Ich habe mich aus dem Gruppenrichtlinien-Editor ausgeschlossen

Ich habe die Einschränkungen "Nur bestimmte Anwendungen zulassen" festgelegt und sie versehentlich auf alle Konten angewendet. Jetzt kann ich nur noch einen Browser ausführen und den Gruppenrichtlinien-Editor nicht mehr ausführen!

Gibt es eine Hintertür, die ich nutzen kann?

Es wurde eine Problemumgehung gefunden, die eine offensichtliche Lücke in der Funktion "Eingeschränkte Anwendungen" der Gruppenrichtlinie ausnutzt. Durch einfaches Umbenennen einer ausführbaren Datei in den Dateinamen einer vertrauenswürdigen Anwendung können Sie die Richtlinie umgehen.

Die Problemumgehung, zu der ich gekommen bin, ist unten (Sie würden viele ähnliche / einfachere Varianten davon verwenden; sie funktionieren nicht). Hoffentlich hilft das jemandem.

1. Benennen Sie eine Kopie von 'cmd.exe' in eine zulässige Kopie um, z. B. 'chrome.exe'.
2. Benennen Sie auch eine Kopie von 'mmc.exe' um
3. Verwenden Sie die jetzt funktionierende Befehlszeile, um die Verwaltungskonsole zu starten
4. Fügen Sie in der Verwaltungskonsole das Gruppenrichtlinien-Snap-In hinzu
5. Beheben Sie Ihren nachlässigen Fehler

Die Verwaltungskonsole wird nach dem Umbenennen nicht mehr im Explorer ausgeführt. Daher ist der Befehlszeilenschritt erforderlich.

Ich gehe davon aus, dass Sie im Teil Benutzerkonfiguration der Richtlinie Softwareeinschränkungen haben. Ein paar Tipps hier:

1. Kopieren an einen anderen Speicherort Wenn Sie eine Einschränkung basierend auf einem Pfadspeicherort haben, können Sie die eingeschränkte Datei (mmc.exe?) Auf ein anderes Laufwerk kopieren (oder die Datei umbenennen) und versuchen, sie von dort aus auszuführen.

2. Zwischengespeicherte Anmeldeinformationen Wenn Sie einen Computer oder Laptop haben, an dem Sie sich zuvor angemeldet haben, ziehen Sie das Netzwerkkabel ab und melden Sie sich mit zwischengespeicherten Anmeldeinformationen an (falls zulässig). Wenn Sie vollständig angemeldet sind (möglicherweise möchten Sie einige Minuten warten), schließen Sie das Netzwerkkabel erneut an. Jetzt sollten Sie auf das Netzwerk zugreifen können, aber die Richtlinien werden noch nicht angewendet, sodass Sie auf alle Programme zugreifen können.

3. Registrierungsschlüssel löschen Alle diese Richtlinieneinschränkungen werden in der Registrierung gespeichert. Als Administrator haben Sie die Berechtigung, die Registrierung zu bearbeiten. Sie sollten daher eine Möglichkeit finden, sie zu bearbeiten.

Gehen Sie zum folgenden Registrierungsschlüssel: HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ path und löschen Sie alle Schlüssel unter diesem Schlüssel, wobei der Schlüssel selbst unberührt bleibt .

Wenn Sie regedit.exe nicht starten können, können Sie möglicherweise die folgenden Programme starten:

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

Versuchen Sie andernfalls, remote auf die Registrierung zuzugreifen.

