曾尝试在域控制器 ou 中创建一个 gpo,以使用受限组更改 buildin\administrators 组,但决定不这样做,令人印象深刻的是单击了“确定”而不是“取消”,它将主 DC 上的管理员组设置为无,并几乎立即复制。有没有修复方法可以在不执行 dcrestore 的情况下禁用此 gpo?我很确定这个环境中没有人知道提升 DC 时设置的密码。
答案1
由于使用受限组的目的是管理本地安全组的成员身份,而不是域安全组(Microsoft 不支持),因此您通常可以通过从 GPO 中删除受限组或完全取消链接 GPO 来逆转效果,这会将组成员身份设置回您通过 GPO 配置之前的状态。由于您针对 Builtin\Administrators 域组执行了此操作,因此我不确定结果会如何,但如果您仍然可以访问 GPO,您可以尝试这样做,看看是否能解决问题。