Como faço para remover uma diretiva de grupo sem acesso ao domínio (controlador)?

Eu tenho um controlador de domínio (WS2012-R2) e um conjunto de servidores (WS2012-R2) que são membros do domínio. Adicionei acidentalmente um grupo em que todos os administradores são membros da Diretiva de Grupo "Negar acesso ao logon localmente", "Negar logon como serviço", "Negar acesso remoto" e "Negar acesso à rede". Isso resultou em eu e todos os outros administradores (mesmo a conta interna) sendo bloqueados no controlador de domínio.

Existe uma maneira de recuperar o acesso ao servidor removendo o GPO ou removendo uma conta de administrador do grupo que foi negado?

Dois pensamentos vêm à mente.

É possível que você possa usar um CD de inicialização para acessar o controlador de domínio enquanto estiver offline e editar ou excluir manualmente o GPO ofensivo - os GPOs de um domínio existem sob a SYSVOLpasta no sistema de arquivos dos controladores de domínio e são aplicados como configurações de registro, ambos acessíveis a partir de um CD de inicialização - no entanto, isso seria desfeito pela replicação ou causaria erros de replicação de domínio assim que o controlador de domínio em que você fez isso se conectasse aos outros controladores de domínio no domínio. (Estou assumindo aqui que você tem mais de um controlador de domínio no seu domínio, como deveria ... se você tiver apenas um, isso não seria uma abordagem ruim).

A outra abordagem que vem à mente é entrar no modo de restauração dos serviços de diretório e executar uma restauração autoritativa a partir de um backup anterior a esse GPO. (E isso também depende da suposição de que você está fazendo o que deveria e de ter backups para restaurar.)

Na verdade, eu não tentei isso. (Desculpe.) Também estou assumindo que o RSAT não funcionará devido a "negar acesso remoto / de rede". (Se você não tentou isso, vale a pena tentar, mas não estou otimista.)

Talvez você possa criar uma nova conta de administrador com um CD de inicialização da Hiren e usar essa conta para editar a política.

Onde a política de grupo é aplicada? Somente para DCs ou para todo o domínio?

Se for aplicado apenas aos controladores de domínio, você ainda poderá fazer logon em outro computador membro usando uma conta de administrador de domínio; você pode ativar o console de gerenciamento de diretivas de grupo e / ou todas as outras ferramentas administrativas do AD se estiver em um sistema operacional de servidor ou instalar o RSAT e fazer o mesmo se for uma estação de trabalho; com essas ferramentas, você poderá editar o GPO ofensivo, ou pelo menos usuários e grupos (o console do ADUC usa consultas LDAP, portanto, não está sujeito a restrições de logon).

Se a política for aplicada a todo o domínio e você não conseguir fazer logon em nenhum lugar usando uma conta de administrador de domínio, uma possível solução alternativa seria usar o módulo Active Directory do PowerShell : quase todos os cmdlets possuem um -credentialparâmetro que permite especificar as credenciais usar para executar o comando, mesmo quando o PowerShell estiver realmente executando em uma conta de usuário diferente ; isso inclui Remove-ADGroupMember . Assim, uma solução possível seria:

• Faça login em qualquer computador membro usando qualquer conta de usuário disponível.
• Verifique se as ferramentas administrativas do AD estão instaladas no sistema (habilite-as em um servidor ou instale o RSAT em uma estação de trabalho).
• Inicie o PowerShell.
• Import-Module ActiveDirectory
• $admincreds = Get-Credential (isso abre uma janela onde você precisa inserir credenciais para uma conta de administrador do domínio)
• Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

Se isso funcionar, <UserName>será removido <GroupName>e, portanto, a política incorreta não será mais bloqueada.

Inicialize seu controlador de domínio no modo de restauração do diretório ativo, com a conta que você configurou ao criar seu domínio. (É simplesmente uma conta de administrador local no controlador de domínio, chamada Administratore a senha foi configurada no dcpromo.)

A partir daí, remova todas as permissões NTFS do seu SYSVOLvolume, na pasta ID do GPO. (Verifique a pasta da última modificação para encontrar o GPO da última modificação).

Nesse modo, o banco de dados do Active Directory não é carregado, mas você tem acesso ao sistema de arquivos.

Se nada funcionar, nesse modo, você pode tentar um gpofixcomando, mas saiba que ele removerá TODOS os GPOs.

Quando o domínio foi criado originalmente, havia uma conta "deus" criada. Descubra o que era, sua senha e você deverá conseguir fazer login no controlador de domínio que hospeda o catálogo global. A partir daí, você poderá desfazer o que fez e dar tempo para se propagar.

Se isso falhar, existem algumas técnicas de hackers que você pode usar, mas não seria apropriado retransmiti-lo aqui. Entre em contato com um especialista em segurança local, pois geralmente eles estão atualizados sobre as técnicas de hackers e podem ajudá-lo a recuperar o domínio.

Obviamente, se este é apenas alguns servidores e não é crítico, você também pode simplesmente limpar e começar de novo.

Primeiro, desligue todos os controladores de domínio. Fazer isso evitará problemas de replicação bizarros.

A primeira etapa é remover a configuração de Diretiva de Grupo incorreta. As atribuições de privilégio são armazenadas no GptTmpl.infarquivo em MACHINE\Microsoft\Windows NT\SecEditcada pasta de política. Você saberá que tem a política certa quando esse .infarquivo contém uma linha para SeDenyNetworkLogonRight, SeDenyInteractiveLogonRightetc. Exclua todas as SeDeny...Rightlinhas dele.

O Windows não aplicará as novas configurações, a menos que veja que o GPO foi alterado, o que determina consultando o versionNumberatributo em um objeto do Active Directory. Não vamos tentar editar o AD offline. Em vez disso, removeremos as configurações incorretas do Registro manualmente.

Monte a \Windows\System32\config\SECURITYseção do controlador de domínio no registro de outro sistema Windows com reg load. Abra o Editor do Registro e navegue até Policy\Accountsa seção montada. (Talvez você precise estar executando regeditcomo SYSTEM para que isso funcione. O PsExec pode fazer isso.) Cada subchave corresponde a um usuário ou grupo e a ActSysAcsubchave de cada um desses detém os "direitos". (Os "privilégios" estão todos na Privilgssubchave.) Encontre o que possui um ActSysAcvalor igual a C0 03 00 00, que corresponde aos quatro direitos que você negou. Exclua ActSysAcou altere seu valor para 00 00 00 00. Feche o Editor do Registro e desmonte a seção reg unload.

Inicialize o controlador de domínio que você modificou. Você deve conseguir fazer login agora. Use o Console de Gerenciamento de Diretiva de Grupo para fazer qualquer edição (não importa o quão trivial) nas diretivas locais do GPO relevante. Isso aumentará o número da versão do GPO.

Inicialize os outros controladores de domínio e permita que as alterações sejam replicadas.

Você pode tentar abrir no explorador \\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ polices (você ainda tem acesso)

Lá você encontrará todas as políticas. Mova todo esse diretório para algum destino temporário e tente reiniciar o PC. Isso ajuda.