Как удаленно восстановить доступ к компьютеру, на котором Администраторов домена удалили из Администраторов?

Question

[affklb]

Имеется ДОМЕННЫЙ компьютер под Windows 7, на котором группы "Администраторы домена" не входит в локальную группу "Администраторы" (возможно, еще что-то подкручено). У меня есть права администратора домена и пароль локального администратора этого компьютера. Тем не менее не удается воспользоваться практически никакими средствами удаленного управления. Оснастка "Локальные пользователи и группы" позволяет увидеть пользователей/группы, но изменить ничего нельзя. Удаленный рабочий стол, psexec, wmic, tasklist, sc (управление сервисами), С$ (служебные шары), regedit и reg -- везде отказ в доступе. GP также не срабатывает по непонятной причине. Можно ли вылечить без физического доступа к компьютеру?

Comments

[pROCK]

Через учётку локального админа (ИМЯ_КОМПА\Администратор) тоже нет доступа на С$, psexec?

[chupasaurus]

pROCK, локальные учетки проще писать как .\username

[affklb]

pROCK, нет, уже отвечал в комментарии Ивану Байдину.
chupasaurus, интересный способ, но в данном случае это будет, наверное, ==мое_раб_место\username -- явно не то.

[chupasaurus]

affklb, точка в качестве домена преобразовывается на машине, куда приходит запрос.

Answer 1

[Иван Байдин]

при подключении к этому компу при указании имени пользователя задайте логин в виде COMPNAME\local_admin

Comments

[affklb]

Иван Байдин, разумеется, для тех из вышеперечисленных утилит, которые позволяют указывать учетные данные, это пробовалось. То, что доменный админ ничего не сможет, стало ясно сразу, поэтому я и написал, что есть и пароль локального админа. Причем пароль правильный, т. к. команда:
net use \\compname password /user:compname\local_admin
выдает ошибку, если в password указать белиберду, но успешно отрабатывает при правильном пароле. Но толку никакого (на XP это давало возможность запустить оснастку "Локальные пользователи и группы" с нужными правами, здесь, видимо, UAC блокирует).

Answer 2

[akelsey]

К сожалению это не возможно удалённо, by design. Только локально.

Comments

[affklb]

Абсурд, однако, ведь речь идет о доменном компе, который "by design" должен управляться централизованно. И для XP это точно было возможно.

[akelsey]

affklb, ну тут нельзя путать и смешивать доменный доступ (с кредами компа) и подключение локальным админом по сети к этому компу.
Но т.к. вы пишите что GPO тоже не работает, стало быть компьютер возможно не аутентифицировался в домене по каким либо причинам.

[affklb]

Подключаться то я вроде подключаюсь, но UAC урезает права и как их поднять удаленно, непонятно. GP может не работать по множеству причин (мой опыт), например, прописан левый DNS. Авторизация в домене при этом сохраняется (вероятно, через Netbios и NTLM), а вот для политик это фатально.

[akelsey]

affklb, да извиняюсь, забыл про UAC именно он не давал что либо сделать несколько месяцев назад. Сейчас проверил с отключенным УАК в тест лабе - всё норм, добавил в админы, удалил из админов.

Answer 3

[Saboteur]

1. Попробуйте переподключиться
net use \\remote_machine /delete
net use \\remotecomp /user:\\remotecomp\local_admin password
А уже затем попробовать вызвать оснастку управления.

2. Попробуйте выполнить пункт 1. с не-доменного компа.

3. Teamviewer/remote desktop?

Answer 4

[Ltonid]

Есть способ который иногда приходится использовать, но не спалиться перед пользователем.
Делаете батник с нужными командами, где их запускаете естественно от имени администратора.
Добавляете его в планировщик пользователя на "при загрузке", "входе" и ребутаете компьютер.