Вопрос или проблема
Это сложная задача, на которую, я думаю, никто не сможет найти ответ, пока даже Microsoft…
На основном контроллере домена есть объект групповой политики, и когда я говорю “основной”, я имею в виду, что он владеет всеми 5 ролями, и каждый раз, когда я пытаюсь удалить старую групповую политику, я получаю подтверждение и нажимаю ‘да’, а затем сервер отвечает окном
Управление групповой политикой
“Сервер не хочет обрабатывать запрос”.
Итак, мой вопрос: как мне удалить эту политику?
Мои экстрасенсорные способности снова побеждают. >улыбка<
Вы пытаетесь удалить GPO “{6AC1786C-016F-11D2-945F-00C04fB984F9}”. Это GPO является “Политикой контроллеров домена по умолчанию”. Оно могло быть переименовано, но этот GUID всегда присваивается этому GPO во время DCPROMO и никогда не меняется.
AD “не хочет” удалять этот GPO, потому что Microsoft так его разработала.
Мой совет — вернуть это GPO к его “стандартным” настройкам, переименовать его обратно в “Политику контроллеров домена по умолчанию”, убедиться, что она связана только с OU “Контроллеры домена”, и оставить его в покое.
Вы можете использовать утилиту DCGPOFIX.EXE (см. http://technet.microsoft.com/en-us/library/cc736813(WS.10).aspx), чтобы вернуть “Политику домена по умолчанию” и “Политику контроллеров домена по умолчанию” к их стандартным настройкам. Если вы решите это сделать, убедитесь, что у вас есть копия отчета о настройках из GPO, как они есть, прежде чем запускать DCGPOFIX, чтобы вы могли создать дополнительные GPO с вашими настройками в них.
В общем, я настоятельно рекомендую не вносить никаких изменений в эти два стандартных GPO. Если вы их не измените, и все остальное потерпит неудачу, вы всегда можете отключить все другие GPO и получить “стандартное” поведение для устранения неполадок. (Не могу сказать, что мне это когда-либо было нужно, но приятно знать, что оно есть…) Вы можете изменять стандартные GPO, но я рекомендую просто создать дополнительные GPO с вашими настройками и соответственно назначить их приоритет.
Что, вероятно, произошло: скопировано стандартное контроллер-домен, а затем переименовали новый и использовали его для создания политики, а затем захотели удалить её. Я видел, как немало людей это делают.
фактически это плохой дизайн, что сервер позволяет вам создавать политику таким образом из оригинала, если он также не позволяет вам их удалять.
Исправление проблемы –
есть способ удалить те, которые вы скопировали с стандартного домена GPO
перейдите к делегированию объектов – удалите все разрешения – Не должно позволить вам делать разрешения, называемые системными, но вы можете попробовать, мне не позволило сделать это для объекта политики.
затем нажмите удалить, вы получите ошибку, говоря, что объект не существует, или что-то в этом роде, позвольте системе немного постоять, попробуйте еще раз, должно появиться сообщение, что его нет, затем нажмите кнопку обновления.
объект должен просто волшебным образом исчезнуть из списка.
это сработало для меня много раз при очистке копий
Ответ или решение
Вопрос о проблеме с удалением Объекта Групповой Политики (GPO) в Windows Server может оказаться сложным, особенно когда сервер отказывается обрабатывать запрос. В данном случае мы рассмотрим проблему с удалением GPO на основном контроллере домена и предложим возможные решения.
Теория
Основные контроллеры домена (PDC, Primary Domain Controller) в среде Windows Server играют важную роль, так как именно на них лежит ответственность за управление учетными записями пользователей и политиками безопасности в доменной среде. Эти контроллеры имеют все пять ролей доменных служб Active Directory: RID Master, PDC Emulator, Infrastructure Master, Domain Naming Master и Schema Master. Эти роли взаимодействуют между собой для обеспечения стабильности работы системы доменных служб.
Одной из ключевых политик, назначаемых во время установки (в частности, выполнения команды DCPROMO), является "Default Domain Controllers Policy". Она управляет настройками безопасности для контроллеров домена и, как следствие, является критически важной для поддержания безопасности в сети. Microsoft изначально проектирует систему так, чтобы такие важные политики не могли быть удалены или изменены без глубокого понимания их значения и возможных последствий.
Пример
Проблема, возникающая при попытке удаления указанного GPO, связана с тем, что данная политика была по ошибке скопирована или изменена. GPO с идентификатором GUID "{6AC1786C-016F-11D2-945F-00C04fB984F9}" является уникальной для "Default Domain Controllers Policy". В ситуации, если эта политика была переименована или скопирована, система может быть "нежелательной" к просьбам о её удалении.
DCGPOFIX.EXE — это утилита от Microsoft, позволяющая возвратить “Default Domain Policy” и “Default Domain Controllers Policy” к их исходным настройкам. При этом важно сохранить текущие настройки GPO в отчет, чтобы в случае необходимости создать новые политики с таможенными изменениями.
Применение
Когда сталкиваются с проблемой удаления GPO, например, если GPO было скопировано и теперь возникает потребность удалить его, можно попробовать следующий алгоритм:
-
Изменение делегирования для GPO: Перейдите на вкладку управления делегированием (Delegation) в свойствах GPO и удалите все разрешения, за исключением системных. Это может предотвратить дальнейшую модификацию политики.
-
Удаление объекта: Попробуйте удалить объект политики. Если система выдает ошибку о том, что объект не найден, дайте серверу некоторое время. Повторная попытка после небольшой паузы может привести к удачному удалению.
-
Восстановление настроек по умолчанию: Используйте утилиту DCGPOFIX для восстановления начальных настроек критически важных политик. Этот шаг особенно полезен, если было необходимо вернуть стандартные настройки и устранить возможные несоответствия.
-
Создание новых GPO с кастомными изменениями: Вместо изменения стандартных политик, создавайте новые GPO для внедрения ваших изменений и назначайте их приоритет соответствующим образом.
Кроме того, если нужно убедиться в безопасности и стабильности системы, стоит периодически выполнять аудит настроек GPO и их применения, документируя изменения. Это не только поможет в устранении проблем при аннулировании политики, но и облегчит диагностику, если потребуется расследовать возникновение иных необычных ситуаций.
Подводя итоги, в ситуациях с GPO, где система "не желает" обрабатывать запрос, зачастую решение заключается в корректной идентификации объекта, понимании его роли, и использовании предусмотренных процедур и инструментов для его корректного удаления или восстановления исходных настроек. Всегда важно сохранять копии текущих настроек перед внесением изменений и привлекать дополнительные средства контроля и аудита для поддержания стабильности в корпоративной ИТ-среде.