Das klingt nach dem Haken 22. Es hört sich so an, als hätten Sie die Standarddomänenrichtlinie durch die Geräusche davon durcheinander gebracht. Wenn ich mich nicht irre, sind Sie ziemlich gut gesperrt, da alle Benutzer Mitglieder der Gruppe Authentifizierte Benutzer sind und das Gruppenrichtlinienobjekt angewendet wird, es sei denn, Sie haben Authentifizierte Benutzer aus der Sicherheitsfilterung im Gruppenrichtlinienobjekt entfernt (was nicht der Fall ist). . Es gibt keine Benutzer- / Gruppenkombination, die ich finden könnte, um Sie wieder in die GPMC zu bringen. Soweit ich sehen kann, gibt es keine Möglichkeit, von der aktuellen Domäne zurückzukehren, wenn Sie Ihre Fähigkeit, die GPMC und ein anderes Programm / eine andere ausführbare Datei auszuführen, wirklich gesperrt haben. Ich war noch nie in diesem Szenario, daher gibt es möglicherweise einen Weg, den ich nicht kenne, aber hier ist eine Problemumgehung, die ich mir ausgedacht habe. Es klingt ein bisschen verrückt und leicht verworren, aber ich denke, es wird den Trick machen. Hier geht:

1. Richten Sie einen DC in einer neuen Domäne / Gesamtstruktur ein. Ich werde diese Domain / Gesamtstruktur von diesem Punkt an als " neu " und die vorhandene Domäne / Gesamtstruktur als " alt " bezeichnen.

2. Erstellen Sie ein Vertrauen zwischen dem neuen Wald und dem alten Wald. Da Sie wahrscheinlich nicht die DNS - Konsole in der Zugriff auf alte Domain sollten Sie in der die Hosts - Datei zu bearbeiten auf einem DC in der Lage alten Domäne , indem es von einem Nicht-Domäne verbunden Workstation (mit den geeigneten Domänenanmeldeinformationen , wenn Sie dazu aufgefordert) zugreifen. Fügen Sie einen Eintrag für die neue Domäne hinzu (das DNS-Suffix der Domäne / AD-DNS-Zonenname der neuen Domäne), der auf die IP-Adresse des DC / DNS-Servers in der neuen Domäne verweist . Speichern Sie die Datei und starten Sie den alten DC neu, um den Eintrag der Hosts-Datei in den DNS-Cache vorzuladen. Dies sollte ein passabler Ersatz für einen bedingten Spediteur aus dem alten seinDomäne / Gesamtstruktur zur neuen Domäne / Gesamtstruktur. Erstellen Sie die entsprechende bedingte Weiterleitung in der neuen Domäne für die alte Domäne. Richten Sie die Hosts-Datei und die bedingte Weiterleitung ein, bevor Sie versuchen, die Vertrauensstellung zu erstellen.

3. Fügen Sie das Administratorkonto aus der neuen Domäne / Gesamtstruktur zur Gruppe "Integrierte Administratoren" in der alten Domäne / Gesamtstruktur hinzu, indem Sie dem Administratorkonto in der alten Domäne / Gesamtstruktur das Benutzerrecht "Lokale Anmeldung zulassen" im Gruppenrichtlinienobjekt "Standarddomänencontroller" in der neuen Domäne gewähren Domain / Wald. Führen Sie gpupdate / force auf dem neuen Domänencontroller aus und verwenden Sie dann "Als anderer Benutzer ausführen" oder "Ausführen als" (je nach Betriebssystem) auf dem neuen Domänencontroller , um ADUC als Administrator der alten Domäne und Heim-ADUC für die alte Domäne zu öffnen .

4. Führen Sie GPMC auf dem DC in der neuen Gesamtstruktur aus

5. Home GPMC zur alten Domain / Gesamtstruktur

6. Unlink die Default Domain Policy im alten Wald

7. Melden Sie sich bei einem Domänencontroller in der alten Gesamtstruktur an, führen Sie gpupdate / force aus und prüfen Sie, ob Sie jetzt GPMC ausführen können. Wenn ja, machen Sie alles rückgängig, was Sie getan haben, um sich selbst zu sperren und die Standarddomänenrichtlinie erneut zu verknüpfen

8. Kehren Sie die Schritte von oben um und brechen Sie dann die Gesamtstrukturvertrauensstellung und nehmen Sie die neue Domäne / Gesamtstruktur außer Betrieb

Das Bearbeiten des Gruppenrichtlinienobjekts in der Gesamtstrukturvertrauensstellung ist (soweit ich weiß) nicht möglich, das Aufheben der Verknüpfung sollte jedoch erfolgen, wenn Sie die von mir festgelegten Schritte ausführen.

