Toon posts:

GPO op server herstellen

Pagina: 1
Acties:
  • 159 views sinds 30-01-2008
  • Reageer

dinsdag 9 oktober 2007 20:23

Acties:

Verwijderd

Topicstarter
Beste mensen van tweakers,

Vandaag heb ik wel een enorm domme fout gemaakt en schaam me diep. 8)7 :$ 7(8)7
Vandaag was ik een lijst aan het maken in de active directory - group policy, voor leerlingen met daarin alleen de exe bestanden die ze mogen uitvoeren.("Run only the allowed Windows applications.")

Na dat ik dit had ingevoerd, heb ik een gpupdate /force gedaan en mezelf afgemeld.
Echter kwam ik later tot de ontdekking dat niet alleen de leerlingen maar ook de server naar die policy luisterd.

fout melding:

This Operation Has Been Cancelled Due to Restrictions in run a restricted
program, contact your system administrator to modify the GPO.

Gelukkig kan ik nog wel een CMD draaien, maar aangezien ik niet bij de policies kan lijkt het me stug dat ik via cmd er wel bij kan.

heeft iemand een oplossing voor dit domme probleem van me. ben nogal erg boos op mezelf en wil het per direct oplossen :(

bedankt iedereen,

groeten

M.

dinsdag 9 oktober 2007 20:25

Acties:

Verwijderd

Heb je een backup van je AD?
Dan zou je een Authorative restore kunnen draaien.
Of wellicht een traag replicerende 2e DC? Waarvan je deze policy terug kunt kopieren.

dinsdag 9 oktober 2007 20:26

Acties:
  • Archie_T
  • Registratie: Januari 2002
  • Laatst online: 10:17

Archie_T

Policies zijn niets anders dan registry keys en als jij de refresh tijd op een standaard heb staan kan je gewoon de registry keys aanpassen en dan je policy aanpassing doorvoeren.
Maar je mag waarschijnlijk ook geen regedit draaien, dan even een reg file maken en die importeren en vervolgens met GPEditor weer aanpassen.

dinsdag 9 oktober 2007 20:32

Acties:

Verwijderd

Topicstarter
neej ik werk er net en de voorgangers hebben er geen back-up ervan, wat er straks direct gaat komen.
we hebben 2 dc's maar allebei van een andere domein.

ik zal proberen om een reg file aan te gaan maken.

dinsdag 9 oktober 2007 20:37

Acties:
  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 12-12-2025

Alex)

Kun je vanaf de prompt niet regedit.exe starten? Als je van zelfkastijding houdt kun je ook met reg.exe werken }) (Nah, zelfkastijding is overdreven, maar je moet wel veel sleutels typen :p)

[ Voor 25% gewijzigd door Alex) op 09-10-2007 20:38 ]

We are shaping the future

dinsdag 9 oktober 2007 20:38

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Alex) schreef op dinsdag 09 oktober 2007 @ 20:37:
Kun je vanaf de prompt niet regedit.exe starten? Als je van zelfkastijding houdt kun je ook met reg.exe werken })
registry editing tools zijn disabled, dus elke tool die de registry gaat bewerken werkt niet meer ;)

gewoon een pc in een werkgroep hangen en vervolgens met hyena een connectie maken met het domain (dus niet de pc in het domain hangen!, het gaat puur om de connectie) en dan de policy's uitzetten. zonder interactive logon (wat een logon op een serverconsole/workstation is) kan je dat gewoon bewerken via een client welke niet in hetzelfde domain hangt)

werkt altijd :)

[ Voor 37% gewijzigd door Zwelgje op 09-10-2007 20:40 ]

A wise man's life is based around fuck you

woensdag 10 oktober 2007 10:37

Acties:

Verwijderd

Topicstarter
okej ik heb het programma geinstalleerd en werkt perfect, maar hoe kan ik in het programma de gpo's uitzetten? daar ben ik nog niet helemaal uit.

woensdag 10 oktober 2007 10:41

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Je kan toch gewoon even tijdelijk met regedit naar de DC connecteren, vervolgens naar HKLM\Software\Policies gaan (op die DC) - dit volledig wissen, en dan naar HKLM\Software\Microsoft\Windows\Policies\ gaan en die ook volledig wissen ?

Vervolgens kan je dan 'tijdelijk' inloggen (een minuut of 15) en kan je het fixen? :)

woensdag 10 oktober 2007 10:43

Acties:
  • sjongenelen
  • Registratie: Oktober 2004
  • Laatst online: 11-02 21:49

sjongenelen

elevator schreef op woensdag 10 oktober 2007 @ 10:41:
Je kan toch gewoon even tijdelijk met regedit naar de DC connecteren, vervolgens naar HKLM\Software\Policies gaan (op die DC) - dit volledig wissen, en dan naar HKLM\Software\Microsoft\Windows\Policies\ gaan en die ook volledig wissen ?

