Я установил ограничения «разрешать только определенные приложения» и случайно применил их ко всем учетным записям. Теперь я ограничен только запуском браузера и не могу запустить редактор групповой политики!
Есть ли черный ход, которым я могу воспользоваться?
windows-7
group-policy
Даррен
источник
источник
Users
контейнере, должна быть в порядке, поскольку политика может быть связана только с подразделениями. То есть, если вы не внесли это изменение в Политику домена по умолчанию.Ответы:
Найден обходной путь, который использует очевидную дыру в функции «ограниченных приложений» групповой политики. Просто переименовав исполняемый файл в имя файла доверенного приложения, вы можете обойти политику.
Обходной путь, к которому я пришел, приведен ниже (у вас было бы много схожих / более простых вариантов этого, но это не так). Надеюсь, это кому-нибудь поможет.
Консоль управления не будет запускаться из проводника после его переименования, поэтому необходимо выполнить шаг командной строки.
источник
Я предполагаю, что у вас есть ограничения по программному обеспечению в части конфигурации пользователя политики. Несколько советов здесь:
1. Копирование в другое место. Если у вас есть ограничение на основе пути, вы можете скопировать файл с ограничением (mmc.exe?) На другой диск (или переименовать файл) и попробовать запустить его оттуда.
2. Кэшированные учетные данные Если у вас есть компьютер или ноутбук, на котором вы ранее входили, отключите сетевой кабель и войдите в систему с кэшированными учетными данными (если это разрешено). Когда вы полностью войдете в систему (возможно, вы захотите подождать несколько минут), снова подключите сетевой кабель. Теперь вы сможете получить доступ к сети, но политики еще не будут применены, поэтому вы сможете получить доступ ко всем программам.
3. удалить разделы реестра Все эти ограничения политики хранятся в реестре. Поскольку вы являетесь администратором, у вас есть права на редактирование реестра, поэтому вы должны найти способ отредактировать его.
Вам нужно перейти по следующему разделу реестра: HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ paths и удалить все ключи в этом ключе, оставив сам ключ нетронутым.
Если вы не можете запустить regedit.exe, вы можете запустить следующие программы:
В противном случае попробуйте получить доступ к реестру удаленно.
источник
Звучит как загвоздка 22. Звучит так, как будто вы заглушены политикой домена по умолчанию. Если я не ошибаюсь, вы довольно хорошо заблокированы, потому что все пользователи являются членами группы «Прошедшие проверку» и к ним будет применен объект групповой политики, если только вы не удалили «Прошедшие проверку» из Фильтрации безопасности на объекте групповой политики (что не так) , Я не могу придумать комбинацию пользователя / группы, которая вернула бы вас в GPMC. Насколько я вижу, нет способа вернуться обратно из текущего домена, если вы действительно заблокировали возможность запуска консоли управления групповыми политиками и любой другой программы / исполняемого файла. Я никогда не был в этом сценарии, поэтому может быть способ обойти это, о котором я не знаю, но вот обходной путь, который я нашел. Это звучит немного странно и немного запутанно, но я думаю, что это сработает. Поехали:
Настройте DC в новом Домене / Лесе. Я буду называть этот Домен / Лес « новым » и с этого момента буду называть существующий Домен / Лес « старым ».
Создайте доверие между новым лесом и старым лесом. Поскольку вы, вероятно, не можете получить доступ к консоли DNS в старом домене, у вас должна быть возможность отредактировать файл hosts на контроллере домена в старом домене, обратившись к нему с рабочей станции, не подключенной к домену (предоставьте соответствующие учетные данные домена при появлении запроса). Добавьте запись для нового домена (DNS-суффикс домена / имя зоны AD DNS нового домена), указывающую на IP-адрес сервера DC / DNS в новом домене. Сохраните файл и перезагрузите старый DC, чтобы предварительно загрузить запись файла hosts в кэш DNS. Это должно быть сносной заменой условного экспедитора из старогоДомен / Лес в новый Домен / Лес. Создайте соответствующий условный сервер пересылки в новом домене для старого домена. Настройте файл hosts и условного сервера пересылки, прежде чем пытаться создать доверие.
