mikado90
Goto Top

GPO - Nach Chaos alle Richtlinien zurück setzen

Guten Morgen,

bei einem Kunden herrscht absolutes Chaos bei den Gruppenrichtlinien.

Wie gehen ich nun am besten vor, wenn ich von diesen gefühlt 1000 Richtlinien 90% zurück auf den Standardwert setzen mnöchte?

Folgendes wird nicht genügen - oder?

Objektstatus > Alle Einstellungen deaktivieren

MfG

Content-ID: 349177

Url: https://administrator.de/forum/gpo-nach-chaos-alle-richtlinien-zurueck-setzen-349177.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

sabines
sabines 15.09.2017 um 08:31:58 Uhr
Goto Top
Zitat von @mikado90:

Folgendes wird nicht genügen - oder?

Objektstatus > Alle Einstellungen deaktivieren


Moin,

diese Einstellung deaktiviert nur die GPO an sich.

Gruss
sabines
sabines 15.09.2017 um 08:35:47 Uhr
Goto Top
Moin,

nicht jede GPO wird duch das deaktivieren "zurückgestellt", es gibt Einstellungen die musst Du aktiv zurückstellen.
Das gilt auch für Eingriff in die Registry. Du kommst wahrscheinlich nicht drumrum Dir das genauer im Einzelnen anzuschauen.

Ich hab' irgendwo mal eine Anleitung gesehen, bei der man die übertragenen GPOs auf dem PC löschen soll um sowas in den Griff zu bekommen, hab's aber nie ausprobiert.

Gruss
emeriks
emeriks 15.09.2017 um 09:15:15 Uhr
Goto Top
Hi,
bei einem Kunden herrscht absolutes Chaos bei den Gruppenrichtlinien.
Definiere "Chaos".
von diesen gefühlt 1000 Richtlinien
Gefühlt 1000? Und wieviel tatsächlich? 26?
90% zurück auf den Standardwert setzen mnöchte?
Das hängt von den dort getroffenen Einstellungen ab. Diese wirst Du also erstmal dokumentieren müssen. Aber Vorsicht! Das könnte möglicherweise Dein Bild vom "Chaos" entschärfen!

Aber wenn Du die Wisch-und-Weg-Methode haben willst, dann
  1. löschst Du einfach alle GPO (außer den beiden Standard-GPO)
  2. stellt diese beiden Standard-GPO auf Urzustand zurück
  3. installierst alle Client- und Server-Computer neu
  4. falls Roaming-Profiles: Löschst die Roaming Profiles
  5. Jetzt kannst Du alle Computer neu der Domäne beitreten und sie werden "sauber" wie frisch mit Ariel gewaschen sein.
  6. Dann die Benutzer an den Clients anmelden und sie bekommen alle neue Benutzerprofile, wodurch auch sie "sauber" sind.

E.
holli.zimmi
holli.zimmi 15.09.2017 um 09:22:37 Uhr
Goto Top
Hi,

Generell:
1. GPO deaktivieren
2. GPO sichern
3. dann erst löschen

Gruß

Holli
mikado90
mikado90 15.09.2017 um 09:39:59 Uhr
Goto Top
Also ver mutlich sollte ich wie folgt vorgehen:

1. Neue OU im AD anlegen.
2. Hier die Computer etc reinschieben
3. GPO erstellen / übernehmen

Dann müssten sich die Clients doch die "neue" Standrad GPO ziehen - oder was meint ihr?
emeriks
emeriks 15.09.2017 um 09:44:37 Uhr
Goto Top
Theoretisch ja. Abzüglich aller Einstellungen, welche Du in den von Dir geschaffenen GPO's nicht wieder auf Urzustand bzw. auf den neuen Soll-zustand stellst.
Das Gleiche auch noch für die Benutzer.
Meierjo
Meierjo 15.09.2017 um 10:24:45 Uhr
Goto Top
Hallo

Auch wenn's eine Heiden-Arbeit ist, du wirst nicht drum rum kommen, dir die Einstellungen der einzelnen GPO's anzuschauen, und ggf zu korrigieren.
Deshalb auch wie @holli.zimmi schon schreibt, immer erst die GPO sichern, dann kannst du später nachvollziehen, was in der entsprechenden GPO verwurstelt wurde

Gruss
mikado90
mikado90 15.09.2017 um 10:37:39 Uhr
Goto Top
Also es sind 147 GPOs mit jeweils unzähligen Einstellungen, von "harmlosen" Verknüpfungen bis hin zu Registry-Keys, Office Einstellungen, Ausführen von VBA-Scripts (die keiner hier mehr versteht),...
holli.zimmi
holli.zimmi 15.09.2017 um 11:30:47 Uhr
Goto Top
Hi

Also es sind 147 GPOs mit jeweils unzähligen Einstellungen, von "harmlosen" Verknüpfungen bis hin zu Registry-Keys, Office Einstellungen,
Ausführen von VBA-Scripts (die keiner hier mehr versteht),...

Ja ja das Leben kann ein beuteln?

Gruß

Holli
Penny.Cilin
Penny.Cilin 15.09.2017 um 11:32:25 Uhr
Goto Top
Zitat von @mikado90:

Also es sind 147 GPOs mit jeweils unzähligen Einstellungen, von "harmlosen" Verknüpfungen bis hin zu Registry-Keys, Office Einstellungen, Ausführen von VBA-Scripts (die keiner hier mehr versteht),...
Ich würde sagen, schlecht dokumentiert.
Mit dem Group Policy Modeller kann man sich die GPOs anschauen und ggf. ach ausdrucken.
Das sieht man was gesetzt wird und wen es betrifft.

Gruss Penny