我正在实施一些限制,以便用户只能在 Windows 2012 服务器中访问某些应用程序。我最终限制了对服务器上任何应用程序的任何访问。我被指定为该框的管理员,但我无法恢复更改。当我尝试打开框内的任何应用程序时,我收到错误“由于此计算机上的限制,此操作已被取消。请联系您的系统管理员”。
我该怎么办呢?
答案1
很简单。将测试机器恢复到起始状态,然后再次尝试使用 GPO,但每次只进行少量经过充分研究的更改。
哦,您正在生产网络上进行实验?第一课,始终在生产网络上进行实验和测试。虚拟机是您的朋友。
几乎一样简单。从系统状态备份中恢复。
哦,你没有备份。下一课,一定要备份。
现在您需要撤销更改。实施您的回滚计划。
哦,你没有。第三课,在测试更改时,规划、开发和测试回滚计划。
现在您处于恢复模式,并希望没有人注意到。感觉不太好,是吧?
您需要保留添加的组策略作为参考。禁用此组策略。
登录到另一台机器并建立一个组策略,明确允许您拒绝的所有内容。
如果有任何策略没有明确允许,则新的组策略至少应该将其设置为“未定义”。
应用此组策略。
任何没有明确“允许”的政策都需要手动撤销。
这种实验应该在未连接到主网络的网络上测试机器上进行。在开发和测试时,也要规划和测试回滚计划。测试完要应用的 GPO 后,不要忘记在应用新策略之前备份生产服务器的系统状态。并尝试分阶段推出,因为此类策略通常会产生意想不到的后果,并且每个服务器都不同。系统状态备份将为您省心,测试和分阶段推出也是如此。
正如您所了解的,GPO 非常强大,而且有时很难逆转。
答案2
我能够从具有管理员访问权限的笔记本电脑远程进入服务器,然后再次进入并进行更改以恢复原始更改。