GPOが最上位にあるため、ドメイン管理者グループのメンバーであるアカウントを使用してドメインコンピューターにログオンできません。現在、ドメインコントローラーからロックアウトされています。ドメインに他のDCはありません。ワークステーションの1つでGPO RSATを使用してGPO $ ===を削除しようとしましたが、これもこのGPOによって無効になっています。これを削除するにはどうすればよいですかGPOを取得してドメインの制御を回復しますか?DC= DSRMを介してアクセスできますが、ADおよびグループポリシーが無効になっているため、これをどのように使用できるかわかりませんDSRMで起動したとき、残念ながら、最近新しいDCに移行したばかりなので、復元できるADの最新のバックアップがありません。
この問題が解決するまで、私は現在、仕事に一晩滞在しているので、どんなアイデアでも大歓迎です。皆さんありがとう。
数時間後、DCへのアクセスを取り戻すことができました。最終的に私のために働いたのは次のことでした。 DCおよび基本的なドメインネットワークPowerShellコマンドでDSRMログインにアクセスできたことに留意してください。
GPOはカウンターGPOでクリーンアップする必要がありました。たとえば、WIDはサービスとしてログオンする機能を失いましたGPO。これらの影響を発見したので、それらを修正するために1回限りのGPOを作成し、ドメイン全体にプッシュしました。
これが誰かを助け、すべての提案に感謝することを願っています。
これでうまくいくかどうかはわかりませんが、「答えの可能性」として投稿する価値があると思いました。
しばらく前にインターネットを読んでいるときに、私は偶然 http://www.nobodix.org/seb/win2003_adminpass.html に出くわしました。その記事によると、「ディレクトリサービスリカバリモード」でログインしているときに、コマンドを実行する「サービス」を設定できます。次に、通常モードで再起動した後、サービスが実行され、「システム」ユーザーとしてコマンドが実行されます。
この手法がより新しいバージョンのWindowsでも機能するかどうかはわかりませんが、必要なコマンド(単純なパスワードのリセットよりも複雑に見える)で機能するかどうかもわかりませんが、一見の価値があるかもしれません。
DCでDSRM(別名DSRM)で起動します。このログインは、「Administrator」という名前のアカウントと、DCロールが追加されたときに指定した復元モードのパスワードを使用して行う必要があります。次のコマンドを実行します。
dsquery * -filter (objectClass=groupPolicyContainer) -attr displayName distinguishedName
問題のあるGPOのリストを確認します。以下のコマンドの識別名を、問題のあるGPOからの識別名で置き換えます。このコマンドの「RM」は「復元モード」ではなく「削除」用です
dsrm "CN={11111111-AAAA-2222-BBBB-333333333333},CN=Policies,CN=System,DC=acme,DC=com" /subtree
gpupdate /force
DCを通常モードで再起動します。他のサーバー/ワークステーションを再起動します。うまくいけば、ログインできます。
私はうっかり、昨日同じことをしました。 Server 2008R2および2012R2の新しいSTIGを実装していました。先週たくさん集まりましたが、すべて見栄えは良かったです。 Nessusスキャンに基づいて修正する必要のあるものはまだ15個あるので、それらが何であるかを調べたところ、すでに修正済み(または修正済み)のものがあることに気付きました。ほとんどは、ドメイン管理者、エンタープライズ管理者、ゲストがログイン/リモート/バッチ/サービスアクセスを拒否することを要求するものでした。
一部のコメンターは、どのGPOが問題を引き起こしたのかを知りたがっていたので、ここで私は何をしましたか。コンピューターの構成->ポリシー-> Win設定-> Sec設定->ローカルポリシー->ユーザー権利の割り当て。バッチジョブでのログの拒否、ローカルでのログオンの拒否(注意)、リモートデスクトップサービスによるログオンの拒否(注意)、およびネットワークからのこのコンピューターへのアクセスの拒否(これは私が行った)です。これらの同じ権限の一部を許可する設定もありますが、それらを拒否した場合、許可は上書きされません。
Domain AdminsをGPOには既にGuestおよびEnterprise Adminsグループがありました。これを追加しました。このGPOはすべてのサーバー(DCを含む)に適用されました)。私は躊躇しました。これを行うには、何が起こるかをテストする必要がありました。GPO編集ウィンドウを閉じてから60秒以内に、すべてが壊れました。グループポリシーが更新されるのを90分間待つ必要はありません。実装するために再起動する必要はありません。コンピュータポリシー。物事はすぐに壊れました。
起動CDまたはUSBを作成して、DSRM管理者アカウントを無効にしてみました。そこで、上記のウィルソンを使用して、ポリシーを編集し、リビジョン番号を変更しました。サーバー2012R2インストールディスクから起動し、修復を選択した後、完全に動作しました。次に、[高度なツールとコマンドプロンプト]を選択します。ファイルを見つけ、編集して保存しました。再起動してもログインできませんでしたが、ワークステーションからリモートでアクセスできました。悪いGPO=を無効にし、サーバーを再起動しました。すべてが正常に戻りました。
最大の問題は、すべての管理者がDomain Adminsにいることでした。今ではそれは悪い習慣ですが、変更をためらう人もいます。明らかに、新しいグループを作成し、必要なグループにのみ人々を割り当てます。次に、GPOを使用して、特定のグループが必要なものにアクセスできるようにして、STIGを実装できるようにします。
お役に立てれば!
別のユーザーがserverfaultで同様のスレッドを使用しています: ドメイン(コントローラー)にアクセスせずにグループポリシーを削除するにはどうすればよいですか?
質問者は勝者の答えを選択したことはありませんが、提案された方法には以下が含まれます(順不同)。
\\example.com\SYSVOL\Policies
またはC:\Windows\SYSVOL\sysvol\example.com\Policies
)変更日でソートし、新しい日付を削除します。幸運を祈ります。これらの方法の1つがうまくいくことを願っています!
あなたはここで王室にねじ込まれていると思います。私の技術キャリアでの1つの大きな失敗は似たようなものでした-私はすべての管理者アカウント(私のアカウントを含む)を含め、ドメイン内のすべてのアカウントを誤って無効にしました。幸い、子ドメインとして、Enterprise Adminアカウントを持つユーザーに自分のアカウントを有効にしてもらい、その後、自分が行った操作を元に戻すことができました。
このオプションがない場合は、DSRMを使用して管理者アカウントを復元する必要があります。別のDCから移行したとのことですが、その場合、DCがまだドメイン内にあり、DCである場合は、権限のある復元と権限のない復元の違いを理解している。
自分の管理者アカウント(または、アクセス権のあるバックアップにある他の管理者アカウント)を復元すると、他のすべての操作を元に戻すことができます。