sfa1492
Goto Top

Gruppenrichtlinien DC zurücksetzen

Hallo,

durch eine Fehlermeldung beim Anpassen von Gruppenrichtlinen - angeblich konnte die Datei nicht geschrieben werden - habe ich (vorschnell) die "Default Domain Policy" sowie die "Default Domain Controllers Policy" mit dem Tool "DCGPOFIX" neu erstellt.
Laut dem Artikel, den ich dazu gelesen hatte, würde dadurch der Zustand nach der Installation des DC hergestellt werden. Auch aus der Hilfefunktion (/?) des Tools lässt sich das so herauslesen.
Die Probleme beim Anpassen von Gruppenrichtlinen blieben danach aber bestehen bzw. hatten sogar einen größeren Umfang erreicht.

Beim Erstellen eines Screenshots musste ich feststellen, dass ich nicht einmal das Bild via Paint speichern konnte. Auch hier kam eine Meldung, dass das Speichern nicht geklappt hätte. Es wurde zwar eine Datei angelegt, jedoch mit einer Größe von 0 Bytes. Auch das Verschieben dieser leeren Datei in den Papierkorb klappte nicht.
Nach einem Neustart des DC war komischerweise wieder alles in Butter.

Auch die Probleme mit dem Anpassen der Gruppenrichtlinen waren durch den Neustart verpufft. Allerdings musste ich nun feststellen, dass die Einstellungen nicht auf den Stand nach der Installation des DC gesetzt wurden, sondern auf "nicht definiert". Das bedeutet ja, dass an einer bestehenden Policy-Einstellung nichts geändert wird.
Bei einer weiteren Recherche bin ich dann auf einen Artikel von Microsoft gestoßen, welcher besagt, dass nicht der Standard wie nach der Installation des DC hergestellt wird, sondern davor.
D.h. die Anpassungen, die vom Setup durch das Heraufstufen zum DC gemacht wurden, sind in den beiden Policies nicht mehr zu ersehen.
Da sie aber ja gesetzt waren und in den neuen Policies "nicht definiert" steht, gehe ich davon aus, dass die Einstellungen nach wie vor aktiv sind.

Der DC ist auch tatsächlich nur DC, d.h es laufen keine anderen Anwendungen darauf, die ggf. Einstellungen geändert haben.
Grundsätzlich ist das in meinem Fall daher kein großes Problem. Zur Not könnte ich damit leben.
Die bislang durchgeführten individuellen Anpassungen habe ich über eigene Objekte gemacht, so dass diese durch das Zurücksetzen der Standard-Policies nicht überbügelt wurden.
Schöner wäre es aber, wenn den Zustand auch optisch so herstellen könnte, wie er nach der Installation eines DC war. Eine Sicherung, die ich zurückspielen kann, gibt es nicht.

Könnte ein vorübergehend hinzugefügter, zweiter DC das Problem lösen, weil der ggf. die Policies prüft und anpasst?
Oder gibt es einen anderen Weg?
Ich gehe mal davon aus, dass ich eine Sicherung von einem frisch installierten, anderen DC, der nichts mit meiner Domäne zu tun hat, nicht verwenden kann.

Content-ID: 631038

Url: https://administrator.de/forum/gruppenrichtlinien-dc-zuruecksetzen-631038.html

Ausgedruckt am: 26.12.2024 um 20:12 Uhr

conquestador
conquestador 15.12.2020 um 14:37:04 Uhr
Goto Top
Was hast du denn für eine Infrastruktur?
- Virtualisierung ja, nein, welche
- welche weiteren Server
- ungefähre Anzahl Clients

Einen 2. DC einfach dazu packen wird wahrscheinlich nicht von Erfolg gekrönt werden, da dieser sich ja mit dem Master syncronisieren wird und somit auch die ungewünschten Einstellungen übernehmen wird.

Eins ist dir jetzt auf jeden Fall bewusst geworden:
Ohne ein (funktionierendes) Backup unterwegs zu sein ist nicht nur leichtsinnig sondern auch in höchstem Maße sträflich!

Grüße
Tom
SFA1492
SFA1492 15.12.2020 um 18:18:04 Uhr
Goto Top
Hallo,

bei dem DC handelt es sich um einen Server 2019 als VM unter Hyper-V.
Auf dem gleichen Hypervisor läuft noch ein Server 2019 (Memberserver), auf dem kleinere Anwendungen installiert sind (Mailarchiv, CTI-Server, WLAN-Controller, Virenscannermanagement). Die Anzahl der Clients ist mit 5 überschaubar.

Nun mag der ein oder andere sagen, dass das für fünf Clients ein wenig überzogen ist. Denen sei gesagt, dass ich das als "produktive Spielwiese" nutze, da eine reine Testumgebung kaum in den Echteinsatz kommt und man so ein paar Ecken und Kanten nicht kennenlernt.

Beim nichtvorhandenen Backup habe ich schlichtweg gelogen. Es gab bzw. gibt Sicherungen der VMs.
Man kann die Richtlinien über den Richtlinieneditor manuell sichern und wiederherstellen. Diese Richtliniensicherung hatte ich nicht durchgeführt, und sah somit im ersten Moment der Panik erst mal keine Chance etwas rückzusichern, was nicht gesichert wurde.
Im zweiten Moment der Panik hatte ich nur daran gedacht, dass das Problem schon länger bestanden haben muss, als es Sicherungen von der Maschine gibt. Offizieller Start des Produktiveinsatzes und somit Start der Datensicherungen liegt erst knapp zwei Wochen zurück.

Aber: falsch gedacht!
Ich musste ja eigentlich nur meinen blinden Aktionismus vom Samstag rückgängig machen.
Daher hieß die kleine Lösung, die Richtliniendateien zu finden und irgendwie auf den laufenden Server zurückzubekommen.
Wenn das nicht klappt, heißt die "große" Lösung, die VM z.B. vom Vortag zurückzusichern.

Die kleine Lösung war es dann. Nach dem Extrahieren der entsprechenden Verzeichnisse der beiden Default-Policies aus der Sicherung und einfachem Copy & Paste, war die Welt im Richtlinieneditor wieder in Ordnung.
An der Stelle hätte ich mit mehr Widerstand von Windows Server gerechnet. Aber okay, ich nehm es mal so an. face-smile
conquestador
conquestador 15.12.2020 um 21:02:39 Uhr
Goto Top
Das freut mich für dich, dass es auf dem kurzen Dienstweg gelöst werden konnte.
Da deine Umgebung wirklich eher klein ist, was kein Grund ist, auf eine Domäne zu verzichten, hätte ich dir sonst empfohlen, einfach einen neuen DC aufzusetzen und alle der neuen Domäne hinzuzufügen. Bei 6 Devices das kleinste aller Übel.