我们有 2 个域控制器和 2019 服务器,系统管理员使用 GPO 做了一些事情,拒绝“域管理员”组访问工作站,现在它分布在整个域中(包括域控制器和服务器)。他还对 Active Directory 用户和计算机进行了更改(例如将域管理员包括到受保护的用户组、拒绝在配置文件中委派域管理员、重置 krbtgt 密码)。
GPO 是这样的:
Deny access to this computer from the network
Deny log on as a batch job
Deny log on as a service
Deny log on locally
Deny log on through Remote Desktop Services user rights
错误:
Logon failure: user account restriction. Possible reasons are blank passwords not allowed,logon hour restrictions, or a policy restriction has been enforced.
因此,我们无法使用域管理员登录名登录域控制器或其他服务器/工作站。所有远程控制也被阻止。我不知道这是否只是 GPO 还是其他原因(因为如果远程查看,则不应将 GPO 应用于具有域控制器的 OU)
我对所有 AD 执行了权威恢复 (DSRM),但没有成功,我发现 sysvol 文件夹仍然有这个 GPO(文件已删除但文件夹结构保留)。此外,对 AD 所做的所有更改仍然保留(例如域管理员用户仍在受保护的用户组中)为什么这些更改没有回滚?
工作站的 gpupdate /force 显示错误,因为此 GPO 中的 gpt.ini 不存在并且无法应用组策略。
请问有什么帮助吗?
答案1
此解决方案应该很简单:使用已知的 utilman 技巧获取具有系统权限的 shell。从那里添加新用户“admin”。使他成为“administrators”组的成员(不是域管理员)。以管理员身份登录。下载 psexec(微软的 pstools)。现在以系统帐户启动 mmc:psexec -s -i mmc 将 GPMC 添加到该 mmc 执行更改。系统可以在 DC 上执行任何操作!
答案2
问题出在更改用户 krbtgt 的密码上。解决方法如下:禁用其余域控制器(即使我执行了权威还原,我的域控制器也会从其他域控制器获取有关此用户的数据),然后再次执行权威还原,并为该用户更改几次密码,一切正常