Me bloqueé del editor de directivas de grupo

8

Establecí restricciones de 'solo permitir ciertas aplicaciones' y las apliqué accidentalmente en todos los ámbitos a todas las cuentas. ¡Ahora estoy restringido a ejecutar solo un navegador y no puedo ejecutar el editor de políticas de grupo!

¿Hay una puerta trasera que pueda usar?

windows-7 group-policy Darren
fuente
¿Dónde aplicó esa política? El nivel de dominio, nivel de sitio, nivel de unidad organizativa?
HostBits
En realidad no estoy seguro. Entiendo que solo lo estaba aplicando a los usuarios pero no a los administradores.
Darren
La cuenta de administrador de dominio, si aún reside en el Userscontenedor, debería estar bien, ya que la política solo puede estar vinculada a unidades organizativas. Es decir, a menos que haya realizado este cambio en la Política de dominio predeterminada.
jscott
¿Puedes iniciar sesión en la cuenta de administrador?
The_aLiEn
Sí. El problema es que la política se ha aplicado de alguna manera a mi cuenta de administrador.

Respuestas:

6

Encontró una solución alternativa que explota un agujero obvio en la función de 'aplicaciones restringidas' de la directiva de grupo. Simplemente cambiando el nombre de un archivo ejecutable al nombre de archivo de una aplicación confiable, puede omitir la política.

La solución alternativa a la que llegué se encuentra a continuación (sería posible que funcionen muchas variantes similares / más simples de esto; no lo hacen). Esperemos que esto ayude a alguien.

  1. Cambie el nombre de una copia de 'cmd.exe' a algo permitido, por ejemplo, 'chrome.exe'
  2. También cambie el nombre de una copia de 'mmc.exe'
  3. Use la línea de comandos que ahora funciona para iniciar la consola de administración
  4. Desde la consola de administración, agregue el complemento de directiva de grupo
  5. Arregla tu error descuidado

La consola de administración no se ejecutará desde el explorador una vez que se le haya cambiado el nombre, por lo que el paso de la línea de comandos es necesario.

Darren
fuente
4

Supongo que tiene restricciones de software en la parte de Configuración de usuario de la política. Algunos consejos aquí:

1. Copie a otra ubicación Si tiene una restricción basada en una ubicación de ruta, puede copiar el archivo que está restringido (mmc.exe?) A otra unidad (o cambiar el nombre del archivo) e intentar ejecutarlo desde allí.

2. Credenciales almacenadas en caché Si tiene una computadora o computadora portátil en la que inició sesión anteriormente, desconecte el cable de red e inicie sesión con credenciales almacenadas en caché (si está permitido). Cuando haya iniciado sesión por completo (es posible que desee esperar unos minutos) vuelva a enchufar el cable de red. Ahora debería poder acceder a la red, pero las políticas aún no se aplicarán, por lo que puede acceder a todos los programas.

3. eliminar claves del registro Todas estas restricciones de política se almacenan en el registro. Como usted es administrador, tiene permisos para editar el registro, por lo que debe encontrar una manera de editarlo.

Lo que debe hacer es ir a la siguiente clave de registro: HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ y eliminar todas las claves de esta clave, dejando la clave intacta.

Si no puede iniciar regedit.exe, puede iniciar los siguientes programas:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

De lo contrario, intente acceder al registro de forma remota.

ZEDA-NL
fuente
1 y 2 no se aplican en este caso, pero probé 3 justo ahora y pude ejecutar reg.exe desde la línea de comandos y funcionó, ¡gracias! Sin embargo, encontré una forma más fácil que se muestra a continuación
Darren
Me alegra que hayas encontrado una solución. Cambiar el nombre del archivo es el mismo concepto que copiarlo en otra ubicación, debería haber escrito 'Copiar o renombrar' en el paso uno. Por cierto, puede evitar el 'agujero' si lo desea, agregando una regla de restricción de hash de software.
ZEDA-NL
Eso suena interesante: ¿almacenar los hash MD5 del software permitido? ¿Está esto en Windows por defecto o requiere un tercero?
Darren
2
Las reglas de hash son nativas en Windows 7, Windows 2008 y Windows 2003 y tal vez antes. Simplemente elija 'nueva regla hash' donde previamente eligió 'nueva regla de ruta'. La desventaja es que podría dejar de funcionar cuando actualice su sistema. Sin embargo, puede combinar reglas hash y reglas de ruta.
ZEDA-NL
3

Eso suena como la trampa 22. Parece que te has topado con la Política de dominio predeterminada por el sonido de la misma. Si no me equivoco, está bastante bloqueado porque todos los usuarios son miembros del grupo de usuarios autenticados y tendrán aplicado el GPO a menos que elimine a los usuarios autenticados del filtro de seguridad en el GPO (que no parece ser el caso) . No hay una combinación de usuario / grupo que se me ocurra que lo lleve de regreso al GPMC. Hasta donde puedo ver, no hay forma de volver del dominio actual si realmente ha bloqueado su capacidad para ejecutar GPMC y cualquier otro programa / ejecutable. Nunca he estado en este escenario, por lo que puede haber una forma de evitarlo que no conozco, pero he encontrado una solución alternativa. Suena un poco excéntrico y un poco complicado pero creo que funcionará. Aquí va:

  1. Configure un DC en un nuevo dominio / bosque. Me referiré a este dominio / bosque como " nuevo " y me referiré al dominio / bosque existente como " antiguo " de ahora en adelante.

