Hallo Mark,
ich habe das ganze mal kontrolliert, aber ich kann keinen offensichtlichen Fehler finden.
Die GUID in der Prolicy in der GPMC ist gleich der im adsiedit und die gleicht wiederum der im Sysvol-Verzeichnis.
Die FSMO Rollen habe ich auf den 2012er DC übertragen und auch nach der Übertragung hinreichend gewartet bis ich den alten DC demoted habe.
Die GPMC ist so eingestellt, dass sie sich automatisch mit dem DC mit der PDC Rolle verbinden. Das ist auch der DC bei dem ich alles kontrolliert habe.
Es ist auch tatsächlich so, dass die andere Policy, welche ich von dem 2012er DC auch nicht bearbeiten kann, ich ohne weiteres vom alten ex DC öffnen und bearbeiten kann.
Kurioserweise kann ich mir in der GPMC den Bericht über die Einstellungen der Policy auf dem 2012er DC anschauen. Ich kann auch an der Policy alles machen, außer sie bearbeiten.
Ich habe auch mal meine verwaisten Objekte mit dem o.g. Skript überprüft, ich habe zum glück nur 3 (Wenn man den PolicyDefinitions Ordner heraus nimmt:) ). Aber es ist keine dabei, welche ich irgendwie mit den "defekten" Policies in Verbindung
bringe.
Mittlerweile bin ich eigentlich soweit, die Policy mit DCGPOFIX neu zu erstellen. Da auch nicht wirklich viele Einstellungen vorhanden sind und ich diese ja auch noch dokumentieren kann. Es handelt sich ja "nur" um die Default Domain
Policy und nicht um die Default Domaincontroller Policy mit den ganzen Sicherheitseinstellungen.
Meine Frage hierzu ist. Wird die Policy dabei neu erstellt, oder werden die Einstellungen nur zurückgesetzt? In der TechNet lese ich immer nur, dass Einstellungen zurück gesetzt werden, was bei uns dann wahrscheinlich nicht helfen wird.
Kann ich die Default Domain Policy auch im laufenden Betrieb zurücksetzen, oder besser mal an einem Wochenende den Versuch unternehmen? Wobei, wenn ich gerade darüber nachdenken, ist das Wochenende wahrscheinlich die bessere Wahl:)
Viele Grüße
Ingo
