web-dev-qa-db-ja.com

ドメイン(コントローラー)にアクセスせずにグループポリシーを削除するにはどうすればよいですか?

(WS2012-R2)ドメインコントローラーと、ドメインのメンバーである(WS2012-R2)サーバーのセットを持っています。すべての管理者がメンバーであるグループを誤ってグループポリシーに追加しました。「ローカルでログオンアクセスを拒否」、「サービスとしてログオンを拒否」、「リモートアクセスを拒否」、「ネットワークアクセスを拒否」。これにより、私と他のすべての管理者(ビルトインアカウントを含む)がドメインコントローラーからロックアウトされました。

GPOを削除することによって、または拒否されたグループから管理者アカウントを削除することによって、サーバーへのアクセスを回復する方法はありますか?

8
shagrinar

2つの考えが思い浮かびます。

おそらく、ブートCDを使用して、オフライン中にドメインコントローラーにアクセスし、問題のあるGPO-ドメインのGPOが SYSVOLフォルダー ドメインコントローラーのファイルシステムで、レジストリ設定として適用されます。どちらもブートCDからアクセスできます。ただし、これは複製によって元に戻されるか、ドメインが複製されるとすぐにドメイン複製エラーを引き起こします。ドメイン内の他のドメインコントローラーに接続してこれを行ったコントローラー(ここでは、ドメインに複数のドメインコントローラーがあるはずだと想定しています... 1つは、これは悪いアプローチではないでしょう)。

思い浮かぶもう1つの方法は、 ディレクトリサービス復元モード に入り、このGPOより前のバックアップから信頼できる復元を実行することです。 (そしてこれも、あなたがしているようにやっていること、そしてそこから復元するためのバックアップがあるという前提に依存しています。)

6
HopelessN00b

私は実際にこれを試していません。 (申し訳ありません。)私は [〜#〜] rsat [〜#〜] が「リモート/ネットワークアクセスの拒否」のため機能しないことも想定しています。 (これを試していない場合は、試してみる価値はありますが、私は楽観的ではありません。)

おそらく、HirenのブートCDで新しい管理者アカウントを作成し、そのアカウントを使用してポリシーを編集できます。

4

グループポリシーはどこに適用されますか? DCのみか、ドメイン全体か?

DCにのみ適用される場合でも、ドメイン管理者アカウントを使用して別のメンバーコンピューターにログオンできます。次に、サーバーOSを使用している場合は、グループポリシー管理コンソールや他のすべてのAD管理ツールを有効にするか、または [〜#〜] rsat [〜#〜] をインストールして、同じ場合それはワークステーションです。これらのツールを使用すると、問題のあるGPO、または少なくともユーザーとグループを編集できます(ADUCコンソールはLDAPクエリを使用するため、ログオン制限を受けません)。

代わりにポリシーがドメイン全体に適用されていて、実際にはドメイン管理者アカウントを使用してどこにもログオンできない場合、考えられる回避策は PowerShell Active Directoryモジュール :ほとんどすべてのコマンドレットには-credentialパラメーターがあり、PowerShellが実行されている場合でも、コマンドの実行に使用する資格情報を指定できます別のユーザーアカウントで実際に実行されている;これには Remove-ADGroupMember が含まれます。したがって、可能な解決策は次のとおりです。

  • 利用可能なユーザーアカウントを使用して、メンバーコンピューターにログインします。
  • AD管理ツールがシステムにインストールされていることを確認します(サーバーでそれらを有効にするか、ワークステーションにRSATをインストールします)。
  • PowerShellを起動します。
  • Import-Module ActiveDirectory
  • $admincreds = Get-Credential(これにより、ドメイン管理者アカウントの資格情報を入力する必要があるウィンドウがポップアップします)
  • Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

これが機能する場合、<UserName><GroupName>から削除されるため、違反しているポリシーによってロックされなくなります。

3
Massimo

ドメインを作成したときに設定したアカウントを使用して、Active Directory復元モードでドメインコントローラーを起動します。 (これはAdministratorという名前のDC上のローカル管理者アカウントであり、パスワードはdcpromoで設定されています。)

そこから、GPO IDフォルダー内のSYSVOLボリュームに対するすべてのNTFSアクセス許可を削除します(最後に変更されたフォルダーを確認して、最後に変更されたGPOを見つけます)。

そのモードでは、Active Directoryデータベースはロードされませんが、ファイルシステムにアクセスできます。

何も機能しない場合は、そのモードでgpofixコマンドを試すことができますが、すべてのGPOが削除されることに注意してください。

3
yagmoth555

ドメインが最初に作成されたとき、「神」のアカウントが作成されていました。それが何であったか、そのパスワードを調べてください。DCグローバルカタログをホストしているところにログインできるはずです。そこから、あなたが行ったことを取り消し、伝播する時間を与えることができるはずです。 。

それが失敗した場合、使用できるハッカー手法がいくつかありますが、ここでそれを中継するのは適切ではありません。地元のセキュリティ専門家に連絡してください。通常、ハッカーのテクニックに慣れており、ドメインを回復するのに役立ちます。

もちろん、これが数台のサーバーであり、それが重要でない場合は、ワイプして最初からやり直すこともできます。

2
Colyn1337

まず、すべてのドメインコントローラをシャットダウンします。そうすることで、奇妙なレプリケーションの問題を回避できます。

最初の手順は、不適切なグループポリシー設定を削除することです。権限の割り当ては、各ポリシーフォルダーの下のGptTmpl.infMACHINE\Microsoft\Windows NT\SecEditファイルに保存されます。その.infファイルにSeDenyNetworkLogonRightSeDenyInteractiveLogonRightなどの行が含まれている場合は、適切なポリシーがあることがわかります。そこからすべてのSeDeny...Right行を削除します。

Windowsは、GPOが変更されたことを確認しない限り、新しい設定を適用しません。GPO$ ===は、Active DirectoryオブジェクトのversionNumber属性を調べて決定します。編集しないでください。 ADはオフラインです。代わりに、レジストリから不適切な設定を手動で削除します。

ドメインコントローラーの\Windows\System32\config\SECURITYハイブをreg loadを使用して別のWindowsシステムのレジストリにマウントします。レジストリエディターを開き、マウントされたハイブの下のPolicy\Accountsに移動します。 (そのためにはregeditをSYSTEMとして実行する必要がある場合があります。 PsExec はそれを実行できます。)その各サブキーはユーザーまたはグループに対応し、ActSysAcそれらのそれぞれのサブキーは「権利」を保持します。 (「特権」はすべてPrivilgsサブキーにあります。)ActSysAc値がC0 03 00 00であるものを見つけます。これは 対応 が4つの権利に対応しますあなたは否定した。 ActSysAcを削除するか、その値を00 00 00 00に変更します。レジストリエディターを閉じ、reg unloadを使用してHiveをマウント解除します。

変更したドメインコントローラを起動します。これでログインできるはずです。グループポリシー管理コンソールを使用して、関連するGPOのローカルポリシーを編集します(どれほど簡単かは関係ありません)。これにより、GPOのバージョン番号が増加します。

他のドメインコントローラを起動し、変更を複製させます。

1
Ben N

エクスプローラ\\ domain.controler\c $\windows\sysvol\sysvol\domain.local\policesで開こうとすることができます(まだアクセスできます)

そこにはすべてのポリシーがあります。このディレクトリをすべて一時的な場所に移動し、PCを再起動してみてください。それは役立ちます。

0
kgimpel