Tidak dapat menonaktifkan warisan kebijakan grup dari domain

Di tempat kerja, komputer saya (Windows 10) adalah bagian dari domain lokal.

Saya menambahkan beberapa kebijakan grup lokal, dan setelah memperhatikan mereka tidak diterapkan, saya berlari gpresult /H gp_report.htmldan mengembalikan:

INFO: Pengguna tidak memiliki data RSoP.

Setelah berjalan gpupdate /forcesaya menemukan bahwa file di \\[domainname.local]\sysvol\[domainname.local]\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.inirusak karena serangan ransomware beberapa waktu lalu.

Untuk saat ini saya mengganti file dengan salinan bersih, dan setelah gpupdate /forcekebijakan saya berfungsi. Tapi saya bertanya-tanya apakah dan bagaimana saya bisa menonaktifkan kebijakan domain , sehingga hanya kebijakan lokal yang diterapkan, sementara PC saya masih terhubung ke domain.

Saya menginstal Alat Administrasi Server Jarak Jauh untuk mencoba proses yang diuraikan di sini (menonaktifkan warisan objek Kebijakan Grup), tetapi setelah diluncurkan gpmc.mscsaya mendapatkan kesalahan yang menyatakan:

Domain yang ditentukan tidak ada atau tidak dapat dihubungi.

Saya bisa mengklik " Pilih pengontrol domain yang berbeda " dan dua pengontrol domain terdaftar, tetapi memilih salah satu dari mereka memuat pohon kosong.

Juga mencoba Set-GPinheritance -Target "dc=[domainname.local]" -IsBlocked Yessesuai dengan referensi ini tetapi mengembalikan:

Set-GPinheritance: Domain yang ditentukan tidak ada atau tidak dapat dihubungi. (Pengecualian dari HRESULT: 0x8007054B)

[TL; DR] Saat ini bingung. Saya ingin menonaktifkan kebijakan grup bawaan sementara masih terhubung ke domain. Namun upaya saya sejauh ini gagal. Bisakah itu dilakukan?

Catatan: Untuk jawaban, asumsikan bahwa kebijakan lokal apa pun tidak akan berfungsi (seolah-olah saya belum memperbaiki kebijakan server domain).

Terima kasih.

Anda dapat menonaktifkan refresh latar belakang - Melalui gpedit.msc, Konfigurasi Komputer -> Template Administratif -> Sistem -> Kebijakan Grup. Setel Matikan penyegaran latar belakang Kebijakan Grup ke Diaktifkan.

Selain itu, Anda dapat menghapus item dari folder Kebijakan di bawah HKCU / Perangkat Lunak HKLM \ Kebijakan dan Perangkat Lunak HKCU / HKLM / Microsoft / Windows / CurrentVersion / Kebijakan dan menetapkan izin pada tombol untuk 'Baca' untuk setiap akun yang terdaftar dengan lebih dari itu.

Anda tampaknya memiliki masalah lain, kebijakan domain default Anda tampaknya rusak jika konsol Anda kosong, Anda harus mengatur ulang GPO Anda. Punya cadangan? (atau Anda bukan admin domain?)

dcgpofix /ignoreschema /target:Domain

Kebijakan domain default diaktifkan secara default untuk semua objek komputer, tetapi hanya menetapkan opsi kata sandi dan semacamnya.

Memblokir warisan dari OU adalah cara yang sah untuk melakukannya, jadi saya pikir Anda mendapat korupsi di folder kebijakan SYSVOL Anda.

Saya menemukan bahwa meneruskan -Serverparameter ke cmdlet PowerShell membuatnya berfungsi. Namun, menjalankan Set-GPinheritance -Target "dc=[domainname.local]" -IsBlocked Yestidak memperbaiki masalah kebijakan lokal saya yang rusak.

Jadi saya mengambil langkah-langkah yang tercantum di bawah ini dari PowerShell sebagai admin:

(Get-GPInheritance -Target "dc=[domainname],dc=local" -Server "[servername]").GpoLinks | foreach-object {echo $_}

Ini akan mengembalikan daftar seperti berikut:

Catat GpoIdproperti tersebut. Sekarang jalankan:

Set-GPLink -Guid "[GpoId from previous step]" -Target "dc=[domainname],dc=local" -LinkEnabled No -Server "[servername]"

Setelah itu, menjalankan gpupdate.exe /forceberfungsi dengan benar.

Referensi:

• Modul Set-GPLink dan GroupPolicy (Microsoft Documents)