আমি ডোমেনে অ্যাক্সেস না করে কীভাবে একটি গোষ্ঠী নীতি সরিয়ে ফেলব (নিয়ন্ত্রণকারী)?

আমি একটি (WS2012-R2) ডোমেন নিয়ামক এবং ডোমেনের সদস্য হিসাবে থাকা (WS2012-R2) সার্ভারের একটি সেট পেয়েছি। আমি দুর্ঘটনাক্রমে একটি গোষ্ঠী যুক্ত করেছি সমস্ত প্রশাসকরা গ্রুপ নীতিতে "স্থানীয়ভাবে লগন অ্যাক্সেস অস্বীকার করুন", "পরিষেবা হিসাবে লগন অস্বীকার করুন", "দূরবর্তী অ্যাক্সেস অস্বীকার করুন" এবং "নেটওয়ার্ক অ্যাক্সেস অস্বীকার করুন" এর সদস্য। এর ফলে আমি এবং অন্যান্য সমস্ত প্রশাসক (এমনকি বিল্ট-ইন অ্যাকাউন্ট) ডোমেন নিয়ামক থেকে লক আউট হয়ে গেছে।

জিপিও অপসারণ করে বা গ্রুপটি থেকে কোনও প্রশাসক অ্যাকাউন্ট অপসারণ করে সার্ভারে অ্যাক্সেস ফিরে পাওয়ার কোনও উপায় আছে কি?

দুটি চিন্তা মাথায় আসে।

আপনি অবিচ্ছিন্নভাবে, অফলাইনে থাকা অবস্থায় ডোমেন নিয়ামকটি অ্যাক্সেস করতে বুট সিডি ব্যবহার করতে পারেন এবং আক্রমণাত্মক জিপিওটিকে ম্যানুয়ালি সম্পাদনা বা মুছতে পারেন - একটি ডোমেনের জিপিও ডোমেন নিয়ন্ত্রকদের ফাইল সিস্টেমে SYSVOLফোল্ডারের অধীনে রয়েছে এবং রেজিস্ট্রি সেটিংস হিসাবে প্রয়োগ করা হয়, উভয়ই যা কোনও বুট সিডি থেকে অ্যাক্সেসযোগ্য - তবে, এটি হয় অনুলিপি দ্বারা পূর্বাবস্থায় ফিরে যাবে বা ডোমেনে থাকা অন্য ডোমেন নিয়ামক (গুলি) এর সাথে সংযুক্ত হয়ে আপনি যে ডোমেন নিয়ামকটি এটি করেছিলেন তখনই এটি ডোমেনের প্রতিলিপি ত্রুটির কারণ হতে পারে। (আমি এখানে অনুমান করছি যে আপনার ডোমেনে আপনার একাধিক ডোমেন কন্ট্রোলার রয়েছে, আপনার যেমনটি হওয়া উচিত ... যদি আপনার কেবলমাত্র এটি থাকে তবে এটি খারাপ দৃষ্টিভঙ্গি হবে না)।

অন্য যে মতটি মনে আসে তা হ'ল ডিরেক্টরি পরিষেবাদি পুনরুদ্ধার মোডে প্রবেশ করা এবং এই জিপিওর পূর্বাভাস দেয় এমন ব্যাকআপ থেকে একটি অনুমোদনের পুনরুদ্ধার করা। (এবং এটিও, আপনার যেভাবে করা উচিত সেই অনুমানের উপর নির্ভর করে এবং এর থেকে পুনরুদ্ধার করতে ব্যাকআপ রয়েছে))

আমি আসলে এটি চেষ্টা করিনি। (দুঃখিত।) আমি আরও ধরে নিচ্ছি যে "রিমোট / নেটওয়ার্ক অ্যাক্সেস অস্বীকার করার কারণে" আরএসএটি কাজ করবে না। (আপনি যদি এটি চেষ্টা না করে থাকেন তবে এটি একটি শটের জন্য মূল্যবান তবে আমি আশাবাদী নই))

সম্ভবত আপনি হিরেনের বুট সিডি দিয়ে একটি নতুন প্রশাসক অ্যাকাউন্ট তৈরি করতে পারেন এবং নীতিটি সম্পাদনা করতে এই অ্যাকাউন্টটি ব্যবহার করতে পারেন।

গ্রুপ নীতি কোথায় প্রয়োগ করা হয়? কেবল ডিসি বা পুরো ডোমেইনে?

