Восстанавливаем состояние GPO по умолчанию
В каждом домене Active Directory по умолчанию создаются два объекта групповой политики (Group Policy Object, GPO): Default Domain Policy и Default Domain Controllers Policy. Default Domain Policy назначается на весь домен и определяет в нем политику паролей и учетных записей, а Default Domain Controllers Policy связан с OU Domain Controllers и обеспечивает повышенный уровень безопасности для контроллеров домена.
Эти GPO очень важны, поэтому не рекомендуется вносить в них изменения без крайней необходимости. Так Default Domain Policy рекомендуется использовать только для управления настройками учетных записей, политиками паролей и Керберос, а Default Domain Controllers Policy GPO — для настройки пользовательских прав и политик аудита.
Однако на тот случай, если они повреждены или изменены до полной неработоспособности, есть возможность вернуть их в исходное состояние. Для этого в состав каждой серверной операционной системы начиная с Windows Server 2003 включена утилита Dsgpofix.exe, позволяющая восстановить состояние этих GPO на момент установки.
Чтобы запустить восстановление, достаточно в командной строке выполнить команду Dsgpofix. Запущенная без параметров, она отменяет все изменения объектов групповой политики Default Domain Policy и Default Domain Controllers Policy, причем даже если они были переименованы. Параметр /target позволяет указать, какую из GPO восстанавливать — DC, Domain или Both (оба).
Если в домене присутствуют разные версии Active Directory (например при наличии контроллеров домена с различными версиями Windows), то для совместимости следует использовать ключ /ignoreschema, который игнорирует номер версии схемы AD. В противном случае команда сработает только для одной версии схемы — той, которая используется на контроллере домена с которого ее запустили.
В качестве примера восстановим изменения в Default Domain Policy в домене с разными версиями AD следующей командой:
1 |
Dcgpofix /ignoreschema /Target:Domain |
И еще один важный момент, который надо учесть при восстановлении Default Domain Controllers Policy GPO. При использовании Dcgpofix некоторые параметры безопасности могут отличаться исходных (создаваемых в процессе установки). В связи с этим сразу после восстановления с помощью Dcgpofix необходимо проверить параметры безопасности вручную.