[研究][GCB]退出 GCB AD Domain，用 LGPO.exe 套用 GCB GPO 注意事項

[研究][GCB]退出 GCB AD Domain，用 LGPO.exe 套用 GCB GPO 注意事項

2023-02-03

因為某些緣故，Windows Server 2019/2022 主機要退出 GCB AD Domain (變回 WORKGROUP)，用 LGPO.exe 套用 GCB GPO。

這篇是因為在 GCB AD Domain, AD Domain, GCB 踢了些鐵板、遇到了些麻煩，分享的經驗。

****************************************

【退 AD 前】

Windows Server 2019/2022 

1.退 AD 後，因為沒了 GCB Ad Domain，Windows 本機帳號 renamed_admin 會回復為 administrator。  (但過程沒讓你重設 administrator 密碼，你還記得密碼嗎？)

2.(可以等退 AD 後再做，但建議先做)

  建議替管理員 user1, user2, ... 建立 Windows Server 2019/2022 本機帳號，並加入 administrator 群組，以防萬一。

  (曾遇過某系統退 AD 後，aadministrator 登入成功，但畫面全黑，無法操作使用；user1登入則正常； 若不是先建立了其他 administrators 群組的帳號 就慘了)

SQL Server 2019/2022 

1.建議把「維護計畫」砍了，之後再重建和測試；

 因為目前用 GcbAdDomain\user1 帳號執行，退 AD 後不能跑，刪除又有權限問題要處理，麻

煩。

2.SSMS 中新增 "SQL Server驗證" 的 user2 和 user1 帳號，伺服器角色全勾， 免得退 AD 後，GcbAdDomain\user1 和 GcbAdDomain\user2 等 sysadmin 等級帳號都沒了。

3.因為 sa 以前就改名和關閉了，可以考慮新名稱改回為 sa，啟用，設定密碼。 

4.以退 AD 前，SQL Server 可能有下面帳號

GcbAdDomain\administrator (退AD後，可能還在，但可能無法登入)

GcbAdDomain\user1 (退AD後，可能還在，但可能無法登入)

GcbAdDomain\user2 (退AD後，可能還在，但可能無法登入)

Win2022Web\administrator 

Win2022Web\user1 (本機帳號，"Windows 驗證"，本機 administrators 群組，預防萬一，建議有)

Win2022Web\user2 (本機帳號，"Windows 驗證"，本機 administrators 群組)

sa (可能已經停用改名，可考慮啟用，設定密碼，"SQL Server 驗證" 的最高等級帳號是 sa，不是稱為 administrator )

user1 ("SQL Server 驗證"，具有 sysadmin 等所有角色，預防萬一，建議有)

user2 ("SQL Server 驗證"，具有 sysadmin 等所有角色，預防萬一)

MyWebServer (網站系統帳號，"SQL Server驗證"，但只有特定 Database Owner 權限，沒有 sysadmin 等級權限)

****************************************

【退 AD】

建議用 AD Domain 的 administrator / Renamed_Admin 來退出。

( 雖然 Win2022Web 本機的 administrator 也可以退出，但狀況不同 )

****************************************

【退 AD 後】

測試一下 administrator 和 user1 可否登入。

註1：某系統退 AD 後，aadministrator 登入成功，但畫面全黑，無法操作使用；user1登入則正常；若不是先建立了其他 administrators 群組的帳號 就慘了。

註2：某系統退 AD 後，有 Renamed_Admin 帳號，沒 administrator 帳號，可能是以前加入 AD Domain 前，就改名了。  

****************************************

【用 LGPO.exe 套 GCB 】

需要「系統管理員」層級的「命令提示字元」環境才行。

1. 將目前的群組原則備份

mkdir  D:\LGPO\BACKUP (LGPO.exe 不會自動建立目錄，要手動建立)

D:

cd LGPO

LGPO.exe /b D:\LGPO\BACKUP  (目錄必須已經存在)

註：LGPO.exe 的備份，只會對有人為設定的值備份，如果原來是 "尚未定義"，而你套用的 GCB 改了它，備份檔可能是無法還原到 "尚未定義" 的，如果是有關 "權限" 的設定因 GCB 而喪失，後果可能嚴重。

就算仍有足夠權限解決問題，也要知道如何解決，例如稍後會提到的 SQL Server 服務被停用了。

2. 清空(刪除)目前的群組原則

RD /S /Q C:\Windows\System32\GroupPolicy

3. 將需要的設定檔匯入

LGPO.exe /g D:\LGPO\GCB_Rules

4. 強制更新，立即生效

gpupdate /force

(理論上這樣就不用 reboot Windows，但實際上放一晚隔間去檢視 "事件檢視器"，套用後若沒立刻重新啟動 Windows， 會開始有些異常狀況，建議不用做此步驟，直接 "立即" "重新開機"。

5. 立即重新開機

shutdown /r /f /t 00

****************************************

【SQL Server 無法用了】

如果有使用 SQL Server，立刻執行 gpedit.msc，左邊樹狀結構展開

本機電腦原則/電腦設定/Windows 設定/安全性設定/本機原則/使用者權限指派

右邊找到「以服務方式登入」把下面2個加入 (第一個必須，如果有使用「維護精靈」或 SQL Server Agent 相關工作，第2個也必須)

