Active-Directory
通過 GPO 鎖定 DC 和域管理員帳戶
由於在頂層應用了不正確的 GPO,我目前被鎖定在我的域控制器之外,並且無法使用域管理員組成員的帳戶登錄域電腦。域中沒有其他 DC。我曾嘗試在其中一個工作站上使用 RSAT 刪除 GPO,但它也被此 GPO 禁用。如何刪除此 GPO 並重新獲得對我的域的控制權?我可以通過 DSRM 訪問 DC,但我不確定如何使用它,因為在啟動到 DSRM 時 AD 和組策略似乎被禁用。不幸的是,我們沒有最近的 AD 備份,因為我們剛剛遷移到新的 DC。
非常感謝任何想法,因為我目前正在工作中過夜,直到我解決這個問題。謝謝大家。
幾個小時後,我能夠重新獲得對 DC 的訪問權限。最終為我工作的是以下內容。請記住,我可以訪問 DC 上的 DSRM 登錄和基本的域網路 PowerShell 命令。
- 在域工作站上使用 PowerShell 辨識 GPO GUID。
- (Import-Module GroupPolicy,Get-Gpo -all,注意GPO的GUID)
- 使用本地管理員帳戶啟動 DSRM。
- 在 SYSVOL 文件夾中按 GUID 找到 GPO。
- (C:\Windows\SYSVOL\domain\Policies{ YOUR_GUID_HERE }
- 導航到 GPO 文件夾結構中的 GptTmpl.inf 文件。
- (..\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf)
- 根據需要對策略進行更改。對我來說,它正在從“SeDenyInteractiveLogonRight”中刪除某些使用者,儘管我也將它們添加到了相關的“允許”權限中。保存此文件。
- 返回到根策略 GUID 文件夾並找到 GPT.ini 文件。
- 在此處編輯(增加)版本號。最簡單的方法是在版本號末尾添加 0,或者至少添加 10。組策略將檢查此數字以確定是否應重新處理該策略。
- 重新啟動 DC,假設您能夠登錄,禁用/編輯/刪除 GPO 並從命令提示符執行 gpupdate /force 以確保更改快速傳播。
GPO 有一些揮之不去的影響,必須用反 GPO 來清理。例如,WID 失去了作為服務登錄的能力,因為該權限在問題 GPO 中已定義但為空白。當我發現這些影響時,我編寫了一次性 GPO 來糾正它們並將它們推送到整個領域。
希望這對某人有所幫助,並感謝所有建議。