¿Cómo elimino una política de grupo sin acceso al dominio (controlador)?

8

Tengo un controlador de dominio (WS2012-R2) y un conjunto de servidores (WS2012-R2) que son miembros del dominio. Agregué accidentalmente un grupo del que todos los administradores son miembros a la Política de grupo "Denegar el acceso de inicio de sesión localmente", "Denegar el inicio de sesión como servicio", "Denegar el acceso remoto" y "Denegar el acceso a la red". Esto resultó en que yo y todos los demás administradores (incluso la cuenta integrada) quedaran bloqueados fuera del controlador de dominio.

¿Hay alguna manera de recuperar el acceso al servidor eliminando el GPO o eliminando una cuenta de administrador del grupo que ha sido denegado?

active-directory group-policy windows-server-2012-r2 shagrinar
fuente
3
Solo un pensamiento, probablemente académico, pero ¿cómo haces esto accidentalmente ?
Colyn1337
@ Colyn1337 Probablemente no sea accidental, pero no está bien considerado. Las cuentas de administrador son miembros de un grupo del que todos los empleados son miembros y agregué este grupo a los GPO mencionados anteriormente, lo que resultó en un bloqueo de cada cuenta. No vino a la mente que en realidad hay la posibilidad de bloquear la cuenta integrada de administrador pero no somos ...
shagrinar
¿Esta política también se aplica a otros DC, o solo a este? (¿Puedes construir un nuevo DC y tomar por la fuerza cualquier papel que tenga este?)
Katherine Villyard

Respuestas:

6

Dos pensamientos vienen a la mente.

Podría, posiblemente, usar un CD de arranque para acceder al controlador de dominio mientras está fuera de línea y editar o eliminar manualmente el GPO ofensivo: los GPO de un dominio existen debajo de la SYSVOLcarpeta en el sistema de archivos en los controladores de dominio, y se aplican como configuraciones de registro, ambos a los que se puede acceder desde un CD de arranque; sin embargo, esto se deshacería mediante la replicación o causaría errores de replicación del dominio tan pronto como el controlador de dominio que hiciste esto se conectara a los otros controladores de dominio en el dominio. (Supongo que aquí tiene más de un controlador de dominio en su dominio, como debería ... si solo tiene uno, este no sería un mal enfoque).

El otro enfoque que viene a la mente es ingresar al modo de restauración de servicios de directorio y realizar una restauración autorizada desde una copia de seguridad anterior a este GPO. (Y esto también, se basa en la suposición de que está haciendo lo que debe hacer, y tiene copias de seguridad para restaurar).

HopelessN00b
fuente
Si tiene un pequeño número de DC (2,3,4?) Y puede perder todos menos uno, la primera opción puede funcionar. Apague, retírese, destruya todos los DC menos uno, júntelo, tome los roles de FSMO. Si llegas tan lejos, construye algunos DC nuevos para reemplazar los que tenías que destruir.
Clayton
4

En realidad no he intentado esto. (Lo siento). También estoy asumiendo que RSAT no funcionará debido a "denegar el acceso remoto / a la red". (Si no has probado esto, vale la pena intentarlo, pero no soy optimista).

Quizás podría crear una nueva cuenta de administrador con un CD de Arranque de Hiren y usar esa cuenta para editar la política.

Katherine Villyard
fuente
Gracias por su respuesta, lamentablemente no puedo ejecutar el CD de arranque de Hiren en mi máquina virtual, ya que es una máquina Generation 2 Hyper-V. ¿Existe quizás una versión alternativa del Hiren's Boot CD?
shagrinar
ADUC utiliza consultas LDAP, por lo tanto, no debe ser bloqueado por las restricciones de "denegar el acceso a la red" ... pero necesitaría iniciarlo usando una cuenta de administrador de dominio, lo que solo puede hacer si tiene al menos una máquina en la que el GPO ofensivo no se aplica. Sin embargo, PowerShell podría ser capaz de ayudar (vea mi respuesta para más detalles)
Massimo
3
Se produce un pensamiento sobre esta respuesta. Dado que estamos tratando con un controlador de dominio, que no tiene cuentas locales ... ¿cómo se podría crear una nueva cuenta de administrador a través de un CD de arranque en un controlador de dominio? Estoy dibujando un espacio en blanco. He usado esta técnica para restablecer la contraseña de administrador / DSRM en los controladores de dominio anteriormente, pero dudo que sea posible crear un nuevo usuario con ella. ¿Me estoy perdiendo de algo?
HopelessN00b
1
@KatherineVillyard FalconFour es una versión más avanzada / moderna / útil de HBCD ... Solo
@shagrinar Si puede arrancar PE, tengo una opción PXE de PE solo para emergencias y diagnósticos, eso también podría funcionar, aunque no tendrá MMC sin contorsiones. Pero pruebe RSAT primero si no lo ha hecho. Es la opción menos dolorosa.
Katherine Villyard
3

