如何在无法访问域（控制器）的情况下删除组策略？

Question

我有一个（WS2012-R2）域控制器和一组作为域成员的（WS2012-R2）服务器。我不小心在“拒绝本地登录访问”、“拒绝作为服务登录”、“拒绝远程访问”和“拒绝网络访问”的组策略中添加了一个所有管理员都是其成员的组。这导致我和所有其他管理员（甚至是内置帐户）被锁定在域控制器之外。

有没有办法通过删除 GPO 或从被拒绝的组中删除管理员帐户来重新获得对服务器的访问权限？

Answer 1

两个想法涌上心头。

可以想象，您可以在域控制器脱机时使用引导 CD 访问域控制器并手动编辑或删除有问题的 GPO - 域的 GPO 存在于域控制器上文件系统的SYSVOL文件夹下，并作为注册表设置应用可从引导 CD 访问 - 但是，这将通过复制撤消，或者一旦您执行此操作的域控制器连接到域中的其他域控制器，就会导致域复制错误。（我在这里假设您的域中确实有多个域控制器，正如您应该的那样......如果您只有一个，这不会是一种糟糕的方法）。

想到的另一种方法是进入目录服务还原模式并从该 GPO 之前的备份执行权威还原。（这也依赖于假设你正在做你应该做的事情，并且有备份可以从中恢复。）

Answer 2

我还没有真正尝试过这个。（抱歉。）我还假设RSAT由于“拒绝远程/网络访问”而无法工作。（如果你还没有尝试过，值得一试，但我并不乐观。）

也许您可以使用 Hiren 的启动 CD 创建一个新的管理员帐户，并使用该帐户来编辑策略。