Active-Directory

通過 GPO 鎖定 DC 和域管理員帳戶

  • April 3, 2019

由於在頂層應用了不正確的 GPO,我目前被鎖定在我的域控制器之外,並且無法使用域管理員組成員的帳戶登錄域電腦。域中沒有其他 DC。我曾嘗試在其中一個工作站上使用 RSAT 刪除 GPO,但它也被此 GPO 禁用。如何刪除此 GPO 並重新獲得對我的域的控制權?我可以通過 DSRM 訪問 DC,但我不確定如何使用它,因為在啟動到 DSRM 時 AD 和組策略似乎被禁用。不幸的是,我們沒有最近的 AD 備份,因為我們剛剛遷移到新的 DC。

非常感謝任何想法,因為我目前正在工作中過夜,直到我解決這個問題。謝謝大家。

幾個小時後,我能夠重新獲得對 DC 的訪問權限。最終為我工作的是以下內容。請記住,我可以訪問 DC 上的 DSRM 登錄和基本的域網路 PowerShell 命令。


  1. 在域工作站上使用 PowerShell 辨識 GPO GUID。
  • (Import-Module GroupPolicy,Get-Gpo -all,注意GPO的GUID)
  1. 使用本地管理員帳戶啟動 DSRM。
  2. 在 SYSVOL 文件夾中按 GUID 找到 GPO。
  • (C:\Windows\SYSVOL\domain\Policies{ YOUR_GUID_HERE }
  1. 導航到 GPO 文件夾結構中的 GptTmpl.inf 文件。
  • (..\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf)
  1. 根據需要對策略進行更改。對我來說,它正在從“SeDenyInteractiveLogonRight”中刪除某些使用者,儘管我也將它們添加到了相關的“允許”權限中。保存此文件。
  2. 返回到根策略 GUID 文件夾並找到 GPT.ini 文件。
  3. 在此處編輯(增加)版本號。最簡單的方法是在版本號末尾添加 0,或者至少添加 10。組策略將檢查此數字以確定是否應重新處理該策略。
  4. 重新啟動 DC,假設您能夠登錄,禁用/編輯/刪除 GPO 並從命令提示符執行 gpupdate /force 以確保更改快速傳播。

GPO 有一些揮之不去的影響,必須用反 GPO 來清理。例如,WID 失去了作為服務登錄的能力,因為該權限在問題 GPO 中已定義但為空白。當我發現這些影響時,我編寫了一次性 GPO 來糾正它們並將它們推送到整個領域。

希望這對某人有所幫助,並感謝所有建議。

引用自:https://serverfault.com/questions/894696