Reverter configurações de GPO para indefinido

7

Reverter todas as configurações do GPO para Indefinido (não inverter o que são agora)

Eu inadvertidamente apliquei GPOs a uma UO inteira que ainda não estava pronta para ser implantada. Eu desvinculei os GPOs, mas é claro que eles já foram aplicados. Existe uma maneira de desfazer essas mudanças (não reverter a configuração, mas torná-la "limpa", também conhecida como "indefinida"?

Semelhante a Esta resposta mas estou procurando uma maneira de fazer o servidor parecer & se comportam como se essas configurações nunca fossem aplicadas. Certamente não sou a primeira SA a ops assim. Ou até mesmo ter uma máquina que precise deles não aplicada por qualquer outro motivo.

* Nota: Eu já vi essa resposta em outro lugar, mas eu nunca ouvi nada assim antes (na verdade, isso contradiz tudo que eu ouvi), mas estou esperançoso de que possa haver algum "truque" como ele para fazer isso. trabalhos: (parafraseando) Se você tem alguns problemas estranhos com o gp ... você pode deletar o arquivo de segurança que está localizado em windows \ security, o que forçará a máquina a retornar ao estágio onde ela se juntou a um domínio. Em seguida, execute "gpupdate / force / boot"

    
por Ben-Jamin 11.12.2013 / 19:41

1 resposta

6

Não, você não pode voltar no tempo.

O estado anterior dos computadores de antes da aplicação do GPO não foi registrado, portanto, quando a Diretiva de Grupo alterou o estado dessas configurações, não há mais estado anterior gravado a ser revertido. Se o dano estiver sério ruim, você estará procurando restaurar os computadores afetados de um backup após remover os GPOs ofensivos.

Claro, a maioria das políticas é resistente contra a "tatuagem", conforme descrito aqui , mas nem todas . Há determinadas configurações de diretiva que podem ser simplesmente excluídas depois que o GPO foi removido ou o computador / usuário não está mais no escopo do GPO, mas algumas configurações não são tão simples.

Em outras palavras, imagine que, antes do GPO, uma entrada de registro específica fosse definida como 1 e não fosse afetada pela Diretiva de Grupo. Em seguida, sua Diretiva de Grupo foi aplicada e definiu essa entrada do Registro como 0. Agora você diz "oh não, coloque de volta como foi!" para que você coloque essa configuração de GPO em Not Defined . Mas o dano já está feito. Not Defined não significa "defina-o como 1 se for 0, ou defina-o novamente como 0 se ele for 1". Significa simplesmente que a Diretiva de Grupo não ativará mais essa opção ou o outro.

Não, é claro que você não é o primeiro administrador de sistema a cometer esse erro. Mas a Microsoft já forneceu ferramentas para ajudar você a se proteger de si mesmo. (Por exemplo, Gerenciamento Avançado de Diretiva de Grupo com recursos de check-out / check-in, edição off-line e aprovação, etc.)

Eu sei que você não quer ser lecionado ... você só precisa ser mais cuidadoso.

    
por 12.12.2013 / 14:37