就像往常一样……我继承了一个混乱的 AD DS 环境。某个时候,某个猴子决定修改默认域策略和默认域控制器策略,而不是创建新策略来覆盖默认策略,这是一个好主意。默认策略一团糟。它们充满了任性的权限(在域控制器上以批处理作业登录的实际用户帐户!)。
我发现了dcgpofix
,它似乎是其中之一。我采取了以下步骤来尝试清理这些政策:
- 使用 GPMC 中的“备份”选项备份了默认域和默认域控制器策略(以防万一由于这些愚蠢的策略消失而导致某些我尚未发现的问题发生故障)
- 运行
dcgpofix
- 似乎什么都没发生。这些政策看起来没有受到影响,但政策的修改日期与我运行该工具的时间相符 - 由于没有运气,我认为我只需使用策略编辑器从策略中删除所有设置...
- 再次运行
dcgpofix
...
事情变得奇怪了:任性的设置又回来了!尽管记录的意图是dcgpofix
将“众所周知的 GUID”策略恢复为默认值,但它们还是恢复了,但任性的设置又回来了
现在,我只能假设这可能是有意的行为……但这并不是本文档也不本文档。根据记录,默认域策略似乎已重置,基本正常;显然有人实际上已重命名它,并创建了另一个同名策略。但由于它基于 GUID,因此它覆盖并恢复了自定义名称。我不确定默认域策略是否恢复为新域,但它似乎清除了以前的杂乱内容。但是,默认域控制器策略仍然一团糟:
什么我猜正在发生的是,这些安全策略存储在 AD DS 目录分区之一的某个位置;可能是“配置”分区,并被视为“默认”,以及该工具恢复为它们的原因。
问题:
- 这是预期的行为吗
dcgpofix
? - 如果是的话,那么这些信息是从哪里获取的?可以清除吗?
- 以前有人清理过修改后的默认策略吗?他们有什么建议/推荐吗?
编辑 2018-02-15 1205 GMT: 所以!我在我们已 DcPromo 的域控制器上尝试了此操作后取消链接任性的默认域控制器策略。这意味着这些垃圾都不会被带到 DC。正如所料,该策略现在看起来更像它应该的样子了!
我仍然会将其与全新的 Server 2016 AD DS 环境进行比较,以确保没有遗漏任何内容应该在那里;一旦我完成了,我就会添加答案。