none
主域控组策略管理被限制无法打开,提示此程序被组策略阻止。 RRS feed

  • 常规讨论

  • 在组策略编辑器中,软件限制策略->安全级别,将不允许的设为默认。因为域admin账户也在设置的策略组里面导致的。有什么办法可以打开组策略管理,公司的电脑所有软件都无法打开了
    • 已更改类型 jarvisye 2015年1月9日 6:17 高手救救我吧
    2015年1月9日 5:35

全部回复

  • 解決方法:

    01. 首先這是基於域 GPO 中錯誤設置軟件限制策略(以下簡稱 SRP)應用範圍較小的情況.
           但撤銷步驟應該適用於大範圍的情況. 這後續的步驟中有說明.

    02. 受限於如果將錯誤配置的  SRP 應用到包括 DC 在內的所有機器以及 Domain Admins 組用戶,
         s撤銷起來可能比較麻煩, 即便是測試環境.
         所以我的測試僅限於將客戶端配置爲由於錯誤設置的 SRP, 導致系統不可用.

    03. 所無的 SRP 配置方法
        a. 新建一個 GPO, 命名爲 SRP.
        b. 分別在其計算機配置和用戶配置, 啓用 SRP 設置爲
             b-1. 不允許爲默認設置
             b-2.  路徑   C:\Windows\system32\*, C:\Windows\*, C:\* 爲不允許
        c. 將這個 GPO 應用到已有 OU:
             OU=Default Computers, DC=contoso.local
             OU=Default Users, DC=contoso.local

    04. 啓動位於 OU=Default Computers, DC=contoso.local 的計算機 CLI.contoso.local.
        可以看到在輸入正確的位於  OU=Default Users, DC=contoso.local 的域用戶 Tester 憑據後,
        系統立即自動註銷.

    05. 在 DC 通過
     
    evnetvwr -computer:CLI.contoso.local

    可以看到應用程序有因爲 SRP 限制導致 C:\Windows\system32\userinit.exe 不能執行,
    而導致 Tester 在登錄後立即被強制註銷.

    06. 現在開始說明如何取消該 SRP 限制.

    07. 重啓 DC 到安全模式.

    注: 這裏假設包括 DC 在內的所有機器以及 Domain Admins 組用戶都應用了該 SRP.
    如果只是客戶端應用了, 則不用重啓 DC 到安全模式. 直接在當前環境下修改.

    08. 在安全模式中運行一個 cmd
        然後執行如下命令
        cd /d C:\Windows\sysvol\sysvol\DOMIANNAME\Policies
       
        REM 通常 SYSVOL 位於此.
       
        REM 依據時間倒序排列 GPO 目錄.
       
        dir /a-d/o-d/p
       
        REM 你是最近添加修改的 SRP, 那麼目錄應該在最前面.   
        REM 複製或手動敲入最前面那個 GPO 以 GUID 命名的目錄
       
        REM 備份 GPT.INI
        cd {GUID}
        xcopy /hrk GPT.INI GPT.INI.BAK
       
        REM 重命名計算機配置的策略文件
        cd Machine
        move Registry.pol Registry.pol.bak
       
        REM 重命名用戶配置的策略文件
        cd ..
        cd User
        move Registry.pol Registry.pol.bak
       
        REM 如果只有計算機或用戶配置啓用了錯誤的 SRP,
        REM 則自行忽略其中之一
       
        REM 將 GPT.INI 文件裏的 Version 加 1
        REM 比如原來是 9999, 改爲 10000.
        REM 並保存更改.
        cd..
        notepad GPT.INI
       
        REM 如果有多個 GPO 有錯誤應用 SRP 的情況, 重複上述步驟.
       
    09. 確認所有有錯誤應用 SRP 的 GPO 更改完成後, 重啓 DC.
       注: 因爲我的這個測試環境只有一臺 DC, 所以你在正式環境
       下需要額外確認其他 DC 的相同文件是否同步完成更改.
      
    10. 等待 DC 可以接受用戶登錄後, 重啓客戶端.
          這時應該可以看到, 客戶端可以正常登錄.

    11.  如果客戶端因爲交換機的 portfast 沒有打開, 而導致開機
             後不能第一時間應用 GPO 更改, 那麼你可能需要額外附加
             開機腳本先刪除註冊表項
            
             HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
            
             或者通過 Windows PE 結合批處理腳本(reg 命令)來刪除.
             可只刪除包含錯誤設置的子項.
            
             於 portfast 有關的 KB
             Event ID 5719 is logged when you start a Domain Member
             https://support.microsoft.com/kb/938449/en-us
            
    12. 最後重新設置一切必要的 SRP. 或從沒有設置錯誤 SRP 的 GPO 備份恢復
            原有設置.


    Folding@Home

    2015年1月10日 9:41
  • 補充一下, 域 Administrator 默認位於 CN=Users, DC=*{,DC=*} 容器中, 因爲 Users 容器不是 OU, 所以不能應用 GPO.
    只要該用戶沒移到 OU 中, 你可以用該用戶來修改包含錯誤 SRP 設置的 GPO.

    Folding@Home

    2015年1月10日 9:45