¿Dónde se aplica la política de grupo? ¿Solo para DC o para todo el dominio?

Si solo se aplica a DC, aún puede iniciar sesión en otra computadora miembro utilizando una cuenta de administrador de dominio; luego puede habilitar la consola de administración de directivas de grupo y / o todas las demás herramientas administrativas de AD si está en un sistema operativo de servidor, o instalar RSAT y hacer lo mismo si es una estación de trabajo; con esas herramientas, podrá editar el GPO infractor, o al menos usuarios y grupos (la consola ADUC usa consultas LDAP, por lo que no está sujeta a restricciones de inicio de sesión).

Si la política se aplica a todo el dominio y no puede iniciar sesión en cualquier lugar con una cuenta de administrador de dominio, entonces una posible solución podría ser usar el módulo PowerShell Active Directory : casi todos los cmdlets tienen un -credentialparámetro que le permite especificar las credenciales utilizar para ejecutar el comando, incluso cuando PowerShell se ejecuta realmente con una cuenta de usuario diferente ; Esto incluye Remove-ADGroupMember . Por lo tanto, una posible solución sería:

  • Inicie sesión en cualquier computadora miembro utilizando cualquier cuenta de usuario disponible.
  • Asegúrese de que las herramientas administrativas de AD estén instaladas en el sistema (habilítelas en un servidor o instale RSAT en una estación de trabajo).
  • Inicie PowerShell.
  • Import-Module ActiveDirectory
  • $admincreds = Get-Credential (esto abre una ventana donde debe ingresar las credenciales para una cuenta de administrador de dominio)
  • Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

Si esto funciona, <UserName>será eliminado <GroupName>y, por lo tanto, la política infractora ya no lo bloqueará.

Massimo
fuente
44
¿No se Deny network accessaplica al acceso a través de RSAT (y PowerShell)? No es que esté a punto de realizar una prueba, o tenga experiencia en bloquearme de mis DC para recurrir, pero creo que esto no funcionará por esa razón.
HopelessN00b
ADUC utiliza consultas LDAP, esto debe estar fuera del área restringida por "negar acceso a la red"; el problema está en hacerlo funcionar usando una cuenta de administrador de dominio. No estoy seguro acerca de PowerShell, pero en su lugar no necesita ejecutarse con la misma cuenta de usuario que usas para ejecutar el comando, por lo que definitivamente vale la pena intentarlo.
Massimo
En el modo de restauración de anuncios, si borra la carpeta gpo o agrega un ntfs, sería bueno.
yagmoth555
@Massimo Como dije, no puedo decirlo con certeza, pero la documentación sobre este GPO en particular establece, bajo Mejores prácticas: "Debido a que todos los programas de Servicios de dominio de Active Directory usan un inicio de sesión de red para acceder, tenga cuidado cuando asigne este derecho de usuario en controladores de dominio ". Eso me parece una advertencia de que esta configuración particular se aplica a "todos los programas de Servicios de dominio de Active Directory".
HopelessN00b
3
Intenté lo anterior pero sin éxito. El acceso LDAP está deshabilitado.
shagrinar
3

Inicie su controlador de dominio en modo de restauración de directorio activo, con la cuenta que configuró cuando creó su dominio. (Es simplemente una cuenta de administrador local en DC, con nombre Administrator, y la contraseña se configuró en dcpromo).

