Como faço para remover uma diretiva de grupo sem acesso ao domínio (controlador)?

8

Eu tenho um controlador de domínio (WS2012-R2) e um conjunto de servidores (WS2012-R2) que são membros do domínio. Adicionei acidentalmente um grupo em que todos os administradores são membros da Diretiva de Grupo "Negar acesso ao logon localmente", "Negar logon como serviço", "Negar acesso remoto" e "Negar acesso à rede". Isso resultou em eu e todos os outros administradores (mesmo a conta interna) sendo bloqueados no controlador de domínio.

Existe uma maneira de recuperar o acesso ao servidor removendo o GPO ou removendo uma conta de administrador do grupo que foi negado?

active-directory group-policy windows-server-2012-r2 shagrinar
fonte
3
Apenas um pensamento, provavelmente acadêmico, mas como você acidentalmente faz isso?
precisa
@ Colyn1337 Provavelmente não é acidental, mas não é bem considerado. As contas de administrador são membros de um grupo do qual todos os funcionários são membros e eu adicionei esse grupo aos GPOs mencionados acima, o que resultou em um bloqueio de todas as contas. Não me veio à mente que existe realmente a possibilidade de bloquear a conta de administrador
interna
Essa política também se aplica a outros CDs ou apenas a este? (Você pode simplesmente construir um novo DC e forçosamente aproveitar todas as funções Este tem?)
Katherine Villyard

Respostas:

6

Dois pensamentos vêm à mente.

É possível que você possa usar um CD de inicialização para acessar o controlador de domínio enquanto estiver offline e editar ou excluir manualmente o GPO ofensivo - os GPOs de um domínio existem sob a SYSVOLpasta no sistema de arquivos dos controladores de domínio e são aplicados como configurações de registro, ambos acessíveis a partir de um CD de inicialização - no entanto, isso seria desfeito pela replicação ou causaria erros de replicação de domínio assim que o controlador de domínio em que você fez isso se conectasse aos outros controladores de domínio no domínio. (Estou assumindo aqui que você tem mais de um controlador de domínio no seu domínio, como deveria ... se você tiver apenas um, isso não seria uma abordagem ruim).

A outra abordagem que vem à mente é entrar no modo de restauração dos serviços de diretório e executar uma restauração autoritativa a partir de um backup anterior a esse GPO. (E isso também depende da suposição de que você está fazendo o que deveria e de ter backups para restaurar.)

HopelessN00b
fonte
Se você possui um pequeno número de CDs (2,3,4?) E consegue perder todos, exceto um, a primeira opção pode funcionar. Desligue, aposente-se, destrua todos, exceto um CD, equipamento jurídico, ocupe os papéis da FSMO. Se você chegar tão longe, construa novos DCs para substituir aqueles que você teve que destruir.
Clayton
4

Na verdade, eu não tentei isso. (Desculpe.) Também estou assumindo que o RSAT não funcionará devido a "negar acesso remoto / de rede". (Se você não tentou isso, vale a pena tentar, mas não estou otimista.)

Talvez você possa criar uma nova conta de administrador com um CD de inicialização da Hiren e usar essa conta para editar a política.

Katherine Villyard
fonte
Obrigado pela sua resposta, infelizmente não consigo executar o CD de inicialização do Hiren na minha máquina virtual, pois é uma máquina Hyper-V da geração 2. Existe talvez uma versão alternativa do CD de inicialização do Hiren?
shagrinar
O ADUC usa consultas LDAP, portanto, não deve ser bloqueado por restrições de "negar acesso à rede" ... mas você realmente precisa iniciá-lo usando uma conta de administrador de domínio, o que você só pode fazer se tiver pelo menos uma máquina na qual o GPO ofensivo não é aplicado. No entanto, o PowerShell pode ajudar (consulte minha resposta para obter detalhes).
Massimo
3
Um pensamento ocorre nesta resposta. Como estamos lidando com um controlador de domínio, que não possui contas locais ... como criar uma nova conta de administrador por meio de um CD de inicialização em um controlador de domínio? Estou desenhando um espaço em branco. Eu usei essa técnica para redefinir a senha de administrador / DSRM em controladores de domínio antes, mas duvido que seja possível criar um novo usuário com ela. Estou esquecendo de algo?
HopelessN00b
1
@KatherineVillyard FalconFour é uma versão mais avançada / moderna / útil do HBCD ... Just sayin '
@ shagrinar Se você pode inicializar o PE - eu tenho uma opção PXE do PE apenas para emergências e diagnósticos - que também podem funcionar, embora você não tenha o MMC sem contorções. Mas tente o RSAT primeiro, se você não tiver. É a opção menos dolorosa.
Katherine Villyard
3

