我們有 2 個帶有 2019 伺服器的網域控制器,系統管理員使用 GPO 做了一些事情,拒絕「網域管理員」群組對工作站的訪問,現在它分佈在整個網域(包括網域控制器和伺服器)。他還對 Active Directory 使用者和電腦進行了更改(例如將網域管理員納入受保護的使用者群組、拒絕設定檔中網域管理員的委派、重設 krbtgt 密碼)。
GPO 是這樣的:
Deny access to this computer from the network
Deny log on as a batch job
Deny log on as a service
Deny log on locally
Deny log on through Remote Desktop Services user rights
錯誤:
Logon failure: user account restriction. Possible reasons are blank passwords not allowed,logon hour restrictions, or a policy restriction has been enforced.
因此我們無法使用網域管理員登入來登入網域控制器或其他伺服器/工作站。所有遠端控制也被封鎖。我不知道這只是GPO還是其他什麼(因為如果遠端查看,GPO不應該應用於具有網域控制器的OU)
我對所有 AD 進行了權威還原(DSRM),但沒有成功,我看到 sysvol 資料夾仍然有這個 GPO(檔案已刪除,但資料夾結構保留)。此外,對 AD 所做的所有變更仍然保留(例如網域管理員使用者仍在受保護的使用者群組中)為什麼這些變更沒有回溯?
工作站中的 gpupdate /force 顯示錯誤,導致此 GPO 中的 gpt.ini 不存在且無法套用群組原則。
有什麼幫助嗎?
答案1
這個解決方案應該很簡單:使用已知的 utilman 技巧來取得具有系統權限的 shell。從那裡新增一個用戶“admin”。使他成為「管理員」群組的成員(而不是網域管理員)。以管理員身分登入。下載 psexec(來自微軟的 pstools)。現在以系統帳戶啟動 mmc: psexec -s -i mmc 將 GPMC 新增至該 mmc 進行變更。系統可以在 DC 上執行任何操作!
答案2
問題在於更改使用者 krbtgt 的密碼。這樣解決:禁用其餘的網域控制器(即使我進行了權威還原,我的網域控制器從其他網域控制器獲取了有關該用戶的資料),然後再次進行了權威還原並為此用戶更改了幾次密碼,一切正常