Comment supprimer une stratégie de groupe sans accès au domaine (contrôleur)?

J'ai un contrôleur de domaine (WS2012-R2) et un ensemble de serveurs (WS2012-R2) qui sont membres du domaine. J'ai accidentellement ajouté un groupe dont tous les administrateurs sont membres à la stratégie de groupe "Refuser l'accès à la connexion localement", "Refuser la connexion en tant que service", "Refuser l'accès à distance" et "Refuser l'accès au réseau". Cela a entraîné le verrouillage de moi et de tous les autres administrateurs (même le compte intégré) du contrôleur de domaine.

Existe-t-il un moyen de retrouver l'accès au serveur en supprimant l'objet de stratégie de groupe ou en supprimant un compte administrateur du groupe qui a été refusé?

Deux pensées me viennent à l'esprit.

Vous pouvez, en théorie, utiliser un CD de démarrage pour accéder au contrôleur de domaine lorsqu'il est hors ligne et modifier ou supprimer manuellement l'objet de stratégie de groupe incriminé - les objets de stratégie de groupe d'un domaine existent sous le SYSVOLdossier dans le système de fichiers sur les contrôleurs de domaine, et sont appliqués en tant que paramètres de registre, les deux de qui sont accessibles à partir d'un CD de démarrage - cependant, cela serait annulé par la réplication ou entraînerait des erreurs de réplication de domaine dès que le contrôleur de domaine sur lequel vous l'avez fait s'est connecté aux autres contrôleurs de domaine du domaine. (Je fais l'hypothèse ici que vous avez plus d'un contrôleur de domaine dans votre domaine, comme vous devriez ... si vous n'en avez qu'un, ce ne serait pas une mauvaise approche).

L'autre approche qui vient à l'esprit consiste à passer en mode de restauration des services d'annuaire et à effectuer une restauration faisant autorité à partir d'une sauvegarde antérieure à cet objet de stratégie de groupe. (Et cela aussi, repose sur l'hypothèse que vous faites comme vous devriez le faire et que vous avez des sauvegardes à restaurer.)

Je n'ai pas vraiment essayé ça. (Désolé.) Je suppose également que RSAT ne fonctionnera pas en raison de "refuser l'accès distant / réseau". (Si vous n'avez pas essayé cela, ça vaut le coup, mais je ne suis pas optimiste.)

Vous pourriez peut-être créer un nouveau compte administrateur avec un CD de démarrage Hiren et utiliser ce compte pour modifier la politique.

Où la stratégie de groupe est-elle appliquée? Uniquement aux DC ou à l'ensemble du domaine?

S'il n'est appliqué qu'aux contrôleurs de domaine, vous pouvez toujours vous connecter à un autre ordinateur membre à l'aide d'un compte d'administrateur de domaine; vous pouvez ensuite activer la console de gestion des stratégies de groupe et / ou tous les autres outils d'administration AD si vous êtes sur un système d'exploitation serveur, ou installer RSAT et faire de même s'il s'agit d'un poste de travail; avec ces outils, vous pourrez modifier le GPO incriminé, ou au moins les utilisateurs et les groupes (la console ADUC utilise des requêtes LDAP, elle n'est donc pas soumise à des restrictions de connexion).

Si la stratégie est plutôt appliquée à l'ensemble du domaine et que vous ne pouvez pas réellement vous connecter n'importe où à l' aide d'un compte d'administrateur de domaine, une solution de contournement possible pourrait être d'utiliser le module PowerShell Active Directory : presque toutes les applets de commande ont un -credentialparamètre qui vous permet de spécifier les informations d'identification à utiliser pour exécuter la commande, même lorsque PowerShell s'exécute réellement sous un autre compte d'utilisateur ; cela inclut Remove-ADGroupMember . Ainsi, une solution possible serait:

• Connectez-vous à n'importe quel ordinateur membre en utilisant n'importe quel compte d'utilisateur disponible.
• Assurez-vous que les outils d'administration AD sont installés sur le système (activez-les sur un serveur ou installez RSAT sur un poste de travail).
• Lancez PowerShell.
• Import-Module ActiveDirectory
• $admincreds = Get-Credential (cela ouvre une fenêtre dans laquelle vous devez saisir les informations d'identification d'un compte d'administrateur de domaine)
• Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

Si cela fonctionne, <UserName>sera supprimé de <GroupName>, et donc la politique incriminée ne le bloquera plus.

