web-dev-qa-db-ja.com

DCおよびGPO

GPOが最上位にあるため、ドメイン管理者グループのメンバーであるアカウントを使用してドメインコンピューターにログオンできません。現在、ドメインコントローラーからロックアウトされています。ドメインに他のDCはありません。ワークステーションの1つでGPO RSATを使用してGPO $ ===を削除しようとしましたが、これもこのGPOによって無効になっています。これを削除するにはどうすればよいですかGPOを取得してドメインの制御を回復しますか?DC= DSRMを介してアクセスできますが、ADおよびグループポリシーが無効になっているため、これをどのように使用できるかわかりませんDSRMで起動したとき、残念ながら、最近新しいDCに移行したばかりなので、復元できるADの最新のバックアップがありません。

この問題が解決するまで、私は現在、仕事に一晩滞在しているので、どんなアイデアでも大歓迎です。皆さんありがとう。

4
Wilson

数時間後、DCへのアクセスを取り戻すことができました。最終的に私のために働いたのは次のことでした。 DCおよび基本的なドメインネットワークPowerShellコマンドでDSRMログインにアクセスできたことに留意してください。


  1. 識別GPO GUIDドメインワークステーションでPowerShellを使用しています。
    • (Import-Module GroupPolicy、Get-Gpo -all、GPOのGUIDに注意してください)
  2. ローカル管理者アカウントを使用してDSRMを起動します。
  3. GPO by GUIDで検索します。
    • (C:\ Windows\SYSVOL\domain\Policies {YOUR_GUID_HERE}
  4. GPOフォルダ構造。のGptTmpl.infファイルに移動します。
    • (..\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf)
  5. 必要に応じてポリシーを変更します。私にとっては、特定のユーザーを "SeDenyInteractiveLogonRight"から削除していましたが、関連する 'allow'権限に追加して、適切に測定しました。このファイルを保存します。
  6. ルートポリシーGUID=フォルダに戻り、GPT.iniファイルを見つけます。
  7. ここでバージョン番号を編集(増分)します。バージョン番号の最後に0を追加するか、少なくとも10を追加するのが最も簡単です。グループポリシーはこの番号をチェックして、ポリシーを再処理する必要があるかどうかを判断します。
  8. DCを再起動し、ログインできると仮定して、GPOを無効化/編集/削除し、コマンドプロンプトからgpupdate/forceを実行して、変更が迅速に反映されるようにします。

GPOはカウンターGPOでクリーンアップする必要がありました。たとえば、WIDはサービスとしてログオンする機能を失いましたGPO。これらの影響を発見したので、それらを修正するために1回限りのGPOを作成し、ドメイン全体にプッシュしました。

これが誰かを助け、すべての提案に感謝することを願っています。

4
Wilson

これでうまくいくかどうかはわかりませんが、「答えの可能性」として投稿する価値があると思いました。

しばらく前にインターネットを読んでいるときに、私は偶然 http://www.nobodix.org/seb/win2003_adminpass.html に出くわしました。その記事によると、「ディレクトリサービスリカバリモード」でログインしているときに、コマンドを実行する「サービス」を設定できます。次に、通常モードで再起動した後、サービスが実行され、「システム」ユーザーとしてコマンドが実行されます。

この手法がより新しいバージョンのWindowsでも機能するかどうかはわかりませんが、必要なコマンド(単純なパスワードのリセットよりも複雑に見える)で機能するかどうかもわかりませんが、一見の価値があるかもしれません。

2
Peter Green

DCでDSRM(別名DSRM)で起動します。このログインは、「Administrator」という名前のアカウントと、DCロールが追加されたときに指定した復元モードのパスワードを使用して行う必要があります。次のコマンドを実行します。

dsquery * -filter (objectClass=groupPolicyContainer) -attr displayName distinguishedName

問題のあるGPOのリストを確認します。以下のコマンドの識別名を、問題のあるGPOからの識別名で置き換えます。このコマンドの「RM」は「復元モード」ではなく「削除」用です

dsrm "CN={11111111-AAAA-2222-BBBB-333333333333},CN=Policies,CN=System,DC=acme,DC=com" /subtree
gpupdate /force

