Заблокирован из редактора групповой политики

8

Я установил ограничения «разрешать только определенные приложения» и случайно применил их ко всем учетным записям. Теперь я ограничен только запуском браузера и не могу запустить редактор групповой политики!

Есть ли черный ход, которым я могу воспользоваться?

Даррен
источник
Где вы применили эту политику? Уровень домена, уровень сайта, уровень OU?
HostBits
Я на самом деле не уверен. Насколько я понимаю, я применял это только для пользователей, но не для администраторов.
Даррен
Учетная запись администратора домена, если она все еще находится в Usersконтейнере, должна быть в порядке, поскольку политика может быть связана только с подразделениями. То есть, если вы не внесли это изменение в Политику домена по умолчанию.
Jscott
Можете ли вы войти в учетную запись администратора?
The_aLiEn
Ага. Проблема в том, что политика каким-то образом применяется к моей учетной записи администратора.

Ответы:

6

Найден обходной путь, который использует очевидную дыру в функции «ограниченных приложений» групповой политики. Просто переименовав исполняемый файл в имя файла доверенного приложения, вы можете обойти политику.

Обходной путь, к которому я пришел, приведен ниже (у вас было бы много схожих / более простых вариантов этого, но это не так). Надеюсь, это кому-нибудь поможет.

  1. Переименуйте копию «cmd.exe» во что-то разрешенное, например, «chrome.exe»
  2. Также переименуйте копию 'mmc.exe'
  3. Используйте теперь работающую командную строку для запуска консоли управления
  4. Из консоли управления добавьте оснастку «Групповая политика».
  5. Исправьте свою неосторожную ошибку

Консоль управления не будет запускаться из проводника после его переименования, поэтому необходимо выполнить шаг командной строки.

Даррен
источник
4

Я предполагаю, что у вас есть ограничения по программному обеспечению в части конфигурации пользователя политики. Несколько советов здесь:

1. Копирование в другое место. Если у вас есть ограничение на основе пути, вы можете скопировать файл с ограничением (mmc.exe?) На другой диск (или переименовать файл) и попробовать запустить его оттуда.

2. Кэшированные учетные данные Если у вас есть компьютер или ноутбук, на котором вы ранее входили, отключите сетевой кабель и войдите в систему с кэшированными учетными данными (если это разрешено). Когда вы полностью войдете в систему (возможно, вы захотите подождать несколько минут), снова подключите сетевой кабель. Теперь вы сможете получить доступ к сети, но политики еще не будут применены, поэтому вы сможете получить доступ ко всем программам.

3. удалить разделы реестра Все эти ограничения политики хранятся в реестре. Поскольку вы являетесь администратором, у вас есть права на редактирование реестра, поэтому вы должны найти способ отредактировать его.

Вам нужно перейти по следующему разделу реестра: HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ paths и удалить все ключи в этом ключе, оставив сам ключ нетронутым.

Если вы не можете запустить regedit.exe, вы можете запустить следующие программы:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

В противном случае попробуйте получить доступ к реестру удаленно.

Зед-NL
источник
1 и 2 не применяются в этом случае, но я только что проверил 3 и смог запустить reg.exe из командной строки, и это сработало, спасибо! Однако я нашел более простой способ, который показан ниже
Даррен
Я рад, что вы нашли решение. Переименование файла - это то же самое, что и копирование его в другое место, я должен был написать «Копировать или переименовать» на первом шаге. Кстати, вы можете предотвратить «дыру», если хотите, добавив правило хеша ограничения программного обеспечения.
ZEDA-NL
Звучит интересно - хранить хеши MD5 разрешенного программного обеспечения? Это в Windows по умолчанию или требует стороннего?
Даррен
2
Правила хеширования являются родными в Windows 7, Windows 2008 и Windows 2003 и, возможно, раньше. Просто выберите «новое правило хэша», где вы ранее выбрали «новое правило пути». Недостатком является то, что он может перестать работать при обновлении системы. Вы можете комбинировать правила хеширования и правила пути.
ZEDA-NL
3

Звучит как загвоздка 22. Звучит так, как будто вы заглушены политикой домена по умолчанию. Если я не ошибаюсь, вы довольно хорошо заблокированы, потому что все пользователи являются членами группы «Прошедшие проверку» и к ним будет применен объект групповой политики, если только вы не удалили «Прошедшие проверку» из Фильтрации безопасности на объекте групповой политики (что не так) , Я не могу придумать комбинацию пользователя / группы, которая вернула бы вас в GPMC. Насколько я вижу, нет способа вернуться обратно из текущего домена, если вы действительно заблокировали возможность запуска консоли управления групповыми политиками и любой другой программы / исполняемого файла. Я никогда не был в этом сценарии, поэтому может быть способ обойти это, о котором я не знаю, но вот обходной путь, который я нашел. Это звучит немного странно и немного запутанно, но я думаю, что это сработает. Поехали:

  1. Настройте DC в новом Домене / Лесе. Я буду называть этот Домен / Лес « новым » и с этого момента буду называть существующий Домен / Лес « старым ».

