2019년 서버에는 2개의 도메인 컨트롤러가 있으며, 시스템 관리자는 워크스테이션에 대한 "Domain Admins" 그룹의 액세스를 거부하는 GPO를 사용하여 무언가를 만들었고 이제는 도메인(도메인 컨트롤러 및 서버 포함) 전체에 배포됩니다. 그는 또한 Active Directory 사용자 및 컴퓨터를 변경했습니다(예: 보호된 사용자 그룹에 도메인 관리자 포함, 프로필에서 도메인 관리자에 대한 위임 거부, krbtgt 비밀번호 재설정).
GPO는 다음과 같았습니다.
Deny access to this computer from the network
Deny log on as a batch job
Deny log on as a service
Deny log on locally
Deny log on through Remote Desktop Services user rights
오류:
Logon failure: user account restriction. Possible reasons are blank passwords not allowed,logon hour restrictions, or a policy restriction has been enforced.
따라서 도메인 관리자 로그인으로는 도메인 컨트롤러나 다른 서버/워크스테이션에 로그온할 수 없습니다. 리모콘도 모두 차단됩니다. 그냥 GPO인지 아니면 다른 것인지 모르겠습니다(원격으로 볼 경우 도메인 컨트롤러가 있는 OU에 GPO를 적용하면 안 되기 때문입니다).
모든 AD에 대해 정식 복원(DSRM)을 수행했지만 작동하지 않았습니다. sysvol 폴더에 여전히 이 GPO(파일은 삭제되었지만 폴더 구조는 유지됨)가 있는 것을 확인했습니다. 또한 AD에 대한 모든 변경 사항이 여전히 보존됩니다(도메인 관리자 사용자가 여전히 보호된 사용자 그룹에 있음). 이러한 변경 사항이 롤백되지 않는 이유는 무엇입니까?
워크스테이션의 gpupdate /force 오류 표시로 인해 이 GPO의 gpt.ini가 존재하지 않으며 그룹 정책을 적용할 수 없습니다.
도움 좀 주세요?
답변1
이 솔루션은 쉬울 것입니다. 알려진 utilman 트릭을 사용하여 시스템 권한이 있는 쉘을 얻으십시오. 거기에서 새 사용자 "admin"을 추가하십시오. 그를 "관리자"(도메인 관리자 아님) 그룹의 구성원으로 만듭니다. 관리자로 로그온하십시오. psexec(Microsoft의 pstools)를 다운로드합니다. 이제 mmc를 시스템 계정으로 시작합니다. psexec -s -i mmc 해당 mmc에 GPMC를 추가합니다. 변경을 수행합니다. 시스템은 DC에서 무엇이든 할 수 있습니다!
답변2
문제는 사용자 krbtgt의 비밀번호를 변경하는 데 있었습니다. 이 방법으로 해결: 나머지 도메인 컨트롤러를 비활성화한 다음(정식 복원을 수행한 경우에도 내 도메인 컨트롤러가 다른 도메인 컨트롤러에서 이 사용자에 대한 데이터를 가져옴) 정식 복원을 다시 만들고 이 사용자에 대한 비밀번호를 몇 번 변경하면 모든 작업이 작동합니다.