Distriggers GPO nega il login degli amministratori di dominio

Un object Criteri di gruppo è stato creato e collegato al livello superiore che nega l'accesso agli amministratori di dominio. Nessun altro account è in grado di accedere ai controller di dominio.

C'è un modo per cambiare questa politica o in qualche modo recuperare?

Adesso sono di fronte a un grande dominio che è fondamentalmente inadeguabile poiché non ho modo di accedere a DC. I DC sono Windows 2008r2 ei client sono Windows 7 . Posso ancora accedere a macchine client. Ho fantoccio sui DC e l'accesso al maestro di burattini.

  • Controllo accessi in Windows Media Services
  • Samba come PDC e authentication offline
  • Come mostrare le printingnti collegate a networking in Windows Active Directory?
  • Errore 812 quando si connette a VPN per ufficio
  • Possiamo utilizzare i caratteri jolly con NETSH HTTP ADD URLACL in Windows 7 / 2008r2?
  • Come faccio a gestire Windows come Linux / Unix: diritti amministrativi per adesione al gruppo senza incidenti e senza condivisione della password di amministratore?
  • Applicazione o script gratuito per monitorare l'utilizzo della memory di App pool
  • Archiviazione di file vecchi senza l'acquisto di un sistema completo di archiviazione
  • 4 Solutions collect form web for “Distriggers GPO nega il login degli amministratori di dominio”

    Forse è ansible utilizzare il GPMC (Group Policy Management Console) aperto con i diritti di amministratore di dominio.

    Oppure con powershell, è ansible utilizzare questi comandi sempre con una console aperta con i diritti di dominio di dominio:

    Speriamo che il tuo object Criteri di gruppo abbia bloccato le sessioni interattive e potrebbe utilizzare queste due soluzioni.

    in bocca al lupo

    Non è necessario accedere a un controller di dominio per gestire i criteri di gruppo. È ansible installare gli strumenti di amministrazione remota del server su un PC Windows 7. Questi sono gli stessi strumenti installati su un server Windows quando si abilita una funzionalità.

    https://www.microsoft.com/en-us/download/details.aspx?id=7887

    Assicurati di leggere le istruzioni di installazione perché semplicemente facendo doppio clic sul file non verranno installati gli strumenti.

    Devi distriggersre il problema GPO. Puoi farlo con un client LDAP. Questo può essere fatto anche se non è ansible accedere come amministratore di dominio in un computer di dominio:

    1. Esegui il client LDAP (suggerisco ADSI Edit). Connettiti alla tua condizione di dominio e vincolati come Dominio Admin (la tua politica non può bloccare un legame LDAP). È ansible eseguire l' ADSI Edit come qualsiasi utente, anche da un computer al di fuori del dominio, ma quando si selezionano le impostazioni di connessione nel dialogo sotto il button "Advanced …" è necessario fornire credenziali di amministratore di dominio. [Maggiori informazioni sull'utilizzo di ADSI Edit .]

    2. Trovare il problema ID GPO: Sfoglia con LDAP CN=Policies,CN=System nella directory principale e cercare l'ID di criterio da attributo displayName (non è un task facile quando si dispone di molte politiche).

    3. Una volta trovato il criterio in CN=Policies,CN=System imposta l'attributo di bandiera a 3 – il che significa che l'object Criteri di gruppo è disabilitato .

    4. Attendere che la politica del gruppo sia aggiornata (o riavviata).

    Purtroppo non siamo riusciti a fare nessuna di queste cose nella nostra situazione. Altre politiche impedirono alcune e il binding come credenziali di dominio non funzionava per noi. La nostra soluzione era quella di utilizzare il burattino, che funge da account di servizio per eseguire un command secedit e sovrascrivere l'object Criteri di gruppo. Grazie però per tutti aiuto.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.