8 votos

Encerré a cabo de Editor de directivas de Grupo

Me puse 'sólo permitir que ciertas aplicaciones de las restricciones y, accidentalmente, aplicado a través de la junta a todas las cuentas. Ahora estoy limitado a sólo ejecutando un navegador y no se puede ejecutar el editor de directivas de grupo!

Hay una puerta trasera que puedo hacer uso de?

6voto

Darren Puntos 91

Encontrado una solución que explota una evidente agujero en el 'restringido a las aplicaciones de la característica de Directiva de Grupo. Simplemente cambiar el nombre de un archivo ejecutable con el nombre del archivo de una aplicación de confianza, puede omitir la política.

La solución que he llegado es de abajo (se que a muchos similares/variantes más sencillas de este trabajo; que no). Esperemos que esto ayude a alguien.

  1. Cambiar el nombre de una copia de 'cmd.exe' a algo permitido por ejemplo, 'chrome.exe'
  2. También cambiar el nombre de una copia de 'mmc.exe'
  3. Utilice el ahora-el funcionamiento de la línea de comandos para lanzar la consola de administración
  4. Desde la consola de administración, agregar el complemento Directiva de Grupo
  5. Arreglar tu error descuidado

La consola de administración de no ejecutar desde el explorador una vez que se ha cambiado el nombre, por lo que el comando de la línea de paso es necesario.

4voto

ZEDA-NL Puntos 498

Supongo que tiene restricciones de software en la Configuración de Usuario parte de la política. Un par de consejos aquí:

1. Copiar a otra ubicación Si usted tiene una restricción basada en una ubicación de ruta de acceso, se puede copiar el archivo que está restringido (mmc.exe?) a otra unidad (o cambie el nombre del archivo) y tratar de ejecutarlo desde allí.

2. Las credenciales almacenadas en caché Si usted tiene una computadora portátil o de donde haya iniciado sesión, desenchufe el cable de red y el inicio de sesión con las credenciales almacenadas en caché (si se permite). Cuando estás completamente loggedon (es posible que desee esperar un par de minutos) conecte el cable de red de nuevo. Ahora usted debería ser capaz de tener acceso a la red, pero las políticas no se aplican, de modo que usted puede tener acceso a todos los programas.

3. elimine las claves del registro Todas estas restricciones de la política se almacenan en el registro. Como usted es un administrador tiene permisos para editar el registro, por lo que debe encontrar una manera de editarlo.

Lo que va a hacer es ir a la siguiente clave del registro: HKEY_CURRENT_USER\Software\Policies\Microsoft\Segura\CodeIdentifiers\0\caminos y borrar todas las llaves bajo esta clave, dejando la llave en sí virgen.

Si usted no es capaz de iniciar regedit.exe, usted podría ser capaz de iniciar los siguientes programas:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

De lo contrario, intente acceder al registro de forma remota.

3voto

Russ Wheeler Puntos 173

Eso suena bastante el catch 22. Suena como que usted tiró con la Directiva de Dominio Predeterminada por los sonidos de la misma. Si no me equivoco, que está muy bien bloqueado debido a que todos los usuarios que son miembros del grupo Usuarios Autenticados y tendrá la GPO se aplica a menos que se quitó los Usuarios Autenticados de Filtrado de Seguridad en el GPO (que no parece el caso). No hay ningún usuario/grupo de combinación que se me ocurre que vas a volver en la GPMC. Tan lejos como puedo ver, no hay modo de volver a entrar en el dominio actual si realmente he bloqueado su capacidad para ejecutar la GPMC y cualquier otro programa o archivo ejecutable. Nunca he estado en este escenario, así que puede ser una manera alrededor de ella que yo no soy consciente de que, pero he aquí una solución que he venido para arriba con. Suena un poco alocada y un poco enrevesada, pero creo que va a hacer el truco. Aquí va:

  1. Configurar un controlador de dominio en un nuevo Dominio/Bosque. Me referiré a este Dominio/Bosque como "nuevo" y haré referencia a los existentes de Dominio/Bosque como "viejo" a partir de este punto en adelante.

  2. Crear una relación de confianza entre el nuevo bosque y el viejo bosque. Puesto que usted probablemente no puede acceder a la consola de DNS en el antiguo dominio debe ser capaz de editar el archivo hosts en un DC en el antiguo dominio de acceder a él desde un dominio no se unió a la estación de trabajo (aportar las correspondientes credenciales de dominio cuando se le solicite). Agregue una entrada para el nuevo dominio (el dominio de sufijo DNS/ANUNCIO de zona DNS nombre del nuevo dominio) apuntando a la dirección ip del DC/servidor DNS en el nuevo dominio. Guarde el archivo y reinicie el viejo DC para cargar previamente la entrada en el archivo hosts en la memoria caché de DNS. Este debe ser un transitable sustituto para un reenviador condicional desde el antiguo Dominio/Bosque para el nuevo Dominio/Bosque. Crear el correspondiente condicional transportista, en el nuevo dominio para el antiguo dominio. Configurar el archivo hosts y condicional transportista antes de intentar crear el fideicomiso.

  3. Agregar la cuenta de Administrador en el nuevo Dominio/Bosque para el grupo Administradores Incorporados en el antiguo Dominio/Bosque por la concesión de la cuenta de Administrador en el antiguo Dominio/Bosque "Permitir el inicio de sesión localmente" derecho de usuario en la Predeterminada de Controladores de Dominio de GPO en el nuevo Dominio/Bosque. Ejecutar gpupdate /force en el nuevo DC y, a continuación, utilizar la opción "ejecutar como otro usuario" o "ejecutar como" (dependiendo del sistema operativo) en el nuevo DC para abrir ADUC como el Administrador de la edad y de dominio de la casa de ADUC a la edad de dominio.

  4. Ejecutar GPMC en la DC en el nuevo bosque

  5. Casa GPMC para el antiguo Dominio/Bosque

  6. Desvincular la Directiva de Dominio Predeterminada en el antiguo bosque

  7. Inicie sesión en un controlador de dominio en el viejo bosque y ejecutar gpupdate /force y luego ver si ahora eres capaz de ejecutar la GPMC. Si es así, deshacer lo que hicieron a bloquear a ti mismo y volver a vincular la Directiva de Dominio Predeterminada

  8. Invierta los pasos de arriba y luego romper la confianza de bosque y retirar el nuevo Dominio/Bosque

La edición de la GPO a través de la confianza de Bosque no es posible (que yo sepa), pero la desvinculación debe ser si usted sigue los pasos que he indicado.

1voto

uSlackr Puntos 5287

Cómo sobre el uso de powershell para quitar la directiva de grupo de enlace. Aquí está la referencia de comandos en technet http://technet.microsoft.com/en-us/library/ee461054.aspx

0voto

The_aLiEn Puntos 120

No sé si usted podría ser capaz de ejecutar un .archivo reg... Windows es tan registro relacionadas, de manera que el grupo de políticas... fue RestrictRun valor que he puesto creo que. Con un quite .archivo reg puede eliminar esa clave.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Inicio de sesión con su propia cuenta. Ejecute este archivo reg. Y usted debe ser capaz de ejecutar otros programas después de reiniciar el sistema.

Sé que no es aceptable para la carga de archivos en lugar de imágenes, pero yo siento que usted tiene que confiar en mí con este archivo reg, ya que no se puede crear a través de cualquier editor de texto...

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: