Como removo uma política de grupo sem acesso ao domínio (controlador)?

Question

Como removo uma política de grupo sem acesso ao domínio (controlador)?

#1 resposta do (6 votos)
#2 resposta do (4 votos)
#3 resposta do (3 votos)
#4 resposta do (3 votos)
#5 resposta do (2 votos)
#6 resposta do (1 votos)
#7 resposta do (0 votos)

8

Eu tenho um controlador de domínio (WS2012-R2) e um conjunto de servidores (WS2012-R2) que são membros do domínio. Eu adicionei acidentalmente um grupo no qual todos os administradores são membros da Diretiva de Grupo "Negar acesso de logon localmente", "Negar logon como serviço", "Negar acesso remoto" e "Negar acesso à rede". Isso resultou em mim e todos os outros administradores (até mesmo a conta interna) sendo bloqueados do controlador de domínio.

Existe uma maneira de recuperar o acesso ao servidor removendo o GPO ou removendo uma conta de administrador do grupo que foi negado?

active-directory windows-server-2012-r2 group-policy

por shagrinar 03.08.2016 / 20:37

7 respostas

Tags active-directory windows-server-2012-r2 group-policy

Baixo desempenho tanto do iSCSI quanto do AoE Rituais matutinos [fechados]

score 6 · Answer 1

Dois pensamentos vêm à mente.

Você poderia, possivelmente, usar um CD de inicialização para acessar o controlador de domínio enquanto estiver offline e manualmente editar ou excluir o GPO ofensivo - os GPOs de um domínio existem no SYSVOL pasta no sistema de arquivos em controladores de domínio, e são aplicadas como configurações de registro, ambas acessíveis a partir de um CD de inicialização - no entanto, isso seria desfeito replicação ou causaria erros de replicação de domínio assim que o controlador de domínio que você fez isso estiver conectado a outro (s) controlador (es) de domínio no domínio. (Eu estou supondo aqui que você tem mais de um controlador de domínio em seu domínio, como você deve ... se você tiver apenas um, isso não seria uma má abordagem).

A outra abordagem que vem à mente é inserir Modo de restauração dos serviços de diretório e executar uma restauração autoritativa a partir de um backup anterior a esse GPO. (E isso também depende da suposição de que você está fazendo o que deveria fazer e de ter backups para restaurar).

score 4 · Answer 2

Eu realmente não tentei isso. (Desculpe.) Eu também estou assumindo que o RSAT não funcionará porque de "negar acesso remoto / rede". (Se você ainda não tentou isso, vale a pena tentar, mas não sou otimista.)

Talvez você possa criar uma nova conta de administrador com um CD de inicialização do Hiren e usar essa conta para editar a política.

score 3 · Answer 3

Onde a política de grupo é aplicada? Apenas para DCs ou para todo o domínio?

Se for aplicado somente a DCs, você ainda poderá fazer logon em outro computador membro usando uma conta de administrador de domínio; você pode habilitar o console de gerenciamento de diretiva de grupo e / ou todas as outras ferramentas administrativas do AD se estiver em um sistema operacional de servidor ou instalar RSAT e faça o mesmo se for uma estação de trabalho; Com essas ferramentas, você poderá editar o GPO ofensivo, ou pelo menos usuários e grupos (o console do ADUC usa consultas LDAP, portanto, não está sujeito a restrições de logon).

Se, em vez disso, a política for aplicada a todo o domínio e você não puder fazer login em qualquer lugar usando uma conta de administrador de domínio, uma possível solução alternativa poderá estar usando o Módulo do PowerShell Active Directory : quase todos os cmdlets têm um parâmetro -credential , que permite especificar as credenciais a serem usadas para executar o comando, mesmo quando o PowerShell está sendo executado em uma conta de usuário diferente ; isso inclui Remove-ADGroupMember . Assim, uma possível solução seria:

