グループポリシーエディターからロックアウトされました

8

「特定のアプリケーションのみを許可する」制限を設定し、それらを全面的にすべてのアカウントに誤って適用しました。これで、ブラウザーの実行のみに制限され、グループポリシーエディターを実行できなくなりました！

利用できるバックドアはありますか？

windows-7 group-policy

— ダレン
ソース

そのポリシーをどこに適用しましたか？ドメインレベル、サイトレベル、OUレベル？

— HostBits 2012

よくわかりません。私が理解しているのは、管理者ではなく、ユーザーにのみ適用したことです。

— Darren

ドメイン管理者アカウントは、UsersポリシーがOUにのみリンクされている可能性があるため、コンテナにまだ存在している場合は問題ありません。つまり、デフォルトのドメインポリシーにこの変更を加えない限りです。

— jscott

管理者アカウントにログインできますか？

— The_aLiEn 2012

うん。問題は、ポリシーが何らかの形で私の管理者アカウントに適用されていることです。

6

グループポリシーの「制限されたアプリケーション」機能の明らかな穴を悪用する回避策を見つけました。実行可能ファイルの名前を信頼できるアプリケーションのファイル名に変更するだけで、ポリシーを回避できます。

私が到達した回避策は以下のとおりです（これの多くの類似/より単純な変形が機能するでしょうが、機能しません）。うまくいけば、これは誰かを助けます。

「cmd.exe」のコピーの名前を「chrome.exe」などの許可された名前に変更します
「mmc.exe」のコピーの名前も変更する
現在機能しているコマンドラインを使用して管理コンソールを起動します
管理コンソールから、グループポリシースナップインを追加します。
不注意な間違いを修正する

名前が変更されると、管理コンソールはエクスプローラーから実行されなくなるため、コマンドライン手順が必要です。

— ダレン
ソース

4

ポリシーのユーザー設定部分にソフトウェア制限があると思います。ここにいくつかのヒント：

1.別の場所にコピーする パスの場所に基づく制限がある場合は、制限されているファイル（mmc.exe？）を別のドライブにコピーして（またはファイルの名前を変更して）、そこから実行してみてください。

2.キャッシュされた資格情報 以前にログオンしたことがあるコンピュータまたはラップトップをお持ちの場合は、ネットワークケーブルを取り外し、キャッシュされた資格情報（許可されている場合）でログオンします。完全にログオンしたら（数分待つことをお勧めします）、ネットワークケーブルを再度接続します。これでネットワークにアクセスできるはずですが、ポリシーはまだ適用されていないため、すべてのプログラムにアクセスできます。

3.レジストリキーを削除する これらのポリシー制限はすべてレジストリに保存されます。管理者はレジストリを編集する権限を持っているので、編集する方法を見つける必要があります。

次のレジストリキーに移動します： HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ paths このキーの下にあるすべてのキーを削除し、キー自体はそのままにします。

regedit.exeを開始できない場合は、次のプログラムを開始できる可能性があります。

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

それ以外の場合は、レジストリにリモートでアクセスしてみてください。

— ZEDA-NL
ソース

この場合、1と2は適用されませんが、3をテストしたところ、コマンドラインからreg.exeを実行できました。しかし、私は以下に示すより簡単な方法を見つけました

— ダレン

解決策を見つけてよかったです。ファイルの名前を変更することは、ファイルを別の場所にコピーすることと同じ概念です。手順1で「コピーまたは名前の変更」を書いたはずです。ちなみに、ソフトウェア制限ハッシュルールを追加することで、必要に応じて「ホール」を防ぐことができます。

— ZEDA-NL 2012

興味深いですね。許可されたソフトウェアのMD5ハッシュを保存しますか？これはデフォルトでWindowsにありますか、それともサードパーティが必要ですか？

— ダレン：

2

ハッシュルールは、Windows 7、Windows 2008、およびWindows 2003にネイティブであり、それ以前も同様です。以前に「新しいパスルール」を選択した場所で、「新しいハッシュルール」を選択するだけです。欠点は、システムを更新すると機能しなくなる可能性があることです。ただし、ハッシュルールとパスルールを組み合わせることができます。

— ZEDA-NL 2012

3

それはかなりキャッチのように聞こえます22。それはあなたがそれの音によってデフォルトドメインポリシーにこだわったように聞こえます。私が間違っていない場合は、すべてのユーザーがAuthenticated Usersグループのメンバーであり、GPOのセキュリティフィルターからAuthenticated Usersを削除しない限りGPOが適用されるため、かなりロックアウトされています（これはケースのように聞こえません）。。GPMCに戻ることができるユーザー/グループの組み合わせはありません。私が見る限り、GPMCおよびその他のプログラム/実行可能ファイルを実行する機能を本当にロックアウトしている場合、現在のドメインから戻る方法はありません。私はこのシナリオに参加したことがないので、知らない方法があるかもしれませんが、ここに私が思いついた回避策があります。少し奇妙で少し入り組んでいるように聞こえますが、私はそれでうまくいくと思います。ここに行く：

