由于在顶层错误应用了 GPO,我目前无法访问域控制器,无法使用域管理员组成员的帐户登录域计算机。域中没有其他 DC。我尝试使用 RSAT 在其中一个工作站上删除 GPO,但它也被此 GPO 禁用。我该如何删除此 GPO 并重新获得对域的控制权?我可以通过 DSRM 访问 DC,但我不知道如何使用它,因为 AD 和组策略在启动到 DSRM 时似乎被禁用。不幸的是,我们没有可以还原的 AD 最新备份,因为我们最近才迁移到新的 DC。
非常感谢大家提出任何想法,因为我现在正在工作,直到解决这个问题为止。谢谢大家。
答案1
经过几个小时,我终于能够重新访问 DC。最终对我有用的是以下内容。请记住,我可以访问 DC 上的 DSRM 登录和基本域网络 PowerShell 命令。
- 使用域工作站上的 PowerShell 识别 GPO GUID。
- (Import-Module GroupPolicy、Get-Gpo -all,注意 GPO 的 GUID)
- 使用本地管理员帐户启动到 DSRM。
- 在 SYSVOL 文件夹中通过 GUID 找到 GPO。
- (C:\Windows\SYSVOL\domain\Policies{您的 GUID 在此处}
- 导航到 GPO 文件夹结构中的 GptTmpl.inf 文件。
- (..\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf)
- 根据需要更改策略。对我来说,这是从“SeDenyInteractiveLogonRight”中删除某些用户,尽管出于安全考虑,我还将他们添加到了相关的“允许”权限中。保存此文件。
- 返回根策略 GUID 文件夹并找到 GPT.ini 文件。
- 在此处编辑(增加)版本号。最简单的方法是在版本号末尾添加 0,或者至少添加 10。组策略将检查此数字以确定是否应重新处理该策略。
- 重新启动 DC,假设您能够登录,禁用/编辑/删除 GPO,并从命令提示符执行 gpupdate /force,以确保更改快速传播。
GPO 的一些残留影响必须通过反 GPO 来消除。例如,WID 失去了以服务身份登录的能力,因为该权限在问题 GPO 中已定义但为空白。当我发现这些影响时,我编写了一次性 GPO 来纠正它们,并将它们推送到域中。
希望这对某些人有帮助,并感谢所有的建议。
答案2
我不知道这是否适合您,但我认为值得将其作为“可能的答案”发布。
前段时间,我在网上浏览时偶然发现了http://www.noboix.org/seb/win2003_adminpass.html根据该文章,在“目录服务恢复模式”下登录时,您可以设置一个“服务”来运行命令。然后重新启动回到正常模式后,该服务将运行并以“系统”用户身份执行您的命令。
我不知道这种技术是否仍然适用于更新版本的 Windows,也不知道它是否适用于您需要的命令(看起来比简单的密码重置更复杂),但它可能值得一试。
答案3
另一个用户在 serverfault 上有类似的帖子: 如何在没有域(控制器)访问权限的情况下删除组策略?
提问者从未选出获胜的答案,但建议的方法包括(不分先后顺序):
- 从 SYSVOL 文件夹中删除有问题的 GPO(
\\example.com\SYSVOL\Policies
或C:\Windows\SYSVOL\sysvol\example.com\Policies
)按修改日期排序并删除新的。 - 使用 PowerShell 的 Active Directory 模块 Remove-ADGroupMember 将您的帐户从被禁止的组中删除(假设 GPO 适用于域管理员以外的组)
- 手动编辑组策略的 .inf,然后从域控制器中删除注册表设置https://serverfault.com/a/795162/337307
祝你好运,我希望这些方法之一能对你有用!
答案4
在 DC 上启动到恢复模式(又称 DSRM)。此登录应使用名为“管理员”的帐户和添加 DC 角色时提供的恢复模式密码进行。运行以下命令:
dsquery * -filter (objectClass=groupPolicyContainer) -attr displayName distinguishedName
查看有问题的 GPO 列表。将以下命令中的 distinguishedName 替换为有问题的 GPO 中的 distinguishedName。此命令中的“RM”代表“删除”,而不是“恢复模式”
dsrm "CN={11111111-AAAA-2222-BBBB-333333333333},CN=Policies,CN=System,DC=acme,DC=com" /subtree
gpupdate /force
将 DC 重新启动到正常模式。重新启动其他服务器/工作站。希望您能登录。