将所有 GPO 设置恢复为未定义(不逆转现在的情况)
我无意中将 GPO 应用于尚未准备好部署的整个 OU。我已取消链接 GPO,但它们当然已经应用。有没有办法撤消这些变化(不是撤销设置而是使其“干净”又名“未定义”?
如同这个答案但我正在寻找一种方法,让服务器看起来和表现得好像这些设置从未应用过一样。当然我不是第一个遇到这种情况的 SA。或者甚至有一台机器因为其他原因需要取消应用它们。
*注:我在其他地方看到过这个答案,但我以前从未听说过类似的事情(实际上它与我所听到的一切相矛盾),但我希望可能有一些类似的“技巧”可以让它发挥作用:(解释)如果你有一些非常奇怪的 gp 问题……你可以删除位于 windows\security 中的安全文件,这将强制机器回到加入域的阶段。然后运行“gpupdate /force /boot”
答案1
不,这一次你无法让时光倒流。
应用 GPO 之前计算机的状态没有被记录,因此当组策略更改这些配置的状态时,现在没有记录的先前状态可以恢复。如果损坏严重地糟糕,删除有问题的 GPO 后,您将需要从备份中恢复受影响的计算机。
当然,大多数政策都反对“纹身”,正如所描述的这里,但不是全部。有些策略设置可以在 GPO 被删除或计算机/用户不再属于 GPO 范围后简单地删除,但有些设置并不那么简单。
换句话说,假设在 GPO 之前,某个注册表项被设置为 1,并且不受组策略的影响。然后应用了组策略并将该注册表项设置为 0。现在你说“哦不,把它放回原处!”所以你去把那个 GPO 设置到Not Defined。但损害已经造成。 Not Defined并不意味着“如果为 0,则将其设置回 1,或者如果为 1,则将其设置回 0。” 这仅仅意味着组策略将不再以这种或那种方式切换。
不,当然你不是第一个犯这种错误的系统管理员。但微软已经提供了一些工具来帮助你保护自己。(例如,具有签出/签入、离线编辑和批准者功能的高级组策略管理等)
我知道你不想被教训……你只是需要更加小心。