도메인 (컨트롤러)에 액세스하지 않고 그룹 정책을 제거하려면 어떻게합니까?

(WS2012-R2) 도메인 컨트롤러와 도메인의 구성원 인 (WS2012-R2) 서버 세트가 있습니다. 모든 관리자가 그룹 정책 "로컬 액세스 거부", "서비스로 로그온 거부", "원격 액세스 거부"및 "네트워크 액세스 거부"에 실수로 그룹을 추가했습니다. 이로 인해 나와 다른 모든 관리자 (내장 계정 포함)가 도메인 컨트롤러에서 잠기 게되었습니다.

GPO를 제거하거나 거부 된 그룹에서 관리자 계정을 제거하여 서버에 다시 액세스 할 수있는 방법이 있습니까?

두 가지 생각이 떠 오릅니다.

오프라인 상태 일 때 부트 CD를 사용하여 도메인 컨트롤러에 액세스하고 문제가있는 GPO를 수동으로 편집 또는 삭제할 수 있습니다. 도메인의 GPO 는 도메인 컨트롤러의 파일 시스템에 있는 SYSVOL폴더 아래 에 있으며 레지스트리 설정으로 적용됩니다. 부팅 CD에서 액세스 할 수 있습니다. 그러나 이는 복제에 의해 취소되거나 도메인 컨트롤러가 도메인의 다른 도메인 컨트롤러에 연결하자마자 도메인 복제 오류를 발생시킵니다. (여기서 도메인에 도메인 컨트롤러가 두 개 이상 있다고 가정합니다. 하나만 가지고 있다면 나쁜 접근 방식은 아닙니다).

염두에 두어야 할 다른 방법은 디렉터리 서비스 복원 모드로 들어가서이 GPO 이전의 백업에서 정식 복원을 수행하는 것입니다. (그리고 이것도 당신이 해야하는대로하고 가정에서 복원 할 것이라는 가정에 의존합니다.)

실제로 이것을 시도하지 않았습니다. (죄송합니다.) 또한 "원격 / 네트워크 액세스 거부"때문에 RSAT 가 작동하지 않는다고 가정합니다 . (이 방법을 시도하지 않으면 한 번의 가치가 있지만 낙관적이지는 않습니다.)

Hiren 's Boot CD를 사용하여 새 관리자 계정을 생성하고 해당 계정을 사용하여 정책을 편집 할 수 있습니다.

그룹 정책은 어디에 적용됩니까? DC 또는 전체 도메인에만 해당됩니까?

DC에만 적용되는 경우에도 도메인 관리자 계정을 사용하여 다른 구성원 컴퓨터에 로그온 할 수 있습니다. 그런 다음 서버 OS에있는 경우 그룹 정책 관리 콘솔 및 / 또는 다른 모든 AD 관리 도구를 활성화하거나 RSAT를 설치 하고 워크 스테이션 인 경우에도 동일하게 수행 할 수 있습니다. 이러한 도구를 사용하면 문제가있는 GPO 또는 최소한 사용자 및 그룹을 편집 할 수 있습니다 (ADUC 콘솔은 LDAP 쿼리를 사용하므로 로그온 제한이 적용되지 않습니다).

정책이 대신 전체 도메인에 적용되고 실제로 도메인 관리자 계정을 사용하여 어디에서나 로그온 할 수없는 경우 PowerShell Active Directory 모듈을 사용하여 가능한 해결 방법이있을 수 있습니다 . 거의 모든 cmdlet에는 -credential자격 증명을 지정할 수 있는 매개 변수가 있습니다. PowerShell이 ​​실제로 다른 사용자 계정으로 실행되는 경우에도 명령을 실행하는 데 사용 됩니다 . 여기에는 Remove-ADGroupMember가 포함됩니다 . 따라서 가능한 해결책은 다음과 같습니다.

• 사용 가능한 사용자 계정을 사용하여 모든 구성원 컴퓨터에 로그인하십시오.
• AD 관리 도구가 시스템에 설치되어 있는지 확인하십시오 (서버에서 활성화하거나 워크 스테이션에 RSAT 설치).
• PowerShell을 시작하십시오.
• Import-Module ActiveDirectory
• $admincreds = Get-Credential (도메인 관리자 계정의 자격 증명을 입력해야하는 창이 나타납니다)
• Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

이것이 작동 <UserName>하면에서 제거되어 <GroupName>문제가되는 정책이 더 이상 잠기지 않습니다.

