Bonsoir,

Ma question est pour une utilisation perso, mais ça aurait peut-être plus sa place en catégorie pro ?

J'utilise un AD samba pour centraliser tous mes paramètres et je me demandais s'il était possible, lorsque qu'une station est dans le domaine, d'ignorer les GPOs ordinateur lorsqu'on est connecté avec un compte local ? Vu que tous les paramètres ne peuvent pas s’appliquer en config utilisateur, pour certains (comme les MAJ auto) j'aimerais des fois avoir de nouveau la main sur le réglage lorsque je suis en local.

En théorie, d'après ce que j'ai lu ce n'est pas possible et il faut repasser la machine en workgroup (ce qui est le fonctionnement logique), mais existe-t-il peut-être une technique "cachée" ? Genre clé de registre ?

Merci  

Si c’est une machine pro, tu sais qu’on ne permettra jamais de contourner la moindre restriction imposée par l’entreprise ? Et que la seule chose qu’on te répondra tout en restant dans les clous de la charte du forum (et de la loi, aussi), c’est d’aller demander au SI de l’entreprise à qui la machine appartient ?

C'est pour mon usage perso à la maison. Précisé dans la première phrase.

Jamais je me permettrais de faire ça en entreprise, c'est stupide et juste bon pour se faire virer. Si y'a trop de restrictions que j'estime bloquant pour certaines taches, je passe un coup de fil au  SI voir si c'est possible de débloquer (ce qui est déjà arrivé).

Pour se connecter en local sur une machine pro, faut déjà connaître le MDP, ce qui n'est en général pas le cas. Difficile donc de contourner quoi que ce soit.

Tu as des GPO chez toi ???
 
Mais mais mais ... pourquoi faire ??
 

 
Chez moi aussi
 
Sauf que je comprends pas sa question. S'il gère lui-même ses gpos, je comprends pas son souci.

 
Je paramètre beaucoup de choses sur mes PC et VMs (fond d'écran, MAJ, pilotes, cortana, lecteurs réseau, suppression de l'écran de verrouillage...)   Et ça m'évite de passer par l'éditeur local, ce qui est hyper relou à chaque fois. Sur une installation neuve je gagne un temps fou.
 

 
Je reformule :  
 
Lorsque qu'une machine est intégré au domaine, si des GPO ordinateur sont appliquées, elles affectent indifféremment les comptes locaux et ceux du domaine. Et pour des raisons de tests, je voudrais quand j'en ai envie, pouvoir me connecter avec un compte local et faire comme si le domaine n'existait pas.  
 
En l'état, je suis obligé de la repasser en workgroup, faire ce que j'ai à faire et ensuite la réintégrer, ce qui est franchement relou (aller dans les paramètres, redémarrer 2 fois...)

Un GPO ordinateur s'applique à un ordinateur. Si tu ne veux plus qu'elle s'applique, tu joues sur le filtrage de sécurité ou l'héritage. Mais ça ne concernera toujours que le compte ordinateur et pas les comptes utilisateurs, et il faudra sans doute un voire deux redémarrages pour que les modifications soient appliquées de toute façon.

Oui je connais  

Mais finalement après pas mal de recherches, il existe une solution toute bête : supprimer les clés de registres où sont stockées les GPO. Notamment celle-ci :

HKLM\Software\Policies\Microsoft

Une fois supprimé j'ai immédiatement accès aux paramètres bloqués (dans mon exemple la sélection du mode de MAJ).

Ensuite je n'ai plus qu'à me reconnecter avec un compte du domaine et lancer un gpupdate /force pour que tout se remette en place ou attendre le prochain redémarrage.

Tu joues avec le feu
 
Personne n'est dupe que t'as pas la main sur les GPO. Que c'est un poste pro

C'est bien connu que l'utilisateur lambda a les RSAT sur son poste et le MDP root du DC  
 

Alors à ce moment là tu déplaces l'objet computer d'une OU sur laquelle s'applique les GPO computer vers une OU où ne s'appliquent pas les GPO computer.
C'est un simple glisser/déplacer et pas besoin d'aller trifouiller la BDR du PC.

C'est une autre possibilité.

Je pense aussi qu'il faut que je réorganise plus finement tout ça. Car si la majorité des GPO sont à destination de 10. J'ai aussi plusieurs VM 7/vista/XP auxquelles elles n'ont pas vraiment de raison de s'appliquer.

Cela m'apparait être la seule possibilité. Ou alors tout autre moyen dans la console AD.
Mais aller trifouiller le membre du domaine en supprimant des clés BDR c'est laid et potentiellement à effet de bord.