Làm cách nào để xóa chính sách nhóm mà không truy cập vào miền (bộ điều khiển)?

8

Tôi đã có một bộ điều khiển miền (WS2012-R2) và một bộ máy chủ (WS2012-R2) là thành viên của miền. Tôi đã vô tình thêm một nhóm tất cả quản trị viên là thành viên của Chính sách nhóm "Từ chối truy cập đăng nhập cục bộ", "Từ chối đăng nhập như dịch vụ", "Từ chối truy cập từ xa" và "Từ chối truy cập mạng". Điều này dẫn đến tôi và tất cả các quản trị viên khác (ngay cả tài khoản tích hợp) bị khóa khỏi bộ điều khiển miền.

Có cách nào để lấy lại quyền truy cập vào máy chủ bằng cách xóa GPO hoặc xóa tài khoản quản trị viên khỏi nhóm đã bị từ chối không?

active-directory  group-policy  windows-server-2012-r2 
shagrinar
nguồn
3
Chỉ là một suy nghĩ, có thể là học thuật, nhưng làm thế nào để bạn vô tình làm điều này?
Colyn1337
@ Colyn1337 Có lẽ nó không vô tình nhưng không được xem xét kỹ. Các tài khoản quản trị viên là thành viên của một nhóm mà mọi nhân viên đều là thành viên và tôi đã thêm nhóm này vào các GPO đã đề cập ở trên dẫn đến việc khóa mọi tài khoản. Tôi không nghĩ rằng thực sự có khả năng khóa tài khoản quản trị viên tích hợp nhưng ở đó chúng tôi ...
shagrinar
Chính sách này cũng áp dụng cho các DC khác, hay chỉ chính sách này? (Bạn có thể xây dựng một DC mới và buộc phải nắm giữ bất kỳ vai trò nào mà vai trò này có không?)
Kinda Villyard

Câu trả lời:

6

Hai ý nghĩ nảy ra trong đầu.

Bạn có thể, có thể hình dung, sử dụng CD khởi động để truy cập bộ điều khiển miền trong khi ngoại tuyến và chỉnh sửa hoặc xóa GPO vi phạm - GPO của tên miền tồn tại trong SYSVOLthư mục trong hệ thống tệp trên bộ điều khiển miền và được áp dụng làm cài đặt đăng ký, cả hai có thể truy cập được từ CD khởi động - tuy nhiên, điều này có thể được hoàn tác bằng cách sao chép hoặc sẽ gây ra lỗi sao chép tên miền ngay khi bộ điều khiển miền bạn thực hiện việc này được kết nối với (các) bộ điều khiển miền khác trong miền. (Tôi đang đưa ra giả định ở đây rằng bạn có nhiều bộ điều khiển miền trong miền của mình, vì bạn nên ... nếu bạn chỉ có một bộ điều khiển, đây sẽ không phải là một cách tiếp cận tồi).

Cách tiếp cận khác xuất hiện trong tâm trí là vào Chế độ khôi phục dịch vụ thư mục và thực hiện khôi phục có thẩm quyền từ bản sao lưu có trước GPO này. (Và điều này cũng vậy, dựa trên giả định rằng bạn đang làm như bạn nên làm và có các bản sao lưu để khôi phục lại.)

Vô vọngN00b
nguồn
Nếu bạn có một số lượng nhỏ DC (2,3,4?) Và có thể quản lý để mất tất cả trừ một trong số chúng, tùy chọn đầu tiên có thể hoạt động. Tắt máy, nghỉ hưu, phá hủy tất cả trừ một DC, giàn khoan mà một, nắm giữ các vai trò của FSMO. Nếu bạn đi xa đến đó, hãy xây dựng một số DC mới để thay thế những DC bạn phải tiêu diệt.
Clayton
4

Tôi đã không thực sự thử điều này. (Xin lỗi.) Tôi cũng cho rằng RSAT sẽ không hoạt động vì "từ chối truy cập từ xa / mạng." (Nếu bạn chưa thử điều này, nó đáng để thử, nhưng tôi không lạc quan.)

Có lẽ bạn có thể tạo tài khoản quản trị viên mới bằng CD khởi động của Hiren và sử dụng tài khoản đó để chỉnh sửa chính sách.

