Войти

Показать полную графическую версию : [решено] GPO - Восстановление настроек по умолчанию


Shaytan
18-05-2005, 11:09
Смог удалить политику безопасности домена, не могу ее восстановить. -)
Как это было:
На контроллере домена из папки \\server\SYSVOL\My_site\Policies\ удалил одну из папок с политикой, как я считал, старой и не используемой. На деле оказалось, что это была политика безопасности домена. И теперь, когда я на контроллере домена захожу в domain security policy, она не открывается, пишет ошибку:

Failed open the group policy object. You may not have appropriate rights.
Details: The system cannot find the path specified.

Вопрос: Можно ли ее как то восстановить?

Shaytan
18-05-2005, 11:49
Вдогонку к вопросу:
Хотя я зашел в свойства подразделения "domain controllers"-у него есть политика, называется "default domain controllers policy", и она прекрасно открывается.
Подскажите, в чем дело, и как заставить опять открываться domain security policy ?

Fighter
18-05-2005, 12:32
Ваш случай лишнее тому подтверждение что нельзя удалять
обьекты ГП, пусть они даже "старые и неиспользуемые"
дальше, совсем не лишним было бы написать версию вашего сервера так как
вероятность максимально точного ответа была бы выше...
дальше, читаем dcgpofix /? пробуем,
если не получается смотрим
http://support.microsoft.com/default.aspx?scid=kb;en-us;832214
http://support.microsoft.com/default.aspx?scid=kb;en-us;833783

Shaytan
18-05-2005, 13:17
Fighter , огромное спасибо за совет, еще не пробовал, тк англ. подкачал. Уточните, пожалуйста, это восстановление политики безопасности домена и все? Не повлияет ли это на политики для подразделений или чего нибудь еще? И в моем случае ее нужно запускать с ключами или без?
PS. На сервере win2003 server standart edition.
Заранее спасибо.

Fighter
18-05-2005, 13:41
Dcgpofix
Восстановление исходного состояния объектов групповой политики по умолчанию (состояние по умолчанию после начальной установки).

Внимание!

Данное средство позволяет восстановить исходное состояние (имеющее место после установки) политики по умолчанию для домена и политики по умолчанию для контроллеров домена. При запуске программы dcgpofix будут утеряны все изменения этих объектов групповой политики.
При задании параметра /ignoreschema можно настроить программу Dcgpofix.exe для работы с различными версиями Active Directory. Однако восстановление исходного состояния объектов политики по умолчанию может не выполниться. Чтобы гарантировать совместимость, используйте версию программы Dcgpofix.exe, устанавливаемую с текущей операционной системой.

Синтаксис
dcgpofix [/ignoreschema][/target: {domain | dc | both}]

Параметры
/ignoreschema
Необязательно. Игнорирование номера версии схемы Active Directory.
/target: {domain | dc | both}
Необязательно. Определение конечного домена, контроллера домена или того и другого. Если значение параметра /target не задано, программа dcgpofix по умолчанию использует значение both (то и другое).

Примеры
Использование команды dcgpofix для восстановления объекта политики по умолчанию для домена показано в следующем примере:

dcgpofix /target: domain
увы :( не уверен, что в вашем случае это поможет, поправите если ошибаюсь, (востанавливать "снесенные" не приходилось)
но в комбинациях с вариантами вост. по вышепривед. ссылкам
думаю есть шанс на успех :)

mb
18-05-2005, 14:07
Shaytan
вот это еще почитай -
How to reset security settings in the default Domain GPO in Windows 2000 (http://support.microsoft.com/?kbid=226243)

rooty
31-10-2005, 10:46
А каким образом можно восстановить настройки Default Domain Policy и Default Domain Controller Policy по умолчанию?

SkyF
01-11-2005, 18:16
rooty
for Windows Server 2003:
dcgpofix.exe (http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/48872034-1907-4149-b6aa-9788d38209d2.mspx)

rooty
02-11-2005, 10:53
Спасибо.

