GPO已创build并链接到拒绝login域pipe理员的最高级别。 没有其他帐户能够login到域控制器。
有没有办法改变这个政策或以某种方式恢复?
现在我面对的是一个基本无法pipe理的大型域名,因为我无法login到DC。 DC是Windows 2008r2 ,客户端是Windows 7 。 我仍然可以login到客户机。 我确实有傀儡区议会和进入木偶大师的机会。
也许你可以使用带有域pipe理权限的GPMC(组策略pipe理控制台)打开。
或者使用powershell,你可以使用这些命令总是用一个域pipe理员权限打开的控制台:
希望您的GPO阻止交互式会话,并可以使用这两个解决scheme。
祝你好运
您不必login到域控制器来pipe理组策略。 您可以在Windows 7 PC上安装远程服务器pipe理工具。 这些是启用某个function时安装在Windows服务器上的相同工具。
https://www.microsoft.com/en-us/download/details.aspx?id=7887
请确保您阅读安装说明,因为只需双击该文件就不会安装这些工具。
您需要禁用问题GPO。 您可以使用LDAP客户端来完成。 即使您无法在域计算机上以域pipe理员身份login,也可以执行此操作:
运行LDAP客户端(我build议ADSI编辑)。 连接到您的DC并绑定为域pipe理员(您的策略不能阻止LDAP绑定)。 您可以以任何用户身份运行ADSI Edit ,即使是从域外的计算机运行,但是当您在“高级…”button下的对话框中select连接设置时,您必须提供域pipe理员凭据。 [更多关于使用ADSI编辑的信息。]
查找您的问题GPO ID:使用LDAP CN=Policies,CN=System浏览CN=Policies,CN=System根域中的CN=Policies,CN=System ,并通过displayName属性search策略ID(当您有多个策略时,这不是一项简单的任务)。
一旦在CN=Policies,CN=SystemfindCN=Policies,CN=System将其标志属性设置为3 ,即禁用GPO 。
等待组策略刷新(或重新启动)。
不幸的是,我们无法使这些事情在我们的情况下工作。 其他政策阻止了其中的一些和绑定作为领域的凭据也没有为我们工作。 我们的解决scheme是使用puppet,作为服务帐户运行secedit命令并覆盖设置不当的GPO。 感谢每个人的帮助。