В каждом домене Active Directory по умолчанию создаются два
объекта групповой политики (Group Policy Object, GPO): Default Domain
Policy и Default Domain Controllers Policy. Default Domain
Policy назначается на весь домен и определяет в нем политику паролей и
учетных записей, а Default Domain Controllers Policy связан с OU Domain
Controllers и обеспечивает повышенный уровень безопасности для
контроллеров домена.
Эти GPO очень важны, поэтому не рекомендуется вносить в них изменения без крайней необходимости. Так Default Domain Policy рекомендуется использовать только для управления настройками учетных записей, политиками паролей и Керберос, а Default Domain Controllers Policy GPO — для настройки пользовательских прав и политик аудита.
Однако на тот случай, если они повреждены или изменены до полной неработоспособности, есть возможность вернуть их в исходное состояние. Для этого в состав каждой серверной операционной системы начиная с Windows Server 2003 включена утилита Dsgpofix.exe, позволяющая восстановить состояние этих GPO на момент установки.
Чтобы запустить восстановление, достаточно в командной строке выполнить команду Dsgpofix. Запущенная без параметров, она отменяет все изменения объектов групповой политики Default Domain Policy и Default Domain Controllers Policy, причем даже если они были переименованы. Параметр /target позволяет указать, какую из GPO восстанавливать — DC, Domain или Both (оба).
Если в домене присутствуют разные версии Active Directory (например при наличии контроллеров домена с различными версиями Windows), то для совместимости следует использовать ключ /ignoreschema, который игнорирует номер версии схемы AD. В противном случае команда сработает только для одной версии схемы — той, которая используется на контроллере домена с которого ее запустили.
В качестве примера восстановим изменения в Default Domain Policy в домене с разными версиями AD следующей командой:
Dcgpofix /ignoreschema /Target:Domain
И еще один важный момент, который надо учесть при восстановлении Default Domain Controllers Policy GPO. При использовании Dcgpofix некоторые параметры безопасности могут отличаться исходных (создаваемых в процессе установки). В связи с этим сразу после восстановления с помощью Dcgpofix необходимо проверить параметры безопасности вручную. Подробнее о данной проблеме можно узнать здесь.
В заключение скажу, что Microsoft рекомендует использовать Dcgpofix только в аварийных ситуациях, при полном отсутствии резервных копий. Рекомендованный вариант восстановления GPO с помощью резервного копирования описан в этой статье.
Эти GPO очень важны, поэтому не рекомендуется вносить в них изменения без крайней необходимости. Так Default Domain Policy рекомендуется использовать только для управления настройками учетных записей, политиками паролей и Керберос, а Default Domain Controllers Policy GPO — для настройки пользовательских прав и политик аудита.
Однако на тот случай, если они повреждены или изменены до полной неработоспособности, есть возможность вернуть их в исходное состояние. Для этого в состав каждой серверной операционной системы начиная с Windows Server 2003 включена утилита Dsgpofix.exe, позволяющая восстановить состояние этих GPO на момент установки.
Чтобы запустить восстановление, достаточно в командной строке выполнить команду Dsgpofix. Запущенная без параметров, она отменяет все изменения объектов групповой политики Default Domain Policy и Default Domain Controllers Policy, причем даже если они были переименованы. Параметр /target позволяет указать, какую из GPO восстанавливать — DC, Domain или Both (оба).
Если в домене присутствуют разные версии Active Directory (например при наличии контроллеров домена с различными версиями Windows), то для совместимости следует использовать ключ /ignoreschema, который игнорирует номер версии схемы AD. В противном случае команда сработает только для одной версии схемы — той, которая используется на контроллере домена с которого ее запустили.
В качестве примера восстановим изменения в Default Domain Policy в домене с разными версиями AD следующей командой:
Dcgpofix /ignoreschema /Target:Domain
И еще один важный момент, который надо учесть при восстановлении Default Domain Controllers Policy GPO. При использовании Dcgpofix некоторые параметры безопасности могут отличаться исходных (создаваемых в процессе установки). В связи с этим сразу после восстановления с помощью Dcgpofix необходимо проверить параметры безопасности вручную. Подробнее о данной проблеме можно узнать здесь.
В заключение скажу, что Microsoft рекомендует использовать Dcgpofix только в аварийных ситуациях, при полном отсутствии резервных копий. Рекомендованный вариант восстановления GPO с помощью резервного копирования описан в этой статье.
Комментариев нет:
Отправить комментарий