Come rimuovo un criterio di gruppo senza accesso al dominio (controller)?

Ho un controller di dominio (WS2012-R2) e un set di server (WS2012-R2) che sono membri del dominio. Ho accidentalmente aggiunto un gruppo a cui tutti gli amministratori fanno parte dei Criteri di gruppo "Nega accesso a livello locale", "Nega accesso come servizio", "Nega accesso remoto" e "Nega accesso alla rete". Ciò ha comportato il blocco di me e di tutti gli altri amministratori (incluso l'account integrato) dal controller di dominio.

C'è un modo per riottenere l'accesso al server rimuovendo l'oggetto Criteri di gruppo o rimuovendo un account amministratore dal gruppo che è stato negato?

Mi vengono in mente due pensieri.

È possibile, presumibilmente, utilizzare un CD di avvio per accedere al controller di dominio mentre è offline e modificare o eliminare manualmente l'oggetto Criteri di gruppo offensivo: gli oggetti Criteri di gruppo di un dominio esistono nella SYSVOLcartella del file system sui controller di dominio e vengono applicati come impostazioni di registro, entrambi che sono accessibili da un CD di avvio; tuttavia, questo potrebbe essere annullato dalla replica o causerebbe errori di replica del dominio non appena il controller di dominio su cui lo hai fatto si è collegato agli altri controller di dominio nel dominio. (Sto assumendo qui che tu abbia più di un controller di dominio nel tuo dominio, come dovresti ... se ne avessi solo uno, questo non sarebbe un cattivo approccio).

L'altro approccio che viene in mente è quello di accedere alla modalità di ripristino dei servizi di directory ed eseguire un ripristino autorevole da un backup precedente a questo oggetto Criteri di gruppo. (E anche questo si basa sul presupposto che tu stia facendo come dovresti fare e abbia backup da cui ripristinare.)

In realtà non ho provato questo. (Mi dispiace.) Suppongo anche che RSAT non funzionerà a causa di "nega l'accesso remoto / alla rete". (Se non l'hai provato, vale la pena provare, ma non sono ottimista.)

Forse potresti creare un nuovo account amministratore con un CD di avvio di Hiren e utilizzare quell'account per modificare la politica.

Dove viene applicata la politica di gruppo? Solo ai controller di dominio o all'intero dominio?

Se viene applicato solo ai controller di dominio, puoi comunque accedere a un altro computer membro utilizzando un account amministratore di dominio; è quindi possibile abilitare la console di gestione dei criteri di gruppo e / o tutti gli altri strumenti di amministrazione AD se ci si trova su un sistema operativo del server, oppure installare RSAT e fare lo stesso se si tratta di una workstation; con questi strumenti, sarai in grado di modificare l'oggetto Criteri di gruppo offensivo, o almeno utenti e gruppi (la console ADUC utilizza query LDAP, quindi non è soggetta a restrizioni di accesso).

Se la politica viene invece applicata all'intero dominio e non è possibile accedere effettivamente da nessuna parte utilizzando un account di amministratore di dominio, una possibile soluzione alternativa potrebbe essere l'utilizzo del modulo PowerShell Active Directory : quasi tutti i cmdlet hanno un -credentialparametro che consente di specificare le credenziali da utilizzare per eseguire il comando, anche quando PowerShell è effettivamente in esecuzione con un altro account utente ; questo include Remove-ADGroupMember . Pertanto, una possibile soluzione sarebbe:

• Accedi a qualsiasi computer membro utilizzando qualsiasi account utente disponibile.
• Assicurarsi che gli strumenti di amministrazione AD siano installati sul sistema (abilitarli su un server o installare RSAT su una workstation).
• Avvia PowerShell.
• Import-Module ActiveDirectory
• $admincreds = Get-Credential (questo apre una finestra in cui è necessario inserire le credenziali per un account amministratore di dominio)
• Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

Se funziona, <UserName>verrà rimosso da <GroupName>, e quindi la politica offensiva non lo bloccherà più.

Avvia il controller di dominio in modalità di ripristino della directory attiva, con l'account impostato al momento della creazione del dominio. (È semplicemente un account amministratore locale sul controller di dominio, denominato Administratore la password è stata impostata in dcpromo.)

Da lì, rimuovere tutte le autorizzazioni NTFS sul SYSVOLvolume, nella cartella ID oggetto Criteri di gruppo. (Controllare l'ultima cartella modificata per trovare l'ultimo oggetto Criteri di gruppo modificato).

In quella modalità, il database di Active Directory non è caricato, ma si ha accesso al filesystem.

Se non funziona nulla, in quella modalità puoi provare un gpofixcomando, ma tieni presente che rimuoverà TUTTI GPO.

Quando il dominio è stato originariamente creato, è stato creato un account "god". Scopri cos'è, la sua password e dovresti essere in grado di accedere al controller di dominio che ospita il catalogo globale. Da lì dovresti essere in grado di annullare ciò che hai fatto e dargli il tempo di propagarsi.

Se fallisce, ci sono alcune tecniche di hacker che puoi usare, ma non sarebbe appropriato per me dirlo qui. Contatta un esperto di sicurezza locale poiché di solito sono al passo con le tecniche degli hacker e possono aiutarti a riconquistare il dominio.

Naturalmente, se si tratta di pochi server e non è fondamentale, è possibile anche cancellare e ricominciare.

Innanzitutto, chiudere tutti i controller di dominio. In questo modo si eviteranno bizzarri problemi di replica.

Il primo passo è rimuovere l'impostazione di Criteri di gruppo errata. Le assegnazioni di privilegi sono archiviate nel GptTmpl.inffile in MACHINE\Microsoft\Windows NT\SecEditciascuna cartella dei criteri. Saprai di avere la politica giusta quando quel .inffile contiene una riga per SeDenyNetworkLogonRight, SeDenyInteractiveLogonRighteccetera. Elimina tuttoSeDeny...Right righe da esso.

Windows non applicherà le nuove impostazioni a meno che non rilevi che l'oggetto Criteri di gruppo è cambiato, cosa che determina consultando il versionNumber attributo su un oggetto Active Directory. Non proviamo a modificare AD offline. Rimuoveremo invece le impostazioni errate dal registro manualmente.

Montare l' \Windows\System32\config\SECURITYhive del controller di dominio nel registro di un altro sistema Windows con reg load. Apri l'Editor del Registro di sistema e vai Policy\Accountssotto l'hive montato. (Potrebbe essere necessario essere in esecuzione regeditcome SISTEMA per farlo funzionare. PsExec può farlo.) Ogni sottochiave corrisponde a un utente o gruppo, e la ActSysAcsottochiave di ognuna di esse detiene i "diritti". (I "privilegi" sono tutti nella Privilgssottochiave.) Trova quello con un ActSysAcvalore di C0 03 00 00, che corrisponde ai quattro diritti che hai negato. Elimina ActSysAco modifica il suo valore in 00 00 00 00. Chiudi l'Editor del Registro di sistema e smonta l'hive conreg unload .

Avvia il controller di dominio che hai modificato. Dovresti essere in grado di accedere ora. Utilizzare la Console di gestione dei criteri di gruppo per apportare qualsiasi modifica (non importa quanto banale) alle pertinenti politiche locali dell'oggetto Criteri di gruppo. Ciò aumenterà il numero di versione dell'oggetto Criteri di gruppo.

Avviare gli altri controller di dominio e lasciare replicare le modifiche.

Puoi provare ad aprire in explorer \\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ polices (Hai ancora accesso)

Lì troverai tutte le politiche. Sposta tutto questo dir in una destinazione temporanea e prova a riavviare il PC. Aiuterà.