Применив групповую политику к 10 ноутбукам в нашей организации, я случайно удалил с ноутбуков все локальные группы и пользователей. К сожалению, даже когда я вошел в систему с помощью администратора домена, всякий раз, когда я пытаюсь повторно добавить учетные записи, я получаю сообщение «Доступ запрещен». Я знаю, что сделал ошибку новичка при создании этого первого объекта групповой политики, но есть ли способ вернуть эти локальные группы?
Еще немного информации (например, @Zoredache спрашивает) о том, что вы на самом деле сделали, нам поможет.
Нет встроенных функций для удаления локальных групп и пользователей с клиентов. Если вы говорите об удалении, вам пришлось бы использовать сценарий для этого. Если вы это сделали, и вы действительно удалили записи из локальной SAM на каждом ПК, то они ушел.
У меня больше ощущения, что вы использовали "Группы с ограниченным доступом", по крайней мере, в своей группе "Администраторы" и вынудили удалить "DOMAIN \ Domain Admins" из локальной группы "Администраторы" на каждом из клиентов. . К счастью для вас, вы также можете использовать групповую политику, чтобы «отменить» это изменение. Найдите политику «Группы с ограниченным доступом», которой вы повредили локальную группу «Администраторы», и снова добавьте «DOMAIN \ Domain Admins» в группу. Перезагрузите затронутый клиент, чтобы заставить его повторно применить групповую политику (поскольку вы не можете просто запустить «gpupdate» удаленно, потому что вы «заблокировали ключи в машине»), и вы увидите, что изменение произошло. Другие ваши клиенты получат изменения во время периодического обновления групповой политики.
Если вы повредили членство о локальных группах безопасности с политикой «Группы с ограниченным доступом» я мало что могу вам сказать, кроме «приступить к нажатию». Удаление политики «Группы с ограниченным доступом» не приведет к возврату групп к исходному содержанию. Это будет ручной процесс. Надеюсь, вы не повредили многим, и если бы вы это сделали, вы могли бы написать сценарий повторного заселения.
Если вы удалили группу администраторов, я думаю, вы облажались. Возможно, вы сможете повторно заполнить его из безопасного режима. Эван может знать и другой трюк.
Возможно, вам потребуется реактивировать (если отключено) учетную запись локального администратора на каждой машине и начать заново. Проверять, выписываться этот вопрос о том, как начать с этого.