У меня есть контроллер домена (WS2012-R2) и набор серверов (WS2012-R2), которые являются членами домена. Я случайно добавил группу, в которую входят все администраторы, в групповую политику «Запретить локальный вход в систему», «Запретить вход в качестве службы», «Запретить удаленный доступ» и «Запретить доступ к сети». Это привело к тому, что я и все другие администраторы (даже встроенная учетная запись) были заблокированы из контроллера домена.
Есть ли способ восстановить доступ к серверу, удалив GPO или удалив учетную запись администратора из группы, которой было отказано?
На ум приходят две мысли.
Вы могли бы, возможно, использовать загрузочный компакт-диск для доступа к контроллеру домена, когда он находится в автономном режиме, и вручную отредактировать или удалить проблемный объект групповой политики - объекты групповой политики домена существуют под SYSVOL папка в файловой системе на контроллерах домена и применяются в качестве параметров реестра, оба из которых доступны с загрузочного компакт-диска - однако это либо будет отменено репликацией, либо вызовет ошибки репликации домена, как только контроллер домена, на котором вы это сделали подключен к другому контроллеру (ам) домена в домене. (Здесь я предполагаю, что у вас в домене более одного контроллера домена, как и следовало бы ... если бы у вас был только один, это было бы неплохо).
Другой подход, который приходит на ум, - ввести Режим восстановления служб каталогов и выполнить принудительное восстановление из резервной копии, предшествующей этому объекту групповой политики. (И это тоже основано на предположении, что вы делаете то, что должны делать, и у вас есть резервные копии для восстановления.)
На самом деле я этого не пробовал. (Извините.) Я также предполагаю, что RSAT не будет работать из-за "запретить удаленный / сетевой доступ". (Если вы не пробовали это сделать, попробовать стоит, но я не оптимистичен.)
Возможно, вы могли бы создать новую учетную запись администратора с помощью загрузочного компакт-диска Hiren и использовать эту учетную запись для редактирования политики.
Где применяется групповая политика? Только для DC или для всего домена?
Если он применяется только к контроллерам домена, вы все равно можете войти на другой рядовой компьютер, используя учетную запись администратора домена; затем вы можете включить консоль управления групповой политикой и / или все другие инструменты администрирования AD, если вы используете серверную ОС, или установить RSAT и сделайте то же самое, если это рабочая станция; с помощью этих инструментов вы сможете редактировать нарушающий GPO или, по крайней мере, пользователей и группы (консоль ADUC использует запросы LDAP, поэтому на нее не распространяются ограничения входа в систему).
Если вместо этого политика применяется ко всему домену и вы не можете войти в систему везде используя учетную запись администратора домена, то возможным обходным путем может быть использование Модуль PowerShell Active Directory: почти все командлеты имеют -credential параметр, который позволяет указать учетные данные, которые будут использоваться для выполнения команды, даже если PowerShell на самом деле работает под другой учетной записью пользователя; Это включает Удалить-ADGroupMember. Таким образом, возможное решение:
Import-Module ActiveDirectory$admincreds = Get-Credential (появляется окно, в котором необходимо ввести учетные данные для учетной записи администратора домена)Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincredsЕсли это сработает, <UserName> будет удален из <GroupName>, и, таким образом, нарушающая политика больше не будет блокировать его.
Загрузите контроллер домена в режиме восстановления активного каталога с учетной записью, которую вы установили при создании домена. (Это просто учетная запись локального администратора на контроллере домена с именем Administrator, а пароль был установлен в dcpromo.)
Оттуда удалите все разрешения NTFS на вашем SYSVOL том в папке ID GPO. (Проверьте последнюю измененную папку, чтобы найти последний измененный объект групповой политики).
В этом режиме база данных Active Directory не загружается, но у вас есть доступ к файловой системе.
Если ничего не работает, в этом режиме вы можете попробовать gpofix команда, но имейте в виду, что она удалит ВСЕ объекты групповой политики.
При первоначальном создании домена была создана учетная запись «бога». Узнайте, что это было, его пароль, и вы сможете войти в DC, на котором размещен глобальный каталог. Оттуда вы сможете отменить то, что сделали, и дать ему время на распространение.
Если это не удастся, вы можете использовать некоторые хакерские приемы, но мне было бы неуместно рассказывать об этом здесь. Свяжитесь с местным экспертом по безопасности, поскольку он обычно разбирается в хакерских методах и может помочь вам восстановить домен.
Конечно, если это всего несколько серверов, и это не критично, вы можете просто стереть данные и начать все сначала.
Сначала выключите все контроллеры домена. Это позволит избежать необычных проблем с репликацией.
Первый шаг - удалить неверный параметр групповой политики. Назначения привилегий хранятся в GptTmpl.inf файл в MACHINE\Microsoft\Windows NT\SecEdit в каждой папке политики. Вы узнаете, что у вас правильная политика, когда это .inf файл содержит строку для SeDenyNetworkLogonRight, SeDenyInteractiveLogonRightи так далее. Удалить все SeDeny...Right строки из него.
Windows не применит новые настройки, если не увидит, что объект групповой политики изменился, что она определяет, консультируясь с versionNumber атрибут объекта Active Directory. Не будем пытаться редактировать AD офлайн. Вместо этого мы вручную удалим неверные настройки из реестра.
Смонтируйте контроллер домена \Windows\System32\config\SECURITY hive в реестр другой системы Windows с помощью reg load. Откройте редактор реестра и перейдите к Policy\Accounts под навесной улей. (Возможно, вам потребуется запустить regedit как СИСТЕМА, чтобы это работало. PsExec может это сделать.) Каждый подраздел соответствует пользователю или группе, а ActSysAc подключ каждого из них имеет «права». («Привилегии» все в Privilgs подключ.) Найдите тот, у которого есть ActSysAc значение C0 03 00 00, который соответствует к четырем правам, в которых вы отказали. Удалить ActSysAc или измените его значение на 00 00 00 00. Закройте редактор реестра и размонтируйте куст с помощью reg unload.
Загрузите измененный контроллер домена. Теперь вы можете войти в систему. Используйте консоль управления групповой политикой, чтобы вносить любые изменения (независимо от того, насколько они тривиальны) в соответствующие локальные политики GPO. Это увеличит номер версии GPO.
Загрузите другие контроллеры домена и дайте возможность репликации изменений.
Вы можете попробовать открыть в explorer \\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ polices (у вас все еще есть доступ)
Там вы найдете все полиции. Переместите весь этот каталог в какое-то временное место и попробуйте перезагрузить компьютер. Это поможет.