যদি এটি কেবল ডিসিগুলিতে প্রয়োগ করা হয় তবে আপনি এখনও একটি ডোমেন প্রশাসক অ্যাকাউন্ট ব্যবহার করে অন্য সদস্য কম্পিউটারে লগ ইন করতে পারেন; আপনি যদি সার্ভার ওএস এ থাকেন তবে গ্রুপ নীতি পরিচালন কনসোল এবং / অথবা অন্যান্য সমস্ত এডি প্রশাসনিক সরঞ্জাম সক্ষম করতে পারবেন, বা আরএসএটি ইনস্টল করুন এবং যদি এটি কোনও ওয়ার্কস্টেশন হয় তবে তা করতে পারেন; এই সরঞ্জামগুলির সাহায্যে আপনি আপত্তিজনক জিপিও, বা কমপক্ষে ব্যবহারকারী এবং গোষ্ঠীগুলি সম্পাদনা করতে সক্ষম হবেন (এডিইউসি কনসোলটি এলডিএপি কোয়েরি ব্যবহার করে, সুতরাং এটি বিধিনিষেধে লগ করা যায় না)।

যদি নীতিটি পরিবর্তে পুরো ডোমেনে প্রয়োগ করা হয় এবং আপনি কোনও ডোমেন অ্যাডমিন অ্যাকাউন্ট ব্যবহার করে বাস্তবে কোথাও লগইন করতে না পারেন তবে পাওয়ারশেল অ্যাক্টিভ ডিরেক্টরি ডিরেক্টরি মডিউলটি ব্যবহার করার সম্ভাব্য কাজটি হতে পারে : প্রায় সমস্ত সেন্টিমিলেটগুলিতে একটি -credentialপ্যারামিটার থাকে যা আপনাকে শংসাপত্রগুলি নির্দিষ্ট করতে দেয় কমান্ডটি চালানোর জন্য ব্যবহার করতে, এমনকি পাওয়ারশেল যখন অন্য কোনও ব্যবহারকারীর অ্যাকাউন্টের অধীনে চলছে তখনও ; এর মধ্যে সরান-এডগ্রুপমেমার অন্তর্ভুক্ত । সুতরাং, একটি সম্ভাব্য সমাধান হবে:

• যেকোন উপলভ্য ব্যবহারকারীর অ্যাকাউন্ট ব্যবহার করে যে কোনও সদস্য কম্পিউটারে লগ ইন করুন।
• এডি প্রশাসনিক সরঞ্জামগুলি সিস্টেমে ইনস্টল করা আছে কিনা তা নিশ্চিত করুন (হয় সার্ভারে এগুলি সক্ষম করুন বা ওয়ার্কস্টেশনে আরএসএটি ইনস্টল করুন)।
• পাওয়ারশেল চালু করুন।
• Import-Module ActiveDirectory
• $admincreds = Get-Credential (এটি একটি উইন্ডো পপ আপ করে যেখানে আপনাকে কোনও ডোমেন প্রশাসক অ্যাকাউন্টের জন্য শংসাপত্রগুলি ইনপুট করতে হবে)
• Remove-ADGroupMember <GroupName> <UserName> -Credentials $admincreds

এটি যদি কাজ করে তবে <UserName>এখান থেকে সরানো হবে <GroupName>এবং এভাবে আপত্তিজনক নীতিটি এটিকে আর লক করে রাখবে না।

আপনার ডোমেন তৈরি করার সময় আপনি যে অ্যাকাউন্টটি সেটআপ করেন সেটি দিয়ে সক্রিয় ডিরেক্টরি পুনরুদ্ধার মোডে আপনার ডোমেন নিয়ামককে বুট করুন। (এটি কেবল ডিসি-র একটি স্থানীয় প্রশাসক অ্যাকাউন্ট, নাম Administrator, এবং পাসওয়ার্ডটি ডিসিপ্রোমোতে সেটআপ করা হয়েছিল))

সেখান থেকে, SYSVOLজিপিও আইডি ফোল্ডারে আপনার ভলিউমের সমস্ত এনটিএফএস অনুমতিগুলি সরিয়ে দিন । (সর্বশেষ পরিবর্তিত জিপিও অনুসন্ধানের জন্য সর্বশেষ পরিবর্তিত ফোল্ডারটি দেখুন)।

এই মোডে, সক্রিয় ডিরেক্টরি ডাটাবেসটি লোড করা হয় না, তবে আপনার ফাইল সিস্টেমের অ্যাক্সেস রয়েছে।

যদি কিছুই কাজ না করে, সেই মোডে আপনি একটি gpofixকমান্ড চেষ্টা করতে পারেন , তবে সচেতন থাকুন এটি সমস্ত জিপিও অপসারণ করবে।

যখন ডোমেনটি তৈরি করা হয়েছিল সেখানে একটি "godশ্বর" অ্যাকাউন্ট তৈরি হয়েছিল। এটি কী ছিল, এর পাসওয়ার্ডটি সন্ধান করুন এবং আপনি ডিসিতে বিশ্বব্যাপী ক্যাটালগ হোস্টিংয়ে সক্ষম হবেন। সেখান থেকে আপনার কাজটি পূর্বাবস্থায় ফিরিয়ে নিতে এবং প্রচারের জন্য সময় দেওয়া উচিত।