Добавьте учетную запись администратора из нового домена / леса в группу администраторов Builtin в старом домене / лесу, предоставив учетной записи администратора в старом домене / лесу право пользователя «Разрешить локальный вход в систему» в GPO контроллеров домена по умолчанию в новом Домен / Forest. Запустите gpupdate / force на новом контроллере домена, а затем используйте «запуск от имени другого пользователя» или «запуск от имени» (в зависимости от ОС) на новом контроллере домена, чтобы открыть ADUC в качестве администратора старого домена и домашний ADUC для старого домена.
Запустите GPMC на DC в новом лесу
Домашняя ГПМЦ к старому Домену / Лесу
Отключите политику домена по умолчанию в старом лесу
Войдите в DC в старом лесу и запустите gpupdate / force, а затем посмотрите, можете ли вы запустить GPMC. Если это так, отмените все, что вы сделали, чтобы заблокировать себя и связать политику домена по умолчанию
Повторите шаги, описанные выше, а затем сломайте доверие леса и выведите новый домен / лес из эксплуатации.
Редактирование объекта групповой политики через доверие Forest невозможно (насколько я знаю), но отсоединение его должно быть выполнено, если вы выполните изложенные мной шаги.
источник
Как насчет использования powershell для удаления ссылки групповой политики. Вот справочник команд по technet http://technet.microsoft.com/en-us/library/ee461054.aspx
источник
Я не знаю, сможете ли вы запустить файл .reg ... Windows так связана с реестром, поэтому групповые политики ... Это было значение RestrictRun, которое вы установили, я думаю. С помощью удаления файла .reg вы можете удалить этот ключ.
Войдите в свою учетную запись. Запустите этот рег файл . И вы должны иметь возможность запускать другие программы после перезагрузки.
Я знаю, что нельзя загружать файлы, а не изображения, но мне жаль, что вы просто должны доверить мне этот reg-файл, поскольку вы не можете создать его в любом текстовом редакторе ...
источник
Найден обходной путь, который использует очевидную дыру в функции «ограниченных приложений» групповой политики. Просто переименовав исполняемый файл в имя файла доверенного приложения, вы можете обойти политику.
Единственная проблема в том, что вы не можете напрямую получить доступ к «gpedit.msc», переименовав его: он не будет работать.
Обходной путь, к которому я пришел: (можно ожидать, что более простой вариант сработает; это не так)
Консоль управления не будет запускаться из проводника после его переименования, поэтому необходимо выполнить шаг командной строки
источник
ОЧЕНЬ ПРОСТОЙ ФИКС
У меня была такая же проблема, случайно изменив системные настройки в gpedit. Попробуйте это исправление, которое я получил от Greylox .... У меня это сработало.
Нажмите кнопку «Пуск», введите «Run» в поле поиска в нижней части всплывающего окна и нажмите «Enter». В новом окне введите
%systemroot%\system32\GroupPolicy\User delete registry.pol
Сделайте то же самое,
%systemroot%\system32\GroupPolicy\Machine delete registry.pol
если увидите, на моем компьютере его нет.Перезагрузите вашу систему.
Войдите в систему под учетной записью администратора, создайте нового пользователя с правами администратора, перезагрузите компьютер и снова войдите в систему, используя новую учетную запись администратора.
Нажмите кнопку «Пуск», введите «Run» в поле поиска внизу всплывающего окна и нажмите «Enter». Введите gpedit.msc, нажмите ввод.
Перейдите к
Local Computer Policy
->User Configuration
->Administrative Templates
-> (двойной щелчок)system
-> (посмотрите на панель справа и дважды щелкните)run only specified windows applications
. Нажмите переключатель рядом с Отключено.источник