Wie wäre es mit Powershell, um den Gruppenrichtlinienlink zu entfernen? Hier ist die Befehlsreferenz auf technet http://technet.microsoft.com/en-us/library/ee461054.aspx

Ich weiß nicht, ob Sie in der Lage sein könnten, eine .reg-Datei auszuführen ... Windows ist so registrierungsbezogen, also die Gruppenrichtlinien ... Es war der RestrictRun-Wert, den Sie meiner Meinung nach festgelegt haben. Mit einer .reg-Datei zum Entfernen können Sie diesen Schlüssel löschen.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

Melden Sie sich bei Ihrem eigenen Konto an. Führen Sie diese Registrierungsdatei aus . Nach dem Neustart sollten Sie in der Lage sein, andere Programme auszuführen.

Ich weiß, dass es nicht akzeptabel ist, Dateien anstelle von Bildern hochzuladen, aber es tut mir leid, dass Sie mir diese Registrierungsdatei nur anvertrauen müssen, da Sie sie nicht über einen Texteditor erstellen können ...

Es wurde eine Problemumgehung gefunden, die eine offensichtliche Lücke in der Funktion "Eingeschränkte Anwendungen" der Gruppenrichtlinie ausnutzt. Durch einfaches Umbenennen einer ausführbaren Datei in den Dateinamen einer vertrauenswürdigen Anwendung können Sie die Richtlinie umgehen.

Das einzige Problem ist, dass Sie nicht direkt auf 'gpedit.msc' zugreifen können, indem Sie es umbenennen: Es wird nicht funktionieren.

Die Problemumgehung, zu der ich gekommen bin: (Sie würden erwarten, dass eine einfachere Variante davon funktioniert; es funktioniert nicht)

1. Benennen Sie eine Kopie von 'cmd.exe' in eine zulässige Kopie um, z. B. 'chrome.exe'.
2. Benennen Sie auch eine Kopie von 'mmc.exe' um
3. Verwenden Sie die jetzt funktionierende Befehlszeile, um die Verwaltungskonsole zu starten
4. Fügen Sie in der Verwaltungskonsole das Gruppenrichtlinien-Snap-In hinzu
5. Beheben Sie Ihren nachlässigen Fehler

Die Verwaltungskonsole wird nach dem Umbenennen nicht mehr im Explorer ausgeführt. Daher ist der Befehlszeilenschritt erforderlich

SEHR EINFACHES FIX

Ich hatte das gleiche Problem, weil ich versehentlich die Systemeinstellungen in gpedit geändert habe. Versuchen Sie dieses Update, das ich von Greylox bekommen habe ... Es hat bei mir funktioniert.

Klicken Sie auf die Schaltfläche Start und geben Sie run in das Suchfeld unten im Popup ein. Drücken Sie die Eingabetaste. In das neue Fenster eingeben%systemroot%\system32\GroupPolicy\User delete registry.pol

Machen Sie dasselbe, %systemroot%\system32\GroupPolicy\Machine delete registry.polwenn Sie es sehen, mein PC hatte es nicht.

Starten Sie Ihr System neu.

Melden Sie sich unter dem Administratorkonto an, erstellen Sie einen neuen Benutzer mit Administratorrechten, starten Sie den Computer neu und melden Sie sich mit dem neuen Administratorkonto wieder an.

Klicken Sie auf die Schaltfläche Start und geben Sie run in das Suchfeld unten im Popup ein. Drücken Sie die Eingabetaste. Geben Sie gpedit.msc ein und drücken Sie die Eingabetaste.

Gehen Sie zu Local Computer Policy-> User Configuration-> Administrative Templates-> (Doppelklick) system-> (schauen Sie in das Feld rechts und doppelklicken Sie) run only specified windows applications. Klicken Sie auf das Optionsfeld neben Deaktiviert.