Bagaimana cara menghapus kebijakan grup tanpa akses ke domain (pengontrol)?

8

Saya punya pengendali domain (WS2012-R2) dan satu set server (WS2012-R2) yang menjadi anggota domain. Saya tidak sengaja menambahkan grup yang semua administratornya anggota ke Kebijakan Grup "Tolak akses masuk secara lokal", "Tolak masuk sebagai layanan", "Tolak akses jarak jauh" dan "Tolak akses jaringan". Ini mengakibatkan saya dan semua administrator lainnya (bahkan akun bawaan) terkunci dari pengontrol domain.

Apakah ada cara untuk mendapatkan kembali akses ke server dengan menghapus GPO atau dengan menghapus akun admin dari grup yang telah ditolak?

active-directory group-policy windows-server-2012-r2 shagrinar
sumber
3
Hanya sebuah pemikiran, mungkin akademis, tetapi bagaimana Anda secara tidak sengaja melakukan ini?
Colyn1337
@ Colyn1337 Mungkin tidak disengaja tetapi tidak dipertimbangkan dengan baik. Akun administrator adalah anggota grup yang setiap karyawannya anggota dan saya menambahkan grup ini ke GPO yang disebutkan di atas yang mengakibatkan penguncian setiap akun. Tidak terlintas di benak saya bahwa sebenarnya ada kemungkinan untuk mengunci akun administrator
bawaan
Apakah kebijakan ini juga berlaku untuk DC lain, atau hanya yang ini? (Bisakah Anda membangun DC baru dan secara paksa mengambil peran apa pun yang dimiliki ini?)
Katherine Villyard

Jawaban:

6

Dua pikiran muncul di pikiran.

Anda dapat, secara masuk akal, menggunakan CD boot untuk mengakses pengontrol domain saat sedang offline dan secara manual mengedit atau menghapus GPO yang menyinggung - GPO domain ada di bawah SYSVOLfolder dalam sistem file pada pengontrol domain, dan diterapkan sebagai pengaturan registri, keduanya yang dapat diakses dari Boot CD - namun, ini bisa dibatalkan dengan replikasi atau akan menyebabkan kesalahan replikasi domain segera setelah pengontrol domain yang Anda lakukan ini terhubung ke pengontrol domain lain di domain. (Saya membuat asumsi di sini bahwa Anda memiliki lebih dari satu pengontrol domain di domain Anda, seperti yang seharusnya ... jika Anda hanya memiliki satu, ini bukan pendekatan yang buruk).

Pendekatan lain yang muncul dalam pikiran adalah memasuki Mode Pemulihan Layanan Direktori dan melakukan pengembalian otoritatif dari cadangan yang ada sebelum GPO ini. (Dan ini juga, bergantung pada asumsi bahwa Anda melakukan apa yang seharusnya Anda lakukan, dan memiliki cadangan untuk dipulihkan.)

HopelessN00b
sumber
Jika Anda memiliki sejumlah kecil DC (2,3,4?) Dan dapat kehilangan semuanya kecuali satu, opsi pertama mungkin berhasil. Matikan, pensiun, hancurkan semua kecuali satu DC, juri rig yang satu itu, rebut peran FSMO. Jika Anda sampai sejauh itu, bangun beberapa DC baru untuk menggantikan yang harus Anda hancurkan.
Clayton
4

Saya belum benar-benar mencoba ini. (Maaf.) Saya juga berasumsi bahwa RSAT tidak akan berfungsi karena "menolak akses jarak jauh / jaringan." (Jika Anda belum mencoba ini, ada baiknya dicoba, tapi saya tidak optimis.)

Mungkin Anda bisa membuat akun administrator baru dengan Hiren's Boot CD dan menggunakan akun itu untuk mengedit kebijakan.

Katherine Villyard
sumber
Terima kasih atas jawaban Anda, sayangnya saya tidak dapat menjalankan Hiren's Boot CD di mesin virtual saya karena ini adalah mesin Generasi 2 Hyper-V. Apakah mungkin ada versi alternatif dari CD Boot Hiren?
shagrinar
ADUC menggunakan query LDAP, sehingga harus tidak diblokir oleh "menolak akses jaringan" pembatasan ... tapi Anda akan perlu untuk benar-benar memulai menggunakan akun admin domain, yang Anda hanya bisa dilakukan jika Anda memiliki setidaknya satu mesin yang GPO yang menyinggung tidak diterapkan. Namun, PowerShell mungkin bisa membantu (lihat jawaban saya untuk detailnya).
Massimo
3
Suatu pemikiran muncul pada jawaban ini. Karena kita berhadapan dengan pengontrol domain, yang tidak memiliki akun lokal ... bagaimana cara membuat akun administrator baru melalui CD Boot pada pengontrol domain? Saya menggambar kosong. Saya telah menggunakan teknik ini untuk mengatur ulang kata sandi Administrator / DSRM pada pengontrol domain sebelumnya, tetapi saya ragu apakah mungkin untuk membuat pengguna baru dengannya. Apakah saya melewatkan sesuatu?
HopelessN00b
1
@KatherineVillyard FalconFour adalah versi HBCD yang lebih maju / modern / berguna ... Katakan saja '
@shagrinar Jika Anda dapat mem-boot PE - Saya memiliki opsi PXE untuk PE hanya untuk keadaan darurat dan diagnostik - yang mungkin bekerja dengan baik, walaupun Anda tidak akan memiliki MMC tanpa kontraksi. Tapi coba RSAT dulu jika belum. Itu pilihan yang paling tidak menyakitkan.
Katherine Villyard
3

