Вернуть все настройки GPO в Undefined (Не меняйте то, что они есть сейчас)
Я случайно применил GPO ко всему OU, которое еще не было готово к развертыванию. Я отключил GPO, но, конечно, они уже были применены. Есть ли способ отменить эти изменения (не отменить настройку, а сделать ее «чистой», иначе «неопределенной»?
Похожий на Этот ответ но я ищу способ заставить сервер выглядеть и вести себя так, как если бы эти настройки никогда не применялись. Конечно, я не первый SA, кто так упс. Или даже иметь машину, которая не требует их применения по какой-либо другой причине.
* Примечание: я видел этот ответ где-то еще, но я никогда раньше не слышал ничего подобного (на самом деле это противоречит всему, что я слышал), но я надеюсь, что может быть какой-то «трюк», чтобы заставить его работать: ( перефразируя) Если у вас есть действительно странные проблемы с gp ... вы можете удалить файл безопасности, который находится в windows \ security, что заставит машину вернуться на этап, на котором она присоединилась к домену. Затем запустите "gpupdate / force / boot"
Нет, на этом нельзя повернуть время вспять.
Предыдущее состояние компьютеров до применения GPO не было записано, поэтому, когда групповая политика изменила состояние этих конфигураций, теперь нет записанного предыдущего состояния, к которому можно было бы вернуться. Если повреждение шутки в сторону Плохо, вам нужно будет восстановить затронутые компьютеры из резервной копии после удаления проблемных GPO.
Несомненно, большинство политиков устойчивы к "татуировкам", как описано Вот, Но не все из них. Есть определенные параметры политики, которые можно просто удалить после удаления объекта групповой политики или после того, как компьютер / пользователь больше не входит в область действия объекта групповой политики, но некоторые параметры не так просты.
Другими словами, представьте, что до GPO для отдельной записи реестра было установлено значение 1, и на нее не влияла групповая политика. Затем была применена ваша групповая политика и для этой записи реестра было установлено значение 0. Теперь вы говорите "о нет, положи обратно, как было!" так что вы идете и помещаете этот параметр GPO в Not Defined. Но ущерб уже нанесен. Not Defined не означает "вернуть значение 1, если было 0, или вернуть 0, если было 1." Это просто означает, что групповая политика больше не будет переключать этот переключатель в ту или иную сторону.
Нет, конечно, вы не первый системный администратор, совершивший эту ошибку. Но Microsoft уже предоставила инструменты, которые помогут вам защитить себя от самого себя. (Например, расширенное управление групповой политикой с функциями извлечения / возврата, автономного редактирования и утверждающего и т. Д.)
Я знаю, ты не хочешь, чтобы тебя читали ... тебе просто нужно быть осторожнее.