เรามีตัวควบคุมโดเมน 2 ตัวพร้อมเซิร์ฟเวอร์ปี 2019 ผู้ดูแลระบบทำบางอย่างกับ GPO ซึ่งปฏิเสธการเข้าถึงเวิร์กสเตชันของกลุ่ม "Domain Admins" ตอนนี้กระจายไปทั่วโดเมน (รวมถึงตัวควบคุมโดเมนและเซิร์ฟเวอร์) นอกจากนี้เขายังทำการเปลี่ยนแปลงกับผู้ใช้ Active Directory และคอมพิวเตอร์ (เช่น รวมผู้ดูแลโดเมนเป็นกลุ่มผู้ใช้ที่ได้รับการป้องกัน ปฏิเสธการมอบหมายสำหรับผู้ดูแลโดเมนในโปรไฟล์ รีเซ็ตรหัสผ่าน krbtgt)
GPO เป็นเหมือน:
ปฏิเสธการเข้าถึงคอมพิวเตอร์เครื่องนี้จากเครือข่าย
ปฏิเสธการเข้าสู่ระบบเป็นงานแบทช์
ปฏิเสธการเข้าสู่ระบบเป็นบริการ
ปฏิเสธการเข้าสู่ระบบในเครื่อง
ปฏิเสธการเข้าสู่ระบบผ่านสิทธิ์ของผู้ใช้บริการเดสก์ท็อประยะไกล
ข้อผิดพลาด:
การเข้าสู่ระบบล้มเหลว: การจำกัดบัญชีผู้ใช้ สาเหตุที่เป็นไปได้คือไม่อนุญาตให้ใช้รหัสผ่านเปล่า การจำกัดชั่วโมงการเข้าสู่ระบบ หรือมีการบังคับใช้การจำกัดนโยบาย
ดังนั้นเราจึงไม่สามารถเข้าสู่ระบบตัวควบคุมโดเมนหรือเซิร์ฟเวอร์/เวิร์กสเตชันอื่น ๆ ด้วยการเข้าสู่ระบบของผู้ดูแลระบบโดเมน การควบคุมระยะไกลทั้งหมดจะถูกบล็อกด้วย ฉันไม่รู้ว่าเป็นเพียง GPO หรืออย่างอื่น (เพราะหากดูจากระยะไกล GPO ไม่ควรนำไปใช้กับ OU กับตัวควบคุมโดเมน)
ฉันได้ Authoritative Restore (DSRM) ของโฆษณาทั้งหมดแล้ว แต่ไม่ได้ผล ฉันเห็นว่าโฟลเดอร์ sysvol ยังคงมี GPO นี้อยู่ (ไฟล์ถูกลบแต่โครงสร้างโฟลเดอร์ยังคงอยู่)นอกจากนี้ การเปลี่ยนแปลงทั้งหมดที่ทำกับ AD ยังคงอยู่ (เช่น ผู้ใช้ที่เป็นผู้ดูแลโดเมนยังคงอยู่ในกลุ่มผู้ใช้ที่ได้รับการป้องกัน) เหตุใดการเปลี่ยนแปลงเหล่านี้จึงไม่ย้อนกลับ
gpupdate /force จากเวิร์กสเตชันแสดงข้อผิดพลาดทำให้เกิด gpt.ini จาก GPO นี้และไม่สามารถใช้นโยบายกลุ่มได้
ความช่วยเหลือใด ๆ โปรด?
ปัญหาคือในการเปลี่ยนรหัสผ่านสำหรับผู้ใช้ krbtgt แก้ไขด้วยวิธีนี้: ปิดใช้งานส่วนที่เหลือของตัวควบคุมโดเมน (แม้ว่าฉันจะทำ Authoritative Restore แต่ตัวควบคุมโดเมนของฉันก็รับข้อมูลเกี่ยวกับผู้ใช้รายนี้จากตัวควบคุมโดเมนอื่นๆ) จากนั้นทำ Authoritative Restore อีกครั้งและเปลี่ยนรหัสผ่านสองสามครั้งสำหรับผู้ใช้รายนี้และใช้งานได้ทั้งหมด
วิธีแก้ปัญหานี้ควรจะง่าย: ใช้เคล็ดลับ utilman ที่รู้จักเพื่อรับเชลล์ที่มีสิทธิ์ของระบบ เพิ่มผู้ใช้ใหม่ "ผู้ดูแลระบบ" จากที่นั่น ทำให้เขาเป็นสมาชิกของกลุ่ม "ผู้ดูแลระบบ" (ไม่ใช่ผู้ดูแลโดเมน) เข้าสู่ระบบในฐานะผู้ดูแลระบบ ดาวน์โหลด psexec (pstools จากไมโครซอฟท์) ตอนนี้เริ่ม mmc เป็นบัญชีระบบ: psexec -s -i mmc เพิ่ม GPMC ไปยัง mmc นั้น ทำการเปลี่ยนแปลง ระบบอาจทำอะไรกับ DC!
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
