好的,说来话长。
我只有两个域控制器,我知道,这是一个糟糕的选择,但这就是我所做的。
Microsoft 刚刚发布了 RD Web 客户端,所以我想安装它。我创建了一个新的 VM 并将其加入到我的域中。安装远程桌面 Web 客户端后,它就可以正常工作,但我无法使用连接代理,因为它的服务正在启动和停止。我发现它与计算机配置 > Windows 设置 > 本地安全选项 > 用户权限分配中的策略有关。
我进入该部分,发现网站列出的要更改的政策是关于生成安全审核的,以及关于以服务身份登录以允许本地服务和网络服务的政策。但这并没有为我解决问题。
我就是在这里发疯的,请不要介意我,我对我所做的一切感到后悔。
我想,也许我应该尝试该策略列表中的其他策略,因此我尝试了有关创建令牌对象的策略。
它冻结了,过了一会儿,然后说无法更改策略。但即便如此,它仍然显示了我所做的更改。所以我继续将它们改回来。再一次,它给出了错误,但仍然改变了。然后我注意到它给出了一个错误,说无法联系域控制器。另一个也不能。然后 GPO 管理关闭了。
在我的 VMWare 列表中,我注意到我的主域控制器已关闭。我查看了它,它重新启动了,然后它显示正在应用安全策略和默认域控制器策略,然后它显示请等待本地会话管理器,然后再次关闭。
现在它处于启动循环中。
我在这里发现了一些东西”http://www.sysadminlab.net/windows/restore-default-domain-policy-and-default-domain-controller-gpo-settings-to-default“,但我无法在启动修复选项上执行此操作,因为它不支持 Windows PE。
我尝试了安全模式、带网络连接的安全模式和带命令提示符的安全模式。没有任何效果。
我尝试了“最后一次的正确配置”,但是没有用。
我也尝试了目录服务修复,但它无法完成命令,因为“它不是域控制器”。如果我尝试在目录服务修复中登录域帐户,它会说无法联系登录服务器。
我已经尝试了所有能想到的方法,但我不能失去我的 AD 域。
此外,如果您想出了解决方案,请考虑到我在该 DC 上也托管了一个 Exchange 2010 服务器,我也不能丢失它。
此外,无法启动的域控制器正在运行 Windows Server 2008 R2。
此外,RD 域控制器确实可以启动并登录,我不确定有什么不同。但您认为重置策略是否值得?
答案1
您可以尝试关闭损坏的域控制器,将损坏的域控制器磁盘安装到功能正常的域控制器上,并从功能正常的 DC 磁盘复制您更改的策略文件夹的内容。然后将磁盘重新连接到损坏的 DC 并启动它。
C:\Windows\SYSVOL\sysvol\[domain]\Policies\{Guid of the policy that you changed}\
有问题的文件可能是 \MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf
我相信你要找的那条线应该是这样的:
SeCreateTokenPrivilege =
如果计算机在应用您更改的策略之前崩溃,它可能无法正常工作。
答案2
好吧,伙计们,我修好了。我必须启动到恢复模式 (WINPE),然后进入 CMD,删除策略错误策略 {6AC1786C-016F-11D2-945F-00C04FB984F9}(如 Semicolon 所述),然后服务器重新启动。非常感谢。
答案3
我猜你错过了这个小贴士有关创建令牌对象用户权限的 Windows 文档-(您在调整 GPO 之前读过但您不理解)
[创建令牌对象] 由操作系统内部使用。除非必要,否则不要将此用户权限分配给本地系统以外的用户、组或进程。
老实说,鉴于您明显的经验水平,您需要拿出您的信用卡,致电微软并开设一个案例,看看他们是否可以帮助您解决这个问题。
你可能如果您使用类似 Live 发行版的东西来启动并访问驱动器,则可以手动编辑 DDCP 组策略文件。我已经绝不之前在域控制器上尝试过类似的事情,所以 YMMV。
或者,您也可以从备份中获取 GPO 的先前副本,然后使用 Live CD Linux 发行版将当前 DDCP gpo 替换为较旧的 DDCP gpo 文件 - 可能需要在两个都但是,域控制器。
如果失败了,您可能不得不咬紧牙关从备份中恢复 DC。
答案4
也许如果你幸运的话,你可以从 VMWare 快照中恢复。将来,你应该考虑每次在服务器上进行任何重大更改时都拍摄 VMWare 快照。当然,你需要记住在确认更改成功后删除快照,因为不幸的是,VMWare 快照无法长期保留。
否则,希望您可以从备份软件中恢复。请告诉我们有人在您的环境中进行定期备份。