Bloqueado de DC e contas de administrador de domínio via GPO

Depois de muitas horas, consegui recuperar o acesso ao DC. O que acabou funcionando para mim foi o seguinte. Lembre-se de que eu tinha acesso ao login do DSRM nos comandos PowerShell da DC e do domínio básico da rede.

1. Identifique o GUID do GPO usando o PowerShell em uma estação de trabalho de domínio.
   • (Import-Module GroupPolicy, Get-Gpo -all, observe o GUID do GPO)
2. Inicialize no DSRM usando uma conta de administrador local.
3. Localize o GPO por GUID na pasta SYSVOL.
   • (C: \ Windows \ SYSVOL \ domínio \ Políticas { YOUR_GUID_HERE }
4. Navegue até o arquivo GptTmpl.inf na estrutura de pastas do GPO.
   • (.. \ Machine \ Microsoft \ Windows NT \ SecEdit \ GptTmpl.inf)
5. Faça alterações na política conforme necessário. Para mim, estava removendo certos usuários do "SeDenyInteractiveLogonRight", embora eu os tenha adicionado ao relacionado 'allow' também por uma boa medida. Salve este arquivo.
6. Volte para a pasta GUID da política raiz e localize o arquivo GPT.ini.
7. Edite (incremente) o número da versão aqui. É mais fácil adicionar um 0 ao final do número da versão ou, pelo menos, adicionar 10. A Diretiva de Grupo verificará esse número para determinar se a política deve ser reprocessada.
8. Reinicialize o controlador de domínio e, supondo que você consiga efetuar login, desative / edite / exclua o GPO e faça um gpupdate / force no prompt de comando para garantir que as alterações se propaguem rapidamente.

Houve alguns efeitos persistentes do GPO que precisaram ser limpos com os GPOs contrários. Por exemplo, o WID perdeu a capacidade de fazer logon como um serviço porque esse direito foi definido, mas está em branco no GPO problemático. Quando descobri esses efeitos, escrevi GPOs únicos para corrigi-los e movi-los pelo domínio.

Espero que isso ajude alguém e obrigado por todas as sugestões.

Não sei se isso funcionará para você, mas achei que valeria a pena postar como uma "possível resposta".

Algum tempo atrás, durante a leitura na Internet, encontrei o link . De acordo com esse artigo, enquanto estiver logado no "modo de recuperação de serviços de diretório", você pode configurar um "serviço" para executar um comando. Em seguida, após a reinicialização no modo normal, o serviço será executado e executado como o usuário "sistema".

Não sei se essa técnica ainda funcionará em versões mais modernas do Windows e não sei se funcionará para os comandos de que você precisa (que parecem mais complexos do que uma simples redefinição de senha), mas pode ser vale um tiro.

Outro usuário tem um tópico semelhante aqui no serverfault: Como removo uma política de grupo sem acesso ao domínio (controlador)?

O consulente nunca selecionou uma resposta vencedora, mas os métodos sugeridos incluem (em nenhuma ordem específica):

• Excluindo o GPO ofensivo da pasta SYSVOL ( \example.com\SYSVOL\Policies ou C:\Windows\SYSVOL\sysvol\example.com\Policies ) Classifique por data modificada e exclua a nova.
• Use o módulo do Active Directory do PowerShell para remover-ADGroupMember para obter sua conta do grupo banido (supondo que o GPO se aplique a um grupo diferente dos administradores de domínio)
• Editando manualmente o arquivo .inf da política do grupo e excluindo as configurações do registro do link do controlador de domínio

Boa sorte, espero que um desses métodos funcione para você!

Eu diria que você está realmente ferrado aqui. Meu maior estrago na minha carreira de técnico foi algo similar - eu acidentalmente desabilitei todas as contas no domínio, incluindo todas as contas de administrador (incluindo o meu). Felizmente, como um domínio filho, consegui que alguém com uma conta de administrador da empresa ativasse minha conta, após o que consegui reverter o que fiz.

Se você não tiver essa opção, precisará usar o DSRM para restaurar sua conta de administrador. Você mencionou que migrou de outro controlador de domínio - se esse for o caso, e o controlador de domínio ainda estiver no domínio e ainda for um controlador de domínio, certifique-se de compreender a diferença entre restaurações autoritativas e não autoritativas.

Restaurar sua própria conta de administrador (ou qualquer outra conta de administrador em qualquer backup a que você tenha acesso) permitirá que você desfaça o que quer que tenha sido feito.

Inicialize no modo Restore aka DSRM no DC. Esse login deve ser feito com a conta "Administrador" e a senha do modo de restauração que você forneceu quando a função DC foi adicionada. Execute o seguinte comando:

dsquery * -filter (objectClass=groupPolicyContainer) -attr displayName distinguishedName

Revise a lista do GPO ofensivo. Substitua o distinguishedName no comando abaixo pelo distinguishedName do GPO ofensivo. O "RM" neste comando é para "Remover" e não "Modo de Restauração"

dsrm "CN={11111111-AAAA-2222-BBBB-333333333333},CN=Policies,CN=System,DC=acme,DC=com" /subtree
gpupdate /force

Reinicie o DC no modo normal. Reinicialize outros servidores / estações de trabalho. Espero que você possa fazer o login.