2019 サーバーには 2 つのドメイン コントローラーがあり、システム管理者は GPO を使用して、ワークステーションへのグループ「Domain Admins」のアクセスを拒否する設定を行いました。現在、この設定はドメイン全体 (ドメイン コントローラーとサーバーを含む) に配布されています。また、Active Directory ユーザーとコンピューターにも変更を加えました (ドメイン管理者を保護されたユーザー グループに含める、プロファイルでドメイン管理者の委任を拒否する、krbtgt パスワードをリセットするなど)。
GPOは次のようになります:
Deny access to this computer from the network
Deny log on as a batch job
Deny log on as a service
Deny log on locally
Deny log on through Remote Desktop Services user rights
エラー:
Logon failure: user account restriction. Possible reasons are blank passwords not allowed,logon hour restrictions, or a policy restriction has been enforced.
そのため、ドメイン管理者ログインではドメイン コントローラーや他のサーバー/ワークステーションにログオンできません。リモート コントロールもすべてブロックされます。これが GPO だけの問題なのか、それとも他の何かの問題なのかはわかりません (リモートで表示する場合、GPO はドメイン コントローラーを含む OU には適用されないはずです)
すべての AD の Authoritative Restore (DSRM) を実行しましたが、機能しませんでした。sysvol フォルダーにはまだこの GPO が残っています (ファイルは削除されましたが、フォルダー構造は保持されています)。また、AD に加えられたすべての変更も保持されています (ドメイン管理者のユーザーが保護されたユーザー グループに残っているなど)。なぜこれらの変更がロールバックされないのでしょうか。
ワークステーションからの gpupdate /force はエラーを表示します。この GPO の gpt.ini が存在せず、グループ ポリシーを適用できないためです。
何か助けてください。
答え1
この解決策は簡単です。既知の utilman トリックを使用して、システム権限を持つシェルを取得します。そこから新しいユーザー「admin」を追加します。このユーザーをグループ「administrators」(ドメイン管理者ではない) のメンバーにします。管理者としてログオンします。psexec (Microsoft の pstools) をダウンロードします。次に、システム アカウントとして mmc を起動します: psexec -s -i mmc GPMC をその mmc に追加します。変更を行います。システムは DC 上で何でも実行できます。
答え2
問題は、ユーザー krbtgt のパスワードを変更することでした。次の方法で解決しました: 残りのドメイン コントローラーを無効にし (Authoritative Restore を実行しても、ドメイン コントローラーは他のドメイン コントローラーからこのユーザーに関するデータを取得しました)、その後、Authoritative Restore を再度実行し、このユーザーのパスワードを数回変更すると、すべて機能しました。