「特定のアプリケーションのみを許可する」制限を設定し、それらを全面的にすべてのアカウントに誤って適用しました。これで、ブラウザーの実行のみに制限され、グループポリシーエディターを実行できなくなりました!
利用できるバックドアはありますか?
グループポリシーの「制限されたアプリケーション」機能の明らかな穴を悪用する回避策を見つけました。実行可能ファイルの名前を信頼できるアプリケーションのファイル名に変更するだけで、ポリシーを回避できます。
私がたどり着いた回避策は以下のとおりです(これに似た/単純な多くのバリアントが機能するでしょうが、機能しません)。うまくいけば、これは誰かを助けます。
名前を変更すると、管理コンソールはエクスプローラーから実行されなくなるため、コマンドラインの手順が必要です。
ポリシーのユーザー構成の部分にソフトウェアの制限があると思います。ここにいくつかのヒント:
1。別の場所にコピーするパスの場所に基づいて制限がある場合は、制限されているファイル(mmc.exe?)を別のドライブにコピーして(またはファイルの名前を変更して)、実行してみます。そこから。
2。キャッシュされた資格情報以前にログオンしたことがあるコンピューターまたはラップトップをお持ちの場合は、ネットワークケーブルを取り外し、キャッシュされた資格情報(許可されている場合)でログオンします。完全にログオンしたら(数分待つことをお勧めします)、ネットワークケーブルを再度接続します。これでネットワークにアクセスできるはずですが、ポリシーはまだ適用されていないため、すべてのプログラムにアクセスできます。
3。レジストリキーの削除これらのポリシー制限はすべてレジストリに保存されます。あなたは管理者であるため、レジストリを編集する権限を持っているので、レジストリを編集する方法を見つける必要があります。
次のレジストリキーに移動します:HKEY_CURRENT_USER\Software\Policies\Microsoft\Safer\CodeIdentifiers\0\pathsの下にあるすべてのキーを削除しますこのキー。キー自体はそのままです。
Regedit.exeを開始できない場合は、次のプログラムを開始できる可能性があります。
%windir%\regedit.exe
%windir%\System32\regedt32.exe
%windir%\System32\reg.exe (commandline)
%windir%\SysWOW64\regedit.exe (64bit computer only)
%windir%\SysWOW64\regedt32.exe (64bit computeronly)
%windir%\SysWOW64\reg.exe (64bit computer only, commandline)
それ以外の場合は、レジストリにリモートでアクセスしてみてください。
それはかなりキャッチ22のように聞こえます。それはそれの音によってデフォルトドメインポリシーにこだわったように聞こえます。私が間違っていない場合、すべてのユーザーがAuthenticated Usersグループのメンバーであり、GPOのセキュリティフィルターからAuthenticated Usersを削除しない限り、GPOが適用されるため、かなりロックアウトされています。 ] _(ケースのように聞こえません)。 GPMCに戻ることができるユーザー/グループの組み合わせはありません。私が見る限り、GPMCおよびその他のプログラム/実行可能ファイルを実行する機能を本当にロックアウトしている場合、現在のドメインから戻る方法はありません。私はこのシナリオに参加したことがないので、知らない方法があるかもしれませんが、ここに私が思いついた回避策があります。少し奇妙で少し入り組んでいるように聞こえますが、私はそれでうまくいくと思います。ここに行く:
新しいドメイン/フォレストにDCをセットアップします。このドメイン/フォレストを「新しい」と呼び、これ以降、既存のドメイン/フォレストを「古い」と呼びます。
newフォレストとoldフォレストの間に信頼を作成します。 oldドメインのDNSコンソールにアクセスできない可能性があるため、oldドメインのDCにあるhostsファイルを編集できるはずです。ドメインに参加していないワークステーションからアクセスする(プロンプトが表示されたら適切なドメイン資格情報を提供する)。 newのDC/DNSサーバーのIPアドレスを指すnew domain(新しいドメインのドメインDNSサフィックス/ AD DNSゾーン名)のエントリを追加します。ドメイン。ファイルを保存し、old DCを再起動して、hostsファイルエントリをDNSキャッシュにプリロードします。これはold Domain/Forestからnew Domain/Forestへの条件付きフォワーダーのパス可能な代替物です。 oldドメインのnewドメインに対応する条件付きフォワーダーを作成します。信頼を作成する前に、hostsファイルと条件付きフォワーダーをセットアップします。
