Um GPO foi criado e vinculado ao nível superior, que nega o login aos administradores do domínio. Nenhuma outra conta é capaz de fazer login nos controladores de domínio.
Existe uma maneira de alterar essa política ou de alguma forma recuperar?
Agora mesmo estou diante de um grande domínio que é basicamente impossível de gerenciar, pois não tenho como fazer login em DCs. Os DCs são Windows 2008r2 e os clientes são Windows 7 . Ainda posso efetuar login nas máquinas clientes. Eu tenho fantoche nos CDs e acesso ao mestre de marionetes.
Talvez você possa usar o GPMC (Console de Gerenciamento de Diretiva de Grupo) aberto com os direitos de administrador do domínio.
Ou com o powershell, você pode usar esses comandos sempre com um console aberto com direitos de administrador de domínio:
Espero que seu GPO tenha bloqueado as sessões interativas e possa usar essas duas soluções.
boa sorte
Você não precisa efetuar login em um controlador de domínio para gerenciar a política de grupo. Você pode instalar as Ferramentas de Administração de Servidor Remoto em um PC com Windows 7. Essas são as mesmas ferramentas instaladas em um servidor Windows quando você ativa um recurso.
Certifique-se de ler as instruções de instalação, pois basta clicar duas vezes no arquivo para instalar as ferramentas.
Você precisa desativar o problema do GPO. Você pode fazer isso com um cliente LDAP. Isso pode ser feito mesmo se você não puder fazer login como administrador de domínio em um computador de domínio:
Execute o cliente LDAP (sugiro o ADSI Edit). Conecte-se ao seu controlador de domínio e ligue como administrador de domínio (sua política não pode bloquear uma ligação LDAP). Você pode executar ADSI Edit como qualquer usuário, mesmo de um computador fora do domínio, mas quando você seleciona as configurações de conexão no diálogo sob o botão "Avançado ..." você deve fornecer credenciais de administrador de domínio . [Leia mais sobre como usar ADSI Edit aqui.]
Encontre seu problema ID do GPO: Navegue com o CN=Policies,CN=System do LDAP na raiz do domínio e pesquise pelo atributo displayName da ID da política (não é uma tarefa fácil quando você tem muitas políticas). / p>
Depois de encontrar a política em CN=Policies,CN=System , defina seu atributo sinalizador como 3 - que significa que o GPO está desativado .
Aguarde a atualização da política de grupo (ou reinicialização).
Infelizmente, não conseguimos fazer nenhuma dessas coisas funcionar em nossa situação. Outras políticas impediram algumas delas e a ligação como credenciais de domínio também não funcionou para nós. Nossa solução foi usar o fantoche, que é executado como uma conta de serviço para executar um comando secedit e substituir o GPO mal definido. Obrigado embora para todos ajudarem.
Tags windows domain group-policy