  2. Создайте доверие между новым лесом и старым лесом. Поскольку вы, вероятно, не можете получить доступ к консоли DNS в старом домене, у вас должна быть возможность отредактировать файл hosts на контроллере домена в старом домене, обратившись к нему с рабочей станции, не подключенной к домену (предоставьте соответствующие учетные данные домена при появлении запроса). Добавьте запись для нового домена (DNS-суффикс домена / имя зоны AD DNS нового домена), указывающую на IP-адрес сервера DC / DNS в новом домене. Сохраните файл и перезагрузите старый DC, чтобы предварительно загрузить запись файла hosts в кэш DNS. Это должно быть сносной заменой условного экспедитора из старогоДомен / Лес в новый Домен / Лес. Создайте соответствующий условный сервер пересылки в новом домене для старого домена. Настройте файл hosts и условного сервера пересылки, прежде чем пытаться создать доверие.

  3. Добавьте учетную запись администратора из нового домена / леса в группу администраторов Builtin в старом домене / лесу, предоставив учетной записи администратора в старом домене / лесу право пользователя «Разрешить локальный вход в систему» ​​в GPO контроллеров домена по умолчанию в новом Домен / Forest. Запустите gpupdate / force на новом контроллере домена, а затем используйте «запуск от имени другого пользователя» или «запуск от имени» (в зависимости от ОС) на новом контроллере домена, чтобы открыть ADUC в качестве администратора старого домена и домашний ADUC для старого домена.

  4. Запустите GPMC на DC в новом лесу

  5. Домашняя ГПМЦ к старому Домену / Лесу

  6. Отключите политику домена по умолчанию в старом лесу

  7. Войдите в DC в старом лесу и запустите gpupdate / force, а затем посмотрите, можете ли вы запустить GPMC. Если это так, отмените все, что вы сделали, чтобы заблокировать себя и связать политику домена по умолчанию

  8. Повторите шаги, описанные выше, а затем сломайте доверие леса и выведите новый домен / лес из эксплуатации.

Редактирование объекта групповой политики через доверие Forest невозможно (насколько я знаю), но отсоединение его должно быть выполнено, если вы выполните изложенные мной шаги.

joeqwerty
источник
Хотя теоретически это звучит так, как будто это будет работать для некоторых настроек, я говорю об одной машине, а не о домене, поэтому этот ответ не применим. Но спасибо!
Даррен
Виноват. Я думал, что это было в домене. Продолжай тогда.
Joeqwerty
Хех, прости. Мне очень жаль, что ты пошел на все эти неприятности. Полагаю, мне следовало указать, что это была одна машина, учитывая, что это Serverfault.
Даррен
1

Как насчет использования powershell для удаления ссылки групповой политики. Вот справочник команд по technet http://technet.microsoft.com/en-us/library/ee461054.aspx

uSlackr
источник
Попробовал это, но из-за ограничений я не смог установить инструменты RSAT, необходимые для командлетов групповой политики.
0

Я не знаю, сможете ли вы запустить файл .reg ... Windows так связана с реестром, поэтому групповые политики ... Это было значение RestrictRun, которое вы установили, я думаю. С помощью удаления файла .reg вы можете удалить этот ключ.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Войдите в свою учетную запись. Запустите этот рег файл . И вы должны иметь возможность запускать другие программы после перезагрузки.

Я знаю, что нельзя загружать файлы, а не изображения, но мне жаль, что вы просто должны доверить мне этот reg-файл, поскольку вы не можете создать его в любом текстовом редакторе ...

The_aLiEn
источник
0

Найден обходной путь, который использует очевидную дыру в функции «ограниченных приложений» групповой политики. Просто переименовав исполняемый файл в имя файла доверенного приложения, вы можете обойти политику.

Единственная проблема в том, что вы не можете напрямую получить доступ к «gpedit.msc», переименовав его: он не будет работать.

Обходной путь, к которому я пришел: (можно ожидать, что более простой вариант сработает; это не так)

  1. Переименуйте копию «cmd.exe» во что-то разрешенное, например, «chrome.exe»
  2. Также переименуйте копию 'mmc.exe'
  3. Используйте теперь работающую командную строку для запуска консоли управления
  4. Из консоли управления добавьте оснастку «Групповая политика».
  5. Исправьте свою неосторожную ошибку

Консоль управления не будет запускаться из проводника после его переименования, поэтому необходимо выполнить шаг командной строки


источник
0

ОЧЕНЬ ПРОСТОЙ ФИКС

У меня была такая же проблема, случайно изменив системные настройки в gpedit. Попробуйте это исправление, которое я получил от Greylox .... У меня это сработало.

Нажмите кнопку «Пуск», введите «Run» в поле поиска в нижней части всплывающего окна и нажмите «Enter». В новом окне введите%systemroot%\system32\GroupPolicy\User delete registry.pol

Сделайте то же самое, %systemroot%\system32\GroupPolicy\Machine delete registry.polесли увидите, на моем компьютере его нет.

Перезагрузите вашу систему.

Войдите в систему под учетной записью администратора, создайте нового пользователя с правами администратора, перезагрузите компьютер и снова войдите в систему, используя новую учетную запись администратора.

Нажмите кнопку «Пуск», введите «Run» в поле поиска внизу всплывающего окна и нажмите «Enter». Введите gpedit.msc, нажмите ввод.

Перейдите к Local Computer Policy-> User Configuration-> Administrative Templates-> (двойной щелчок) system-> (посмотрите на панель справа и дважды щелкните) run only specified windows applications. Нажмите переключатель рядом с Отключено.

Сан Жак
источник