Kinda Villyard
nguồn
Cảm ơn câu trả lời của bạn, thật đáng buồn là tôi không thể chạy CD Boot của Hiren trong máy ảo của mình vì đây là máy Hyper-V thế hệ 2. Có thể có một phiên bản thay thế của CD Boot của Hiren không?
shagrinar
ADUC sử dụng truy vấn LDAP, do đó nó nên không bị chặn bởi "từ chối truy cập mạng" hạn chế ... nhưng bạn cần phải thực sự khởi động nó bằng cách sử dụng tài khoản quản trị tên miền, mà bạn chỉ có thể làm gì nếu bạn có ít nhất một máy mà GPO vi phạm không được áp dụng. Tuy nhiên, PowerShell thay vào đó có thể giúp đỡ (xem câu trả lời của tôi để biết chi tiết).
Massimo
3
Một suy nghĩ xảy ra trên câu trả lời này. Vì chúng tôi đang làm việc với bộ điều khiển miền, không có tài khoản cục bộ ... làm thế nào để tạo tài khoản quản trị viên mới thông qua CD khởi động trên bộ điều khiển miền? Tôi đang vẽ trống. Tôi đã sử dụng kỹ thuật này để đặt lại mật khẩu Quản trị viên / DSRM trên các bộ điều khiển miền trước đây, nhưng tôi nghi ngờ rằng có thể tạo một người dùng mới với nó. Tui bỏ lỡ điều gì vậy?
HoplessN00b
1
@KindaVillyard FalconFour là phiên bản nâng cao / hiện đại / hữu ích hơn của HBCD ... Chỉ cần nói
@shagrinar Nếu bạn có thể khởi động PE - Tôi có tùy chọn PXE của PE chỉ dành cho trường hợp khẩn cấp và chẩn đoán - điều đó cũng có thể hoạt động, mặc dù bạn sẽ không có MMC mà không gặp phải sự cố. Nhưng hãy thử RSAT trước nếu bạn chưa. Đó là lựa chọn ít đau đớn nhất.
Kinda Villyard
3

Chính sách nhóm được áp dụng ở đâu? Chỉ đến DC hay toàn bộ miền?

Nếu nó chỉ được áp dụng cho các DC, thì bạn vẫn có thể đăng nhập vào một máy tính thành viên khác bằng tài khoản quản trị viên tên miền; sau đó bạn có thể kích hoạt bảng điều khiển quản lý chính sách nhóm và / hoặc tất cả các công cụ quản trị AD khác nếu bạn đang sử dụng HĐH máy chủ hoặc cài đặt RSAT và thực hiện tương tự nếu đó là máy trạm; với những công cụ đó, bạn sẽ có thể chỉnh sửa GPO vi phạm hoặc ít nhất là người dùng và nhóm (bảng điều khiển ADUC sử dụng truy vấn LDAP, do đó không phải đăng nhập hạn chế).

Nếu chính sách được áp dụng cho toàn bộ miền và bạn thực sự không thể đăng nhập bất cứ nơi nào bằng tài khoản quản trị viên tên miền, thì một cách giải quyết khác có thể là sử dụng mô-đun PowerShell Active Directory : hầu hết tất cả các lệnh ghép ngắn đều có -credentialtham số cho phép bạn chỉ định thông tin đăng nhập để sử dụng để chạy lệnh, ngay cả khi PowerShell thực sự đang chạy dưới một tài khoản người dùng khác ; điều này bao gồm Remove-ADgroupMember . Vì vậy, một giải pháp khả thi sẽ là:

  • Đăng nhập vào bất kỳ máy tính thành viên bằng bất kỳ tài khoản người dùng có sẵn.
  • Đảm bảo các công cụ quản trị AD được cài đặt trên hệ thống (có thể kích hoạt chúng trên máy chủ hoặc cài đặt RSAT trên máy trạm).
  • Khởi chạy PowerShell.
  • Import-Module ActiveDirectory
  • $admincreds = Get-Credential (cửa sổ này bật lên một cửa sổ nơi bạn cần nhập thông tin đăng nhập cho tài khoản quản trị viên tên miền)
  • Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

Nếu điều này hoạt động, <UserName>sẽ bị xóa khỏi <GroupName>và do đó chính sách vi phạm sẽ không khóa nó nữa.

