Wir haben 2 Domänencontroller mit 2019-Servern. Der Systemadministrator hat mit GPO etwas gemacht, das der Gruppe „Domänenadministratoren“ den Zugriff auf Arbeitsstationen verweigert. Jetzt wird es in der gesamten Domäne verteilt (einschließlich Domänencontroller und Server). Er hat auch Änderungen an Active Directory-Benutzern und -Computern vorgenommen (z. B. Domänenadministratoren in die geschützte Benutzergruppe aufnehmen, Delegierung für Domänenadministratoren in Profilen verweigern, krbtgt-Passwort zurücksetzen).
GPO war wie:
Deny access to this computer from the network
Deny log on as a batch job
Deny log on as a service
Deny log on locally
Deny log on through Remote Desktop Services user rights
Fehler:
Logon failure: user account restriction. Possible reasons are blank passwords not allowed,logon hour restrictions, or a policy restriction has been enforced.
Wir können uns also nicht mit Domänenadministrator-Anmeldungen bei Domänencontrollern oder anderen Servern/Arbeitsstationen anmelden. Die gesamte Fernsteuerung ist ebenfalls blockiert. Ich weiß nicht, ob es nur das GPO oder etwas anderes ist (denn bei Fernansicht sollte das GPO nicht auf die OU mit Domänencontrollern angewendet werden).
Ich habe eine autoritative Wiederherstellung (DSRM) aller ADs durchgeführt, hat nicht funktioniert. Ich sehe, dass der Sysvol-Ordner immer noch dieses GPO hat (Dateien gelöscht, aber Ordnerstruktur erhalten). Auch alle an AD vorgenommenen Änderungen bleiben erhalten (z. B. Domänenadministratorbenutzer immer noch in der Gruppe „Geschützte Benutzer“). Warum werden diese Änderungen nicht zurückgesetzt?
gpupdate /force von Arbeitsstationen zeigt einen Fehler an, weil gpt.ini von diesem GPO nicht existiert und die Gruppenrichtlinie nicht angewendet werden kann.
Irgendwelche Hilfe, bitte?
Antwort1
Diese Lösung sollte einfach sein: Verwenden Sie den bekannten Utilman-Trick, um eine Shell mit Systemberechtigungen zu erhalten. Fügen Sie dort einen neuen Benutzer „admin“ hinzu. Machen Sie ihn zum Mitglied der Gruppe „Administratoren“ (nicht Domänenadministratoren). Melden Sie sich als Administrator an. Laden Sie psexec (pstools von Microsoft) herunter. Starten Sie nun mmc als Systemkonto: psexec -s -i mmc Fügen Sie GPMC zu diesem mmc hinzu. Führen Sie die Änderungen durch. Das System kann auf einem DC alles tun!
Antwort2
Das Problem bestand darin, das Passwort für den Benutzer krbtgt zu ändern. So wurde es gelöst: Ich habe die restlichen Domänencontroller deaktiviert (selbst wenn ich eine autoritative Wiederherstellung durchgeführt habe, hat mein Domänencontroller Daten über diesen Benutzer von anderen Domänencontrollern übernommen), dann habe ich die autoritative Wiederherstellung erneut durchgeführt und das Passwort für diesen Benutzer einige Male geändert und alles funktioniert.