none
Needitovatelné položky v GPO

    Dotaz

  • Zdravím,

     

    po zvýšení `Forest function level` z W2K na W2008R2 zmizely v ‚Group policy management‘ konzoli (verze 6.0.0.1, W2008R2) položky

     

    System objects: Default owner for objects created by members of the Administrators group“ (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options - http://technet.microsoft.com/en-us/library/cc775434(WS.10).aspx) a

     

    „Devices: Unsigned driver installation behavior“ (Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ - http://technet.microsoft.com/en-us/library/cc775492(WS.10).aspx).

     

    Ovšem jejich nastavení v GPO zůstalo (je stéle implementováno na počítače) a bylo převedeno do needitovatelné položky Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Registry Values - http://imageshack.us/photo/my-images/855/gpo1.png/ . Bohužel nastavení jsou provedena v Default Domain Policy objektu.

     

     

    Položka “System objects: Default owner for objects created by members of the Administrators group“ je naštěstí přístupná pomocí Group management konzole verze 1.0.2. (instalováno z ‚Group Policy Management Console with Service Pack 1 for WXP SP1.msi‘). Ale položka „Devices: Unsigned driver installation behavior“ už ne.

     

    Protože se jedná o nastavení v Default Domain Policy, chtěl bych se zeptat, jestli existuje možnost jak v politice editovat needitovatelné položky pomocí standardní konzole? Nějaká low level konzole a podobně. Nebo je pro obnovu Default Domain Policy vhodné použít např. DCGPOFIX.EXE?

     

    Pokud je použití DCGPOFIX.EXE vhodné, stačí spustit program jen na jednom kontroléru a provést replikace, nebo je lepší jej spustit na všech kontrolérech najednou?

     

    Díky za odpověď.

     

    Pavel

     

    6. prosince 2011 14:06

Odpovědi

  • V tomto clanku   http://technet.microsoft.com/de-de/library/cc739095(WS.10).aspx   se uvadi:

    The Dcgpofix tool is intended for use only as a last-resort disaster-recovery tool. To create regular backups of the default domain and all other GPOs, you must use Group Policy Management Console (GPMC). It is also recommended that you backup the Sysvol directory with a regularly scheduled backup procedure.

    Pokud se pro nastroj rozhodnete, muze jeste nastat situace, kdy jsou "schemata" nekompatibilni. Pak pridate parameter:

    dcgpofix.exe /ignoreschema

    M.

    8. prosince 2011 10:13
    Vlastník

Všechny reakce

  • Ahoj, ty zásady, které tu uvádíš už nejsou obsaženy ve Windows Server 2008 R2. Proto nejsou zobrazeny. Pomocí DCGPOFIX.exe odstraníš jakkékoli nastavení zásad skupiny a ten odstraní i tato, která nejsou vidět, takže pokud ti to nevadí, tak je to vhodný nástroj.
    6. prosince 2011 20:07
  • V tomto clanku   http://technet.microsoft.com/de-de/library/cc739095(WS.10).aspx   se uvadi:

    The Dcgpofix tool is intended for use only as a last-resort disaster-recovery tool. To create regular backups of the default domain and all other GPOs, you must use Group Policy Management Console (GPMC). It is also recommended that you backup the Sysvol directory with a regularly scheduled backup procedure.

    Pokud se pro nastroj rozhodnete, muze jeste nastat situace, kdy jsou "schemata" nekompatibilni. Pak pridate parameter:

    dcgpofix.exe /ignoreschema

    M.

    8. prosince 2011 10:13
    Vlastník