Active-Directory

如何從死域控制器恢復組策略

  • October 28, 2021

有一個域控制器當機,物理機,能夠 p2v 硬碟驅動器,我將它連接到新的虛擬伺服器。

伺服器 2016 標準。

不,沒有副本,我對舊 DC 的唯一訪問權限是在 p2v 硬碟上

這不是一個關鍵任務 DC,但有很多 GPO 正在使用中。

在哪裡可以找到域的組策略對象?我做了很多Google搜尋,看起來它們在 sysvol/domain/policies 文件夾中。

我可以只複製和粘貼嗎?

有沒有正確的方法從死硬碟恢復組策略對象?

請注意,這些不是本地策略,而是域組策略

好吧,我首先要說的是顯而易見的……永遠不要執行單個 DC……並且始終使用實際的備份 GUI 或 powershell cmdlet 定期備份 GPO。

也就是說,你有很多手工工作要做。事情會變得很冒險。

使用所有 GPO(尤其是預設域策略和預設域控制器策略)的最佳選擇是查看每個舊 GPO 設置並將它們複製到新 GPO 中。

請注意,我認為無法查看它們的範圍,甚至無法查看它們的名稱。我不認為 sysvol 中提供了該資訊,但也許其他人會說不然。

第一:我會嘗試使用您的 P2V 驅動器並基於它創建一個虛擬機,並啟動虛擬機,即使它不在網路上。更容易看到 GPO 的真正含義。

第二……如果你不能:

  1. 在 GPMC 中創建一個新的“測試 GPO”
  2. 在其屬性中記下新的“測試 GPO”的 guid
  3. 轉到 sysvol/domain/policies 文件夾並進入新的 GPO GUID 文件夾
  4. 將舊的機器、使用者和 GPT 子文件夾從該驅動器中的一個 GPO 下的原始 P2V 驅動器複製/粘貼到新的 GPO GUID 文件夾中,覆蓋新的機器、使用者和 GPT 文件夾。
  5. 編輯新 GPO,瀏覽到任何未配置的策略設置並將其打開並設置和取消設置。這是因為如果您不更改某些設置,則不會顯示設置。
  6. 對 GPO 中的任何“首選項”執行相同操作,然後關閉 GPO。
  7. 您將不得不再次手動設置安全權限、範圍和過濾器。
  8. 我建議記下這些設置,然後編輯一個全新的 GPO 以模仿您在“恢復的”GPO 中看到的那些設置。這樣會更乾淨,然後當您複製所有恢復的 GPO 及其設置時,您可以刪除“測試/恢復”的。

希望有幫助。這將是大量的手動工作,但至少您會看到設置並可以以某種方式重新創建它們。

引用自:https://serverfault.com/questions/1082032