新しいドメイン/フォレストにDCをセットアップします。これ以降、このドメイン/フォレストを「新しい」と呼び、既存のドメイン/フォレストを「古い」と呼びます。
新しいフォレストと古いフォレストの間に信頼関係を作成します。おそらく古いドメインのDNSコンソールにアクセスできないため、ドメインに参加していないワークステーションからアクセスすることで、古いドメインのDCのホストファイルを編集できます（プロンプトが表示されたら、適切なドメイン資格情報を提供します）。新しいドメインのDC / DNSサーバーのIPアドレスを指す新しいドメインのエントリ（新しいドメインのドメインDNSサフィックス/ AD DNSゾーン名）を追加します。ファイルを保存し、古い DCを再起動して、hostsファイルエントリをDNSキャッシュにプリロードします。これは、古いフォワーダーの条件付きフォワーダーの通用する代替品ですドメイン/フォレストから新しいドメイン/フォレストへ。古いドメインの新しいドメインに対応する条件付きフォワーダーを作成します。信頼を作成する前に、hostsファイルと条件付きフォワーダーをセットアップします。
管理者アカウントを追加し、新たなドメイン/森の中に組み込みAdministratorsグループに古い Administratorアカウントを付与することによって、ドメイン/森古いドメイン/森の右既定のドメインコントローラでユーザーGPO「ローカルログオンを許可する」新しいですドメイン/フォレスト。上でgpupdate / forceを実行します新しい DC、その後に（OSに依存）「などのファイル名を指定して実行」「別のユーザーとして実行」を使用するか、新しいの管理者としてオープンADUCにDC 古いのドメインとホームADUC 古いドメイン。
新しいフォレストのDCでGPMCを実行する
ホームGPMCから古いドメイン/フォレスト
古いフォレストのデフォルトドメインポリシーのリンクを解除する
古いフォレストのDCにログオンしてgpupdate / forceを実行し、GPMCを実行できるかどうかを確認します。その場合は、自分をロックアウトしてデフォルトドメインポリシーに再リンクするために行った操作をすべて取り消します。
上記の手順を逆にして、フォレストの信頼を解除し、新しいドメイン/フォレストを廃止します。

（私が知る限り）フォレストの信頼全体でGPOを編集することはできませんが、私が示した手順に従っている場合は、リンクを解除する必要があります。

— Joeqwerty
ソース

理論的には、これは一部のセットアップでは機能するように聞こえますが、ここではドメインではなく単一のマシンについて話しているため、この答えは当てはまりません。でもありがとう！

— Darren

私の悪い。これはドメインにあると思いました。その後続けなさい。

— joeqwerty 2012

あ、ごめんなさい。あなたがこの問題すべてに行ったことは本当に残念です。これがServerfaultであることを考えると、1台のマシンであると指定したはずです。

— Darren

1

powershellを使用してグループポリシーリンクを削除するのはどうですか。technet http://technet.microsoft.com/en-us/library/ee461054.aspxのコマンドリファレンスは次のとおりです

— uSlackr
ソース

それを試しましたが、制限のため、グループポリシーコマンドレットに必要なRSATツールをインストールできませんでした。

0

.regファイルを実行できるかどうかわかりません... Windowsはレジストリに関連しているので、グループポリシーも...設定したRestrictRunの値だったと思います。.regファイルを削除すると、そのキーを削除できます。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

自分のアカウントにログインします。このregファイルを実行します。また、再起動後に他のプログラムを実行できるはずです。

画像ではなくファイルをアップロードすることは許可されていませんが、テキストエディタで作成できないため、このregファイルを信頼してください。

— The_aLiEn
ソース

0

グループポリシーの「制限されたアプリケーション」機能の明らかな穴を悪用する回避策を見つけました。実行可能ファイルの名前を信頼できるアプリケーションのファイル名に変更するだけで、ポリシーを回避できます。

唯一の問題は、名前を変更して「gpedit.msc」に直接アクセスできないことです。これは機能しません。

私が到達した回避策：（あなたはこれのより簡単な変形が機能することを期待するでしょう;それは機能しません）

「cmd.exe」のコピーの名前を「chrome.exe」などの許可された名前に変更します
「mmc.exe」のコピーの名前も変更する
現在機能しているコマンドラインを使用して管理コンソールを起動します
管理コンソールから、グループポリシースナップインを追加します。
不注意な間違いを修正する

名前が変更されると、管理コンソールはエクスプローラーから実行されなくなるため、コマンドライン手順が必要です

0

非常に簡単な修正

gpeditでシステム設定を誤って変更して同じ問題が発生しました。Greyloxから入手したこの修正を試してください。

スタートボタンをクリックし、ポップアップの下部にある検索フィールドに「run」と入力してEnterキーを押します。新しいウィンドウに入力します%systemroot%\system32\GroupPolicy\User delete registry.pol

あなたが%systemroot%\system32\GroupPolicy\Machine delete registry.polそれを見るならば、同じことをしてください、私のPCはそれを持っていませんでした。

システムを再起動します。

管理者アカウントでログインし、管理者権限を持つ新しいユーザーを作成して再起動し、新しい管理者アカウントを使用して再度ログインします。

スタートボタンをクリックし、ポップアップの下部にある検索フィールドに「run」と入力してEnterキーを押します。gpedit.mscと入力し、Enterキーを押します。

ゴーへLocal Computer Policy- > User Configuration- > Administrative Templates- >（ダブルクリック）system- >（右ダブルクリックのパネルで見て）run only specified windows applications。[無効]の横にあるラジオボタンをクリックします。

— サンジャック
ソース