Question Comment supprimer une stratégie de groupe sans accéder au domaine (contrôleur)?


J'ai un contrôleur de domaine (WS2012-R2) et un ensemble de serveurs (WS2012-R2) membres du domaine. J'ai accidentellement ajouté un groupe dont tous les administrateurs sont membres à la stratégie de groupe "Refuser l'accès à la connexion localement", "Refuser la connexion en tant que service", "Refuser l'accès à distance" et "Refuser l'accès au réseau". Cela a abouti à ce que moi et tous les autres administrateurs (même le compte intégré) soyons exclus du contrôleur de domaine.

Existe-t-il un moyen de retrouver l'accès au serveur en supprimant l'objet de stratégie de groupe ou en supprimant un compte administrateur du groupe qui a été refusé?


8
2017-08-03 18:37


origine


Juste une pensée, probablement académique, mais comment accidentellement fais ça? - Colyn1337
@ Colyn1337 Ce n'est probablement pas accidentellement mais pas bien considéré. Les comptes d'administrateur sont membres d'un groupe dont chaque employé est membre et j'ai ajouté ce groupe aux objets de stratégie de groupe susmentionnés, ce qui a entraîné le verrouillage de chaque compte. Je ne me suis pas rendu compte qu'il était possible de verrouiller le compte administrateur intégré, mais voilà ... - shagrinar
Cette politique s'applique-t-elle également aux autres pays en développement ou à celui-ci uniquement? (Pouvez-vous juste construire un nouveau CD et saisir de force tous les rôles de celui-ci?) - Katherine Villyard


Réponses:


Deux pensées me viennent à l’esprit.

Vous pouvez éventuellement utiliser un CD de démarrage pour accéder au contrôleur de domaine en mode hors connexion et modifier ou supprimer manuellement le GPO incriminé - les GPO d'un domaine existent sous le SYSVOL dossier dans le système de fichiers sur les contrôleurs de domaine et sont appliqués en tant que paramètres de registre, les deux étant accessibles à partir d'un CD de démarrage. Toutefois, cette opération serait annulée par la réplication ou entraînerait des erreurs de réplication de domaine dès que le contrôleur de domaine sur lequel vous avez effectué cette opération connecté aux autres contrôleurs de domaine du domaine. (Je suppose ici que vous avez plus d'un contrôleur de domaine dans votre domaine, comme vous devriez le faire ... si vous n'en avez qu'un, ce ne serait pas une mauvaise approche).

L’autre approche qui me vient à l’esprit est d’entrer Mode de restauration des services d'annuaire et effectuez une restauration faisant autorité à partir d'une sauvegarde antérieure à cet objet de stratégie de groupe. (Et cela aussi, repose sur l'hypothèse que vous faites ce que vous devriez faire et que vous avez des sauvegardes à restaurer.)


6
2017-08-03 19:13



Si vous avez un petit nombre de pays en développement (2,3,4?) Et pouvez tout perdre sauf un, la première option peut fonctionner. Arrêtez, retirez-vous, détruisez tous les contrôleurs sauf un, ce qui est le cas, saisissez les rôles du FSMO. Si vous en arrivez là, construisez de nouveaux contrôleurs de domaine pour remplacer ceux que vous avez dû détruire. - Clayton


Je n'ai pas vraiment essayé cela. (Désolé.) Je suppose aussi que RSAT ne fonctionnera pas à cause de "refuser l'accès distant / réseau". (Si vous n'avez pas essayé cela, ça vaut le coup, mais je ne suis pas optimiste.)

Vous pourriez peut-être créer un nouveau compte administrateur avec un CD de démarrage de Hiren et utiliser ce compte pour modifier la stratégie.


4
2017-08-03 18:54



Merci pour votre réponse. Malheureusement, je ne peux pas exécuter le CD de démarrage de Hiren dans ma machine virtuelle, car il s’agit d’une machine Hyper-V de deuxième génération. Existe-t-il une version alternative du CD de démarrage de Hiren? - shagrinar
ADUC utilise les requêtes LDAP, donc il devrait ne pas être bloqué par des restrictions "interdire l'accès au réseau" ... mais vous devez le lancer à l'aide d'un compte d'administrateur de domaine, ce que vous ne pouvez faire que si vous avez au moins un ordinateur sur lequel le GPO incriminé n'est pas appliqué. Cependant, PowerShell pourrait peut-être vous aider (voir ma réponse pour plus de détails). - Massimo
Une pensée se pose sur cette réponse. Puisque nous avons affaire à un contrôleur de domaine, qui n'a pas de comptes locaux, comment créer un nouveau compte administrateur via un CD de démarrage sur un contrôleur de domaine? Je dessine un blanc. J'ai déjà utilisé cette technique pour réinitialiser le mot de passe Administrateur / DSRM sur les contrôleurs de domaine, mais je doute qu'il soit possible de créer un nouvel utilisateur avec ce mot de passe. Est-ce que je manque quelque chose? - HopelessN00b
@KatherineVillyard FalconFour est une version plus avancée / moderne / utile de HBCD ... Just sayin '
@shagrinar Si vous pouvez démarrer PE - J'ai une option PXE PE uniquement pour les urgences et les diagnostics - cela pourrait également fonctionner, même si vous n'avez pas de MMC sans contorsions. Mais essayez d'abord RSAT si vous ne l'avez pas déjà fait. C'est l'option la moins pénible. - Katherine Villyard


