如何在没有域（控制器）访问权限的情况下删除组策略？

我想到两个想法。

可以想象，您可以使用启动 CD 在域控制器处于脱机状态时访问它，并手动编辑或删除有问题的 GPO - 域的 GPO 存在于SYSVOL文件夹在域控制器上的文件系统中，并应用为注册表设置，这两者都可以从启动 CD 访问 - 但是，这要么会被复制撤消，要么会在您执行此操作的域控制器连接到域中的其他域控制器时导致域复制错误。 （我在这里假设您的域中确实有多个域控制器，正如您应该的那样...如果您只有一个，这不是一个坏方法）。

我想到的另一种方法是输入目录服务还原模式并从早于此 GPO 的备份执行权威性还原。（这也依赖于以下假设：您正在按应有的方式操作，并且有备份可供还原。）

我还没有真正尝试过。（抱歉。）我还假设远程医疗由于“拒绝远程/网络访问”而无法工作。（如果你还没有尝试过，值得一试，但我并不乐观。）

也许您可以使用 Hiren 的启动 CD 创建一个新的管理员帐户，并使用该帐户来编辑策略。

组策略应用到哪里？只应用到 DC 还是整个域？

如果它仅适用于 DC，那么您仍然可以使用域管理员帐户登录到另一台成员计算机；然后，如果您在服务器操作系统上，则可以启用组策略管理控制台和/或所有其他 AD 管理工具，或者安装远程医疗如果它是工作站，则执行相同的操作；使用这些工具，您将能够编辑有问题的 GPO，或者至少是用户和组（ADUC 控制台使用 LDAP 查询，因此不受登录限制）。

如果该策略应用于整个域，而您实际上无法登录任何地方使用域管理员帐户，那么可能的解决方法是使用PowerShell Active Directory 模块：几乎所有 cmdlet 都有一个-credential参数，可让您指定用于运行命令的凭据，即使 PowerShell 实际上是在不同的用户帐户下运行; 这包括删除-ADGroupMember。因此，一个可能的解决方案是：

• 使用任何可用的用户帐户登录到任何成员计算机。
• 确保系统上安装了 AD 管理工具（在服务器上启用它们或在工作站上安装 RSAT）。
• 启动 PowerShell。
• Import-Module ActiveDirectory
• $admincreds = Get-Credential（这将弹出一个窗口，您需要在其中输入域管理员帐户的凭据）
• Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

如果此举有效，<UserName>将被从中删除<GroupName>，因此违规政策将不再将其锁定。

最初创建域时，会创建一个“上帝”帐户。找出那个帐户是什么，它的密码，然后您应该能够登录到托管全局目录的 DC。从那里您应该能够撤消您所做的操作并给它时间进行传播。

如果失败，您可以使用一些黑客技术，但我不宜在此转述。请联系当地的安全专家，因为他们通常了解黑客技术，并可以帮助您重新获得域名。

当然，如果这只是几台服务器，而且不是很重要，您不妨擦除并重新开始。