Di mana kebijakan grup diterapkan? Hanya ke DC atau ke seluruh domain?

Jika itu hanya diterapkan pada DC, maka Anda masih bisa masuk ke komputer anggota lain menggunakan akun admin domain; Anda kemudian dapat mengaktifkan konsol manajemen kebijakan grup dan / atau semua alat administrasi AD lainnya jika Anda menggunakan OS server, atau menginstal RSAT dan melakukan hal yang sama jika itu adalah workstation; dengan alat-alat itu, Anda akan dapat mengedit GPO yang menyinggung, atau setidaknya pengguna dan grup (konsol ADUC menggunakan kueri LDAP, sehingga tidak tunduk pada pembatasan masuk).

Jika kebijakan diterapkan sebagai gantinya ke seluruh domain dan Anda tidak dapat benar-benar masuk di mana saja menggunakan akun admin domain, maka solusi yang mungkin dapat menggunakan modul PowerShell Active Directory : hampir semua cmdlet memiliki -credentialparameter yang memungkinkan Anda menentukan kredensial untuk digunakan untuk menjalankan perintah, bahkan ketika PowerShell sebenarnya berjalan di bawah akun pengguna yang berbeda ; ini termasuk Remove-ADGroupMember . Dengan demikian, solusi yang mungkin adalah:

  • Masuk ke komputer anggota mana pun menggunakan akun pengguna apa pun yang tersedia.
  • Pastikan alat administratif AD diinstal pada sistem (baik mengaktifkannya di server atau menginstal RSAT di workstation).
  • Luncurkan PowerShell.
  • Import-Module ActiveDirectory
  • $admincreds = Get-Credential (ini memunculkan jendela tempat Anda perlu memasukkan kredensial untuk akun admin domain)
  • Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

Jika ini berhasil, <UserName>akan dihapus dari <GroupName>, dan dengan demikian kebijakan yang menyinggung tidak akan menguncinya lagi.

Massimo
sumber
4
Tidak Deny network accessberlaku untuk akses melalui RSAT (dan PowerShell)? Bukannya saya akan menguji, atau memiliki pengalaman mengunci diri saya dari DC untuk kembali, tapi saya percaya ini tidak akan berhasil karena alasan itu.
HopelessN00b
ADUC menggunakan kueri LDAP, ini harus di luar area yang dibatasi oleh "tolak akses jaringan"; masalahnya adalah menjalankannya menggunakan akun admin domain. Saya tidak yakin tentang PowerShell, tetapi bukannya tidak harus benar-benar berjalan di bawah akun pengguna yang sama yang Anda gunakan untuk menjalankan perintah, jadi pasti layak dicoba.
Massimo
Dalam mode pengembalian iklan jika ia menghapus folder gpo atau menambahkan ntfs, ia akan baik-baik saja.
yagmoth555
@ Massimo Seperti yang saya katakan, saya tidak bisa mengatakan dengan pasti, tetapi dokumentasi pada status GPO khusus ini , di bawah Praktik Terbaik: "Karena semua program Layanan Domain Direktori Aktif menggunakan log masuk jaringan untuk akses, berhati-hatilah saat Anda menetapkan pengguna ini dengan benar pada pengontrol domain. " Bagi saya itu terdengar seperti peringatan bahwa konfigurasi khusus ini berlaku untuk "semua program Layanan Domain Direktori Aktif".
HopelessN00b
3
Saya mencoba kedua hal di atas tetapi tidak berhasil. Akses LDAP dinonaktifkan.
shagrinar
3

Boot pengontrol domain Anda dalam mode pemulihan direktori aktif, dengan akun yang Anda siapkan saat Anda membuat domain Anda. (Ini hanyalah akun admin lokal di DC, bernama Administrator, dan kata sandi diatur di dcpromo.)