Vervolgens kan je dan 'tijdelijk' inloggen (een minuut of 15) en kan je het fixen? :)
de betere oplossing :)

you had me at EHLO

woensdag 10 oktober 2007 11:37

Acties:

Verwijderd

Topicstarter
IK heb een mogelijke oplossing voor het probleem zelf net gevonden.
Aangezien ik eenlijst heb met software dat uitgevoerd mag worden ;)
heb ik de mmc.exe hernoemt na een programma dat wel uitgevoerd mag worden.
En de domain deault policy waar dus de verkeerde regels in staan disabled.
nu weer inloggen en de GPO aanpassen.

[ Voor 74% gewijzigd door Verwijderd op 10-10-2007 12:28 ]

woensdag 10 oktober 2007 14:18

Acties:
  • eRRoR.InSiDe
  • Registratie: September 2001
  • Laatst online: 13-02 08:09

eRRoR.InSiDe

Als je nu zelf al weet dat renamen het probleem van een exe opstarten niet voorkomt. Waarom zou je het dan opnemen in je policy? Om het de niets van snappende gebruikers iets niet kunnen laten doen wat ze toch al niet kunnen?

Het is een serieuze vraag, ik ben benieuwd of er mensen zijn die er goede redenen voor aan kunnen dragen.

Verder is het misschien een tip om je server niet onder dezelfde GPO te laten vallen als je werkstations ;)

woensdag 10 oktober 2007 20:04

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

eRRoR.InSiDe schreef op woensdag 10 oktober 2007 @ 14:18:
Als je nu zelf al weet dat renamen het probleem van een exe opstarten niet voorkomt. Waarom zou je het dan opnemen in je policy? Om het de niets van snappende gebruikers iets niet kunnen laten doen wat ze toch al niet kunnen?

Het is een serieuze vraag, ik ben benieuwd of er mensen zijn die er goede redenen voor aan kunnen dragen.

Verder is het misschien een tip om je server niet onder dezelfde GPO te laten vallen als je werkstations ;)
dan gebruik je een software restriction policy, die werkt op basis van een hash van de .exe file. zelfs renamen werkt dan niet meer

A wise man's life is based around fuck you

woensdag 10 oktober 2007 20:08

Acties:
  • sjongenelen
  • Registratie: Oktober 2004
  • Laatst online: 11-02 21:49

sjongenelen

Powershell schreef op woensdag 10 oktober 2007 @ 20:04:
[...]


dan gebruik je een software restriction policy, die werkt op basis van een hash van de .exe file. zelfs renamen werkt dan niet meer
yup, de manier die je nu probeert is echt onzin :)

you had me at EHLO

donderdag 11 oktober 2007 08:54

Acties:

Verwijderd

Topicstarter
ja het is inderdaad niet verstandig omde server onder dezelfde policy te laten ben ik mee eens.
Vandaar dat ik dat dus nu allemaal fijn aan het aanpassen ben.
Tsja ik zit op een school en wil niet alles super dicht timmeren.
In ieder geval ligt er nogal wat werk als het op de policy's aankomt. Ik was van mening dat de policy
.("Run only the allowed Windows applications.") genoeg zou moeten zijn voor de meeste leerlingen. Dat heb ik dus onderschat.
In ieder geval kom ik er nu wel uit en ga de inrichting van de policies even flink verbouwen.

Het probeem is opgelost. Mijn dank voor jullie informatie

donderdag 11 oktober 2007 10:09

Acties:
  • sjongenelen
  • Registratie: Oktober 2004
  • Laatst online: 11-02 21:49

sjongenelen

gebruik meerdere policies natuurlijk dan :) voor meerdere OU's...

er is maar zat te vinden, kant en klaar daarvoor :)

btw: misschien gemakkelijk om even een testserver (virtueel) op te zetten, voordat je weer zoiets doet :+

[ Voor 31% gewijzigd door sjongenelen op 11-10-2007 10:09 ]

you had me at EHLO

donderdag 11 oktober 2007 11:06

Acties:

Verwijderd

Topicstarter
haha jah inderdaad dat was zelfde gedachte, een virtuele server.
Ik ben nu bezig met het uitwerken van nieuwe policies inderdaad. Om dit soort problemen voortaan te voorkomen. :+ Niet handig zoals deze netwerk is achter gelaten. Zit een hoop herconfiguratie in.
Een ghost server is ook wel handig, voor eventuele images.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq