通过 GPO 锁定 DC 和域管理员帐户

通过 GPO 锁定 DC 和域管理员帐户

由于在顶层错误应用了 GPO,我目前无法访问域控制器,无法使用域管理员组成员的帐户登录域计算机。域中没有其他 DC。我尝试使用 RSAT 在其中一个工作站上删除 GPO,但它也被此 GPO 禁用。我该如何删除此 GPO 并重新获得对域的控制权?我可以通过 DSRM 访问 DC,但我不知道如何使用它,因为 AD 和组策略在启动到 DSRM 时似乎被禁用。不幸的是,我们没有可以还原的 AD 最新备份,因为我们最近才迁移到新的 DC。

非常感谢大家提出任何想法,因为我现在正在工作,直到解决这个问题为止。谢谢大家。

答案1

经过几个小时,我终于能够重新访问 DC。最终对我有用的是以下内容。请记住,我可以访问 DC 上的 DSRM 登录和基本域网络 PowerShell 命令。


  1. 使用域工作站上的 PowerShell 识别 GPO GUID。
    • (Import-Module GroupPolicy、Get-Gpo -all,注意 GPO 的 GUID)
  2. 使用本地管理员帐户启动到 DSRM。
  3. 在 SYSVOL 文件夹中通过 GUID 找到 GPO。
    • (C:\Windows\SYSVOL\domain\Policies{您的 GUID 在此处}
  4. 导航到 GPO 文件夹结构中的 GptTmpl.inf 文件。
    • (..\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf)
  5. 根据需要更改策略。对我来说,这是从“SeDenyInteractiveLogonRight”中删除某些用户,尽管出于安全考虑,我还将他们添加到了相关的“允许”权限中。保存此文件。
  6. 返回根策略 GUID 文件夹并找到 GPT.ini 文件。
  7. 在此处编辑(增加)版本号。最简单的方法是在版本号末尾添加 0,或者至少添加 10。组策略将检查此数字以确定是否应重新处理该策略。
  8. 重新启动 DC,假设您能够登录,禁用/编辑/删除 GPO,并从命令提示符执行 gpupdate /force,以确保更改快速传播。

GPO 的一些残留影响必须通过反 GPO 来消除。例如,WID 失去了以服务身份登录的能力,因为该权限在问题 GPO 中已定义但为空白。当我发现这些影响时,我编写了一次性 GPO 来纠正它们,并将它们推送到域中。

希望这对某些人有帮助,并感谢所有的建议。

答案2

我不知道这是否适合您,但我认为值得将其作为“可能的答案”发布。

前段时间,我在网上浏览时偶然发现了http://www.noboix.org/seb/win2003_adminpass.html根据该文章,在“目录服务恢复模式”下登录时,您可以设置一个“服务”来运行命令。然后重新启动回到正常模式后,该服务将运行并以“系统”用户身份执行您的命令。

我不知道这种技术是否仍然适用于更新版本的 Windows,也不知道它是否适用于您需要的命令(看起来比简单的密码重置更复杂),但它可能值得一试。

答案3

另一个用户在 serverfault 上有类似的帖子: 如何在没有域(控制器)访问权限的情况下删除组策略?

提问者从未选出获胜的答案,但建议的方法包括(不分先后顺序):

  • 从 SYSVOL 文件夹中删除有问题的 GPO(\\example.com\SYSVOL\PoliciesC:\Windows\SYSVOL\sysvol\example.com\Policies)按修改日期排序并删除新的。
  • 使用 PowerShell 的 Active Directory 模块 Remove-ADGroupMember 将您的帐户从被禁止的组中删除(假设 GPO 适用于域管理员以外的组)
  • 手动编辑组策略的 .inf,然后从域控制器中删除注册表设置https://serverfault.com/a/795162/337307

祝你好运,我希望这些方法之一能对你有用!

答案4

在 DC 上启动到恢复模式(又称 DSRM)。此登录应使用名为“管理员”的帐户和添加 DC 角色时提供的恢复模式密码进行。运行以下命令:

dsquery * -filter (objectClass=groupPolicyContainer) -attr displayName distinguishedName

查看有问题的 GPO 列表。将以下命令中的 distinguishedName 替换为有问题的 GPO 中的 distinguishedName。此命令中的“RM”代表“删除”,而不是“恢复模式”

dsrm "CN={11111111-AAAA-2222-BBBB-333333333333},CN=Policies,CN=System,DC=acme,DC=com" /subtree
gpupdate /force

将 DC 重新启动到正常模式。重新启动其他服务器/工作站。希望您能登录。

相关内容