Onde a política de grupo é aplicada? Somente para DCs ou para todo o domínio?

Se for aplicado apenas aos controladores de domínio, você ainda poderá fazer logon em outro computador membro usando uma conta de administrador de domínio; você pode ativar o console de gerenciamento de diretivas de grupo e / ou todas as outras ferramentas administrativas do AD se estiver em um sistema operacional de servidor ou instalar o RSAT e fazer o mesmo se for uma estação de trabalho; com essas ferramentas, você poderá editar o GPO ofensivo, ou pelo menos usuários e grupos (o console do ADUC usa consultas LDAP, portanto, não está sujeito a restrições de logon).

Se a política for aplicada a todo o domínio e você não conseguir fazer logon em nenhum lugar usando uma conta de administrador de domínio, uma possível solução alternativa seria usar o módulo Active Directory do PowerShell : quase todos os cmdlets possuem um -credentialparâmetro que permite especificar as credenciais usar para executar o comando, mesmo quando o PowerShell estiver realmente executando em uma conta de usuário diferente ; isso inclui Remove-ADGroupMember . Assim, uma solução possível seria:

  • Faça login em qualquer computador membro usando qualquer conta de usuário disponível.
  • Verifique se as ferramentas administrativas do AD estão instaladas no sistema (habilite-as em um servidor ou instale o RSAT em uma estação de trabalho).
  • Inicie o PowerShell.
  • Import-Module ActiveDirectory
  • $admincreds = Get-Credential (isso abre uma janela onde você precisa inserir credenciais para uma conta de administrador do domínio)
  • Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

Se isso funcionar, <UserName>será removido <GroupName>e, portanto, a política incorreta não será mais bloqueada.

Massimo
fonte
4
Não se Deny network accessaplica ao acesso via RSAT (e PowerShell)? Não que eu esteja prestes a testar ou tenha experiência em me bloquear dos meus CDs para recorrer, mas acredito que isso não funcionará por esse motivo.
HopelessN00b
O ADUC usa consultas LDAP, isso deve estar fora da área restrita por "negar acesso à rede"; o problema está em fazê-lo funcionar usando uma conta de administrador de domínio. Não tenho certeza sobre o PowerShell, mas ele não precisa estar realmente executando na mesma conta de usuário que você usa para executar o comando, por isso definitivamente vale a pena tentar.
Massimo
No modo de restauração de anúncios, se ele apagar a pasta gpo ou adicionar um NTFS negar, ele seria bom.
yagmoth555
@Massimo Como eu disse, não posso ter certeza, mas a documentação deste GPO específico declara, em Práticas recomendadas: "Como todos os programas dos Serviços de Domínio Active Directory usam um logon de rede para acesso, tenha cuidado ao atribuir esse usuário corretamente em controladores de domínio ". Parece-me um aviso de que essa configuração específica se aplica a "todos os programas dos Serviços de Domínio Active Directory".
HopelessN00b
3
Eu tentei os dois itens acima, mas sem sucesso. O acesso LDAP está desativado.
shagrinar
3

Inicialize seu controlador de domínio no modo de restauração do diretório ativo, com a conta que você configurou ao criar seu domínio. (É simplesmente uma conta de administrador local no controlador de domínio, chamada Administratore a senha foi configurada no dcpromo.)

A partir daí, remova todas as permissões NTFS do seu SYSVOLvolume, na pasta ID do GPO. (Verifique a pasta da última modificação para encontrar o GPO da última modificação).