Massimo
nguồn
4
Không Deny network accessáp dụng để truy cập qua RSAT (và PowerShell)? Không phải là tôi sắp kiểm tra, hoặc có kinh nghiệm tự khóa mình khỏi DC của mình để quay trở lại, nhưng tôi tin rằng điều này sẽ không hoạt động vì lý do đó.
HoplessN00b
ADUC sử dụng các truy vấn LDAP, điều này phải nằm ngoài khu vực bị hạn chế bởi "từ chối truy cập mạng"; vấn đề là làm cho nó chạy bằng tài khoản quản trị miền. Tôi không chắc chắn về PowerShell, nhưng thay vào đó, nó không thực sự cần phải chạy trong cùng một tài khoản người dùng mà bạn sử dụng để chạy lệnh, vì vậy nó chắc chắn đáng để thử.
Massimo
Trong chế độ khôi phục quảng cáo nếu anh ta xóa thư mục gpo hoặc thêm từ chối ntfs vào đó, anh ta sẽ ổn.
yagmoth555
@Massimo Giống như tôi đã nói, tôi không thể chắc chắn, nhưng tài liệu về trạng thái GPO cụ thể này , theo Thực tiễn tốt nhất: "Bởi vì tất cả các chương trình Dịch vụ miền Active Directory sử dụng đăng nhập mạng để truy cập, hãy thận trọng khi bạn gán quyền cho người dùng này trên bộ điều khiển miền. " Nghe có vẻ như một cảnh báo rằng cấu hình cụ thể này áp dụng cho "tất cả các chương trình Dịch vụ miền Active Directory".
HoplessN00b
3
Tôi đã thử cả hai điều trên nhưng không thành công. Truy cập LDAP bị vô hiệu hóa.
shagrinar
3

Khởi động bộ điều khiển miền của bạn trong chế độ khôi phục thư mục hoạt động, với tài khoản bạn thiết lập khi bạn tạo miền. (Đơn giản là tài khoản quản trị viên cục bộ trên DC, được đặt tên Administratorvà mật khẩu đã được thiết lập trong dcpromo.)

Từ đó, xóa tất cả các quyền NTFS trên SYSVOLổ đĩa của bạn , trong thư mục ID GPO. (Kiểm tra thư mục đã sửa đổi lần cuối để tìm GPO được sửa đổi lần cuối).

Trong chế độ đó, cơ sở dữ liệu Active Directory không được tải, nhưng bạn có quyền truy cập vào hệ thống tệp.

Nếu không có gì hoạt động, trong chế độ đó, bạn có thể thử một gpofixlệnh, nhưng lưu ý rằng nó sẽ xóa TẤT CẢ GPO.

yagmoth555
nguồn
Có cách nào để sao lưu tất cả các GPO để tôi có thể đặt chúng trở lại (không cần khóa GPO) không?
shagrinar
2
@shagrinar Không ... nhưng chỉ xóa tất cả quyền NTFS trên thư mục GPO có thể tốt hơn vì nó sẽ chặn GPO để áp dụng và sẽ chỉ hiển thị DC của bạn rằng GPO của bạn bị hỏng trong MMC của GPO.
yagmoth555
Xóa tất cả các quyền NTFS trên SYSVOL không có hiệu lực, giống như xóa tất cả các tệp khỏi thư mục. Nhập DSRM là có thể và tôi có thể đăng nhập bằng tài khoản nhưng chạy dcgpofix đã cho tôi một thông báo lỗi nói rằng tôi phải đăng nhập bằng tài khoản thành viên tên miền ...
shagrinar
Cài đặt gpo vẫn được áp dụng, bạn có thể xóa bộ đệm trong khi ở chế độ DSRM không? (xem ở đó để biết vị trí đăng ký; support.microsoft.com/en-us/kb/201453 )
yagmoth555
Tôi đã xóa tất cả mọi thứ trong Lịch sử , đáng buồn là không có thành công khi đăng nhập.
shagrinar
2

Khi tên miền ban đầu được tạo, có một tài khoản "thượng đế" được tạo. Tìm hiểu xem đó là gì, mật khẩu của nó và bạn sẽ có thể đăng nhập vào DC lưu trữ danh mục toàn cầu. Từ đó bạn sẽ có thể hoàn tác những gì bạn đã làm và cho nó thời gian để tuyên truyền.

