none
WinServer2019standard组策略禁用MMC RRS feed

  • 问题

  • DC服务器中的MMC都组策略禁用了。

    因为MMC被禁用无法查看组策略中哪些出现了异常。

    请教如何,不知如何恢复组策略对MMC运行的限制。


    2020年3月16日 9:25

全部回复

  • 你好,

    使用mmc打开的时候有具体的错误提示么,例如无法创建管理单元。如果直接在运行里输入gpedit.msc是否可以打开组策略。

    是使用的domain administrator的帐户登录吗?

    下方步骤是否可以添加:

    打开开始界面,输入【cmd】,在搜索结果的【命令提示符】上点击鼠标右键,选择【以管理员身份运行】
    随后在命令行窗口中输入【mmc】并按下回车键,将打开一个空白的控制台窗口。
    点击【文件】-【添加/删除管理单元】
    在左侧可用管理单元列表中,选中底部的【组策略对象编辑器】,点击【添加】
    点击【完成】,点击【确定】
    随后即可修改这条策略,从中删除“mmc.exe”

    如果回答是有帮助的, 请将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在
    Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年3月17日 8:11
  • 是用domain administrator登录。

    在假期间有同事用提升至域管理员的ID安装防护软件,期间曾反馈过由于安装不成功需要收集日志,但ID权限还是不够。

    后我在上周准备复工时发现域内用户客户端的MMC被禁。

    询问同事原因未果,自查DC组策略尝试找出被禁原因,尝试修改时弹出

    安全模板“系统找不到指定文件。未能保存\\域名\\SysVol\域名\Policies\{1B1A7C8C-DCA2-4484-9D34-A57E89F1E68E}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf请确定此对象存在”。

    请同事将其安装的防护软件卸载,重启DC后。其mmc相关服务(如AD、WSUS)还是提示被组策略限制,也不能运行gpedit.msc无法查看组策略。

    查找到相应位置的GptTmpl.inf内容如下,

    [Unicode]

    Unicode=yes
    [Version]
    signature="$CHICAGO$"
    Revision=1
    [System Access]
    MinimumPasswordAge = 0
    MaximumPasswordAge = 366
    MinimumPasswordLength = 7
    PasswordComplexity = 0
    [Registry Values]
    [Service General Setting]
    "mpssvc",2,""

    现在能运行regedit。


    2020年3月18日 2:44
  • 设想是不是可以通过修改注册表,让DC绕过域策略的限制,运行组策略管理,解除全局限制。

    在运行MMC时,事件日志显示如下

    管理员用路径 C:\Windows\System32\mmc.exe 上的策略规则 {2b68a00f-ca1a-4348-ae1f-5e1939e53592} 按位置限制了对 C:\Windows\system32\mmc.exe 的访问。

    同时在注册表中查询2b68a00f-ca1a-4348-ae1f-5e1939e53592数项,是不是全部删除就可以使其失效?


    2020年3月18日 6:55
  • 你好,

    我觉得理论上通过注册表是可以的,但是需要注意备份,在这之前,我想您可以先尝试重置一下组策略的默认权限设置。我们知道所有策略的设置都保存在域控制器(DC)的windows文件夹下的sysvol文件夹下,以GUID为文件夹名,其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GUID\MACHINE\Microsoft\windows NT\SecEdit\GptTmpl.inf 这个文件中,这是一个文本文件,能通过记事本编辑,要解除对所有用户本地登录限制,我们只需修改这个文本文件,把拒绝登陆的相关信息删除。

    https://support.microsoft.com/zh-cn/help/324800/how-to-reset-user-rights-in-the-default-domain-group-policy-in-windows

    如果回答是有帮助的, 请将其标记为答案, 可以帮助其他有相同问题的社区成员, 并快速找到有用的答复。


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在
    Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    2020年3月19日 8:26