Я установил ограничения «разрешать только определенные приложения» и случайно применил их ко всем учетным записям. Теперь я ограничен запуском только браузера и не могу запускать редактор групповой политики!
Есть ли бэкдор, которым я могу воспользоваться?
Обнаружен обходной путь, который использует очевидную дыру в функции «ограниченные приложения» групповой политики. Просто переименовав исполняемый файл в имя файла доверенного приложения, вы можете обойти политику.
Обходной путь, к которому я пришел, приведен ниже (у вас будет много похожих / более простых вариантов, чтобы это работало; они не работают). Надеюсь, это кому-то поможет.
После переименования консоль управления не запускается из проводника, поэтому необходимо выполнить шаг командной строки.
Я предполагаю, что у вас есть программные ограничения в части политики, касающейся конфигурации пользователя. Вот несколько советов:
1. Скопируйте в другое место Если у вас есть ограничение, основанное на расположении пути, вы можете скопировать ограниченный файл (mmc.exe?) На другой диск (или переименовать файл) и попробовать запустить его оттуда.
2. Кешированные учетные данные Если у вас есть компьютер или ноутбук, на котором вы ранее вошли в систему, отключите сетевой кабель и войдите в систему с кэшированными учетными данными (если это разрешено). Когда вы полностью вошли в систему (вы можете подождать несколько минут), снова подключите сетевой кабель. Теперь у вас должен быть доступ к сети, но политики еще не применяются, поэтому вы можете получить доступ ко всем программам.
3. удалить ключи реестра Все эти ограничения политики хранятся в реестре. Поскольку вы являетесь администратором, у вас есть разрешения на редактирование реестра, поэтому вам следует найти способ его редактировать.
Вам нужно перейти в следующий раздел реестра: HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ пути и удалите все ключи под этим ключом, оставив сам ключ нетронутым.
Если вы не можете запустить regedit.exe, возможно, вы сможете запустить следующие программы:
%windir%\regedit.exe
%windir%\System32\regedt32.exe
%windir%\System32\reg.exe (commandline)
%windir%\SysWOW64\regedit.exe (64bit computer only)
%windir%\SysWOW64\regedt32.exe (64bit computeronly)
%windir%\SysWOW64\reg.exe (64bit computer only, commandline)
В противном случае попробуйте получить доступ к реестру удаленно.
Звучит как загвоздка 22. Похоже, вы напортачили с политикой домена по умолчанию, судя по ее звукам. Если я не ошибаюсь, вы довольно хорошо заблокированы, потому что все пользователи являются членами группы «Прошедшие проверку», и к ним будет применен объект групповой политики, если вы не удалили «Прошедших проверку пользователей» из фильтрации безопасности на объекте групповой политики (что не похоже на случай) . Я не могу придумать никакой комбинации пользователя / группы, которая вернула бы вас обратно в GPMC. Насколько я понимаю, нет возможности вернуться из текущего домена, если вы действительно заблокировали свою способность запускать GPMC и любую другую программу / исполняемый файл. Я никогда не участвовал в этом сценарии, поэтому может быть способ обойти его, о котором я не знаю, но вот обходной путь, который я придумал. Это звучит немного странно и немного запутанно, но я думаю, что это поможет. Поехали:
Настройте контроллер домена в новом домене / лесу. Я буду называть этот домен / лес "новый"и я буду называть существующий домен / лес"старый"с этого момента.
Создайте доверие между новый лес и старый лес. Поскольку вы, вероятно, не можете получить доступ к консоли DNS в старый домен, вы должны иметь возможность редактировать файл hosts на контроллере домена в старый домен путем доступа к нему с рабочей станции, не присоединенной к домену (при появлении запроса укажите соответствующие учетные данные домена). Добавьте запись для новый домен (DNS-суффикс домена / имя DNS-зоны AD нового домена), указывающий на IP-адрес DC / DNS-сервера в новый домен. Сохраните файл и перезагрузите старый DC для предварительной загрузки записи файла hosts в кеш DNS. Это должно быть приемлемой заменой условного экспедитора из старый Домен / лес в новый Домен / Лес. Создайте соответствующий сервер условной пересылки в новый домен для старый домен. Настройте файл hosts и сервер условной пересылки, прежде чем пытаться создать доверие.
