web-dev-qa-db-ja.com

Windowsドメインの管理者権限が不十分ですか?

単一のフォレストに単一のドメインがあるラボ(ish)環境があります。私の組織から提供されたクライアント用のWindows7イメージがあり(作成していません。誰が作成したかは完全にはわかりません)、ユーザー(管理者ユーザーでさえも)が多数のアイテムを持っていることがわかりました。ドメイン管理者ユーザーでさえ)Windows 7環境では変更できません。これには、IEの信頼済みサイト、電源オプション(具体的には、ディスプレイをロックするタイミングの構成)などが含まれます。これらは私が影響を与えたい主な2つです。 、しかし、「一部の設定は管理者によって制御されています。」というメッセージが表示されます。これについては、約100万件の投稿があります。

これまでに試したこと-グループポリシー-レジストリ設定-ローカルセキュリティポリシー-「非表示」の管理者のロック解除と使用-「制限されたグループ」へのユーザーの追加

これらのどれも効果がないようです。グループポリシーが適用され、GPResultは私が期待するとおりに表示されます。例として、GPOで適用したカスタム電源プロファイルが表示され、すべての設定が設定されたように設定されますexcept「ディスプレイの無効化」設定です。それは私のポリシーなしであり、変更を防ぐためにまだグレー表示されています。

クライアントマシンの制御を取り戻すために他に確認できることはありますか?

****更新****以前は明示的に呼び出していませんでしたが、コンピューターをGPOを継承しない新しいOUに移動し、提案に従ってドメインからコンピューターを削除しました。設定はそのまま残りました。それが失敗したとき、ローカル管理者を再度有効にして同じようにログオンし、問題が解決するかどうかを確認しましたが、解決しませんでした。すべてのワークステーションは同じイメージから構築されており、(示されているように)ドメインによって設定されておらず、グループポリシーによって無視できない設定であるように思われるため、最初からイメージレベルで問題が発生したのではないかと疑っていました(少なくとも私が知っているという意味ではありません)

windowswindows-server-2008-r2windows-7group-policy
5
Paul

これらの設定のGPOがドメインで定義されていない場合は、イメージのローカルポリシーで設定されている可能性があります。

実行gpedit.mscローカルマシンから設定を調べて、探しているものが見つかると思います。

2
MDMarra

some settings are controlled by your administratorメッセージを表示する「変更できない」設定は、GPOによって制御されている設定です。

これを「修正」するには、これらの設定を強制的に適用するGPOが問題のマシンに適用されないようにする必要があります。あなたはあなたがドメイン管理者権限を持っていると言っているので...

[まだ行っていない場合は、 [〜#〜] rsat [〜#〜] を使用することをお勧めします。]

おそらく行うべきことは、Active Directory Users and Computers(%SystemRoot%\ system32\dsa.msc)を使用してADにテストOUを作成し、このマシンをその中に移動することです。次に、Group Policy Management(%SystemRoot%\ system32\gpmc.msc)を使用して、そのOUへの継承をブロックします。作成したばかりなので、GPOが直接リンクされていないはずです。コマンドラインからgpupdate /forceを実行して、新しい[欠如] GPOを適用し、再起動します。その後、必要に応じて設定を変更したり、適切な方法でマシン上でGPOをテストしたりできます(作成したOUでGPOを作成してリンクすることにより)。

または、1回限りのアプローチとして、いつでもドメインからマシンを削除できます。これにより、GPOがドメインに適用されなくなります。

問題のGPOを変更または削除することもできると思いますが、これはグローバルな変更であり、ご使用のマシン以外にも適用されるため、注意してください。また、AD管理者が存在する場合、それを怒らせたり、AD管理者が存在しない場合に専門の管理者がAD環境を処理する必要がある理由を発見したりするための優れた方法です。

編集:MDMarraによって指摘されたように、これはGPOによって適用された設定の[ほとんど]を魔法のように逆転させることはありませんが、必要に応じてそれらを変更することができます。 GPOが適用されなくなった後、それらを必要なものに変更するには、GPEdit.mscを使用してローカルポリシーを編集するか、regeditを使用して次のキーを削除します ここで推奨

[HKEY_CURRENT_USER\Software\Policies\Microsoft]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

(申し訳ありませんが、ドメインから「制御を取り戻す」方法に集中し、適用されたGPOを元に戻すことは考えていませんでした。)

2
HopelessN00b