ЗЫ Лично у меня (Windows 2003 Srv EE) dcgpofix.exe расположен в папке C:\WINDOWS\System32 в отличие от указанной на Microsoft.com C:\WINDOWS\Repair.

rooty
10-11-2005, 12:34
А кто-нибудь пробовал эту самую утилиту dcgpofix? У меня после ее запуска практически все настройки групповых политик по умолчанию устанавливаются в Not Defind, а вовсе не так как было изначально..

ЗЫ Запускаю ее на контроллере без параметров. Ошибок не выдает, говорит, что все настройки восстановлены успешно для обеих политик.

SkyF
11-11-2005, 08:05
практически все настройки групповых политик по умолчанию устанавливаются в Not Defind
этого и следовало ожидать.

настройки доменной политики определяют только несколько режимов Account Policies, а Domain Controllers - переопределяет Security Settings + User Rights + Audit = Local policies для всех КД домена и все..

Fighter
11-11-2005, 09:43
ЗЫ Запускаю ее на контроллере без параметров. Ошибок не выдает, говорит, что все настройки восстановлены успешно для обеих политик.
The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state (http://support.microsoft.com/default.aspx?scid=kb;en-us;833783)

SkyF
11-11-2005, 10:22
Fighter - прав, всем читать указанный им линк.

правда, непонятно зачем это нужно было делать .. нужно будет думать..

xoxmodav
28-11-2005, 08:59
Возникла необходимость сбросить все настройки Windows 2003 Server по-умолчанию, т.е. чтобы все изменения откатить (групповые политики, политики локальной безопасности и т.д.). Возможно ли это сделать, не прибегая к переустановке (что конечно не желательно для контроллера домена).

monkkey
28-11-2005, 12:38
http://forum.oszone.net/showthread.php?t=56007

xoxmodav
28-11-2005, 13:44
Странно как же мне поиск эту тему не показал? Наверное я не проснулся тогда ещё. Спасибо за подсказку! :-)

xoxmodav
29-11-2005, 14:05
Star Wolf прислал мне немного более расширенное решение моего вопроса:

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

происходит сброс в исходное состояние безопасности
системных файлов и папок NTFS
реестра
политик безопасности
системных служб
пользовательских прав
групп пользователей
...
либо использовать ключ /areas AreaName1 AreaName2
где AreaNamex
SECURITYPOLICY - Локальная политика и политика для домена, включая политики учетных записей, политики аудита и т. п.
GROUP_MGMT - Настройка ограничений для всех групп, указанных в шаблоне безопасности
USER_RIGHTS - Права пользователей на вход в систему и предоставление привилегий
REGKEYS - Безопасность разделов локального реестра
FILESTORE - Безопасность локальных устройств хранения файлов
SERVICES - Безопасность для всех определенных служб

Это если у кого возникнет такой вопрос, чтобы по сто раз народ не дёргать... Спасибо всем за помощь.

SkyF
01-12-2005, 00:33
xoxmodavStar Wolf прислал мне немного более расширенное решение моего вопроса:

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
Ахтунг! в данной теме обсуждался инструмент - dcgpofix - он применим для систем начиная с Windows Server 2003,
для Windows 2000 Server способа восстановления настроек безопасности для групповых политик по умолчанию нет.
Способ указанный вами делает следующее - берет шаблон, и применяет его на локальную политику безопасности КД, но не на доменные политики.
однако восстановить, поврежденные настройки в этом случае все-таки можно. Я делал это вручную на КД 2000, экспортируя отредактированные копии шаблонов Defltdc.inf и Basicdc.inf . Редактировать их было нужно (в блокноте) от того, что там использовались переменные, которыя я заменял на постоянные значения параметров (названия групп и тп, а также был повторно применен шаблон (кажется это был defdcsec.inf или очень похожий по названию) - который возвращал настройки безопасности объектов реестра, служб и каталогов к исходному (елси они были повреждены администратором в рез-те ошибок импорта других шаблонов или неправильной выборочной настройкой самих объектов).

вот похожие статьи:
Gpresult Does Not Enumerate the Resultant Computer Security Policy (http://support.microsoft.com/?kbid=258595)
You receive the "The data is invalid" error message when you try to import a security template by using the Security Configuration and Analysis snap-in in Windows 2000 (http://support.microsoft.com/kb/250454/EN-US/)




© OSzone.net 2001-2012