Temos 2 controladores de domínio com servidor 2019, o administrador do sistema fez algo com GPO que nega acesso do grupo "Administradores de domínio" às estações de trabalho, agora está distribuído por todo o domínio (incluindo controladores de domínio e servidores). Ele também fez alterações nos usuários e computadores do Active Directory (como incluir administradores de domínio no grupo de usuários protegidos, negar delegação para administradores de domínio em perfis, redefinir a senha krbtgt).
GPO era como:
Deny access to this computer from the network
Deny log on as a batch job
Deny log on as a service
Deny log on locally
Deny log on through Remote Desktop Services user rights
erro:
Logon failure: user account restriction. Possible reasons are blank passwords not allowed,logon hour restrictions, or a policy restriction has been enforced.
Portanto, não podemos fazer logon em controladores de domínio ou outros servidores/estações de trabalho com logins de administrador de domínio. Todo o controle remoto também está bloqueado. Não sei se é apenas o GPO ou outra coisa (porque se visualizado remotamente, o GPO não deve ser aplicado à UO com controladores de domínio)
Fiz a Restauração Autoritativa (DSRM) de todos os AD, não funcionou, vejo que a pasta sysvol ainda tem esse GPO (arquivos excluídos, mas a estrutura de pastas foi preservada). Além disso, todas as alterações feitas no AD ainda são preservadas (como usuários administradores de domínio ainda no grupo de usuários protegidos). Por que essas alterações não são revertidas?
gpupdate /force das estações de trabalho mostra erro porque gpt.ini deste GPO não existe e a política de grupo não pode ser aplicada.
Alguma ajuda, por favor?
Responder1
Esta solução deve ser fácil: use o conhecido truque do utilman para obter um shell com permissões do sistema. Adicione um novo usuário “admin” a partir daí. torne-o membro do grupo "administradores" (não administradores de domínio). Faça logon como administrador. Baixe psexec (pstools da microsoft). Agora inicie o mmc como conta do sistema: psexec -s -i mmc adicione GPMC a esse mmc Faça as alterações. O sistema pode fazer qualquer coisa em um DC!
Responder2
Bem, o problema estava na alteração da senha do usuário krbtgt. Resolvido desta forma: Desativei o restante dos controladores de domínio (mesmo se eu fizesse uma Restauração Autoritativa, meu controlador de domínio obteve dados sobre este usuário de outros controladores de domínio), em seguida, fiz a Restauração Autoritativa novamente e alterei a senha algumas vezes para este usuário e tudo funciona