0

我的帖子

个人中心

设置

  发新话题
域控组策略下发策略关闭445端口,但是不小心应用到了域控本身,导致域控445被关闭,现在无法操作域控组策略,请问怎么解决??
操作组策略提示无法找到网络路径。已经无法修改了。修改ad自身的组策略又提示被ad策略覆盖,请问怎么解决??

和@新新人类 老哥遇到的情况一样,但是用它的方法并没有解决。。请问还有没有别的方法https://bbs.51cto.com/thread-1493868-1-1.html



引用:
原帖由 30583396 于 2019-4-18 20:44 发表
域控组策略下发策略关闭445端口,但是不小心应用到了域控本身,导致域控445被关闭,现在无法操作域控组策略,请问怎么解决??
操作组策略提示无法找到网络路径。已经无法修改了。修改ad自身的组策略又提示被ad策略覆盖,请问怎么 ...
试试看
将 sysvol\your domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9} 域控制器组策略(另一个文件夹是域组策略)  这里的文件移走, 如果可行的话, 就重做组策略

为了防止勒索病毒就关闭445端口的做法不可取啊, 还有什么为了共享就乱开guest账户, 这些都是野路子, 馊主意。


实在不行, 只好推倒重来, 这就惨了。



引用:
原帖由 quya 于 2019-4-19 13:04 发表

试试看
将 sysvol\your domain\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9} 域控制器组策略(另一个文件夹是域组策略)  这里的文件移走, 如果可行的话, 就重做组策略

为了防止勒索病毒就关闭445端口的做法不可取 ...
应该是不行,移走或者从相同环境下替换这个文件都没效果,应该是虽然替换了 但是策略还是通过445分发的,445关闭了发不下去



引用:
原帖由30583396 于 2019-4-19 13:18 发表

应该是不行,移走或者从相同环境下替换这个文件都没效果,应该是虽然替换了 但是策略还是通过445分发的,445关闭了发不下去
那既然分发不到组策略, 通过虚拟机再做一台域控,(然后将角色都转换到新的域控,是否需要这一步不清楚),新的域控因为得不到组策略分发,是否认为组策略是空的,然后就可以重建? 有条件的话可以试试看。




本帖最后由 quya 于 2019-4-19 13:28 编辑
引用:
原帖由 quya 于 2019-4-19 13:27 发表

那既然分发不到组策略, 通过虚拟机再做一台域控,(然后将角色都转换到新的域控,是否需要这一步不清楚),新的域控因为得不到组策略分发,是否认为组策略是空的,然后就可以重建? 有条件的话可以试试看。 ...
那用户能不能批量移过去啊



引用:
原帖由30583396 于 2019-4-19 14:58 发表

那用户能不能批量移过去啊
做副域控, 不是要抛弃原来的重做域控。
所以不存在用户迁移的问题。

以下纯属猜想

因为其他域控获得了封闭445端口的策略,所以挥刀自宫了,而新加的域控也得不到原来的域策略, 所以它自以为没有域策略,于是可以新建域策略。(可以拷贝一份组策略出来,可以选择性再拷贝回去)。 如果它能得到域策略,说明域策略还能分发, 这个是悖论,如果发生了, 你该高兴看到了奇迹。

不一定能成功,但死马当活马医。建议在做副域控的时候先移走sysvol那里的组策略文件。




本帖最后由 quya 于 2019-4-19 15:27 编辑
引用:
原帖由 quya 于 2019-4-19 15:25 发表

做副域控, 不是要抛弃原来的重做域控。
所以不存在用户迁移的问题。

以下纯属猜想

因为其他域控获得了封闭445端口的策略,所以挥刀自宫了,而新加的域控也得不到原来的域策略, 所以它自以为没有域策略,于是可以新建域策 ...
重新做域控已经做不进去了 机器加不进去了



引用:
原帖由 30583396 于 2019-4-19 20:00 发表

重新做域控已经做不进去了 机器加不进去了
新机器加不了域, 这个挥刀自宫也太狠了吧。

兄弟,本人黔驴技穷,已经无法帮到你了。

你还是按你一开始提到的那个帖子的思路去搞吧, 我觉得那个帖子的思路可以的, 就是不知道为什么到你那儿就不行了。



看看注册表能不能修改



所以提示大伙,不要偷懒,要做应用策略要建相应的OU来做,要在整个域上做策略要慎重。之前我在整个域上做策略,禁用了NTFS的加密和压缩功能(我估计是这个原因),导致三台AD重启后都不能正常进入系统,留一台在线,其它两台使用最后一次正确的配置才正常进入系统。



引用:
原帖由 quya 于 2019-4-22 08:11 发表

新机器加不了域, 这个挥刀自宫也太狠了吧。

兄弟,本人黔驴技穷,已经无法帮到你了。

你还是按你一开始提到的那个帖子的思路去搞吧, 我觉得那个帖子的思路可以的, 就是不知道为什么到你那儿就不行了。 ...
策略能不能停用



关掉防火墙不行?这个策略好像是通过改防火墙来生效的



你这个是通过IP安全策略来应用的,麻烦了



我擦,好可怕,帮顶一下,我也不知道怎么解决



大佬们的建议很好,在下学习学习



‹‹ 上一贴:求助关于两个路由器做vrrp的问题   |   下一贴:现有专线网络,想再接一个拨号网络做备用,需要增加什么设 ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2019 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com