Nesse modo, o banco de dados do Active Directory não é carregado, mas você tem acesso ao sistema de arquivos.

Se nada funcionar, nesse modo, você pode tentar um gpofixcomando, mas saiba que ele removerá TODOS os GPOs.

yagmoth555
fonte
Existe uma maneira de fazer backup de todos os GPOs para que eu possa colocá-los novamente (sem o bloqueio-GPO)?
shagrinar 4/08/16
2
@ shagrinar Não ... mas apenas a remoção de todas as permissões de NTFS na pasta GPO pode ser melhor, pois bloqueará a aplicação do GPO e fará com que o seu DC mostre que seu GPO está corrompido no MMC do GPO.
Yagmoth555
Remover todas as permissões NTFS no SYSVOL não tem efeito, o mesmo que remover todos os arquivos do diretório. Entrando DSRM era possível e eu poderia entrar com a conta mas correndo dcgpofix me deu uma mensagem de erro dizendo que eu tenho que estar conectado com uma conta membro do domínio ...
shagrinar
A configuração de GPO ainda é aplicada. Você pode apagar o cache enquanto estiver no modo DSRM? (consulte o local do registro; support.microsoft.com/en-us/kb/201453 )
yagmoth555
Tirei tudo dentro História , infelizmente sem sucesso no login.
shagrinar
2

Quando o domínio foi criado originalmente, havia uma conta "deus" criada. Descubra o que era, sua senha e você deverá conseguir fazer login no controlador de domínio que hospeda o catálogo global. A partir daí, você poderá desfazer o que fez e dar tempo para se propagar.

Se isso falhar, existem algumas técnicas de hackers que você pode usar, mas não seria apropriado retransmiti-lo aqui. Entre em contato com um especialista em segurança local, pois geralmente eles estão atualizados sobre as técnicas de hackers e podem ajudá-lo a recuperar o domínio.

Obviamente, se este é apenas alguns servidores e não é crítico, você também pode simplesmente limpar e começar de novo.

Colyn1337
fonte
Você pode me dar uma dica de como descobrir qual conta pode ser essa? Conheço a conta de administrador local do controlador de domínio, que se transformou em uma conta de domínio quando instalei o Active Directory, mas isso também é afetado. Limpar os servidores seria minha última opção a considerar.
shagrinar
Ao criar um novo domínio, seja por script ou assistente, você deve criar uma única conta principal e fornecer uma senha. Geralmente, é usado apenas em tempos de recuperação de desastres (como agora) e somente a pessoa que criou o domínio saberia. Se você não sabe quem criou o domínio, verifique com seu diretor, é provável que alguém da cadeia de gerenciamento tenha recebido essas informações.
precisa saber é o seguinte
1
A conta da qual você está falando é a conta do Modo de Restauração dos Serviços de Diretório; é usado apenas para realizar manutenção em controladores de domínio offline, mas na verdade não é um administrador de domínio; seria totalmente inútil nesse caso, a menos que você queira restaurar o AD a partir de backups.
Massimo
@Massimo Acho que as informações estão um pouco antigas ... "você pode configurar um controlador de domínio para fazer logon com a conta de administrador do DSRM se o controlador de domínio tiver sido iniciado normalmente, mas o serviço AD DS estiver parado para alguma razão." technet.microsoft.com/en-us/library/cc816897(v=ws.10).aspx
Colyn1337
1
@ Massimo Seria possível remover o GPO de seu local na pasta sysvol no sistema de arquivos, além de editar o registro para alterar as configurações usando esta técnica. Suponho que é o que está sendo sugerido nesta resposta.
HopelessN00b
1

Primeiro, desligue todos os controladores de domínio. Fazer isso evitará problemas de replicação bizarros.

A primeira etapa é remover a configuração de Diretiva de Grupo incorreta. As atribuições de privilégio são armazenadas no GptTmpl.infarquivo em MACHINE\Microsoft\Windows NT\SecEditcada pasta de política. Você saberá que tem a política certa quando esse .infarquivo contém uma linha para SeDenyNetworkLogonRight, SeDenyInteractiveLogonRightetc. Exclua todas as SeDeny...Rightlinhas dele.

