none
Сброс Default Domain Policy RRS feed

  • Вопрос

  • Здрасьте

    Появилась необходимость сбросить "к заводским настройкам" Default Domain Policy в домене Windows 2008 R2. Только Default Domain Policy. Поэтому утилита DCGPOFix не подходит.

    Думаю просто переименовать Default Domain Policy и отлинковать, а затем создать новую GPO, которую назвать Default Domain Policy.

    Можно ли таким способом "обнулять" GPO?

    Если нет, то как сбрасывать дефолтную политику домена?

    7 октября 2013 г. 9:11

Ответы

  • Думаю просто переименовать Default Domain Policy и отлинковать, а затем создать новую GPO, которую назвать Default Domain Policy.
    Нет. Только DCGPOFix или руками настройки "вспоминать".

    Active Directory? Ask me how.

    7 октября 2013 г. 9:19
    Отвечающий

Все ответы

  • Думаю просто переименовать Default Domain Policy и отлинковать, а затем создать новую GPO, которую назвать Default Domain Policy.
    Нет. Только DCGPOFix или руками настройки "вспоминать".

    Active Directory? Ask me how.

    7 октября 2013 г. 9:19
    Отвечающий
  • и почему не подходит то? http://technet.microsoft.com/en-us/library/hh875588.aspx - читаем ключи... /target:Domain

    Active Directory? Ask me how.

    7 октября 2013 г. 9:20
    Отвечающий
  • или руками настройки "вспоминать"

    не понял этой фразы

    Мы как раз хотим убить все настройки. Оставить только настройки паролей. Поэтому вспоминать ничего не надо.

    за /target:Domain спасибо!!!

    7 октября 2013 г. 9:48
  • Мы как раз хотим убить все настройки. Оставить только настройки паролей. Поэтому вспоминать ничего не надо.

    за /target:Domain спасибо!!!

    ну я речь о том и вёл, что брать девственную DDP и приводить свои настройки к базовым - это по поводу "вспоминать"... DDP и DDCP - политики особые, у них строго определённые GUIDы - они не должны меняться...

    Active Directory? Ask me how.

    7 октября 2013 г. 10:04
    Отвечающий
  • Ещё один маленький вопросик

    Что лучше, одна политика, включающая в себя большинство основных настроек пользовательского рабочаго пространства или много маленьких, каждая из которых настраивает что-то своё?

    Сейчас в AD около 100 рабочих политик. Это порождает кучу проблем. Самое вопиющее - некоторые политики приходят не так быстро как хотелось бы, а если их начинаешь выставлять вперед, то "отъезжают" другие.

    Хочу агрегировать все настроечные политики (одна политика настройки Computer configuration, другая User). А в других политиках делать уже исключения из глобальных настроек. Т.е. по принципу запрещено всё, что не разрешено явно. Не будут ли мои глобальные настроечные политики очень долго применяться на компьютерах?


    • Изменено GoodwiN 8 октября 2013 г. 14:11
    8 октября 2013 г. 14:07
  • Что лучше, одна политика, включающая в себя большинство основных настроек пользовательского рабочаго пространства или много маленьких, каждая из которых настраивает что-то своё?
    Как вам лично на данном этапе будет удобнее, лишь бы в DDP/DDCP всё не настраивали. Но несколько GPO дают существенно бОльшую свободу и гибкость в планировании и изменении настроек, нежели одна "большая".
    Сейчас в AD около 100 рабочих политик. Это порождает кучу проблем. Самое вопиющее - некоторые политики приходят не так быстро как хотелось бы, а если их начинаешь выставлять вперед, то "отъезжают" другие.
    Что значит - "не так быстро"? изменение порядка применения никак не влияет на скорость... как и количество политик собственно, единственный фактор влияющий на скорость применения - это зло в виде WMI-фильтров...
    Не будут ли мои глобальные настроечные политики очень долго применяться на компьютерах?
    Нет - см. выше по тексту. Security filtering не создаёт лишних накладных расходов - можете гибко играться с количеством. Политики применяются не последовательно - сначала движком GP генерируется общий набор настроек на базе полученных и применимых политик, после чего разом применяется. Исключение - WMI-фильтры, время отработки может варьироваться достаточно заметно...

    Active Directory? Ask me how.

    9 октября 2013 г. 7:33
    Отвечающий
  • Как вам лично на данном этапе будет удобнее, лишь бы в DDP/DDCP всё не настраивали. Но несколько GPO дают существенно бОльшую свободу и гибкость в планировании и изменении настроек, нежели одна "большая".

    С гибкостью понятно. Её обеспечим контрполитиками действующими на определённые группы людей и машин

    Что значит - "не так быстро"? изменение порядка применения никак не влияет на скорость... как и количество политик собственно, единственный фактор влияющий на скорость применения - это зло в виде WMI-фильтров...

    Это значит, что есть политики, которые "приходят" далеко не сразу после включения компьютера и загрузки профиля пользователя. Минуту-две могут подключаться диски и принтеры. Это не приемлимо для нас. Никаких фильтров кроме прав на политику для групп AD мы не применяем. Настройка "ожидать подключения сети до вывода приглашения C+A+D включена" но не особо помогает.

    Увеличение времени применения политик заметили после летнего перехода с ХР на Win7...

    Также заметили, что долго "приходят" политики, в которых явно ничего не настраивается, а только выполняются скрипты
    • Изменено GoodwiN 9 октября 2013 г. 13:04
    9 октября 2013 г. 13:01
  • Минуту-две могут подключаться диски и принтеры
    я так понимаю, что вы Preferences используете?

    Active Directory? Ask me how.

    9 октября 2013 г. 13:05
    Отвечающий
  • Нет. Только скрипты (vbs/cmd only)

    Как раз планирую максимально убрать скрипты и перевезти по-максимуму политики на Preferences

    9 октября 2013 г. 13:10
  • Нет. Только скрипты (vbs/cmd only)

    так скрипты у вас в любом случае запускаются при рестарте...

    Active Directory? Ask me how.

    9 октября 2013 г. 13:14
    Отвечающий
  • так скрипты у вас в любом случае запускаются при рестарте...



    Logon-скрипты. Принтеры подключаются скриптом, сетевые диски, базы 1С, делаются "тонкие" настройки профиля пользователя под Sharepoint, очистка temp'ов... и т.д.
    • Изменено GoodwiN 9 октября 2013 г. 13:21
    9 октября 2013 г. 13:20
  • К чему был вопрос про Preferences? С ними какие-то проблемы? Может не стоит на них переходить?
    9 октября 2013 г. 13:52
  • К чему был вопрос про Preferences? С ними какие-то проблемы? Может не стоит на них переходить?
    С ними никаких проблем, пытался полную картину построить вашей среды.

    Active Directory? Ask me how.

    9 октября 2013 г. 13:54
    Отвечающий
  • С ними никаких проблем, пытался полную картину построить вашей среды

    У нас сейчас "на каждый чих" есть политика. Есть зависимые политики, когда выполнение одной зависит от результата выполнения другой. Это мне не нравится - устал слушать жалобы на то, что где-то что-то у кого-то не подключилось или подключалось долго

    9 октября 2013 г. 14:42