  2. Crea una confianza entre el bosque nuevo y el bosque viejo . Dado que es probable que no puede acceder a la consola DNS en el antiguo dominio que debe ser capaz de editar el archivo hosts en una CC en el antiguo dominio de acceder a él desde una estación de trabajo no es de dominio unido (proporcionar las credenciales de dominio apropiadas cuando se le solicite). Agregue una entrada para el nuevo dominio (el sufijo DNS del dominio / nombre de zona AD DNS del nuevo dominio) que apunte a la dirección IP del servidor DC / DNS en el nuevo dominio. Guarde el archivo y reinicie el viejo DC para cargar previamente la entrada del archivo hosts en la caché DNS. Esto debería ser un sustituto aceptable para un reenviador condicional del antiguoDominio / Bosque al nuevo Dominio / Bosque. Crear el reenviador condicional correspondiente en el nuevo dominio para el antiguo dominio. Configure el archivo de hosts y el reenviador condicional antes de intentar crear la confianza.

  3. Agregue la cuenta de administrador del nuevo dominio / bosque al grupo de administradores integrados en el antiguo dominio / bosque otorgando a la cuenta de administrador en el antiguo dominio / bosque el derecho de usuario "Permitir iniciar sesión localmente" en el GPO de controladores de dominio predeterminados en el nuevo Dominio / Bosque. Ejecutar gpupdate / force en la nueva CC y luego usar "Ejecutar como otro usuario" o "Ejecutar como" (dependiendo del sistema operativo) en la nueva CC a ADUC abierta como Administrador de la edad de dominio y ADUC alberga el antiguo dominio.

  4. Ejecute GPMC en DC en el nuevo bosque

  5. Inicio GPMC al antiguo dominio / bosque

  6. Desvincular la política de dominio predeterminada en el bosque antiguo

  7. Inicie sesión en un DC en el bosque antiguo y ejecute gpupdate / force y luego vea si ahora puede ejecutar GPMC. Si es así, deshaga lo que haya hecho para bloquearse y volver a vincular la Política de dominio predeterminada

  8. Invierta los pasos de arriba y luego rompa la confianza del bosque y desmantele el nuevo Dominio / Bosque

No es posible editar el GPO en toda la confianza del Bosque (que yo sepa), pero desvincularlo debería serlo si sigues los pasos que he establecido.

joeqwerty
fuente
Si bien, en teoría, parece que funcionaría para algunas configuraciones, estoy hablando de una sola máquina, no un dominio aquí, por lo que esta respuesta no se aplica. ¡Pero gracias!
Darren
Culpa mía. Pensé que esto estaba en un dominio. Continuar entonces.
joeqwerty
Je, perdón Me siento realmente mal de que te hayas metido en todo este problema. Supongo que debería haber especificado que era una sola máquina considerando que esto es Serverfault.
Darren
1

¿Qué tal usar powershell para eliminar el enlace de la política de grupo? Aquí está la referencia de comandos en technet http://technet.microsoft.com/en-us/library/ee461054.aspx

uSlackr
fuente
Intenté eso, pero debido a las restricciones, no pude instalar las herramientas RSAT que requieren los cmdlets de directiva de grupo.
0

No sé si podría ejecutar un archivo .reg ... Windows está tan relacionado con el registro, por lo que las políticas de grupo ... Creo que fue el valor RestrictRun que estableció. Con un archivo eliminar .reg puede eliminar esa clave.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Inicie sesión en su propia cuenta. Ejecute este archivo de registro . Y debería poder ejecutar otros programas después de reiniciar.

Sé que no es aceptable cargar archivos en lugar de imágenes, pero lamento que solo tengas que confiar en mí con este archivo de registro, ya que no puedes crearlo en ningún editor de texto ...

El alien
fuente
0

Encontró una solución alternativa que explota un agujero obvio en la función de 'aplicaciones restringidas' de la directiva de grupo. Simplemente cambiando el nombre de un archivo ejecutable al nombre de archivo de una aplicación confiable, puede omitir la política.

El único problema es que no puede acceder directamente a 'gpedit.msc' al renombrarlo: no funcionará.

La solución a la que llegué: (esperaría que funcione una variante más simple de esto; no funciona)

  1. Cambie el nombre de una copia de 'cmd.exe' a algo permitido, por ejemplo, 'chrome.exe'
  2. También cambie el nombre de una copia de 'mmc.exe'
  3. Use la línea de comandos que ahora funciona para iniciar la consola de administración
  4. Desde la consola de administración, agregue el complemento de directiva de grupo
  5. Arregla tu error descuidado

La consola de administración no se ejecutará desde el explorador una vez que se haya cambiado el nombre, por lo que es necesario el paso de la línea de comandos


fuente
0

ARREGLO MUY SIMPLE

Tuve el mismo problema al cambiar accidentalmente la configuración del sistema en gpedit. Prueba esta solución que obtuve de Greylox ... Funcionó para mí.

Haga clic en el botón de inicio, escriba ejecutar en el campo de búsqueda en la parte inferior de la ventana emergente y presione Intro. En la nueva ventana ingrese%systemroot%\system32\GroupPolicy\User delete registry.pol

Haga lo mismo %systemroot%\system32\GroupPolicy\Machine delete registry.polsi lo ve, mi PC no lo tenía.

Reinicie su sistema.

Inicie sesión con una cuenta de administrador, cree un nuevo usuario con privilegios de administrador, reinicie y vuelva a iniciar sesión con la nueva cuenta de administrador.

Haga clic en el botón de inicio, escriba ejecutar en el campo de búsqueda en la parte inferior de la ventana emergente y presione Intro. Escriba gpedit.msc, presione enter.

Vaya a Local Computer Policy-> User Configuration-> Administrative Templates-> (doble clic) system-> (busque en el panel de la derecha y haga doble clic) run only specified windows applications. Haga clic en el botón de radio junto a Desactivado.

San Jac
fuente