도메인을 만들 때 설정 한 계정으로 Active Directory 복원 모드에서 도메인 컨트롤러를 부팅합니다. (이 이름은 DC의 로컬 관리자 계정이며 이름 Administrator은 dcpromo에서 설정되었습니다.)

여기 SYSVOL에서 GPO ID 폴더 의 볼륨 에 대한 모든 NTFS 권한을 제거하십시오 . 마지막으로 수정 된 GPO를 찾으려면 마지막으로 수정 한 폴더를 확인하십시오.

이 모드에서는 Active Directory 데이터베이스가로드되지 않지만 파일 시스템에 액세스 할 수 있습니다.

아무것도 작동하지 않으면 해당 모드에서 gpofix명령을 시도 할 수 있지만 모든 GPO가 제거됩니다.

도메인이 처음 만들어 졌을 때 "신"계정이 만들어졌습니다. 비밀번호, 비밀번호 및 글로벌 카탈로그를 호스팅하는 DC에 로그인 할 수 있어야합니다. 거기에서 당신은 당신이 한 일을 취소하고 전파 할 시간을 주어야합니다.

이것이 실패하면 사용할 수있는 해커 기술이 있지만 여기에 릴레이하는 것은 적절하지 않습니다. 일반적으로 해커 기술을 익히고 도메인을 되 찾는 데 도움을 줄 수 있으므로 현지 보안 전문가에게 문의하십시오.

물론이 서버가 몇 대이고 중요하지 않은 경우 정리하고 다시 시작할 수도 있습니다.

먼저 모든 도메인 컨트롤러를 종료하십시오. 그렇게하면 기괴한 복제 문제가 발생하지 않습니다.

첫 번째 단계는 잘못된 그룹 정책 설정을 제거하는 것입니다. 권한 할당은 각 정책 폴더 아래 의 GptTmpl.inf파일에 저장됩니다 MACHINE\Microsoft\Windows NT\SecEdit. 해당 .inf파일 SeDenyNetworkLogonRight에 SeDenyInteractiveLogonRight, 등 의 행이 포함 된 경우 올바른 정책이 있음을 알게 됩니다 . 모든 SeDeny...Right줄을 삭제 하십시오.

Windows는 GPO가 변경된 것을 확인하지 않으면 새 설정을 적용하지 않으며 versionNumberActive Directory 개체 의 특성을 참조하여 결정 합니다. AD를 오프라인으로 편집하지 마십시오. 대신 레지스트리에서 잘못된 설정을 수동으로 제거합니다.

를 사용하여 도메인 컨트롤러의 \Windows\System32\config\SECURITY하이브를 다른 Windows 시스템의 레지스트리에 마운트하십시오 reg load. 레지스트리 편집기를 열고 Policy\Accounts마운트 된 하이브 아래로 이동 하십시오. ( regedit작동하려면 SYSTEM 으로 실행해야 할 수도 있습니다 . PsExec이이 를 수행 할 수 있습니다.) 각 하위 키는 사용자 또는 그룹에 해당하며 각 하위 키 ActSysAc에는 "권한"이 있습니다. (이하 "권한"는에 모두 Privilgs하위 키.)을 가진 하나 찾기 ActSysAc의 값 C0 03 00 00, 대응 이 거부 네 권리를. ActSysAc값을 삭제 하거나로 변경하십시오 00 00 00 00. 레지스트리 편집기를 닫고로 하이브를 마운트 해제하십시오 reg unload.

수정 한 도메인 컨트롤러를 부팅하십시오. 지금 로그인 할 수 있어야합니다. 그룹 정책 관리 콘솔을 사용하면 아무리 사소한 관련 GPO의 로컬 정책을 편집 할 수 있습니다. 그러면 GPO의 버전 번호가 증가합니다.

다른 도메인 컨트롤러를 부팅하고 변경 사항을 복제하십시오.

탐색기 \\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ polices에서 열려고 시도 할 수 있습니다 (여전히 액세스 권한이 있습니다)

거기에 모든 경찰이 있습니다. 이 모든 디렉토리를 임시 위치로 옮기고 PC를 재부팅하십시오. 도움이 될 것입니다.