O Windows não aplicará as novas configurações, a menos que veja que o GPO foi alterado, o que determina consultando o versionNumberatributo em um objeto do Active Directory. Não vamos tentar editar o AD offline. Em vez disso, removeremos as configurações incorretas do Registro manualmente.

Monte a \Windows\System32\config\SECURITYseção do controlador de domínio no registro de outro sistema Windows com reg load. Abra o Editor do Registro e navegue até Policy\Accountsa seção montada. (Talvez você precise estar executando regeditcomo SYSTEM para que isso funcione. O PsExec pode fazer isso.) Cada subchave corresponde a um usuário ou grupo e a ActSysAcsubchave de cada um desses detém os "direitos". (Os "privilégios" estão todos na Privilgssubchave.) Encontre o que possui um ActSysAcvalor igual a C0 03 00 00, que corresponde aos quatro direitos que você negou. Exclua ActSysAcou altere seu valor para 00 00 00 00. Feche o Editor do Registro e desmonte a seção reg unload.

Inicialize o controlador de domínio que você modificou. Você deve conseguir fazer login agora. Use o Console de Gerenciamento de Diretiva de Grupo para fazer qualquer edição (não importa o quão trivial) nas diretivas locais do GPO relevante. Isso aumentará o número da versão do GPO.

Inicialize os outros controladores de domínio e permita que as alterações sejam replicadas.

Ben N
fonte
Isso parece muito promissor, infelizmente não posso confirmar que funciona. Até agora estou reconstruindo tudo. Se alguém puder confirmar que isso funciona, fico feliz em marcar isso como a resposta!
shagrinar 6/08/16
0

Você pode tentar abrir no explorador \\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ polices (você ainda tem acesso)

Lá você encontrará todas as políticas. Mova todo esse diretório para algum destino temporário e tente reiniciar o PC. Isso ajuda.

kgimpel
fonte
O controlador de domínio é chamado asgard e o domínio é chamado yggdrasil, então digitei : \\ asgard \ c $ \ windows \ sysvol \ sysvol \ yggdrasil \ policy, que resultou em uma mensagem de erro informando que o Windows não pode acessar o diretório. Não estou tentando acessar isso da conta do administrador local de um computador que esteja dentro do domínio, mas do meu laptop particular - ele ainda requer um login.
shagrinar
Verifique o diretório, não tenho certeza após o sysvol. Você pode entrar para \\\ domaincontroller \ c $ usando credenciais de domínio Ou você pode tentar usar o administrador local como "Asgard \ admin" ou "Asgard \ tor" :)?
kgimpel
Tentei isso sem sucesso, mas como é uma máquina virtual em que o controlador de domínio está executando, acabei de montar o disco rígido virtual. Encontrei o diretório C: \ sysvol \ sysvol \ fqdn_of_domain , ao tentar acessá-lo, resultou em um erro (é algum tipo de link simbólico?). Encontrei outra pasta C: \ sysvol \ domain que contém scripts e políticas. Tirei tudo dele, desmontei o VHD e liguei a máquina. Infelizmente não há mudança. Para onde esse link leva? Quaisquer outras opções que eu possa considerar ao ter acesso ao disco rígido?
shagrinar
3
@shagrinar A referência ao controlador de domínio diretamente por meio de um compartilhamento SMB, recomendado pela resposta, não funcionará porque você negou o acesso à rede pelo GPO. Você pode fazer \\domainname\sysvol\ e acessar as políticas dessa maneira, mas não tenho muitas esperanças. A modificação do sysvol requer privilégios de administrador de domínio e, se você bloqueou todos os administradores de domínio, não poderá acessá-lo com os privilégios necessários para fazer isso.
HopelessN00b
Dentro de SYSVOL \ Domain \ Policies Você pode classificar, localizar e mover apenas os diretórios criados no dia anterior. Um deles será a sua política de "problema".
amigos estão dizendo sobre kgimpel