Jump to content
-rk-

bestimmte GPO vom Client löschen - ohne Gpupdate?

Recommended Posts

Akt 1: Ein Windows 7 Client ist im Corporate-Lan und zieht sich, völlig korrekt, 12 GPOs und wendet die an.

 

Akt 2: Der User und das Notebook verlassen das LAN und reisen in ein 'unfreundliches' Drittland. Es kann normal (lokal) gearbeitet werden. Allerdings stellt sich schnell heraus, dass eine GPO (Bildschirm Auto Lockscreen) im Kontext der Aufgaben des Users richtig Probleme macht und abgeschaltet werden soll. Dabei wird festgestellt, das die entsprechenden Einstellungen in der Systemsteuerung ausgegraut sind, da diese Einstellungen ja über eine GPO gesteuert werden. Darauf hin wird in der Zentrale die GPO entfernt und der Client versucht via VPN ein GPUPDATE /force. Das geht leider schief (kein Connect zu irgendeinem DC). Die Security-Leute ermitteln, dass das 'unfreundliche' Drittland die VPN-Verbindung aktiv manipuliert. Das ist in dem Land auch nicht überraschend.

 

Akt 3: Es gelingt dem User-Admin, der auf den Client mittlerweile via Teamviewer Zugriff hat, NICHT, die GPO zu löschen bzw. ausser Kraft zu setzen.

 

Frage: Wie lösche ich eine bestimmte GPO ohne die anderen GPOs zu löschen und ohne dass sich der Client mit einem DC verbinden kann? Aus dem Internet habe ich nur Lösungsansätze, die ALLE GPO löschen würden. Das ist aber nicht gewollt. 

 

Leider konnte der User-Admin auch durch das löschen / setzen entsprechender Registry-Einträge nicht erreichen, dass der User seinen Bildschirmschoner wieder abschalten kann.

 

In der GPO (die ich mit einem PS-Tool ausgelesen habe) steht folgendes drin.

 

Parse-PolFile -Path C:\Registry.pol
 
 
KeyName     : Software\Policies\Microsoft\Windows\Control Panel\Desktop
ValueName   : ScreenSaveActive
ValueType   : REG_SZ
ValueLength : 4
ValueData   : 1
 
KeyName     : Software\Policies\Microsoft\Windows\Control Panel\Desktop
ValueName   : ScreenSaverIsSecure
ValueType   : REG_SZ
ValueLength : 4
ValueData   : 1
 
KeyName     : Software\Policies\Microsoft\Windows\Control Panel\Desktop
ValueName   : SCRNSAVE.EXE
ValueType   : REG_SZ
ValueLength : 80
ValueData   : rundll32.exe user32.dll,LockWorkStation
 
KeyName     : Software\Policies\Microsoft\Windows\Control Panel\Desktop
ValueName   : ScreenSaveTimeOut
ValueType   : REG_SZ
ValueLength : 8
ValueData   : 300

Wie bekomme ich die GPO vom Rechner bzw. ermögliche dem User, die Settings wieder selbst einzustellen. Der User ist kein Admin auf seinem Gerät.

 

Share this post


Link to post
Share on other sites

Lösche einfach die zugehörigen Reg-Werte. Ohne DC-Verbindung werden GPOs nie angewendet.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...