新しいドメイン/フォレストの管理者アカウントを古いドメイン/フォレストのビルトイン管理者グループに追加します古いの管理者アカウントを付与しますドメイン/フォレストnew Domain/Forestの既定のドメインコントローラーGPOにある "ローカルログオンを許可する"ユーザー権利。 new DCでgpupdate/forceを実行し、-newで「OSに応じて「別のユーザーとして実行」または「別のユーザーとして実行」を使用します。 = DC oldドメインの管理者としてADUCを開き、oldドメインのホームADUCを開きます。
newフォレストのDCでGPMCを実行します
oldドメイン/フォレストへのホームGPMC
oldフォレストのデフォルトドメインポリシーのリンクを解除します
oldフォレストのDCにログオンし、gpupdate/forceを実行して、GPMCを実行できるかどうかを確認します。その場合は、自分をロックアウトするために行った操作をすべて元に戻し、デフォルトのドメインポリシーを再リンクします。
上記の手順を逆にして、フォレストの信頼を解除し、新しいドメイン/フォレストを廃止します。
フォレストの信頼全体でGPOを編集することは(私が知る限り)不可能ですが、私が示した手順に従っている場合は、リンクを解除する必要があります。
Powershellを使用してグループポリシーリンクを削除するのはどうですか。これがtechnetのコマンドリファレンスです http://technet.Microsoft.com/en-us/library/ee461054.aspx
非常に簡単な修正
Gpeditでシステム設定を誤って変更して、同じ問題が発生しました。 Greyloxから入手したこの修正を試してください。
スタートボタンをクリックし、ポップアップの下部にある検索フィールドに「run」と入力してEnterキーを押します。新しいウィンドウで%systemroot%\system32\GroupPolicy\User delete registry.pol
と入力します
%systemroot%\system32\GroupPolicy\Machine delete registry.pol
でも同じことをしてください。もし私のPCにそれがなかった場合。
システムを再起動します。
管理者アカウントでログインし、管理者権限を持つ新しいユーザーを作成して再起動し、新しい管理者アカウントを使用して再度ログインします。
スタートボタンをクリックし、ポップアップの下部にある検索フィールドに「run」と入力してEnterキーを押します。 gpedit.mscと入力し、Enterキーを押します。
Local Computer Policy
-> User Configuration
-> Administrative Templates
->(ダブルクリック)system
->(右側のパネルを見てダブルクリック)run only specified windows applications
に移動します。 [無効]の横にあるラジオボタンをクリックします。
.regファイルを実行できるかどうかはわかりません... Windowsはレジストリに関連しているので、グループポリシーも...設定したRestrictRunの値だと思います。 .regファイルを削除すると、そのキーを削除できます。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-
自分のアカウントにログインします。 this reg file を実行します。また、再起動後に他のプログラムを実行できるはずです。
画像ではなくファイルをアップロードすることは許可されていませんが、このregファイルを信頼する必要があるのは残念です。テキストエディタで作成できないためです...
グループポリシーの「制限されたアプリケーション」機能の明らかな穴を悪用する回避策を見つけました。実行可能ファイルの名前を信頼できるアプリケーションのファイル名に変更するだけで、ポリシーを回避できます。
唯一の問題は、名前を変更して「gpedit.msc」に直接アクセスできないことです。これは機能しません。
私が到達した回避策:(あなたはこれのより簡単な変形が機能することを期待するでしょう;それは機能しません)
名前が変更されると、管理コンソールはエクスプローラーから実行されないため、コマンドライン手順が必要です