Домен Windows 2K8R2.
Я создал объект групповой политики, чтобы ограничить доступ пользователей домена к определенным серверным компонентам на узле RDS. Теперь я не могу получить доступ к функциям, которые ограничил. Я являюсь участником как пользователей домена, так и учетных записей администраторов домена.
Как я могу изменить объект GPO, если я не могу получить доступ к mmc?
Спасибо.
Если вы не можете запустить MMC из-за ограничений (вы применили этот GPO ко всему домену или что-то в этом роде ?!), вы можете использовать Модуль групповой политики PowerShell.
Войдите в систему как администратор домена и запустите PowerShell на компьютере с установленными средствами командной строки AD из RSAT. Бегать:
Import-Module GroupPolicy
Remove-GPLink -Name "GPO That Breaks Everything" -Target "ou=OU Where It Is Linked,dc=contoso,dc=com"
Это удалит ссылку на объект групповой политики без разрушения всего объекта групповой политики.
Если вы хотите просто удалить весь объект групповой политики вместе, вы можете запустить:
Import-Module GroupPolicy
Remove-GPO -Name "GPO That Breaks Everything"
Я решил эту проблему, изменив разрешения для группы администраторов в соответствующем объекте групповой политики на «Запретить» в разделе «Применить групповую политику».
Если вы также являетесь членом пользователей домена и запретили доступ к mmc для пользователей домена, вы не сможете его использовать. Так работают разрешения - запретить разрешение сильнее, чем разрешить. Если вы запрещаете доступ какой-либо группе, каждый пользователь, который также находится в этой группе, отказывает в доступе, даже если у него есть разрешения от других групп.
Самым простым решением было бы войти в систему как пользователь не в группе «Пользователи домена» и с правами администратора (например, локальный администратор на контроллере домена) и отменить изменения в gpo.
Другие решения будут основаны на том, что именно вы отрицали ...