Desde allí, elimine todos los permisos NTFS en su SYSVOLvolumen, en la carpeta ID de GPO. (Verifique la última carpeta modificada para encontrar el último GPO modificado).

En ese modo, la base de datos de Active Directory no se carga, pero tiene acceso al sistema de archivos.

Si nada funciona, en ese modo puede probar un gpofixcomando, pero tenga en cuenta que eliminará TODOS los GPO.

yagmoth555
fuente
¿Hay alguna manera de hacer una copia de seguridad de todos los GPO para que pueda volver a colocarlos (sin el bloqueo-GPO)?
shagrinar
2
@shagrinar No ... pero solo eliminar todos los permisos NTFS en la carpeta GPO podría ser mejor ya que bloqueará la aplicación de GPO y solo hará que su DC muestre que su GPO está dañado en la MMC del GPO.
yagmoth555
Eliminar todos los permisos NTFS en SYSVOL no tiene ningún efecto, igual que eliminar todos los archivos del directorio. Entrando en DSRM era posible y que podía iniciar sesión con la cuenta pero el funcionamiento Dcgpofix me dio un mensaje de error diciendo que tengo que estar conectado con una cuenta de usuario de dominio ...
shagrinar
La configuración de gpo todavía se aplica, ¿puede borrar el caché mientras está en modo DSRM? (ver allí la ubicación del registro; support.microsoft.com/en-us/kb/201453 )
yagmoth555
Eliminé
2

Cuando el dominio se creó originalmente, se creó una cuenta "dios". Descubra cuál era, su contraseña, y debería poder iniciar sesión en el DC que aloja el catálogo global. A partir de ahí, deberías poder deshacer lo que hiciste y darle tiempo para propagarse.

Si eso falla, hay algunas técnicas de hackers que puedes usar, pero no sería apropiado para mí transmitir eso aquí. Póngase en contacto con un experto en seguridad local, ya que generalmente están al día con las técnicas de piratería y pueden ayudarlo a recuperar el dominio.

Por supuesto, si se trata solo de unos pocos servidores y no es crítico, es mejor que simplemente borres y comiences de nuevo.

Colyn1337
fuente
¿Me puede dar una pista sobre cómo averiguar qué cuenta podría ser? Sé de la cuenta de administrador local del controlador de dominio, que se convirtió en una cuenta de dominio cuando instalé Active Directory, pero esto también se ve afectado. Limpiar los servidores sería mi última opción a considerar.
shagrinar
Al crear un dominio nuevo, ya sea por script o asistente, debe crear una sola cuenta maestra y darle una contraseña. En general, solo se usa en tiempos de recuperación ante desastres (como ahora) y solo la persona que creó el dominio lo sabría. Si no sabe quién creó el dominio, consulte con su director, es probable que alguien de la cadena de administración haya recibido esta información.
Colyn1337
1
La cuenta de la que está hablando es la cuenta del Modo de restauración de servicios de directorio; solo se usa para realizar tareas de mantenimiento en DC sin conexión, pero en realidad no es un administrador de dominio; sería completamente inútil en este caso, a menos que desee restaurar AD desde copias de seguridad.
Massimo
@ Massimo, creo que su información es un poco vieja ... "puede configurar un controlador de dominio para que pueda iniciar sesión con la cuenta de administrador DSRM si el controlador de dominio se inició normalmente pero el servicio AD DS se detiene por alguna razón." technet.microsoft.com/en-us/library/cc816897(v=ws.10).aspx
Colyn1337
1
@ Massimo Sería posible eliminar el GPO de su ubicación en la carpeta sysvol en el sistema de archivos, así como editar el registro para alterar la configuración utilizando esta técnica. Supongo que eso es lo que se sugiere en esta respuesta.
HopelessN00b
1

Primero, apague todos los controladores de dominio. Hacerlo evitará problemas extraños de replicación.

El primer paso es eliminar la configuración incorrecta de la directiva de grupo. Las asignaciones de privilegios se almacenan en el GptTmpl.infarchivo en MACHINE\Microsoft\Windows NT\SecEditcada carpeta de políticas. Sabrá que tiene la política correcta cuando ese .infarchivo contenga una línea para SeDenyNetworkLogonRight, SeDenyInteractiveLogonRightetc. Eliminar todas las SeDeny...Rightlíneas de él.