Добавьте учетную запись администратора из новый Домен / лес во встроенную группу администраторов в старый Домен / лес, предоставив учетную запись администратора в старый Домен / лес права пользователя «Разрешить локальный вход» в объекте групповой политики контроллеров домена по умолчанию в новый Домен / Лес. Запустите gpupdate / force на новый DC, а затем используйте "запустить от имени другого пользователя" или "запустить от имени" (в зависимости от ОС) на новый DC, чтобы открыть ADUC в качестве администратора старый домен и домашний ADUC в старый домен.
Запустите GPMC на DC в новый лес
Главная GPMC в старый Домен / Лес
Отключите политику домена по умолчанию в старый лес
Войдите в DC в старый forest и запустите gpupdate / force, а затем посмотрите, можете ли вы теперь запускать GPMC. Если это так, отмените все, что вы сделали, чтобы заблокировать себя, и повторно свяжите политику домена по умолчанию.
Повторите шаги, описанные выше, а затем разорвите доверие леса и выведите новый домен / лес из эксплуатации.
Редактировать GPO через доверие Forest невозможно (насколько я знаю), но разорвать связь нужно, если вы выполните шаги, которые я изложил.
Как насчет использования PowerShell для удаления ссылки групповой политики. Вот ссылка на команду на technet http://technet.microsoft.com/en-us/library/ee461054.aspx
Большинство обходных путей не помогло мне в Windows 10. Я был администратором, и мне удалось испортить групповую политику, разрешив только teams.exe нет другой программы
Я просто пошел в c:\windows\system32 папку и сделал копию командной строки msdos exe cmd.exe и переименовал копию в имя программы, которое я разрешал изначально (team.exe).
Затем выполнили следующие команды
RD /S /Q "C:\Windows\System32\GroupPolicy"
RD /S /Q "C:\Windows\System32\GroupPolicyUsers"
и перезапустил компьютер, и он работал.
https://www.top-password.com/blog/how-to-reset-local-group-policy-settings-to-default/
Я не знаю, сможете ли вы запустить файл .reg ... Windows настолько связана с реестром, поэтому групповые политики ... Думаю, вы установили значение RestrictRun. С помощью файла remove .reg вы можете удалить этот ключ.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-
Войдите в свою учетную запись. Бегать этот рег файл. И после перезагрузки вы сможете запускать другие программы.
Я знаю, что неприемлемо загружать файлы, а не изображения, но мне очень жаль, что вам просто нужно доверить мне этот reg-файл, поскольку вы не можете создать его в любом текстовом редакторе ...
Обнаружен обходной путь, который использует очевидную дыру в функции «ограниченные приложения» групповой политики. Просто переименовав исполняемый файл в имя файла доверенного приложения, вы можете обойти политику.
Единственная проблема в том, что вы не можете напрямую получить доступ к gpedit.msc, переименовав его: это не сработает.
Обходной путь, к которому я пришел: (можно было бы ожидать, что более простой вариант этого сработает; это не так)
После переименования консоль управления не запускается из проводника, поэтому необходимо выполнить шаг командной строки.
ОЧЕНЬ ПРОСТОЕ ИСПРАВЛЕНИЕ
У меня была такая же проблема из-за случайного изменения системных настроек в gpedit. Попробуйте это исправление, которое я получил от Greylox .... У меня это сработало.
Нажмите кнопку «Пуск», введите «Выполнить» в поле поиска внизу всплывающего окна и нажмите «Ввод». В новом окне введите %systemroot%\system32\GroupPolicy\User delete registry.pol
Сделайте то же самое в %systemroot%\system32\GroupPolicy\Machine delete registry.pol если вы его видите, на моем компьютере этого не было.
Перезагрузите вашу систему.
Войдите в систему под учетной записью администратора, создайте нового пользователя с правами администратора, перезагрузитесь и снова войдите в систему, используя новую учетную запись администратора.
Нажмите кнопку «Пуск», введите «Выполнить» в поле поиска внизу всплывающего окна и нажмите «Ввод». Введите gpedit.msc, нажмите Enter.
Перейти к Local Computer Policy -> User Configuration -> Administrative Templates -> (двойной щелчок) system -> (посмотрите на панель справа и дважды щелкните) run only specified windows applications. Щелкните переключатель рядом с Отключено.