Назад | Перейти на главную страницу

Отключить GPO запрещает вход администраторам домена

Был создан объект групповой политики, связанный с верхним уровнем, который запрещает вход администраторам домена. Никакие другие учетные записи не могут войти в контроллеры домена.

Есть ли способ изменить эту политику или как-то восстановить?

Прямо сейчас я сталкиваюсь с большим доменом, который практически неуправляем, поскольку у меня нет возможности войти в DC. DC являются Windows 2008r2 и клиенты Windows 7. Я все еще могу войти на клиентские машины. У меня есть марионетка на контроллерах домена и доступ к мастеру марионеток.

Вам необходимо отключить проблемный GPO. Вы можете сделать это с помощью клиента LDAP. Это можно сделать, даже если вы не можете войти в систему как администратор домена на компьютере домена:

  1. Запустите клиент LDAP (я предлагаю ADSI Edit). Подключитесь к своему DC и выполните привязку как администратор домена (ваша политика не может блокировать привязку LDAP). Вы можете запустить Редактировать ADSI как любой пользователь, даже с компьютера за пределами домена, но при выборе параметров подключения в диалоговом окне под кнопкой «Дополнительно ...» необходимо предоставить учетные данные администратора домена. [Подробнее об использовании Редактировать ADSI Вот.]

  2. Найдите свой проблемный идентификатор GPO: просмотр с помощью LDAP CN=Policies,CN=System в корне домена и найдите идентификатор политики по отображаемое имя атрибут (непростая задача, когда у вас много политик).

  3. Как только вы найдете политику в CN=Policies,CN=System установить его флаг приписывать 3 - что означает отключение GPO.

  4. Подождите, пока групповая политика обновится (или перезагрузится).

Вам не нужно входить в систему на контроллере домена для управления групповой политикой. Вы можете установить Инструменты удаленного администрирования сервера на ПК с Windows 7. Это те же самые инструменты, которые устанавливаются на сервере Windows при включении функции.

https://www.microsoft.com/en-us/download/details.aspx?id=7887

Обязательно ознакомьтесь с инструкциями по установке, потому что простой двойной щелчок по файлу не приведет к установке инструментов.

Возможно, вы можете использовать GPMC (консоль управления групповой политикой), открытую с правами администратора домена.

Или с помощью powershell вы можете использовать эти команды всегда с консолью, открытой с правами администратора домена:

Надеюсь, ваш объект групповой политики заблокировал интерактивные сеансы и может использовать эти два решения.

удачи

К сожалению, мы не смогли заставить все это работать в нашей ситуации. Другие политики предотвратили некоторые из них, и привязка учетных данных домена для нас тоже не работала. Наше решение заключалось в использовании марионетки, которая запускается как учетная запись службы для выполнения команды secedit и переопределения плохо настроенного объекта групповой политики. Хотя спасибо за всякую помощь.