У нас есть 2 контроллера домена с сервером 2019, системный администратор сделал что-то с GPO, который запрещает доступ для группы «Администраторы домена» к рабочим станциям, теперь он распределен по всему домену (включая контроллеры домена и серверы). Он также внес изменения в пользователей и компьютеры Active Directory (например, включил администраторов домена в защищенную группу пользователей, запретил делегирование для администраторов домена в профилях, сбросил пароль krbtgt).
GPO было таким:
Запретить доступ к этому компьютеру из сети
Запретить вход в качестве пакетного задания
Запретить вход в качестве службы
Запретить локальный вход
Запретить вход в систему с правами пользователя служб удаленных рабочих столов
ошибка:
Ошибка входа: ограничение учетной записи пользователя. Возможными причинами являются запрещение пустых паролей, ограничение времени входа в систему или ограничение политики.
Таким образом, мы не можем войти в систему на контроллерах домена или других серверах/рабочих станциях с правами администратора домена. Все дистанционное управление также заблокировано.
Я не знаю, просто ли это объект групповой политики или что-то еще (потому что при удаленном просмотре объект групповой политики не должен применяться к OU с контроллерами домена)
Я сделал принудительное восстановление (DSRM) всех AD, не сработало, я вижу, что в папке sysvol все еще есть этот объект групповой политики (файлы удалены, но структура папок сохранена).Также все изменения, внесенные в AD, все еще сохраняются (например, пользователи-администраторы домена все еще находятся в группе защищенных пользователей). Почему эти изменения не откатываются?
gpupdate /force с рабочих станций показывает ошибку, потому что gpt.ini из этого объекта групповой политики не существует, и групповая политика не может быть применена.
Любая помощь, пожалуйста?
