Je me suis verrouillé hors de l'éditeur de stratégie de groupe

J'ai défini les restrictions «autoriser uniquement certaines applications» et les ai accidentellement appliquées à tous les comptes. Maintenant, je ne suis autorisé qu'à exécuter un navigateur et je ne peux pas exécuter l'éditeur de stratégie de groupe!

Y a-t-il une porte dérobée que je peux utiliser?

Nous avons trouvé une solution de contournement qui exploite un trou évident dans la fonctionnalité «applications restreintes» de la stratégie de groupe. En renommant simplement un exécutable avec le nom de fichier d'une application approuvée, vous pouvez contourner la stratégie.

La solution de contournement à laquelle je suis arrivé est ci-dessous (vous pouvez utiliser de nombreuses variantes similaires / plus simples de cela, ce n'est pas le cas). J'espère que cela aide quelqu'un.

1. Renommez une copie de «cmd.exe» en quelque chose de autorisé, par exemple «chrome.exe»
2. Renommez également une copie de «mmc.exe»
3. Utilisez la ligne de commande qui fonctionne maintenant pour lancer la console de gestion
4. Dans la console de gestion, ajoutez le composant logiciel enfichable Stratégie de groupe
5. Corrigez votre erreur imprudente

La console de gestion ne s'exécutera pas à partir de l'explorateur une fois qu'il a été renommé, donc l'étape de ligne de commande est nécessaire.

Je suppose que vous avez des restrictions logicielles dans la partie Configuration utilisateur de la politique. Quelques conseils ici:

1. Copier vers un autre emplacement Si vous avez une restriction basée sur un emplacement de chemin, vous pouvez copier le fichier qui est restreint (mmc.exe?) Sur un autre lecteur (ou renommer le fichier) et essayer de l'exécuter à partir de là.

2. Informations d'identification mises en cache Si vous avez un ordinateur ou un ordinateur portable sur lequel vous vous êtes déjà connecté, débranchez le câble réseau et connectez-vous avec les informations d'identification mises en cache (si cela est autorisé). Lorsque vous êtes complètement connecté (vous souhaiterez peut-être attendre quelques minutes), rebranchez le câble réseau. Vous devriez maintenant pouvoir accéder au réseau, mais les politiques ne seront pas encore appliquées, vous pouvez donc accéder à tous les programmes.

3. supprimer les clés de registre Toutes ces restrictions de politique sont stockées dans le registre. Comme vous êtes un administrateur, vous avez les autorisations pour modifier le registre, vous devez donc trouver un moyen de le modifier.

Vous allez accéder à la clé de registre suivante: HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ chemins et supprimer toutes les clés sous cette clé, en laissant la clé elle-même intacte.

Si vous n'êtes pas en mesure de démarrer regedit.exe, vous pourrez peut-être démarrer les programmes suivants:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

Sinon, essayez d'accéder à distance au registre.

Cela ressemble à tout le piège 22. Il semble que vous ayez foutu la politique de domaine par défaut par les sons de celle-ci. Si je ne me trompe pas, vous êtes bien verrouillé, car tous les utilisateurs sont membres du groupe des utilisateurs authentifiés et le GPO sera appliqué, sauf si vous avez supprimé les utilisateurs authentifiés du filtrage de sécurité sur le GPO (ce qui ne ressemble pas au cas) . Il n'y a aucune combinaison utilisateur / groupe que je puisse proposer qui vous ramènera dans la GPMC. Pour autant que je puisse voir, il n'y a aucun moyen de revenir du domaine actuel si vous avez vraiment verrouillé votre capacité à exécuter la GPMC et tout autre programme / exécutable. Je n'ai jamais été dans ce scénario, donc il y a peut-être un moyen de le contourner dont je ne suis pas au courant, mais voici une solution de contournement que j'ai trouvée. Cela semble un peu bizarre et légèrement alambiqué mais je pense que ça fera l'affaire. Voici:

1. Configurez un contrôleur de domaine dans un nouveau domaine / forêt. Je ferai référence à ce domaine / forêt comme " nouveau " et je ferai référence au domaine / forêt existant comme " ancien " à partir de maintenant .

2. Créez une relation de confiance entre la nouvelle forêt et l' ancienne forêt. Étant donné que vous ne pouvez probablement pas accéder à la console DNS dans l' ancien domaine, vous devriez pouvoir modifier le fichier d'hôtes sur un contrôleur de domaine dans l' ancien domaine en y accédant à partir d'un poste de travail non associé à un domaine (fournissez les informations d'identification de domaine appropriées lorsque vous y êtes invité). Ajoutez une entrée pour le nouveau domaine (le suffixe DNS du domaine / nom de zone AD DNS du nouveau domaine) pointant vers l'adresse IP du serveur DC / DNS dans le nouveau domaine. Enregistrez le fichier et redémarrez l' ancien contrôleur de domaine pour précharger l'entrée du fichier d'hôtes dans le cache DNS. Cela devrait être un substitut praticable pour un transitaire conditionnel de l' ancienDomaine / Forêt vers le nouveau Domaine / Forêt. Créez le redirecteur conditionnel correspondant dans le nouveau domaine pour l' ancien domaine. Configurez le fichier hosts et le redirecteur conditionnel avant d'essayer de créer l'approbation.

