -forreal
Generate html report of all cmpaccs > 90 days, sort on pwage
Will REALLY DISABLE all accounts identified.
Ex11:
oldcmp -report -sort OS -age 0 -maxage 60
Generate html report of all cmpaccs still valid, sort on OS
Ex12:
oldcmp -report -af “(operatingsystem=Windows XP Professional)-onlydisabled -age 0
Generate html report of all disabled Windows XP machines
Ex13:
oldcmp -report -b ou=mycmps,dc=domain,dc=com
Generate html report of cmpaccs >90 days in specified OU