Faça login em qualquer computador membro usando qualquer conta de usuário disponível.
Verifique se as ferramentas administrativas do AD estão instaladas no sistema (ative-as em um servidor ou instale o RSAT em uma estação de trabalho).
Inicie o PowerShell.
Import-Module ActiveDirectory
$admincreds = Get-Credential (aparece uma janela onde você precisa inserir credenciais para uma conta de administrador de domínio)
Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

Se isso funcionar, <UserName> será removido de <GroupName> e, portanto, a política incorreta não será mais bloqueada.

score 3 · Answer 4

Inicialize seu controlador de domínio no modo de restauração de diretório ativo, com a conta que você configurou quando criou seu domínio. (É simplesmente uma conta de administrador local no DC, chamada Administrator , e a senha foi configurada em dcpromo.)

De lá, remova todas as permissões NTFS no seu volume SYSVOL , na pasta de ID do GPO. (Verifique a última pasta modificada para encontrar o último GPO modificado).

Nesse modo, o banco de dados do Active Directory não está carregado, mas você tem acesso ao sistema de arquivos.

Se nada funcionar, nesse modo você pode tentar um comando gpofix , mas esteja ciente de que removerá TODOS os GPOs.

score 2 · Answer 5

Quando o domínio foi originalmente criado, havia uma conta "deus" criada. Descubra o que foi, sua senha e você poderá fazer o login no DC que hospeda o catálogo global. De lá você deve ser capaz de desfazer o que você fez e dar tempo para se propagar.

Se isso falhar, existem algumas técnicas de hackers que você pode usar, mas não seria apropriado que eu transmitisse isso aqui. Entre em contato com um especialista em segurança local, pois ele geralmente aprende técnicas de hackers e pode ajudá-lo a recuperar o domínio.

É claro que, se isso é apenas alguns servidores, e isso não é crítico, você pode simplesmente limpar e começar de novo.

score 1 · Answer 6

Primeiro, desligue todos os controladores de domínio. Isso evitará problemas de replicação bizarros.

O primeiro passo é remover a configuração de diretiva de grupo incorreta. As atribuições de privilégios são armazenadas no arquivo GptTmpl.inf em MACHINE\Microsoft\Windows NT\SecEdit em cada pasta de políticas. Você saberá que tem a política certa quando o arquivo .inf contiver uma linha para SeDenyNetworkLogonRight , SeDenyInteractiveLogonRight , et cetera. Exclua todas as linhas SeDeny...Right dele.

O Windows não aplicará as novas configurações, a menos que veja que o GPO foi alterado, o que determina consultando o atributo versionNumber em um objeto do Active Directory. Não vamos tentar editar o AD offline. Em vez disso, removeremos as configurações incorretas do Registro manualmente.

Monte o \Windows\System32\config\SECURITY hive do controlador de domínio em outro Registro do sistema Windows com reg load . Abra o Editor do Registro e navegue até Policy\Accounts sob a seção montada. (Talvez seja necessário executar regedit como SYSTEM para que isso funcione. PsExec pode fazer isso.) Cada subchave de que corresponde a um usuário ou grupo, e a subchave ActSysAc de cada um deles contém os "direitos". (Os "privilégios" estão todos na subchave Privilgs .) Localize aquele com um valor ActSysAc de C0 03 00 00 , que corresponde aos quatro direitos que você negou. Exclua ActSysAc ou altere seu valor para 00 00 00 00 . Feche o Editor do Registro e desmonte a seção com reg unload .

Inicialize o controlador de domínio que você modificou. Você deve conseguir fazer login agora. Use o Console de Gerenciamento de Diretiva de Grupo para editar (não importa quão trivial) as diretivas locais do GPO em questão. Isso incrementará o número da versão do GPO.

Inicialize os outros controladores de domínio e permita que as alterações sejam replicadas.

score 0 · Answer 7

Você pode tentar abrir no explorer \\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ polices (você ainda tem acesso)

Lá você encontrará todas as políticas. Mova todo este diretório para algum destino temporário e tente reinicializar o PC. Isso ajudará.