active-directory – 如何在不访问域(控制器)的情况下删除组策略

我有一个(WS2012-R2)域控制器和一组(WS2012-R2)服务器,它们是域的成员.
我不小心添加了一个组,所有管理员都是组策略的成员“拒绝本地登录访问”,“拒绝登录为服务”,“拒绝远程访问”和“拒绝网络访问”.
这导致我和所有其他管理员(甚至是内置帐户)被锁定在域控制器之外.

有没有办法通过删除GPO或从已被拒绝的组中删除管理员帐户来重新获得对服务器的访问权限？

可以想象,您可以在脱机时使用启动CD访问域控制器,并手动编辑或删除有问题的GPO – 域控制器上的文件系统中存在域的GPO,并将其作为注册表设置应用,可以从引导CD访问 – 但是,这可以通过复制撤消,或者一旦域控制器连接到域中的其他域控制器,就会导致域复制错误. (我在这里假设您的域中有多个域控制器,因为您应该…如果您只有一个域控制器,这不是一个糟糕的方法).

想到的另一种方法是输入Directory Services Restore Mode并从早于此GPO的备份执行权威性还原. (而且这也依赖于你应该做的假设,并有备份来恢复.)

（编辑：ASP站长网）