Où la stratégie de groupe est-elle appliquée? Seulement aux pays en développement ou à l'ensemble du domaine?

S'il s'applique uniquement aux DC, vous pouvez toujours vous connecter à un autre ordinateur membre à l'aide d'un compte d'administrateur de domaine. vous pouvez ensuite activer la console de gestion des règles de groupe et / ou tous les autres outils d'administration AD si vous utilisez un système d'exploitation serveur, ou installer RSAT et faire de même s'il s'agit d'un poste de travail; avec ces outils, vous pourrez modifier l'objet de stratégie de groupe incriminé, ou au moins les utilisateurs et les groupes (la console ADUC utilise les requêtes LDAP, elle n'est donc pas soumise à des restrictions de connexion).

Si la stratégie est appliquée à l'ensemble du domaine et que vous ne pouvez pas vous connecter nulle part en utilisant un compte administrateur de domaine, une solution de contournement possible pourrait être d'utiliser le Module PowerShell Active Directory: presque toutes les cmdlets ont un -credential paramètre qui vous permet de spécifier les informations d'identification à utiliser pour l'exécution de la commande, même lorsque PowerShell s'exécute sous un compte d'utilisateur différent; Ceci comprend Supprimer-ADGroupMember. Ainsi, une solution possible serait:

  • Connectez-vous à n’importe quel ordinateur membre en utilisant n’importe quel compte utilisateur disponible.
  • Assurez-vous que les outils d'administration AD sont installés sur le système (activez-les sur un serveur ou installez RSAT sur un poste de travail).
  • Lancez PowerShell.
  • Import-Module ActiveDirectory
  • $admincreds = Get-Credential (Cela ouvre une fenêtre dans laquelle vous devez entrer les informations d'identification pour un compte d'administrateur de domaine).
  • Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

Si cela fonctionne, <UserName> sera retiré de <GroupName>, et donc la politique fautive ne le fermera plus.


3
2017-08-03 23:41



Ne fait pas Deny network access appliquer pour accéder via RSAT (et PowerShell)? Non pas que je sois sur le point de tester, ni d’expérience, mais je crois que cela ne fonctionnera pas pour cette raison. - HopelessN00b
ADUC utilise des requêtes LDAP, cela devrait être en dehors de la zone restreinte par "refuser l'accès au réseau"; le problème est de le faire fonctionner avec un compte administrateur de domaine. Je ne suis pas sûr de PowerShell, mais au lieu de cela ne pas doivent être exécutés sous le même compte d'utilisateur que celui que vous utilisez pour exécuter la commande. Il vaut donc vraiment la peine de tenter le coup. - Massimo
En mode de restauration, s’il efface le dossier gpo ou ajoute un refus ntfs, il serait bon. - yagmoth555♦
@ Massimo Comme je l'ai dit, je ne peux pas le dire avec certitude, mais la documentation sur cet objet de stratégie de groupe particulier États, sous Meilleures pratiques: "Etant donné que tous les programmes des services de domaine Active Directory utilisent une connexion au réseau pour l’accès, soyez prudent lorsque vous attribuez ce droit d’utilisateur aux contrôleurs de domaine." Cela me semble être un avertissement que cette configuration particulière s'applique à "tous les programmes de services de domaine Active Directory". - HopelessN00b
J'ai essayé les deux solutions ci-dessus mais sans succès. L'accès LDAP est désactivé. - shagrinar


Démarrez votre contrôleur de domaine en mode de restauration Active Directory, avec le compte que vous avez configuré lors de la création de votre domaine. (C’est simplement un compte d’administrateur local sur le DC, nommé Administratoret le mot de passe a été configuré dans dcpromo.)

À partir de là, supprimez toutes les autorisations NTFS sur votre ordinateur. SYSVOL volume, dans le dossier ID GPO. (Consultez le dernier dossier modifié pour trouver le dernier objet de stratégie de groupe modifié).

Dans ce mode, la base de données Active Directory n'est pas chargée, mais vous avez accès au système de fichiers.

Si rien ne fonctionne, dans ce mode, vous pouvez essayer un gpofix commande, mais sachez que tous les objets de stratégie de groupe seront supprimés.


3
2017-08-03 23:43



Existe-t-il un moyen de sauvegarder tous les objets de stratégie de groupe afin que je puisse les remettre en place (sans le GPO verrouillé)? - shagrinar
@shagrinar Non ... mais il serait peut-être préférable de supprimer toutes les autorisations NTFS sur le dossier GPO, car cela bloquerait l'application du GPO et ferait que votre contrôleur de domaine indique que votre GPO est corrompu dans la MMC du GPO. - yagmoth555♦
La suppression de toutes les autorisations NTFS sur SYSVOL n'a aucun effet, de la même manière que la suppression de tous les fichiers du répertoire. Il était possible d'entrer dans DSRM et je pouvais me connecter avec le compte, mais l'exécution de dcgpofix m'a envoyé un message d'erreur indiquant que je devais être connecté avec un compte membre du domaine ... - shagrinar
Les paramètres gpo sont toujours appliqués. Pouvez-vous effacer le cache en mode DSRM? (voir ici pour l'emplacement du registre; support.microsoft.com/en-us/kb/201453) - yagmoth555♦
J'ai tout enlevé à l'intérieur L'histoire, malheureusement pas de succès à vous connecter. - shagrinar


Lorsque le domaine a été créé à l'origine, un compte "dieu" a été créé. Découvrez ce que c'était, son mot de passe et vous devriez pouvoir vous connecter au DC hébergeant le catalogue global. À partir de là, vous devriez pouvoir annuler ce que vous avez fait et lui donner le temps de se propager.

Si cela échoue, vous pouvez utiliser certaines techniques de piratage informatique, mais il ne serait pas approprié que je les relaie ici. Contactez un expert en sécurité local, car il est généralement au courant des techniques de piratage informatique et peut vous aider à récupérer le domaine.

Bien sûr, s'il ne s'agit que de quelques serveurs et que ce n'est pas critique, vous pouvez également tout effacer et tout recommencer.


2
2017-08-03 21:59



Pouvez-vous me donner un indice sur la façon de savoir quel compte cela pourrait être? Je connais le compte d'administrateur local du contrôleur de domaine, qui s'est transformé en compte de domaine lorsque j'ai installé Active Directory, mais cela est également affecté. Essuyer les serveurs serait ma dernière option à considérer. - shagrinar
Lors de la création d'un nouveau domaine, que ce soit par script ou par assistant, vous devez créer un compte principal unique et lui attribuer un mot de passe. Il est généralement utilisé uniquement en période de récupération d'urgence (comme maintenant) et seule la personne qui a créé le domaine est au courant. Si vous ne savez pas qui a créé le domaine, vérifiez auprès de votre directeur, il y a des chances que quelqu'un de la chaîne de gestion reçoive cette information. - Colyn1337
Le compte dont vous parlez est le compte en mode restauration des services d'annuaire; il n'est utilisé que pour effectuer la maintenance sur les contrôleurs de domaine hors ligne, mais il ne s'agit pas d'un administrateur de domaine dans ce cas, il serait totalement inutile, sauf si vous souhaitez restaurer AD à partir de sauvegardes. - Massimo
@Massimo, je pense que vos informations sont un peu anciennes ... "vous pouvez configurer un contrôleur de domaine afin de pouvoir vous y connecter avec le compte administrateur DSRM si le contrôleur de domaine a été démarré normalement mais que le service AD ​​DS est arrêté une raison quelconque." technet.microsoft.com/en-us/library/cc816897(v=ws.10).aspx - Colyn1337
@ Massimo Il serait possible de supprimer le GPO de son emplacement dans le dossier sysvol du système de fichiers, ainsi que de modifier le registre pour modifier les paramètres à l'aide de cette technique. Je suppose que c'est ce qui est suggéré dans cette réponse. - HopelessN00b


Tout d'abord, fermez tous les contrôleurs de domaine. Cela évitera des problèmes de réplication bizarres.

La première étape consiste à supprimer le paramètre de stratégie de groupe incorrect. Les attributions de privilèges sont stockées dans GptTmpl.inf déposer dans MACHINE\Microsoft\Windows NT\SecEdit sous chaque dossier de politique. Vous saurez que vous avez la bonne politique lorsque cela .inf fichier contient une ligne pour SeDenyNetworkLogonRight, SeDenyInteractiveLogonRight, etc. Supprimer tous les SeDeny...Right lignes de celui-ci.