DCを通常モードで再起動します。他のサーバー/ワークステーションを再起動します。うまくいけば、ログインできます。

1
Clayton

私はうっかり、昨日同じことをしました。 Server 2008R2および2012R2の新しいSTIGを実装していました。先週たくさん集まりましたが、すべて見栄えは良かったです。 Nessusスキャンに基づいて修正する必要のあるものはまだ15個あるので、それらが何であるかを調べたところ、すでに修正済み(または修正済み)のものがあることに気付きました。ほとんどは、ドメイン管理者、エンタープライズ管理者、ゲストがログイン/リモート/バッチ/サービスアクセスを拒否することを要求するものでした。

一部のコメンターは、どのGPOが問題を引き起こしたのかを知りたがっていたので、ここで私は何をしましたか。コンピューターの構成->ポリシー-> Win設定-> Sec設定->ローカルポリシー->ユーザー権利の割り当て。バッチジョブでのログの拒否、ローカルでのログオンの拒否(注意)、リモートデスクトップサービスによるログオンの拒否(注意)、およびネットワークからのこのコンピューターへのアクセスの拒否(これは私が行った)です。これらの同じ権限の一部を許可する設定もありますが、それらを拒否した場合、許可は上書きされません。

Domain AdminsをGPOには既にGuestおよびEnterprise Adminsグループがありました。これを追加しました。このGPOはすべてのサーバー(DCを含む)に適用されました)。私は躊躇しました。これを行うには、何が起こるかをテストする必要がありました。GPO編集ウィンドウを閉じてから60秒以内に、すべてが壊れました。グループポリシーが更新されるのを90分間待つ必要はありません。実装するために再起動する必要はありません。コンピュータポリシー。物事はすぐに壊れました。

起動CDまたはUSBを作成して、DSRM管理者アカウントを無効にしてみました。そこで、上記のウィルソンを使用して、ポリシーを編集し、リビジョン番号を変更しました。サーバー2012R2インストールディスクから起動し、修復を選択した後、完全に動作しました。次に、[高度なツールとコマンドプロンプト]を選択します。ファイルを見つけ、編集して保存しました。再起動してもログインできませんでしたが、ワークステーションからリモートでアクセスできました。悪いGPO=を無効にし、サーバーを再起動しました。すべてが正常に戻りました。

最大の問題は、すべての管理者がDomain Adminsにいることでした。今ではそれは悪い習慣ですが、変更をためらう人もいます。明らかに、新しいグループを作成し、必要なグループにのみ人々を割り当てます。次に、GPOを使用して、特定のグループが必要なものにアクセスできるようにして、STIGを実装できるようにします。

お役に立てれば!

1
Dennis

別のユーザーがserverfaultで同様のスレッドを使用しています: ドメイン(コントローラー)にアクセスせずにグループポリシーを削除するにはどうすればよいですか?

質問者は勝者の答えを選択したことはありませんが、提案された方法には以下が含まれます(順不同)。

  • 問題のあるGPO=をSYSVOLフォルダ(\\example.com\SYSVOL\PoliciesまたはC:\Windows\SYSVOL\sysvol\example.com\Policies)変更日でソートし、新しい日付を削除します。
  • PowerShellのActive Directoryモジュールを使用してRemove-ADGroupMemberを実行し、アカウントを禁止グループから除外します(GPOがDomain Admins以外のグループに適用されると想定)
  • グループポリシーの.infを手動で編集してから、ドメインコントローラーからレジストリ設定を削除する https://serverfault.com/a/795162/337307

幸運を祈ります。これらの方法の1つがうまくいくことを願っています!

1
sippybear

あなたはここで王室にねじ込まれていると思います。私の技術キャリアでの1つの大きな失敗は似たようなものでした-私はすべての管理者アカウント(私のアカウントを含む)を含め、ドメイン内のすべてのアカウントを誤って無効にしました。幸い、子ドメインとして、Enterprise Adminアカウントを持つユーザーに自分のアカウントを有効にしてもらい、その後、自分が行った操作を元に戻すことができました。

このオプションがない場合は、DSRMを使用して管理者アカウントを復元する必要があります。別のDCから移行したとのことですが、その場合、DCがまだドメイン内にあり、DCである場合は、権限のある復元と権限のない復元の違いを理解している。

自分の管理者アカウント(または、アクセス権のあるバックアップにある他の管理者アカウント)を復元すると、他のすべての操作を元に戻すことができます。

1
Matt