3. Ajoutez le compte administrateur du nouveau domaine / forêt au groupe d'administrateurs intégrés dans l' ancien domaine / forêt en accordant au compte administrateur dans l' ancien domaine / forêt le droit d'utilisateur «Autoriser l'ouverture de session locale» dans le GPO par défaut des contrôleurs de domaine dans le nouveau Domaine / Forêt. Exécutez gpupdate / force sur le nouveau contrôleur de domaine, puis utilisez «exécuter en tant qu'utilisateur différent» ou «exécuter en tant que» (selon le système d'exploitation) sur le nouveau contrôleur de domaine pour ouvrir ADUC en tant qu'administrateur de l' ancien domaine et ADUC d'accueil sur l' ancien domaine.

4. Exécutez GPMC sur le contrôleur de domaine dans la nouvelle forêt

5. Accueil GPMC à l' ancien domaine / forêt

6. Dissocier la stratégie de domaine par défaut de l' ancienne forêt

7. Connectez-vous à un contrôleur de domaine dans l' ancienne forêt et exécutez gpupdate / force, puis vérifiez si vous pouvez désormais exécuter GPMC. Si oui, annulez tout ce que vous avez fait pour vous verrouiller et reconnecter la stratégie de domaine par défaut

8. Inversez les étapes ci-dessus, puis rompez l'approbation de la forêt et désactivez le nouveau domaine / forêt

La modification de l'objet de stratégie de groupe à travers la confiance de la forêt n'est pas possible (pour autant que je sache), mais la dissocier devrait l'être si vous suivez les étapes que j'ai décrites.

Que diriez-vous d'utiliser PowerShell pour supprimer le lien de stratégie de groupe. Voici la référence de commande sur technet http://technet.microsoft.com/en-us/library/ee461054.aspx

Je ne sais pas si vous pourriez exécuter un fichier .reg ... Windows est tellement lié au registre, donc les stratégies de groupe ... C'était la valeur de RestrictRun que vous avez définie, je pense. Avec un fichier .reg supprimer, vous pouvez supprimer cette clé.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Connectez-vous à votre propre compte. Exécutez ce fichier reg . Et vous devriez pouvoir exécuter d'autres programmes après le redémarrage.

Je sais qu'il n'est pas acceptable de télécharger des fichiers plutôt que des images, mais je suis désolé que vous n'ayez qu'à me faire confiance avec ce fichier reg, car vous ne pouvez pas le créer sur n'importe quel éditeur de texte ...

Nous avons trouvé une solution de contournement qui exploite un trou évident dans la fonctionnalité «applications restreintes» de la stratégie de groupe. En renommant simplement un exécutable avec le nom de fichier d'une application approuvée, vous pouvez contourner la stratégie.

Le seul problème est que vous ne pouvez pas accéder directement à 'gpedit.msc' en le renommant: cela ne fonctionnera pas.

La solution de contournement à laquelle je suis parvenu: (vous vous attendez à ce qu'une variante plus simple de cela fonctionne; elle ne fonctionne pas)

1. Renommez une copie de «cmd.exe» en quelque chose de autorisé, par exemple «chrome.exe»
2. Renommez également une copie de «mmc.exe»
3. Utilisez la ligne de commande qui fonctionne maintenant pour lancer la console de gestion
4. Dans la console de gestion, ajoutez le composant logiciel enfichable Stratégie de groupe
5. Corrigez votre erreur imprudente

La console de gestion ne s'exécutera pas à partir de l'explorateur une fois qu'il a été renommé, donc l'étape de la ligne de commande est nécessaire

TRÈS SIMPLE FIX

J'ai eu le même problème en modifiant accidentellement les paramètres système dans gpedit. Essayez ce correctif que j'ai obtenu de Greylox .... Cela a fonctionné pour moi.

Cliquez sur le bouton Démarrer, tapez exécuter dans le champ de recherche en bas de la fenêtre contextuelle, appuyez sur Entrée. Dans la nouvelle fenêtre entrez%systemroot%\system32\GroupPolicy\User delete registry.pol

Faites de même %systemroot%\system32\GroupPolicy\Machine delete registry.polsi vous le voyez, mon PC ne l'a pas.

Redémarrez votre système.

Connectez-vous sous le compte administrateur, créez un nouvel utilisateur avec des privilèges d'administrateur, redémarrez et reconnectez-vous en utilisant le nouveau compte administrateur.

Cliquez sur le bouton Démarrer, tapez exécuter dans le champ de recherche en bas de la fenêtre contextuelle, appuyez sur Entrée. Tapez gpedit.msc, appuyez sur entrée.

Allez dans Local Computer Policy-> User Configuration-> Administrative Templates-> (double-cliquez) system-> (regardez dans le panneau à droite et double-cliquez) run only specified windows applications. Cliquez sur le bouton radio à côté de Désactivé.