Nếu thất bại, có một số kỹ thuật hacker bạn có thể sử dụng, nhưng nó sẽ không phù hợp với tôi để chuyển tiếp nó ở đây. Liên hệ với một chuyên gia bảo mật địa phương vì họ thường tăng tốc về các kỹ thuật của hacker và có thể giúp bạn lấy lại tên miền.

Tất nhiên, nếu đây chỉ là một vài máy chủ và nó không quan trọng, bạn cũng có thể xóa sạch và bắt đầu lại.

Colyn1337
nguồn
Bạn có thể cho tôi một gợi ý về cách tìm ra tài khoản này có thể là gì không? Tôi biết tài khoản quản trị viên cục bộ của bộ điều khiển miền, đã biến thành tài khoản miền khi tôi cài đặt Active Directory nhưng điều này cũng bị ảnh hưởng. Xóa sạch các máy chủ sẽ là lựa chọn cuối cùng của tôi để xem xét.
shagrinar
Khi tạo một tên miền hoàn toàn mới, cho dù bằng tập lệnh hay trình hướng dẫn, bạn phải tạo một tài khoản chính duy nhất và cung cấp cho nó một mật khẩu. Nó thường chỉ được sử dụng trong thời gian khắc phục thảm họa (như bây giờ) và chỉ người tạo tên miền mới biết. Nếu bạn không biết ai đã tạo tên miền, hãy kiểm tra với giám đốc của bạn, tỷ lệ cược là ai đó trong chuỗi quản lý đã được cung cấp thông tin này.
Colyn1337
1
Tài khoản bạn đang nói đến là tài khoản Chế độ khôi phục dịch vụ thư mục; nó chỉ được sử dụng để thực hiện bảo trì trên các DC ngoại tuyến, nhưng thực tế nó không phải là quản trị viên tên miền; nó sẽ hoàn toàn vô dụng trong trường hợp này, trừ khi bạn muốn khôi phục AD từ bản sao lưu.
Massimo
@Massimo Tôi nghĩ rằng thông tin của bạn hơi cũ ... "bạn có thể định cấu hình bộ điều khiển miền để bạn có thể đăng nhập bằng tài khoản Quản trị viên DSRM nếu bộ điều khiển miền được khởi động bình thường nhưng dịch vụ AD DS bị dừng một số lý do. " technet.microsoft.com/en-us/l
Library / cc816897 (v = ws.10) .aspx
1
@Massimo Có thể xóa GPO khỏi vị trí của nó trong thư mục sysvol trên hệ thống tệp, cũng như chỉnh sửa sổ đăng ký để thay đổi cài đặt bằng kỹ thuật này. Tôi cho rằng đó là những gì được đề xuất trong câu trả lời này.
HoplessN00b
1

Đầu tiên, tắt tất cả các bộ điều khiển miền. Làm như vậy sẽ tránh được các vấn đề nhân rộng kỳ quái.

Bước đầu tiên là xóa cài đặt Chính sách nhóm xấu. Nhiệm vụ đặc quyền được lưu trữ trong GptTmpl.inftệp trong MACHINE\Microsoft\Windows NT\SecEditmỗi thư mục chính sách. Bạn sẽ biết bạn có chủ trương đúng đắn khi mà .inftập tin chứa một dòng cho SeDenyNetworkLogonRight, SeDenyInteractiveLogonRight, vân vân. Xóa tất cả các SeDeny...Rightdòng từ nó.

Windows sẽ không áp dụng các cài đặt mới trừ khi thấy GPO đã thay đổi, điều này xác định bằng cách tham khảo versionNumberthuộc tính trên đối tượng Active Directory. Chúng ta đừng cố chỉnh sửa AD nhé. Thay vào đó, chúng tôi sẽ xóa cài đặt xấu khỏi Sổ đăng ký theo cách thủ công.

Gắn \Windows\System32\config\SECURITYtổ ong của bộ điều khiển miền vào Registry của hệ thống Windows khác với reg load. Mở Registry Editor và điều hướng đến Policy\Accountsbên dưới tổ ong được gắn kết. (Bạn có thể cần phải chạy regeditnhư HỆ THỐNG để hoạt động. PsExec có thể làm điều đó.) Mỗi ​​khóa con tương ứng với một người dùng hoặc nhóm và ActSysAckhóa con của mỗi người giữ "quyền". (Các "đặc quyền" là tất cả trong Privilgskhóa.) Tìm một với một ActSysAcgiá trị C0 03 00 00, mà tương ứng với bốn quyền bạn bị từ chối. Xóa ActSysAchoặc thay đổi giá trị của nó thành 00 00 00 00. Đóng Registry Editor và ngắt kết nối với tổ ong reg unload.