Démarrez votre contrôleur de domaine en mode de restauration Active Directory, avec le compte que vous avez configuré lors de la création de votre domaine. (Il s'agit simplement d'un compte d'administrateur local sur le DC, nommé Administrator, et le mot de passe a été configuré dans dcpromo.)

À partir de là, supprimez toutes les autorisations NTFS sur votre SYSVOLvolume, dans le dossier GPO ID. (Vérifiez le dernier dossier modifié pour trouver le dernier objet de stratégie de groupe modifié).

Dans ce mode, la base de données Active Directory n'est pas chargée, mais vous avez accès au système de fichiers.

Si rien ne fonctionne, dans ce mode, vous pouvez essayer une gpofixcommande, mais sachez qu'elle supprimera TOUS les GPO.

Lorsque le domaine a été créé à l'origine, un compte "dieu" a été créé. Découvrez ce que c'était, son mot de passe et vous devriez pouvoir vous connecter au DC hébergeant le catalogue global. À partir de là, vous devriez pouvoir annuler ce que vous avez fait et lui donner le temps de se propager.

Si cela échoue, vous pouvez utiliser certaines techniques de piratage, mais il ne serait pas approprié pour moi de relayer cela ici. Contactez un expert en sécurité local car ils sont généralement au courant des techniques de piratage et peuvent vous aider à retrouver le domaine.

Bien sûr, s'il ne s'agit que de quelques serveurs et que ce n'est pas critique, vous pouvez tout aussi bien effacer et recommencer.

Tout d'abord, arrêtez tous les contrôleurs de domaine. Cela évitera des problèmes de réplication bizarres.

La première étape consiste à supprimer le paramètre de stratégie de groupe incorrect. Les attributions de privilèges sont stockées dans le GptTmpl.inffichier MACHINE\Microsoft\Windows NT\SecEditsous chaque dossier de stratégie. Vous savez que vous avez la bonne politique lorsque ce .inffichier contient une ligne SeDenyNetworkLogonRight, SeDenyInteractiveLogonRightet ainsi de suite. Supprimez-en toutes les SeDeny...Rightlignes.

Windows n'appliquera pas les nouveaux paramètres sauf s'il constate que l'objet de stratégie de groupe a changé, ce qu'il détermine en consultant l' versionNumberattribut sur un objet Active Directory. N'essayons pas de modifier AD hors ligne. Au lieu de cela, nous supprimerons manuellement les paramètres incorrects du Registre.

Montez la \Windows\System32\config\SECURITYruche du contrôleur de domaine dans le registre d'un autre système Windows avec reg load. Ouvrez l'Éditeur du Registre et accédez à Policy\Accountssous la ruche montée. (Vous devrez peut-être exécuter en regedittant que SYSTEM pour que cela fonctionne. PsExec peut le faire.) Chaque sous-clé de cela correspond à un utilisateur ou un groupe, et la ActSysAcsous - clé de chacun de ceux-ci détient les «droits». (Les "privilèges" sont tous dans la Privilgssous - clé.) Trouvez celui avec une ActSysAcvaleur de C0 03 00 00, qui correspond aux quatre droits que vous avez refusés. Supprimez ActSysAcou modifiez sa valeur en 00 00 00 00. Fermez l'Éditeur du Registre et démontez la ruche avec reg unload.

Démarrez le contrôleur de domaine que vous avez modifié. Vous devriez pouvoir vous connecter maintenant. Utilisez la console de gestion des stratégies de groupe pour apporter des modifications (aussi triviales soient-elles) aux stratégies locales de l'objet de stratégie de groupe concerné. Cela augmentera le numéro de version du GPO.

Démarrez les autres contrôleurs de domaine et laissez les modifications se répliquer.

Vous pouvez essayer d'ouvrir dans l'explorateur \\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ policies (vous avez toujours accès)

Vous y trouverez toutes les politiques. Déplacez tout ce répertoire vers une destination temporaire et essayez de redémarrer le PC. Ça va aider.