Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] GPO - Восстановление настроек по умолчанию (http://forum.oszone.net/showthread.php?t=56007)

Shaytan 18-05-2005 11:09 325185

[решено] GPO - Восстановление настроек по умолчанию
 
Смог удалить политику безопасности домена, не могу ее восстановить. -)
Как это было:
На контроллере домена из папки \\server\SYSVOL\My_site\Policies\ удалил одну из папок с политикой, как я считал, старой и не используемой. На деле оказалось, что это была политика безопасности домена. И теперь, когда я на контроллере домена захожу в domain security policy, она не открывается, пишет ошибку:

Failed open the group policy object. You may not have appropriate rights.
Details: The system cannot find the path specified.

Вопрос: Можно ли ее как то восстановить?

Shaytan 18-05-2005 11:49 325204

Вдогонку к вопросу:
Хотя я зашел в свойства подразделения "domain controllers"-у него есть политика, называется "default domain controllers policy", и она прекрасно открывается.
Подскажите, в чем дело, и как заставить опять открываться domain security policy ?

Fighter 18-05-2005 12:32 325217

Ваш случай лишнее тому подтверждение что нельзя удалять
обьекты ГП, пусть они даже "старые и неиспользуемые"
дальше, совсем не лишним было бы написать версию вашего сервера так как
вероятность максимально точного ответа была бы выше...
дальше, читаем dcgpofix /? пробуем,
если не получается смотрим
http://support.microsoft.com/default...b;en-us;832214
http://support.microsoft.com/default...b;en-us;833783


Shaytan 18-05-2005 13:17 325232

Fighter , огромное спасибо за совет, еще не пробовал, тк англ. подкачал. Уточните, пожалуйста, это восстановление политики безопасности домена и все? Не повлияет ли это на политики для подразделений или чего нибудь еще? И в моем случае ее нужно запускать с ключами или без?
PS. На сервере win2003 server standart edition.
Заранее спасибо.

Fighter 18-05-2005 13:41 325241

Цитата:

Dcgpofix
Восстановление исходного состояния объектов групповой политики по умолчанию (состояние по умолчанию после начальной установки).

Внимание!

Данное средство позволяет восстановить исходное состояние (имеющее место после установки) политики по умолчанию для домена и политики по умолчанию для контроллеров домена. При запуске программы dcgpofix будут утеряны все изменения этих объектов групповой политики.
При задании параметра /ignoreschema можно настроить программу Dcgpofix.exe для работы с различными версиями Active Directory. Однако восстановление исходного состояния объектов политики по умолчанию может не выполниться. Чтобы гарантировать совместимость, используйте версию программы Dcgpofix.exe, устанавливаемую с текущей операционной системой.

Синтаксис
dcgpofix [/ignoreschema][/target: {domain | dc | both}]

Параметры
/ignoreschema
Необязательно. Игнорирование номера версии схемы Active Directory.
/target: {domain | dc | both}
Необязательно. Определение конечного домена, контроллера домена или того и другого. Если значение параметра /target не задано, программа dcgpofix по умолчанию использует значение both (то и другое).

Примеры
Использование команды dcgpofix для восстановления объекта политики по умолчанию для домена показано в следующем примере:

dcgpofix /target: domain
увы :( не уверен, что в вашем случае это поможет, поправите если ошибаюсь, (востанавливать "снесенные" не приходилось)
но в комбинациях с вариантами вост. по вышепривед. ссылкам
думаю есть шанс на успех :)

mb 18-05-2005 14:07 325257

Shaytan
вот это еще почитай -
How to reset security settings in the default Domain GPO in Windows 2000

rooty 31-10-2005 10:46 369092

А каким образом можно восстановить настройки Default Domain Policy и Default Domain Controller Policy по умолчанию?

SkyF 01-11-2005 18:16 369579

rooty
for Windows Server 2003:
dcgpofix.exe

rooty 02-11-2005 10:53 369776

Спасибо.

ЗЫ Лично у меня (Windows 2003 Srv EE) dcgpofix.exe расположен в папке C:\WINDOWS\System32 в отличие от указанной на Microsoft.com C:\WINDOWS\Repair.

rooty 10-11-2005 12:34 372264

А кто-нибудь пробовал эту самую утилиту dcgpofix? У меня после ее запуска практически все настройки групповых политик по умолчанию устанавливаются в Not Defind, а вовсе не так как было изначально..

