Wiederherstellung der Default Richtlinien
Wiederherstellung Default Domain Policy und Default Domain Controllers Policy
Es gibt immer wieder Momente, in denen man sich wünscht, man könnte noch mal von vorne beginnen.
Viele, die sich das erste Mal an das Thema Gruppenrichtlinien herangewagt haben, haben ihre kompletten Einstellungen in den beiden Default Richtlinien vorgenommen. Nach einiger Zeit der Nutzung kommt man zur Erkenntnis, dass es sich als unglücklich herausstellt. In einem der anderen Artikel habe ich schon mal verkündet "Finger weg!" von den Standardrichtlinien. Man arbeitet ja auch nicht mit dem original Schnittmusterbogen oder nimmt seine teuren CDs mit ins Auto. Man erstellt sich Kopien und hantiert mit diesen, damit das Original unversehrt bleibt.
Finger weg! Das Einzige, was in diesen beiden Richtlinien geändert oder konfiguriert wird sind die Werte, die schon enthalten sind, aber nicht in mein Konzept passen.
Es kommen keine weiteren Einstellungen hinzu.
Ist das Kind aber einmal in den Brunnen gefallen, kann es immer noch gerettet werden uns hilft dabei ein Tool, das seit dem Server 2003 immer onboard ist.
dcgpofix.exe (Für Windows 2000 gab es recreatedefpol.exe zum Download bei Microsoft ... reden wir nicht mehr drüber ... :-)
Nach Aufruf und Bestätigungn werden Default Richtlinien komplett auf den Zustand nach Installation des ersten DCs zurückgesetzt. Das Tool erlaubt die Auswahl jeweils nur eine der beiden Richtlinien zurückzusetzen, oder wenn nichts weiter angegeben wird, eben beide.
Nach dem Aufrufe von "dcgpofix /?" erhält man folgende Syntax:
[...] Syntax: DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH] /target: {Domain | DC | BOTH} Optional. Spezifiziert das wiederherzustellende Gruppenrichtlinienobjekt -- das Objekt der Standarddomänenrichtlinie, das Objekt der Standarddomänen- controllerrichtlinie, oder beide. [...]
Zwei Anmerkungen zum Zurücksetzen der Standard Richtlinien.
Das Tool stellt den Originalzustand der beiden Richtlinien her.
Damit haben natürlich Applikationen Probleme, die selbst die Standard Richtlinien bei der Installation verändern. Wer also auf dem DC mehr als nur die DC Funktionen liegen hat, muss jetzt aufpassen. Der prominenteste Vertreter einer solchen Anwendung dürfte Exchange 200x sein. Nach dem Zurücksetzen wird man also vor dem Problem stehen, dass der Exchangeserver bzw. die Exchangeserver nach einiger Zeit den Betrieb einstellen. Siehe Artikel.
In die gleiche Kategorie fällt auch der SQL Server 200x, der gerne mal für eine Monitoring- und Logging-Lösung auf einem DC installiert und natürlich der IIS, die beide computernamensspezifische Gruppen und Konten erstellen.
Die Lösung lautet, das Exchangesetup mit dem Schalter /domainprep nach dem Wiederherstellen der Richtlinien auszuführen. Damit werden die für den Betrieb von Exchange notwendigen Berechtigungen wieder eingetragen.
Mit dem Erscheinen von Windows Server 2003 R2 wurde eine erneute Schemaerweiterung implementiert. Leider wurde jedoch das Tool dcgpofix nicht entsprechend angepasst und quittiert den Aufruf mit einer "besorgniserregenden" Fehlermeldung. ;) Auf einem deutschen Windows Server kommt erschwerend hinzu, dass sich auch noch ein Tippfehler in die Übersetzung der Fehlermeldung eingeschlichen hat.
Richtig muss es heißen "kann mit dem Befehlszeilenparamenter /ignoreschema wiederhergestellt werden.".
Das "NICHT" ist definitiv ein Übersetzungsfehler.
Gehört man zu denen, die Tools verabscheuen und lieber alles per Hand erledigen, kann auch geholfen werden. Ebenfalls könnte der Fall eintreten, dass nur eine bestimmte Einstellung zurückgesetzt werden soll und nicht die komplette Richtlinie.
Manuelles Zurücksetzen der Default Richtlinien:
(ich verweise bewusst auf englische KB Artikel, da mich bei den Deutschen, aufgrund der maschinellen Übersetzung, das Grausen packt.)
- How to reset security settings in the default Domain GPO in Windows 2000
- How to Reset User Rights in the Default Domain Controllers Group Policy Object
Allerdings bleibt hier noch ein Problem: Was ist mit den Einstellungen, die ich behalten möchte?
Nicht jeder freut sich nun darauf, jede einzelne Einstellung neu zu definieren. In diesem Fall hilft uns die GPMC. Wir kopieren mit ihr einfach die beiden Standard Richtlinien und verknüpfen sie auf gleicher Ebene oder evtl. an einer anderen Stelle, wenn z.B. die Benutzer und Computer nicht mehr in den Standard Containern "Users" und "Computers" liegen.
- GPMC öffnen
- unter Gruppenrichtlinienobjekte die Richtlinie auswählen und aus dem Kontextmenü "kopieren" wählen
- Gruppenrichtlinienobjekte markieren und dort im Kontextmenü "einfügen" wählen
- "Kopie von ..." entsprechend umbennen (muss nicht aber Kopie von ... hört sich nicht gut an ;-)
- Entsprechend Verknüpfen.
"Kopie von Default Domain Policy" auf Domänen-Ebene
"Kopie von Default Domain Controllers Policy" auf Domain-Controllers Ebene - Die "Kopie" im Reiter "Verknüpfte Gruppenrichtlinienobjekte" nach "oben" sortieren.
Der Punkt 6 ist die einzige Stolperfalle. Ich denke das Kopieren und wieder einfügen macht kaum Probleme, wenn man einmal gemerkt hat, dass ein Einfügen nur auf den Gruppenrichtlinienobjekten selber möglich ist. Vergisst man allerdings den den Punkt 6, dann läuft die "Kopie" zuerst und erst danach die "Default". Das kann ansonsten zu dem Problem führen, dass die eigenen Einstellungen, wie z.B.: "Lokale Anmelden" oder "Anmelden über Terminaldienste" auf einen Domain Controller, oder die selbst definierten Kennwortrichtlinien auf Domänen-Ebene keine Wirkung mehr haben, da sie ja durch die nachfolgenden Richtlinien und damit dem MS Standard wieder überstimmt werden.