যদি এটি ব্যর্থ হয় তবে কিছু হ্যাকার কৌশল আপনি ব্যবহার করতে পারেন তবে এটি এখানে রিলে করে দেওয়া আমার পক্ষে উপযুক্ত হবে না। স্থানীয় নিরাপত্তা বিশেষজ্ঞের সাথে যোগাযোগ করুন কারণ তারা সাধারণত হ্যাকার কৌশলগুলিতে গতি বাড়ায় এবং আপনাকে ডোমেনটি ফিরে পেতে সহায়তা করতে পারে।

অবশ্যই, যদি এটি কয়েকটি সার্ভার হয় এবং এটি সমালোচনা না করে তবে আপনি কেবল মুছতে এবং আবার শুরু করতে পারেন।

প্রথমে সমস্ত ডোমেন নিয়ন্ত্রককে বন্ধ করে দিন। এটি করা উদ্ভট প্রতিলিপি সমস্যাগুলি এড়াতে পারবে।

প্রথম পদক্ষেপটি খারাপ গ্রুপ নীতি সেটিংটি সরিয়ে ফেলা হয়। প্রিভিলেজ অ্যাসাইনমেন্টগুলি প্রতিটি নীতি ফোল্ডারের অধীনে GptTmpl.infফাইলে সংরক্ষণ করা হয় MACHINE\Microsoft\Windows NT\SecEdit। আপনি জানতে পারবেন আপনি সঠিক নীতি আছে যখন যে .infফাইলের জন্য একটি লাইন রয়েছে SeDenyNetworkLogonRight, SeDenyInteractiveLogonRight, ইত্যাদি ইত্যাদি। SeDeny...Rightএটি থেকে সমস্ত লাইন মুছুন ।

উইন্ডোজ নতুন সেটিংস প্রয়োগ করবে না যদি না এটি দেখতে পায় যে জিপিও পরিবর্তিত হয়েছে, যা এটি versionNumberএকটি অ্যাক্টিভ ডিরেক্টরি ডিরেক্টরিতে বৈশিষ্ট্যের সাথে পরামর্শ করে নির্ধারণ করে । আসুন এডিটি অফলাইনে সম্পাদনা করার চেষ্টা করবেন না। পরিবর্তে, আমরা ম্যানুয়ালি রেজিস্ট্রি থেকে খারাপ সেটিংস সরিয়ে ফেলব।

\Windows\System32\config\SECURITYএর সাথে অন্য একটি উইন্ডোজ সিস্টেমের রেজিস্ট্রিতে ডোমেন নিয়ন্ত্রকের পোঁতা মাউন্ট করুন reg load। রেজিস্ট্রি এডিটরটি খুলুন এবং Policy\Accountsমাউন্ট করা মুরগির নীচে নেভিগেট করুন । ( এটিরregedit কাজ করার জন্য আপনার সিস্টম হিসাবে চালানো দরকার হতে পারে Psপেক্সেক্স এটি করতে পারে)) এর প্রত্যেকটি সাবকি কোনও ব্যবহারকারী বা গোষ্ঠীর সাথে সম্পর্কিত এবং সেইগুলির প্রত্যেকটির সাবকিActSysAc "অধিকার" রয়েছে। ( "বিশেষাধিকার" এ সমস্ত হয় Privilgssubkey।) একটি সঙ্গে এক এটি ActSysAcএর মান C0 03 00 00, যা অনুরূপ চার অধিকার আপনার অস্বীকৃত। মুছুন ActSysAcবা এতে মান পরিবর্তন করুন 00 00 00 00। রেজিস্ট্রি এডিটরটি বন্ধ করুন এবং মুরগির সাথে আনমাউন্ট করুন reg unload।

আপনি সংশোধিত ডোমেন নিয়ামক বুট করুন। আপনি এখন লগ ইন করতে সক্ষম হওয়া উচিত। প্রাসঙ্গিক জিপিওর স্থানীয় নীতিমালাগুলিতে কোনও সম্পাদনা (যতই তুচ্ছ বিষয়ই হোক না কেন) করতে গ্রুপ পলিসি ম্যানেজমেন্ট কনসোলটি ব্যবহার করুন। এটি জিপিওর সংস্করণ নম্বর বাড়িয়ে তুলবে।

অন্যান্য ডোমেন নিয়ন্ত্রকদের বুট করুন এবং পরিবর্তনগুলি প্রতিলিপি দিন।

আপনি এক্সপ্লোরার open ডোমেন.কন্ট্রোলার \ সি $ \ উইন্ডোজ \ সিভল \ সিভল \ ডোমেন.লোকাল \ পলিসগুলি খোলার চেষ্টা করতে পারেন (আপনার এখনও অ্যাক্সেস রয়েছে)

সেখানে আপনি সমস্ত পলিস খুঁজে পাবেন। এই সমস্ত দিরকে কিছু অস্থায়ী গন্তব্যে নিয়ে যান এবং পিসি পুনরায় বুট করার চেষ্টা করুন। এটি সাহায্য করবে।