ЗЫ Запускаю ее на контроллере без параметров. Ошибок не выдает, говорит, что все настройки восстановлены успешно для обеих политик.

SkyF 11-11-2005 08:05 372637

Цитата:

практически все настройки групповых политик по умолчанию устанавливаются в Not Defind
этого и следовало ожидать.

настройки доменной политики определяют только несколько режимов Account Policies, а Domain Controllers - переопределяет Security Settings + User Rights + Audit = Local policies для всех КД домена и все..

Fighter 11-11-2005 09:43 372680

Цитата:

ЗЫ Запускаю ее на контроллере без параметров. Ошибок не выдает, говорит, что все настройки восстановлены успешно для обеих политик.
The Dcgpofix tool does not restore security settings in the Default Domain Controller Policy to their original state

SkyF 11-11-2005 10:22 372699

Fighter - прав, всем читать указанный им линк.

правда, непонятно зачем это нужно было делать .. нужно будет думать..

xoxmodav 28-11-2005 08:59 378097

Сброс настроек Windows 2003 Server
 
Возникла необходимость сбросить все настройки Windows 2003 Server по-умолчанию, т.е. чтобы все изменения откатить (групповые политики, политики локальной безопасности и т.д.). Возможно ли это сделать, не прибегая к переустановке (что конечно не желательно для контроллера домена).

monkkey 28-11-2005 12:38 378163

http://forum.oszone.net/showthread.php?t=56007

xoxmodav 28-11-2005 13:44 378181

Странно как же мне поиск эту тему не показал? Наверное я не проснулся тогда ещё. Спасибо за подсказку! :-)

xoxmodav 29-11-2005 14:05 378469

Star Wolf прислал мне немного более расширенное решение моего вопроса:

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

происходит сброс в исходное состояние безопасности
системных файлов и папок NTFS
реестра
политик безопасности
системных служб
пользовательских прав
групп пользователей
...
либо использовать ключ /areas AreaName1 AreaName2
где AreaNamex
SECURITYPOLICY - Локальная политика и политика для домена, включая политики учетных записей, политики аудита и т. п.
GROUP_MGMT - Настройка ограничений для всех групп, указанных в шаблоне безопасности
USER_RIGHTS - Права пользователей на вход в систему и предоставление привилегий
REGKEYS - Безопасность разделов локального реестра
FILESTORE - Безопасность локальных устройств хранения файлов
SERVICES - Безопасность для всех определенных служб

Это если у кого возникнет такой вопрос, чтобы по сто раз народ не дёргать... Спасибо всем за помощь.

SkyF 01-12-2005 00:33 378932

xoxmodav
Цитата:

Star Wolf прислал мне немного более расширенное решение моего вопроса:

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose
Ахтунг! в данной теме обсуждался инструмент - dcgpofix - он применим для систем начиная с Windows Server 2003,
для Windows 2000 Server способа восстановления настроек безопасности для групповых политик по умолчанию нет.
Способ указанный вами делает следующее - берет шаблон, и применяет его на локальную политику безопасности КД, но не на доменные политики.
однако восстановить, поврежденные настройки в этом случае все-таки можно. Я делал это вручную на КД 2000, экспортируя отредактированные копии шаблонов Defltdc.inf и Basicdc.inf . Редактировать их было нужно (в блокноте) от того, что там использовались переменные, которыя я заменял на постоянные значения параметров (названия групп и тп, а также был повторно применен шаблон (кажется это был defdcsec.inf или очень похожий по названию) - который возвращал настройки безопасности объектов реестра, служб и каталогов к исходному (елси они были повреждены администратором в рез-те ошибок импорта других шаблонов или неправильной выборочной настройкой самих объектов).

вот похожие статьи:
Gpresult Does Not Enumerate the Resultant Computer Security Policy
You receive the "The data is invalid" error message when you try to import a security template by using the Security Configuration and Analysis snap-in in Windows 2000


Время: 08:11.

Время: 08:11.
© OSzone.net 2001-