Khởi động bộ điều khiển miền bạn đã sửa đổi. Bạn sẽ có thể đăng nhập ngay bây giờ. Sử dụng Bảng điều khiển quản lý chính sách nhóm để thực hiện bất kỳ chỉnh sửa nào (bất kể tầm thường) đối với Chính sách địa phương của GPO có liên quan. Điều đó sẽ tăng số phiên bản của GPO.

Khởi động các bộ điều khiển miền khác và để các thay đổi nhân rộng.

Bến N
nguồn
Điều này có vẻ rất hứa hẹn, đáng buồn là tôi không thể xác nhận rằng nó hoạt động. Đến bây giờ tôi đang xây dựng lại mọi thứ. Nếu bất cứ ai có thể xác nhận rằng điều này hoạt động, tôi rất vui khi đánh dấu đây là câu trả lời!
shagrinar
0

Bạn có thể thử mở trong explorer \ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ polices (Bạn vẫn có quyền truy cập)

Ở đó bạn sẽ tìm thấy tất cả các chính sách. Di chuyển tất cả thư mục này đến một số đích tạm thời và thử khởi động lại PC. Nó sẽ giúp.

kg
nguồn
Domain controller được gọi là Asgard và tên miền được gọi là Yggdrasil vì vậy tôi đã nhập: \\ Asgard \ c $ \ windows \ SYSVOL \ SYSVOL \ Yggdrasil \ chính sách đó dẫn đến một thông báo lỗi nói với tôi rằng cửa sổ không thể truy cập vào thư mục. Tôi không cố truy cập tài khoản này từ tài khoản quản trị viên cục bộ của một máy tính bên trong miền nhưng từ máy tính xách tay riêng của tôi - nó vẫn yêu cầu đăng nhập.
shagrinar
Kiểm tra thư mục, tôi không chắc chắn sau sysvol. Bạn có thể đăng nhập vào \ \ domaincontroll \ c $ bằng thông tin xác thực tên miền không? Hoặc bạn có thể thử sử dụng quản trị viên cục bộ như "asgard \ admin" hoặc "asgard \ tor" :)
kgimpel
Tôi đã thử điều này nhưng không có kết quả, nhưng vì nó là một máy ảo mà DC đang chạy trong tôi chỉ gắn đĩa cứng ảo. Tôi tìm thấy thư mục C: \ sysvol \ sysvol \ fqdn_of_domain , cố gắng truy cập nó dẫn đến một lỗi (đó là một loại liên kết tượng trưng?). Tôi tìm thấy một thư mục khác C: \ sysvol \ domain chứa các tập lệnh và chính sách. Tôi chuyển tất cả mọi thứ ra khỏi nó, ngắt kết nối VHD và nổ máy. Đáng buồn là không có thay đổi. Liên kết này dẫn đến đâu? Bất kỳ tùy chọn nào khác tôi có thể xem xét khi có quyền truy cập đĩa cứng?
shagrinar
3
@shagrinar Tham khảo bộ điều khiển miền trực tiếp thông qua chia sẻ SMB, câu trả lời này khuyên, sẽ không hoạt động vì bạn đã từ chối truy cập mạng bởi GPO. Bạn có thể làm \\domainname\sysvol\ và truy cập các chính sách theo cách đó, nhưng tôi sẽ không hy vọng. Sửa đổi sysvol yêu cầu đặc quyền quản trị viên tên miền và nếu bạn đã khóa tất cả quản trị viên tên miền, bạn sẽ không thể truy cập nó với các đặc quyền bắt buộc để thực hiện việc này.
HoplessN00b
Bên trong SYSVOL \ Domain \ Chính sách Bạn có thể sắp xếp, tìm và di chuyển chỉ các thư mục được tạo trong ngày qua. Một trong số đó sẽ là chính sách "vấn đề" của bạn.
kgimpel
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.