通过 GPO 锁定 DC 和域管理员帐户

Question 1

经过几个小时，我终于能够重新访问 DC。最终对我有用的是以下内容。请记住，我可以访问 DC 上的 DSRM 登录和基本域网络 PowerShell 命令。

使用域工作站上的 PowerShell 识别 GPO GUID。
- （Import-Module GroupPolicy、Get-Gpo -all，注意 GPO 的 GUID）
使用本地管理员帐户启动到 DSRM。
在 SYSVOL 文件夹中通过 GUID 找到 GPO。
- （C:\Windows\SYSVOL\domain\Policies{您的 GUID 在此处}
导航到 GPO 文件夹结构中的 GptTmpl.inf 文件。
- （..\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf）
根据需要更改策略。对我来说，这是从“SeDenyInteractiveLogonRight”中删除某些用户，尽管出于安全考虑，我还将他们添加到了相关的“允许”权限中。保存此文件。
返回根策略 GUID 文件夹并找到 GPT.ini 文件。
在此处编辑（增加）版本号。最简单的方法是在版本号末尾添加 0，或者至少添加 10。组策略将检查此数字以确定是否应重新处理该策略。
重新启动 DC，假设您能够登录，禁用/编辑/删除 GPO，并从命令提示符执行 gpupdate /force，以确保更改快速传播。

GPO 的一些残留影响必须通过反 GPO 来消除。例如，WID 失去了以服务身份登录的能力，因为该权限在问题 GPO 中已定义但为空白。当我发现这些影响时，我编写了一次性 GPO 来纠正它们，并将它们推送到域中。

希望这对某些人有帮助，并感谢所有的建议。

Answer

经过几个小时，我终于能够重新访问 DC。最终对我有用的是以下内容。请记住，我可以访问 DC 上的 DSRM 登录和基本域网络 PowerShell 命令。

使用域工作站上的 PowerShell 识别 GPO GUID。
- （Import-Module GroupPolicy、Get-Gpo -all，注意 GPO 的 GUID）
使用本地管理员帐户启动到 DSRM。
在 SYSVOL 文件夹中通过 GUID 找到 GPO。
- （C:\Windows\SYSVOL\domain\Policies{您的 GUID 在此处}
导航到 GPO 文件夹结构中的 GptTmpl.inf 文件。
- （..\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf）
根据需要更改策略。对我来说，这是从“SeDenyInteractiveLogonRight”中删除某些用户，尽管出于安全考虑，我还将他们添加到了相关的“允许”权限中。保存此文件。
返回根策略 GUID 文件夹并找到 GPT.ini 文件。
在此处编辑（增加）版本号。最简单的方法是在版本号末尾添加 0，或者至少添加 10。组策略将检查此数字以确定是否应重新处理该策略。
重新启动 DC，假设您能够登录，禁用/编辑/删除 GPO，并从命令提示符执行 gpupdate /force，以确保更改快速传播。

GPO 的一些残留影响必须通过反 GPO 来消除。例如，WID 失去了以服务身份登录的能力，因为该权限在问题 GPO 中已定义但为空白。当我发现这些影响时，我编写了一次性 GPO 来纠正它们，并将它们推送到域中。

希望这对某些人有帮助，并感谢所有的建议。

Question 2

我不知道这是否适合您，但我认为值得将其作为“可能的答案”发布。

前段时间，我在网上浏览时偶然发现了http://www.noboix.org/seb/win2003_adminpass.html根据该文章，在“目录服务恢复模式”下登录时，您可以设置一个“服务”来运行命令。然后重新启动回到正常模式后，该服务将运行并以“系统”用户身份执行您的命令。

我不知道这种技术是否仍然适用于更新版本的 Windows，也不知道它是否适用于您需要的命令（看起来比简单的密码重置更复杂），但它可能值得一试。

Answer

我不知道这是否适合您，但我认为值得将其作为“可能的答案”发布。

前段时间，我在网上浏览时偶然发现了http://www.noboix.org/seb/win2003_adminpass.html根据该文章，在“目录服务恢复模式”下登录时，您可以设置一个“服务”来运行命令。然后重新启动回到正常模式后，该服务将运行并以“系统”用户身份执行您的命令。

我不知道这种技术是否仍然适用于更新版本的 Windows，也不知道它是否适用于您需要的命令（看起来比简单的密码重置更复杂），但它可能值得一试。

Question 3

提问者从未选出获胜的答案，但建议的方法包括（不分先后顺序）：

从 SYSVOL 文件夹中删除有问题的 GPO（\\example.com\SYSVOL\Policies或C:\Windows\SYSVOL\sysvol\example.com\Policies）按修改日期排序并删除新的。
使用 PowerShell 的 Active Directory 模块 Remove-ADGroupMember 将您的帐户从被禁止的组中删除（假设 GPO 适用于域管理员以外的组）
手动编辑组策略的 .inf，然后从域控制器中删除注册表设置https://serverfault.com/a/795162/337307

祝你好运，我希望这些方法之一能对你有用！

Answer

提问者从未选出获胜的答案，但建议的方法包括（不分先后顺序）：

从 SYSVOL 文件夹中删除有问题的 GPO（\\example.com\SYSVOL\Policies或C:\Windows\SYSVOL\sysvol\example.com\Policies）按修改日期排序并删除新的。
使用 PowerShell 的 Active Directory 模块 Remove-ADGroupMember 将您的帐户从被禁止的组中删除（假设 GPO 适用于域管理员以外的组）
手动编辑组策略的 .inf，然后从域控制器中删除注册表设置https://serverfault.com/a/795162/337307

祝你好运，我希望这些方法之一能对你有用！

Question 4

在 DC 上启动到恢复模式（又称 DSRM）。此登录应使用名为“管理员”的帐户和添加 DC 角色时提供的恢复模式密码进行。运行以下命令：

dsquery * -filter (objectClass=groupPolicyContainer) -attr displayName distinguishedName

查看有问题的 GPO 列表。将以下命令中的 distinguishedName 替换为有问题的 GPO 中的 distinguishedName。此命令中的“RM”代表“删除”，而不是“恢复模式”

dsrm "CN={11111111-AAAA-2222-BBBB-333333333333},CN=Policies,CN=System,DC=acme,DC=com" /subtree
gpupdate /force

将 DC 重新启动到正常模式。重新启动其他服务器/工作站。希望您能登录。

Answer

在 DC 上启动到恢复模式（又称 DSRM）。此登录应使用名为“管理员”的帐户和添加 DC 角色时提供的恢复模式密码进行。运行以下命令：

dsquery * -filter (objectClass=groupPolicyContainer) -attr displayName distinguishedName

查看有问题的 GPO 列表。将以下命令中的 distinguishedName 替换为有问题的 GPO 中的 distinguishedName。此命令中的“RM”代表“删除”，而不是“恢复模式”

dsrm "CN={11111111-AAAA-2222-BBBB-333333333333},CN=Policies,CN=System,DC=acme,DC=com" /subtree
gpupdate /force

将 DC 重新启动到正常模式。重新启动其他服务器/工作站。希望您能登录。

相关内容