NT SERVICE\MSSQLSERVER

NT SERVICE\SQLSERVERAGENT

如果不確定要加入甚麼，點 Windows 桌面左下角「開始」按紐，選

「Windows 系統管理工具」/「服務」，找到 "SQL Server (MSSQLServer)"，

Click，點選 "登入" 頁籤，看 "這個帳戶" 欄位使用哪個帳號啟動 SQL Server，

一般應該是 "NT SERVICE\MSSQLSERVER"

其他可能用到的服務 (依各自機器安裝軟體和設定不同，而可能不同)

• LOCAL SERVICE
• SQLServer2005SQLBrowserUser$WIN2019STD
• SQLServerMSASUser$WIN2019STD$MSSQLSERVER
• NT SERVICE\ALL SERVICES
• NT SERVICE\SSISScaleOutWorker150
• NT SERVICE\SQL Server Distributed Replay Controller
• NT SERVICE\SSASTELEMETRY
• NT SERVICE\SSISTELEMETRY150
• NT SERVICE\SQLTELEMETRY
• NT SERVICE\MSSQLServerOLAPService
• NT SERVICE\MsDtsServer150
• NT SERVICE\SQL Server Distributed Replay Client
• NT SERVICE\MSSQLFDLauncher
• NT SERVICE\SQLSERVERAGENT
• NT SERVICE\MSSQLSERVER
• IIS APPPOOL\Classic .NET AppPool
• IIS APPPOOL\.NET v4.5
• IIS APPPOOL\.NET v2.0
• IIS APPPOOL\.NET v4.5 Classic
• IIS APPPOOL\.NET v2.0 Classic
• IIS APPPOOL\TestWebSite

****************************************

【後續測試和設定】

1.測試 Web Server 是否正常運作。

2.進入 SQL Server Management Studio 19.x，用下面 2個都測試看看，

•   Win2022Web\user1 (本機帳號，"Windows 驗證"，本機 administrators 群組)
•   user1 ("SQL Server 驗證"，具有 sysadmin 等所有角色，預防萬一)

 要用 Win2022Web\user1 (本機帳號，"Windows 驗證") 登入 SSMS，Windows Server 2019/2022 就必須用 user1 登入。

 註1：敝人碰過有些主機用 user1 ("SQL Server 驗證") 居然無法登入 SSMS 的狀況，但有些主機可用 user1 登入 SSMS，砍掉重建後，可以正常登入。

註2： 敝人碰過有些主機用 Win2022Web\user1 (本機帳號，"Windows 驗證") 無法登入 SSMS 的狀況，後來發現是 Windows Hostname 曾經異動過的關係。當時沒有任何其他能成功登入 SSMS 的帳號了，後來把 Windows Hostname 改回原來的，才成功登入 SSMS。

註2A：某些軟體，Windows hostname 一但變更，會無法用，若再改回，有些是可以成功再使用，但遇過某軟體，hostname 改回仍會部份功能或所有功能無法再使用，注意。

註3： 敝人碰過 sysadmin 等級帳號登入 SSMS 後，然後某操作，居然有權限問題，所以前面建議「角色」不要只勾 sysadmin，乾脆全勾選。

3.測試看看 Web Server 是否仍可正常瀏覽。

4.重新用 SSMS 建立 "維護計畫"，執行看看能否成功。

(完)  

  

相關

[研究][GCB]退出 GCB AD Domain，用 LGPO.exe 套用 GCB GPO 注意事項https://shaurong.blogspot.com/2024/02/gcb-gcb-ad-domain-lgpoexe-gcb-gpo.html

[研究]GCB套用前後，Windows「帳戶原則」(密碼原則、帳戶鎖定原則)對比
https://shaurong.blogspot.com/2024/02/gcbwindows.html

[研究]GCB套用前後，「本機原則」(稽核原則、使用者權限指派、安全性原則)對比
https://shaurong.blogspot.com/2024/02/gcb.html

[研究]SQL Server的sa帳號改名或關閉，「維護計畫」失敗之解決
https://shaurong.blogspot.com/2024/02/sql-serversa.html

[研究]GCB 套用與 Splunk Server、Splunk Universal Forwarder 影響
https://shaurong.blogspot.com/2024/02/gcb-splunk-serversplunk-universal.html

[研究]GCB 套用與 ArcSight 影響
https://shaurong.blogspot.com/2024/02/gcb-arcsight.html

[研究]GCB 套用與趨勢科技 Trend Micro Deep Security Agent (DSA) 影響
https://shaurong.blogspot.com/2024/02/gcb-trend-micro-deep-security-agent-dsa.html

[研究]GCB 套用與 EDR 影響
https://shaurong.blogspot.com/2024/02/gcb-edr.html

[研究]GCB 套用與 神網資訊資產管理(VANS導入) 影響
https://shaurong.blogspot.com/2024/02/gcb-vans.html

 [研究]GCB 套用與 Windows 遠端桌面影響
https://shaurong.blogspot.com/2024/02/gcb-windows.html

[研究][GCB]遠端桌面連線出現「系統管理員已限制您可以使用的登入類型 (網路或互動式)。」https://shaurong.blogspot.com/2020/07/gcb.html

[研究][GCB]AD (Active Directory) 您嘗試連線的遠端電腦需要網路層級的驗證(NLA)，但無法聯絡您的 Windows 網域控制站以執行 NLA。
https://shaurong.blogspot.com/2022/09/gcbad-active-directory-nla-windows-nla.html