Preciso restaurar a Política de Controladores de Domínio Padrão do AD para o padrão, mas não consigo efetuar login

Navegue suas respostas
1

Ok, longa história.

Eu só tenho dois controladores de domínio, eu sei, má escolha, mas foi exatamente isso que eu fiz.

A Microsoft acaba de lançar o RD Web Client, então eu queria instalá-lo. Eu criei uma nova VM e juntei-a ao meu domínio. Depois que instalei o cliente da Web da área de trabalho remota, funcionou, exceto que não consegui usar o agente de conexão porque seu serviço estava iniciando e parando. Eu achei que tinha algo a ver com as políticas em configuração do computador > Configurações do Windows > Opções de segurança local > Atribuição de direitos de usuário.

Eu entrei nessa seção e encontrei a política que o site listou para mudar que era sobre Gerar Auditorias de Segurança e uma sobre como Fazer Logon como um Serviço para permitir Serviço Local e Serviço de Rede. Isso não resolveu para mim.

Aqui é onde eu enlouqueci, por favor, não se importe comigo, eu me arrependo de tudo que eu fiz.

Pensei que talvez devesse tentar outras pessoas nessa lista de políticas, por isso tentei criar uma Objecto de Token.

Ele congelou, demorou um pouco, e depois disse que não poderia mudar de política. Mas mesmo assim, ainda mostrava as mudanças que eu fiz. Então, eu preci para mudá-los de volta. Mais uma vez, deu o erro, mas ainda mudou. Então notei que ocorreu um erro dizendo que o controlador de domínio não pôde ser contatado. O outro também não. A gestão de GPO foi encerrada.

Na minha lista VMWare, notei que meu controlador de domínio primário tinha desligado. Eu olhei para ele, e ele inicializou de volta, e então ele disse Aplicando Política de Segurança e Diretiva de Controladores de Domínio Padrão, e então disse Por favor espere por Gerente de Sessão Local, então desligue novamente.

Agora está em um loop de inicialização.

Encontrei algo aqui " link ", mas não consigo fazer isso nas opções de Reparo de Inicialização porque ele não suporta o Windows PE.

Eu tentei o Modo de segurança, o modo de segurança com rede e o modo de segurança com o prompt de comando. Nada.

Eu tentei a última configuração válida, nada.

Eu também tentei o Directory Services Repair, mas ele não pode concluir o comando porque "não é um controlador de domínio". Se eu tentar fazer login em uma conta de domínio, em vez disso, no reparo de serviços de diretório, ele diz que o servidor de logon não pôde ser contatado.

Eu tentei tudo o que pude pensar e não posso perder meu domínio do AD.

Além disso, se você encontrar uma solução, leve em consideração que também tenho um servidor Exchange 2010 hospedado nesse DC e não posso perder isso.

Além disso, o controlador de domínio que não inicializa está executando o Windows Server 2008 R2.

Além disso, o controlador de domínio RD inicializa e faz o login, não sei o que é diferente. Mas você acha que vale a pena fazer a redefinição das políticas?

    
por CCLL1246 26.07.2018 / 01:54

4 respostas

1

Algo que você pode tentar é desligar o controlador de domínio danificado, montar o disco do controlador de domínio danificado no controlador de domínio funcional e copiar o conteúdo da pasta de diretiva que você alterou do disco DC funcional. Em seguida, recoloquei o disco no DC danificado e inicie-o.

C:\Windows\SYSVOL\sysvol\[domain]\Policies\{Guid of the policy that you changed}\

O arquivo incorreto é provavelmente o \ MACHINE \ Microsoft \ Windows NT \ SecEdit \ GptTmpl.inf

Acredito que a linha que você está procurando deve se parecer com:

SeCreateTokenPrivilege =

Se o computador estiver falhando antes de aplicar a política que você alterou, talvez não funcione.

    
por 26.07.2018 / 17:36
1

Tudo bem pessoal, eu consertei. Eu tive que inicializar no modo de recuperação (WINPE), e entrei no CMD e removi a diretiva com falha de diretiva {6AC1786C-016F-11D2-945F-00C04FB984F9} como ponto-e-vírgula, e o servidor inicializou novamente. Muito obrigado.

    
por 26.07.2018 / 21:12
0

Talvez, se tiver sorte, haja um instantâneo do VMWare que você possa restaurar. No futuro, você deve considerar fazer um instantâneo VMWare toda vez que fizer alterações significativas em um servidor. É claro que você precisa se lembrar de remover o snapshot assim que for confirmado que as alterações foram bem-sucedidas, já que os snapshots VMWare não podem ser mantidos a longo prazo, infelizmente.

Caso contrário, você poderá restaurar a partir do seu software de backup. Por favor, diga-nos que alguém está fazendo backups agendados regularmente em seu ambiente. Eu quebrei um servidor Windows uma vez na minha carreira e tive que restaurá-lo a partir do último backup. Acontece.

    
por 26.07.2018 / 03:10
0

Suponho que você tenha perdido esse detalhe no Documentação do Windows para o direito de usuário Criar um objeto de token - (que você leu antes de ajustar o GPO que não entendeu)

[Create a token object] is used internally by the operating system. Unless it is necessary, do not assign this user right to a user, group, or process other than Local System.

Honestamente, considerando seu aparente nível de experiência, você precisa obter seu cartão de crédito, ligar para a Microsoft e abrir um processo para ver se eles podem ajudá-lo a resolver isso.

Você pode editar o arquivo de diretivas do grupo DDCP manualmente se usar algo como uma distro ativa para inicializar e acessar a unidade. Eu nunca tentei nada parecido em um controlador de domínio antes, então YMMV.

Ou, em vez de editar o arquivo manualmente, você pode obter uma cópia anterior do GPO do backup e usar uma distribuição Linux Live CD para substituir o atual DDCP gpo pelo antigo arquivo DDCP - talvez queira fazer isso em ambos controladores de domínio, embora.

Caso contrário, você pode ter que morder o marcador para restaurar o DC de um backup.

    
por 26.07.2018 / 17:16

Tags

Desempenho insatisfatório do website [duplicado] usando sed para remover caracteres no final da string numérica