Windows no aplicará la nueva configuración a menos que vea que el GPO ha cambiado, lo cual determina consultando el versionNumberatributo en un objeto de Active Directory. No intentemos editar AD sin conexión. En cambio, eliminaremos la configuración incorrecta del Registro manualmente.

Monte la \Windows\System32\config\SECURITYcolmena del controlador de dominio en el Registro de otro sistema de Windows con reg load. Abra el Editor del registro y navegue hasta Policy\Accountsdebajo de la colmena montada. (Es posible que deba ejecutarse regeditcomo SYSTEM para que eso funcione. PsExec puede hacer eso). Cada subclave corresponde a un usuario o grupo, y la ActSysAcsubclave de cada uno de ellos posee los "derechos". (Los "privilegios" están todos en la Privilgssubclave). Encuentre el que tiene un ActSysAcvalor de C0 03 00 00, que corresponde a los cuatro derechos que negó. Eliminar ActSysAco cambiar su valor a 00 00 00 00. Cierre el Editor del registro y desmonte la colmena con reg unload.

Inicie el controlador de dominio que modificó. Debería poder iniciar sesión ahora. Use la Consola de administración de directivas de grupo para realizar cualquier edición (sin importar cuán trivial) sea a las Políticas locales de GPO relevantes. Eso incrementará el número de versión del GPO.

Inicie los otros controladores de dominio y deje que los cambios se repliquen.

Ben N
fuente
Esto parece muy prometedor, lamentablemente no puedo confirmar que funcione. Por ahora estoy reconstruyendo todo. Si alguien puede confirmar que esto funciona, ¡estoy más que feliz de marcar esto como la respuesta!
shagrinar
0

Puede intentar abrir en el explorador \\ dominio.controlador \ c $ \ windows \ sysvol \ sysvol \ dominio.local \ políticas (todavía tiene acceso)

Allí encontrarás todas las políticas. Mueva todo este directorio a algún destino temporal e intente reiniciar la PC. Ayudará

kgimpel
fuente
El controlador de dominio se llama asgard y el dominio se llama yggdrasil, así que ingresé : \\ asgard \ c $ \ windows \ sysvol \ sysvol \ yggdrasil \ políticas que resultó en un mensaje de error que me indica que Windows no puede acceder al directorio. No estoy tratando de acceder a esto desde la cuenta de administrador local de una computadora que está dentro del dominio, sino desde mi computadora portátil privada; todavía requiere un inicio de sesión.
shagrinar
Verifique el directorio, no estoy seguro después de sysvol. ¿Puede iniciar sesión en \\\ domaincontroller \ c $ usando credenciales de dominio? O puede intentar usar el administrador local como "asgard \ admin" o "asgard \ tor" :)
kgimpel
Lo intenté en vano, pero como es una máquina virtual en la que se ejecuta DC, acabo de montar el disco duro virtual. Encontré el directorio C: \ sysvol \ sysvol \ fqdn_of_domain , al intentar acceder a él se produjo un error (¿es algún tipo de enlace simbólico?). Encontré otra carpeta C: \ sysvol \ domain que contiene scripts y políticas. Saqué todo, desmonté el VHD y encendí la máquina. Lamentablemente no hay cambio. ¿A dónde lleva este enlace? ¿Alguna otra opción que pueda considerar al tener acceso al disco duro?
shagrinar
3
@shagrinar Hacer referencia al controlador de dominio directamente a través de un recurso compartido SMB, que esta respuesta recomienda, no funcionará porque GPO ha denegado el acceso a la red. Es posible que pueda hacer \\domainname\sysvol\ y acceder a las políticas de esa manera, pero no me haría ilusiones. Modificar sysvol requiere privilegios de administrador de dominio, y si ha bloqueado todos los administradores de dominio, no podrá acceder a él con los privilegios necesarios para hacerlo.
HopelessN00b
Dentro de SYSVOL \ Dominio \ Políticas Puede ordenar, buscar y mover solo directorios creados el día anterior. Una de ellas será su política de "problema".
kgimpel