Tenemos 2 controladores de dominio con servidor 2019, el administrador del sistema hizo algo con GPO que niega el acceso al grupo "Administradores de dominio" a las estaciones de trabajo, ahora está distribuido por todo el dominio (incluidos los controladores de dominio y los servidores). También realizó cambios en los usuarios y computadoras de Active Directory (como incluir administradores de dominio en el grupo de usuarios protegido, negar la delegación para administradores de dominio en perfiles, restablecer la contraseña de krbtgt).
GPO era como:
Deny access to this computer from the network
Deny log on as a batch job
Deny log on as a service
Deny log on locally
Deny log on through Remote Desktop Services user rights
error:
Logon failure: user account restriction. Possible reasons are blank passwords not allowed,logon hour restrictions, or a policy restriction has been enforced.
Por lo tanto, no podemos iniciar sesión en controladores de dominio u otros servidores/estaciones de trabajo con inicios de sesión de administrador de dominio. Todo el control remoto también está bloqueado. No sé si es solo el GPO o algo más (porque si se ve de forma remota, el GPO no debería aplicarse a la unidad organizativa con controladores de dominio)
Hice una restauración autorizada (DSRM) de todos los AD, no funcionó, veo que la carpeta sysvol todavía tiene este GPO (archivos eliminados pero estructura de carpetas preservada). Además, todos los cambios realizados en AD aún se conservan (como los usuarios administradores de dominio que aún están en el grupo de usuarios protegidos). ¿Por qué no se revierten estos cambios?
gpupdate /force desde las estaciones de trabajo muestra un error porque gpt.ini de este GPO no existe y no se puede aplicar la política de grupo.
¿Alguna ayuda por favor?
Respuesta1
Esta solución debería ser fácil: utilice el conocido truco de utilman para obtener un shell con permisos del sistema. Agregue un nuevo usuario "admin" desde allí. conviértalo en miembro del grupo "administradores" (no administradores de dominio). Inicie sesión como administrador. Descargue psexec (pstools de microsoft). Ahora inicie mmc como cuenta del sistema: psexec -s -i mmc agregue GPMC a ese mmc Haga los cambios. ¡El sistema puede hacer cualquier cosa en un DC!
Respuesta2
Bueno, el problema estaba en cambiar la contraseña del usuario krbtgt. Resuelto de esta manera: deshabilité el resto de los controladores de dominio (incluso si hice una Restauración Autorizada, mi controlador de dominio tomó datos sobre este usuario de otros controladores de dominio), luego realicé la Restauración Autorizada nuevamente y cambié la contraseña varias veces para este usuario y todo funciona.