将自己锁定在组策略编辑器之外

我设置了“仅允许某些应用程序”限制，并意外地将它们全面应用于所有帐户。现在，我只能运行浏览器，而不能运行组策略编辑器！

我可以利用后门吗？

找到了一种解决方法，该方法利用了组策略的“受限制的应用程序”功能中的明显漏洞。通过简单地将可执行文件重命名为受信任的应用程序的文件名，您可以绕过该策略。

我得出的解决方法如下（您可以使用许多类似/简单的变体来工作；但不能）。希望这对某人有帮助。

1. 将“ cmd.exe”的副本重命名为允许的内容，例如“ chrome.exe”
2. 同时重命名“ mmc.exe”的副本
3. 使用正在运行的命令行启动管理控制台
4. 在管理控制台中，添加组策略管理单元
5. 解决您的粗心错误

重命名后，管理控制台将无法从资源管理器运行，因此必须执行命令行步骤。

我认为您在策略的“用户配置”部分中有软件限制。这里有一些提示：

1.复制到另一个位置 如果基于路径位置有限制，则可以将受限制的文件（mmc.exe？）复制到另一个驱动器（或重命名该文件），然后尝试从那里运行。

2.缓存的凭据 如果您以前曾登录过计算机或笔记本电脑，请拔下网络电缆，并使用缓存的凭据登录（如果允许）。完全登录后（可能要等待几分钟），再次插入网络电缆。现在您应该可以访问网络了，但是该策略尚未应用，因此您可以访问所有程序。

3.删除注册表项 所有这些策略限制都存储在注册表中。作为管理员，您有权编辑注册表，因此您应该找到一种编辑注册表的方法。

您将要做的是转到以下注册表项： HKEY_CURRENT_USER \ Software \ Policies \ Microsoft \ Safer \ CodeIdentifiers \ 0 \ paths 并删除此注册表项下的所有注册表项，而注册表项本身保持不变。

如果您无法启动regedit.exe，则可以启动以下程序：

%windir%\regedit.exe

%windir%\System32\regedt32.exe

%windir%\System32\reg.exe (commandline)

%windir%\SysWOW64\regedit.exe (64bit computer only) 

%windir%\SysWOW64\regedt32.exe (64bit computeronly) 

%windir%\SysWOW64\reg.exe (64bit computer only, commandline)

否则，请尝试远程访问注册表。

听起来很像22。听起来像是您被默认域策略所困扰。如果我没记错的话，您会被完全锁定在外，因为所有用户都是Authenticated Users组的成员，并且将应用GPO，除非您从GPO的“安全筛选”中删除了Authenticated Users（听起来不是如此）。 。我无法提供用户/组组合，这会让您重返GPMC。据我所知，如果您真正锁定了运行GPMC和任何其他程序/可执行程序的能力，则无法从当前域重新进入。我从来没有遇到过这种情况，所以可能有一种我不知道的解决方法，但是我想出了一个解决方法。听起来有些怪异，但有些令人费解，但我认为它可以解决问题。开始：

1. 在新的域/林中设置DC。从现在开始，我将这个域/森林称为“ 新 ”，并将现有的域/森林称为“ 旧 ”。

2. 在新林和旧林之间建立信任关系。由于您可能无法访问旧域中的DNS控制台，因此您应该能够通过从非域加入的工作站进行访问来编辑旧域中DC上的主机文件（在出现提示时提供适当的域凭据）。将新的的条目添加指着的DC / DNS服务器的IP地址域（新域的域DNS后缀/ AD DNS区域名称）的新领域。保存文件并重新启动旧的 DC，以将主机文件条目预加载到DNS缓存中。这应该可以替代旧有条件的转发器域/林到新的域/林。在新域中为旧域创建相应的条件转发器。在尝试创建信任之前，请设置主机文件和条件转发器。

3. 从添加管理员帐户新域/林在内置的管理员组旧域/林通过在授予管理员帐户旧域/林“允许在本地登录”，在默认用户权限域控制器GPO中的新域/森林。在运行gpupdate / force 新的 DC，然后使用“运行方式不同的用户”或“运行方式”（视操作系统而定）的新 DC，以开放ADUC作为署长旧域和家庭ADUC到旧域。

4. 在新林中的DC上运行GPMC

5. GPMC到旧版 Domain / Forest

6. 取消旧林中的默认域策略的链接

7. 登录到旧林中的DC 并运行gpupdate / force，然后查看您现在是否能够运行GPMC。如果是这样，请撤消您所做的一切以将自己锁定在外并重新链接默认域策略

8. 从上颠倒步骤，然后破坏森林信任并停用新的Domain / Forest

据我所知，无法在Forest信任中编辑GPO，但是如果您按照我列出的步骤进行操作，则应该取消链接。

如何使用Powershell删除组策略链接。这是technet http://technet.microsoft.com/zh-cn/library/ee461054.aspx上的命令参考

我不知道您是否能够运行.reg文件... Windows与注册表相关，因此组策略...我认为这是您设置的RestrictRun值。使用remove .reg文件，您可以删除该密钥。

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"RestrictRun"=-

登录到您自己的帐户。运行此reg文件。并且您应该能够在重新启动后运行其他程序。

我知道上传文件而不是上传图像是不可接受的，但是对不起您只需要信任此reg文件，因为您无法通过任何文本编辑器创建它...

找到了一种解决方法，该方法利用了组策略的“受限制的应用程序”功能中的明显漏洞。通过简单地将可执行文件重命名为受信任的应用程序的文件名，您可以绕过该策略。

唯一的问题是您不能通过重命名直接访问“ gpedit.msc”：它将无法正常工作。

我得出的解决方法：（您希望可以使用此方法的更简单的变体；它不起作用）

1. 将“ cmd.exe”的副本重命名为允许的内容，例如“ chrome.exe”
2. 同时重命名“ mmc.exe”的副本
3. 使用正在运行的命令行启动管理控制台
4. 在管理控制台中，添加组策略管理单元
5. 解决您的粗心错误

重命名后，管理控制台将无法从资源管理器运行，因此必须执行命令行步骤

非常简单的修复

我因意外更改gpedit中的系统设置而遇到了相同的问题。尝试我从Greylox获得的修复程序。...对我有用。

单击开始按钮，在弹出窗口底部的搜索字段中输入运行，然后按Enter。在新窗口中输入%systemroot%\system32\GroupPolicy\User delete registry.pol

%systemroot%\system32\GroupPolicy\Machine delete registry.pol如果看到它，请执行相同操作，但我的PC没有。

重新启动系统。

使用admin帐户登录，创建具有admin特权的新用户，重新启动并使用新的admin帐户重新登录。

单击开始按钮，在弹出窗口底部的搜索字段中输入运行，然后按Enter。键入gpedit.msc，然后按Enter。

转到Local Computer Policy-> User Configuration-> Administrative Templates->（双击）system->（在右侧面板中查看并双击）run only specified windows applications。单击禁用旁边的单选按钮。