Dari sana, hapus semua izin NTFS pada SYSVOLvolume Anda , di folder ID GPO. (Periksa folder yang terakhir dimodifikasi untuk menemukan GPO yang terakhir dimodifikasi).

Dalam mode itu, database Active Directory tidak dimuat, tetapi Anda memiliki akses ke sistem file.

Jika tidak ada yang berhasil, dalam mode itu Anda dapat mencoba gpofixperintah, tetapi ketahuilah itu akan menghapus SEMUA GPO.

yagmoth555
sumber
Apakah ada cara untuk membuat cadangan semua GPO sehingga saya dapat mengembalikannya (tanpa lockout-GPO)?
shagrinar
2
@shagrinar Tidak ... tetapi hanya menghapus semua izin NTFS pada folder GPO mungkin lebih baik karena akan memblokir GPO untuk diterapkan, dan hanya akan membuat tampilan DC Anda bahwa GPO Anda rusak di MMC GPO.
yagmoth555
Menghapus semua izin NTFS di SYSVOL tidak berpengaruh, sama seperti menghapus semua file dari direktori. Memasuki DSRM dimungkinkan dan saya bisa masuk dengan akun tetapi menjalankan dcgpofix memberi saya pesan kesalahan yang mengatakan bahwa saya harus masuk dengan akun anggota domain ...
shagrinar
Pengaturan gpo masih diterapkan, dapatkah Anda menghapus cache saat dalam mode DSRM? (lihat di sana untuk lokasi registri; support.microsoft.com/en-us/kb/201453 )
yagmoth555
Saya menghapus semua yang ada di dalam Sejarah , sayangnya tidak berhasil masuk
shagrinar
2

Ketika domain awalnya dibuat ada akun "tuhan" dibuat. Cari tahu apa itu, kata sandinya, dan Anda harus bisa masuk ke DC yang menjadi tuan rumah katalog global. Dari sana Anda harus dapat membatalkan apa yang Anda lakukan dan memberikan waktu untuk menyebar.

Jika itu gagal ada beberapa teknik peretas yang dapat Anda gunakan, tetapi tidak pantas bagi saya untuk menyampaikannya di sini. Hubungi pakar keamanan lokal karena mereka biasanya mengetahui teknik peretas dan dapat membantu Anda mendapatkan kembali domain.

Tentu saja, jika ini hanya beberapa server, dan itu tidak kritis, Anda mungkin juga hanya menghapus dan memulai kembali.

Colyn1337
sumber
Bisakah Anda memberi saya petunjuk tentang cara mengetahui akun ini? Saya tahu akun administrator lokal pengendali domain, yang berubah menjadi akun domain ketika saya menginstal Active Directory tetapi ini juga terpengaruh. Menyeka server akan menjadi pilihan terakhir saya untuk dipertimbangkan.
shagrinar
Saat membuat domain baru, baik dengan script atau wizard, Anda harus membuat satu akun master dan memberikannya kata sandi. Ini umumnya hanya digunakan pada saat pemulihan bencana (seperti sekarang) dan hanya orang yang membuat domain yang akan tahu. Jika Anda tidak tahu siapa yang membuat domain, tanyakan kepada direktur Anda, kemungkinan seseorang dalam rantai manajemen diberi info ini.
Colyn1337
1
Akun yang Anda bicarakan adalah akun Mode Pemulihan Layanan Direktori; ini hanya digunakan untuk melakukan pemeliharaan pada DC offline, tetapi sebenarnya bukan administrator domain; dalam kasus ini akan sama sekali tidak berguna, kecuali jika Anda ingin mengembalikan AD dari cadangan.
Massimo
@ Massimo Saya pikir Anda info agak lama ... "Anda dapat mengonfigurasi pengontrol domain sehingga Anda dapat masuk ke itu dengan akun Administrator DSRM jika pengontrol domain dimulai secara normal tetapi layanan AD DS dihentikan untuk beberapa alasan." technet.microsoft.com/en-us/library/cc816897(v=ws.10).aspx
Colyn1337
1
@ Massimo Mungkin saja menghapus GPO dari lokasinya di folder sysvol pada sistem file, serta mengedit registri untuk mengubah pengaturan menggunakan teknik ini. Saya berasumsi itulah yang disarankan dalam jawaban ini.
HopelessN00b
1

Pertama, matikan semua pengontrol domain. Melakukan hal itu akan menghindari masalah replikasi yang aneh.

Langkah pertama adalah menghapus pengaturan Kebijakan Grup yang buruk. Tugas privilege disimpan dalam GptTmpl.inffile di MACHINE\Microsoft\Windows NT\SecEditbawah setiap folder kebijakan. Anda akan tahu Anda memiliki kebijakan yang tepat ketika itu .inffile berisi baris untuk SeDenyNetworkLogonRight, SeDenyInteractiveLogonRight, dan sebagainya. Hapus semua SeDeny...Rightbaris dari itu.

Windows tidak akan menerapkan pengaturan baru kecuali jika melihat bahwa GPO telah berubah, yang ditentukan dengan berkonsultasi dengan versionNumberatribut pada objek Active Directory. Jangan mencoba mengedit AD offline. Sebaliknya, kami akan menghapus pengaturan buruk dari Registry secara manual.

Pasang \Windows\System32\config\SECURITYsarang pengontrol domain ke dalam Registri sistem Windows lain dengan reg load. Buka Registry Editor dan arahkan ke Policy\Accountsbawah sarang yang terpasang. (Anda mungkin perlu menjalankan regeditsebagai SISTEM agar bisa berfungsi. PsExec dapat melakukannya.) Setiap subkunci yang terkait dengan pengguna atau grup, dan ActSysAcsubkunci masing-masing dari mereka memegang "hak." ("Hak istimewa" semuanya ada di Privilgssubkunci.) Temukan yang memiliki ActSysAcnilai C0 03 00 00, yang sesuai dengan empat hak yang Anda tolak. Hapus ActSysAcatau ubah nilainya menjadi 00 00 00 00. Tutup Peninjau Suntingan Registri dan lepaskan sarang dengan reg unload.

Boot pengontrol domain yang Anda modifikasi. Anda harus bisa masuk sekarang. Gunakan Konsol Manajemen Kebijakan Grup untuk melakukan pengeditan (tidak peduli sepele) terhadap Kebijakan Lokal GPO yang relevan. Itu akan menambah nomor versi GPO.

Boot pengontrol domain lainnya dan biarkan perubahannya berulang.

Ben N
sumber
Ini terlihat sangat menjanjikan, sayangnya saya tidak dapat memastikan bahwa itu berhasil. Sekarang saya sedang membangun kembali semuanya. Jika ada yang bisa memastikan bahwa ini berhasil, saya lebih dari senang untuk menandai ini sebagai jawabannya!
shagrinar
0

Anda dapat mencoba untuk membuka di explorer \\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ polices (Anda masih memiliki akses)

Di sana Anda akan menemukan semua kebijakan. Pindahkan semua dir ini ke beberapa tujuan temp dan coba reboot PC. Itu akan membantu.

kgimpel
sumber
Pengontrol domain disebut asgard dan domain disebut yggdrasil jadi saya memasukkan: \\ asgard \ c $ \ windows \ sysvol \ sysvol \ yggdrasil \ kebijakan yang menghasilkan pesan kesalahan yang memberitahu saya bahwa windows tidak dapat mengakses direktori. Saya tidak mencoba mengakses ini dari akun administrator lokal komputer yang ada di dalam domain tetapi dari laptop pribadi saya - masih memerlukan login.
shagrinar
Periksa direktori, saya tidak yakin setelah sysvol. Bisakah Anda masuk ke \ domaincontroller \ c $ menggunakan kredensial domain? Atau Anda dapat mencoba menggunakan admin lokal seperti "asgard \ admin" atau "asgard \ tor" :)
kgimpel
Saya mencoba ini tidak berhasil, tetapi karena ini adalah mesin virtual, DC sedang berjalan, saya baru saja memasang hard disk virtual. Saya menemukan direktori C: \ sysvol \ sysvol \ fqdn_of_domain , mencoba mengaksesnya menghasilkan kesalahan (ini semacam tautan simbolik?). Saya menemukan folder lain C: \ sysvol \ domain yang berisi skrip dan kebijakan. Saya memindahkan semuanya dari sana, melepas VHD dan menyalakan mesin. Sayangnya tidak ada perubahan. Di mana tautan ini mengarah? Ada opsi lain yang bisa saya pertimbangkan ketika memiliki akses hard disk?
shagrinar
3
@shagrinar Merujuk pengontrol domain secara langsung melalui bagian SMB, yang disarankan oleh jawaban ini, tidak akan berfungsi karena Anda telah menolak akses jaringan oleh GPO. Anda mungkin dapat melakukan \\domainname\sysvol\ dan mengakses kebijakan seperti itu, tetapi saya tidak akan terlalu berharap. Memodifikasi sysvol memerlukan hak admin domain, dan jika Anda telah mengunci semua admin domain, Anda tidak akan dapat mengaksesnya dengan hak istimewa yang diperlukan untuk melakukan ini.
HopelessN00b
Di dalam SYSVOL \ Domain \ Kebijakan Anda dapat mengurutkan, menemukan, dan memindahkan hanya direktori yang dibuat pada hari yang lalu. Salah satunya akan menjadi kebijakan "masalah" Anda.
kgimpel