Заметки о Windows и других программных продуктах Microsoft...

Восстанавливаем состояние GPO по умолчанию

Восстанавливаем состояние GPO по умолчанию

В каждом домене Active Directory по умолчанию создаются два объекта групповой политики (Group Policy Object, GPO): Default Domain Policy и Default Domain Controllers Policy. Default Domain Policy назначается на весь домен и определяет в нем политику паролей и учетных записей, а Default Domain Controllers Policy связан с OU Domain Controllers и обеспечивает повышенный уровень безопасности для контроллеров домена.

Эти GPO очень важны, поэтому не рекомендуется вносить в них изменения без крайней необходимости. Так Default Domain Policy рекомендуется использовать только для управления настройками учетных записей, политиками паролей и Керберос, а Default Domain Controllers Policy GPO — для настройки пользовательских прав и политик аудита.

Однако на тот случай, если они повреждены или изменены до полной неработоспособности, есть возможность вернуть их в исходное состояние. Для этого в состав каждой серверной операционной системы начиная с Windows Server 2003 включена утилита Dsgpofix.exe, позволяющая восстановить состояние этих GPO на момент установки.

Чтобы запустить восстановление, достаточно в командной строке выполнить команду Dsgpofix. Запущенная без параметров, она отменяет все изменения объектов групповой политики Default Domain Policy и Default Domain Controllers Policy, причем даже если они были переименованы. Параметр /target позволяет указать, какую из GPO восстанавливать — DC, Domain или Both (оба).

Если в домене присутствуют разные версии Active Directory (например при наличии контроллеров домена с различными версиями Windows), то для совместимости следует использовать ключ /ignoreschema, который игнорирует номер версии схемы AD. В противном случае команда сработает только для одной версии схемы — той, которая используется на контроллере домена с которого ее запустили.

В качестве примера восстановим изменения в Default Domain Policy в домене с разными версиями AD следующей командой:

Dcgpofix /ignoreschema /Target:Domain

утилита DsGPOFix.exe

 

И еще один важный момент, который надо учесть при восстановлении Default Domain Controllers Policy GPO. При использовании Dcgpofix некоторые параметры безопасности могут отличаться исходных (создаваемых в процессе установки). В связи с этим сразу после восстановления с помощью Dcgpofix необходимо проверить параметры безопасности вручную. Подробнее о данной проблеме можно узнать здесь.

В заключение скажу, что Microsoft рекомендует использовать Dcgpofix только в аварийных ситуациях, при полном отсутствии резервных копий. Рекомендованный вариант восстановления GPO с помощью резервного копирования описан в этой статье.

 
 
Комментарии
Александр

не dSgprofix, а dCgpofix!