Windows n'appliquera pas les nouveaux paramètres à moins de constater que le GPO a été modifié, ce qu'il détermine en consultant le versionNumber attribut sur un objet Active Directory. N'essayons pas de modifier AD en mode hors connexion. Au lieu de cela, nous supprimerons manuellement les mauvais paramètres du registre.

Montez le contrôleur de domaine \Windows\System32\config\SECURITY ruche dans le registre d'un autre système Windows avec reg load. Ouvrez l'éditeur de registre et naviguez jusqu'à Policy\Accounts sous la ruche montée. (Vous devrez peut-être courir regedit en tant que système pour que cela fonctionne. PsExec peut le faire.) Chaque sous-clé de celle-ci correspond à un utilisateur ou à un groupe, et le ActSysAc la sous-clé de chacun de ceux-ci détient les "droits". (Les "privilèges" sont tous dans le Privilgs sous-clé.) Trouvez celui avec un ActSysAc valeur de C0 03 00 00, lequel correspond aux quatre droits que vous avez niés. Effacer ActSysAc ou changer sa valeur en 00 00 00 00. Fermez l’éditeur de registre et démontez la ruche avec reg unload.

Démarrez le contrôleur de domaine que vous avez modifié. Vous devriez pouvoir vous connecter maintenant. Utilisez la console de gestion des stratégies de groupe pour modifier n'importe quelle modification (aussi triviale soit-elle) des stratégies locales du GPO correspondant. Cela incrémentera le numéro de version du GPO.

Démarrez les autres contrôleurs de domaine et laissez les modifications se répliquer.


1
2017-08-05 20:34



Cela semble très prometteur, malheureusement, je ne peux pas confirmer que cela fonctionne. A présent, je reconstruis tout. Si quelqu'un peut confirmer que cela fonctionne, je serai plus qu'heureux de le marquer comme solution! - shagrinar


Vous pouvez essayer d'ouvrir dans l'explorateur \\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ policies (vous avez toujours accès).

Vous y trouverez toutes les polices. Déplacez tout ce répertoire vers une destination temporaire et essayez de redémarrer votre PC. Ça va aider.


0
2017-08-03 21:18



Le contrôleur de domaine s'appelle Asgard et le domaine s'appelle yggdrasil alors je suis entré: \\ asgard \ c $ \ windows \ sysvol \ sysvol \ yggdrasil \ policy ce qui a entraîné un message d'erreur m'indiquant que Windows ne peut pas accéder au répertoire. Je ne cherche pas à accéder à cela à partir du compte d'administrateur local d'un ordinateur qui se trouve dans le domaine mais à partir de mon ordinateur portable privé - il nécessite toujours un identifiant. - shagrinar
Vérifiez le répertoire, je ne suis pas sûr après sysvol. Pouvez-vous vous connecter à \\\ domaincontroller \ c $ en utilisant vos identifiants de domaine? Ou vous pouvez utiliser un administrateur local tel que "asgard \ admin" ou "asgard \ tor" :) - kgimpel
J'ai essayé cela en vain, mais comme c'est une machine virtuelle sur laquelle tourne le DC, je viens de monter le disque dur virtuel. J'ai trouvé le répertoire C: \ sysvol \ sysvol \ fqdn_of_domain, essayer d'y accéder a entraîné une erreur (c'est une sorte de lien symbolique?). J'ai trouvé un autre dossier C: \ sysvol \ domain qui contient des scripts et des politiques. J'ai tout déplacé, démonté le VHD et mis le feu à la machine. Malheureusement, il n'y a pas de changement. Où mène ce lien? Toutes les autres options que je peux envisager lors de l’accès au disque dur? - shagrinar
@shagrinar Référencer le contrôleur de domaine directement via un partage SMB, ce que cette réponse indique, ne fonctionnera pas car vous avez refusé l'accès au réseau par GPO. Vous pourriez être capable de faire \\domainname\sysvol\  et accéder aux politiques de cette façon, mais je ne pouvais pas espérer. La modification de sysvol requiert des privilèges d'administrateur de domaine. Si vous avez verrouillé tous les administrateurs de domaine, vous ne pourrez pas y accéder avec les privilèges requis. - HopelessN00b
À l'intérieur de SYSVOL \ Domain \ Policies Vous pouvez trier, rechercher et déplacer uniquement les répertoires créés le dernier jour. L'un d'eux sera votre politique de "problème". - kgimpel