ドメイン（コントローラー）にアクセスせずにグループポリシーを削除するにはどうすればよいですか？

（WS2012-R2）ドメインコントローラーと、ドメインのメンバーである（WS2012-R2）サーバーのセットを持っています。すべての管理者がメンバーであるグループを誤ってグループポリシーに追加しました。「ローカルでログオンアクセスを拒否」、「サービスとしてログオンを拒否」、「リモートアクセスを拒否」、「ネットワークアクセスを拒否」。これにより、私と他のすべての管理者（ビルトインアカウントを含む）がドメインコントローラーからロックアウトされました。

GPOを削除するか、拒否されたグループから管理者アカウントを削除して、サーバーへのアクセスを回復する方法はありますか？

2つの考えが思い浮かびます。

おそらく、ブートCDを使用してオフラインのドメインコントローラーにアクセスし、問題のあるGPOを手動で編集または削除できます。ドメインのGPO は、ドメインコントローラーのファイルシステムのSYSVOLフォルダーの下に存在し、レジストリ設定として適用されます。これは、ブートCDからアクセスできます。ただし、これは、複製によって元に戻されるか、これを実行したドメインコントローラーがドメイン内の他のドメインコントローラーに接続するとすぐにドメインレプリケーションエラーを引き起こします。（ここでは、ドメインに複数のドメインコントローラーがあることを前提としています。必要なのは...コントローラーが1つしかない場合、これは悪いアプローチではありません）。

頭に浮かぶもう1つのアプローチは、ディレクトリサービス復元モードに入り、このGPOより前のバックアップから信頼できる復元を実行することです。（そしてこれも、あなたがしているようにやっていること、そしてそこから復元するためのバックアップを持っているという前提に依存しています。）

私は実際にこれを試していません。（申し訳ありません。）また、「リモート/ネットワークアクセスの拒否」が原因でRSATが機能しないことも想定しています。（これを試していない場合は、試してみる価値はありますが、私は楽観的ではありません。）

おそらく、HirenのブートCDで新しい管理者アカウントを作成し、そのアカウントを使用してポリシーを編集できます。

グループポリシーはどこに適用されますか？DCのみか、ドメイン全体か？

DCにのみ適用されている場合でも、ドメイン管理者アカウントを使用して別のメンバーコンピューターにログオンできます。次に、サーバーOSを使用している場合はグループポリシー管理コンソールや他のすべてのAD管理ツールを有効にするか、ワークステーションの場合はRSATをインストールして同じことを行います。これらのツールを使用すると、問題のあるGPO、または少なくともユーザーとグループを編集できます（ADUCコンソールはLDAPクエリを使用するため、ログオン制限を受けません）。

代わりにポリシーがドメイン全体に適用され、ドメイン管理者アカウントを使用して実際にどこにもログオンできない場合、考えられる回避策はPowerShell Active Directoryモジュール-credentialを使用することです。ほとんどすべてのコマンドレットには、資格情報を指定できるパラメーターがありますPowerShellが実際に別のユーザーアカウントで実行されている場合でも、コマンドの実行に使用します。これには、Remove-ADGroupMemberが含まれます。したがって、可能な解決策は次のとおりです。

• 利用可能なユーザーアカウントを使用して、メンバーコンピューターにログインします。
• AD管理ツールがシステムにインストールされていることを確認します（サーバーでそれらを有効にするか、ワークステーションにRSATをインストールします）。
• PowerShellを起動します。
• Import-Module ActiveDirectory
• $admincreds = Get-Credential （これにより、ドメイン管理者アカウントの資格情報を入力する必要があるウィンドウがポップアップします）
• Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

これが機能する場合、<UserName>はから削除される<GroupName>ため、違反しているポリシーによってロックされなくなります。

ドメインの作成時に設定したアカウントを使用して、Active Directory復元モードでドメインコントローラーを起動します。（これは単にDC上のローカル管理者アカウントで、という名前Administratorで、パスワードはdcpromoで設定されています。）

そこからSYSVOL、GPO IDフォルダーで、ボリュームのすべてのNTFSアクセス許可を削除します。（最後に変更されたフォルダーを確認して、最後に変更されたGPOを見つけます）。

そのモードでは、Active Directoryデータベースはロードされませんが、ファイルシステムにアクセスできます。

何も機能しない場合は、そのモードでgpofixコマンドを試すことができますが、すべてのGPOが削除されることに注意してください。

ドメインが最初に作成されたとき、「神」のアカウントが作成されていました。それが何であるか、そのパスワードを調べてください。そうすれば、グローバルカタログをホストしているDCにログインできるはずです。そこから、あなたがしたことを元に戻し、伝播する時間を与えることができるはずです。

それが失敗した場合、使用できるハッカー手法がいくつかありますが、ここでそれを中継するのは適切ではありません。地元のセキュリティ専門家に連絡してください。彼らは通常ハッカーのテクニックに慣れており、ドメインを取り戻すのに役立ちます。

もちろん、これが数台のサーバーであり、それが重要でない場合は、ワイプして最初からやり直すこともできます。

まず、すべてのドメインコントローラをシャットダウンします。そうすることで、奇妙なレプリケーションの問題を回避できます。

最初の手順は、不適切なグループポリシー設定を削除することです。特権の割り当ては、各ポリシーフォルダの下のGptTmpl.infファイルに保存されMACHINE\Microsoft\Windows NT\SecEditます。あなたはそのとき、あなたが適切な政策を持って知っているよ.infファイルがための行が含まれSeDenyNetworkLogonRight、SeDenyInteractiveLogonRightエトセトラ、。SeDeny...Rightそこからすべての行を削除します。

Windowsは、GPOが変更されたことを検出しない限り、新しい設定を適用しません。GPOはversionNumber、Active Directoryオブジェクトの属性を参照することによって決定されます。ADをオフラインで編集しないでください。代わりに、レジストリから不正な設定を手動で削除します。

を使用して、ドメインコントローラの\Windows\System32\config\SECURITYハイブを別のWindowsシステムのレジストリにマウントしますreg load。レジストリエディターを開き、Policy\Accountsマウントされたハイブの下に移動します。（regeditそれを機能させるには、システムとして実行する必要がある場合があります。PsExecはそれを実行できます。）その各サブキーはユーザーまたはグループに対応し、それぞれのサブキーはActSysAc「権利」を保持します。（「特権」はすべてPrivilgsサブキーにあります。）ActSysAc値がC0 03 00 00であるものを見つけます。これは、拒否した4つの権利に対応しています。ActSysAc値を削除または変更してください00 00 00 00。レジストリエディターを閉じ、でハイブをマウント解除しますreg unload。

変更したドメインコントローラを起動します。これでログインできるはずです。グループポリシー管理コンソールを使用して、関連するGPOのローカルポリシーを編集します（些細なことは関係ありません）。これにより、GPOのバージョン番号が増加します。

他のドメインコントローラを起動し、変更を複製させます。

エクスプローラー\\ domain.controler \ c $ \ windows \ sysvol \ sysvol \ domain.local \ policesで開こうとすることができます（まだアクセスできます）

そこにはすべてのポリシーがあります。このディレクトリをすべて一時的な場所に移動し、PCを再起動してみてください。それは役立ちます。