Резервное копирование и восстановление групповых политик по умолчанию

07 декабрь 2020, Понедельник

3 322

0 0

Когда вы приходить работать в новую компанию, в качестве нового системного администратора, или когда вас приглашают в качестве подрядчика на проект или эксперта для консультаций, можно столкнуться с проблемами применения групповых политик в домене. Также бывают ситуации, когда наобороот, все политики применяются просто отлично, но не совсем понятно откуда они применяются (какой конкретно политикой или скриптом какой-то политики). И начинается процесс разматывания клубка, о том какие из политик, на какой объект применяются и в каком порядке.

Если при попытке выяснить все детали работы групповых политик не удалось разобраться, и не помогли:

Документация о порядке применения GPO (Порядок, фильтрация, блокирование, Форсирование)
журналы событий на контроллерах домена,
журналы событий на машинах где должны применяться GPO,
gpupdate,
gpresult

В этом случае, придется начать с самого начала.
1. Выполнить резервное копирование всех групповых политик
2. Сделать копии политик
3. Сбросить политики до состояния по умолчанию

Резервное копирование групповых политик

Чтобы выполнить резервное копирование всех объектов групповых политики, необходимо:
1. запустить оснастку gmpc.msc (Group Policy management)
2. Перейти в Group Policy Objects, и при нажатии правой кнопки мыши выбрать Back Up All

3. В открывшемся окне, указать путь к папке, где будут храниться резервные копии, при необходимости указать комментарий и нажать Back Up
Откроется окне с процессом резервного копирования и статуса резервного копирования каждой политики

в указанной на шаге 3 папке, появятся резервные копии всех групповых политик:

Для создание резервной копии или востановление отдельной групповой политики, достаточо на выбрать отдельную политику и выбрать желаемую операцию: резервное копирование или восстановление из резервной копии

Создание копии отдельных политик

Итак, когда резервное копирование выполнено, можно приступать к следующему шагу: копирование имеющейся политики. Выбираем политику, по нажатию правой кнопки мыши выбираем Copy и перейдя на раздел: Group Policy Objects выбираем Paste. Результат показан на рисунке ниже: создана копия политики Test Policy.

Сброс групповых политик до состояния по умолчанию

В случае, если есть проблему с работой групповых политик по умолчанию: Default Domain Policy и Default Domain Controllers Policy, то предварительно проделываются шаги по резервногму копированию, а зачем копирование самих политик. После этого, выполняются операции по восстановлению исходного состояния GPO по умолчанию.

Команда для восстановление GPO называется DcGPOFix, синтаксис команды следующий:

DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

Чтобы востановить GPO до состояния по умолчанию, необходимо:
1. обладать правами администратора домена
2. запустить командную строку от имени Администратора
3. выполнить команду DcGPOFix

для сброса Default Domain Policy, запустить команду:

DcGPOFix /ignoreschema /target:Domain

Рекомендуется изменять групповую политику Default Domain Policy только для целей изменения параметров учетных записей, парольной политики или политик Kerberos, во всех остальных случаях рекомендуется создавать отдельные политики

для сброса Default Domain Controllers Policy, запустить команду:

DcGPOFix /ignoreschema /target:DC

Групповую политику Default Domain Controllers Policy рекомендуется изменять только в части прав пользователй или политики аудита, во всех остальных случаях рекомендуется создавать отдельные политики

для сброса обеих политик Default Domain Policy и Default Domain Controllers Policy, запустить команду:

DcGPOFix /ignoreschema /target:both

Групповые политики по умолчанию Default Domain Policy и Default Domain Controllers Policy всегда имеют зарезервированный GUID

31b2f340-016d-11d2-945f-00c04fb984f9: Default Domain Policy
6ac1786c-016f-11d2-945f-00c04fb984f9: Default Domain Controllers Policy