Wiederherstellung der Default Richtlinien


- Default Domain Policy
- Default Domain Controllers Policy


Es gibt immer wieder Momente, in denen man sich wünscht, man könnte noch mal von vorne beginnen.
Viele, die sich das erste Mal an das Thema Gruppenrichtlinien herangewagt haben, haben ihre kompletten Einstellungen in den beiden Default Richtlinien vorgenommen. Nach einiger Zeit der Nutzung kommt man zur Erkenntnis, dass es sich als unglücklich herausstellt. In einem der anderen Artikel habe ich schon mal verkündet "Finger weg!" von den Standardrichtlinien. Man arbeitet ja auch nicht mit dem original Schnittmusterbogen oder nimmt seine teuren CDs mit ins Auto. Man erstellt sich Kopien und hantiert mit diesen, damit das Original unversehrt bleibt.

Ist das Kind aber einmal in den Brunnen gefallen, kann es immer noch gerettet werden und dabei helfen einem 2 kleine Tools, die Microsoft selber zur Verfügung stellt.

dcgpofix.exe und recreatedefpol.exe

DCGPOFIX: Ist bei jedem 2003 Server schon dabei und über die Eingabeaufforderung aufzurufen.
RECREATEDEFPOL: Gibt es im freien Download bei Microsoft

"Windows 2000 Default Group Policy Restore Tool"
http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en

Werden diese beiden Programme ausgeführt, so werden die Default Richtlinien komplett auf den Zustand nach Installation des ersten DCs zurückgesetzt. Beide Programme erlauben die Auswahl jeweils nur eine der beiden Richtlinien zurückzusetzen, oder wenn nichts weiter angegeben wird, eben beide.

Nach dem Aufrufe von "dcgpofix /?" erhält man folgende Syntax:
[...]
Syntax: DcGPOFix [/ignoreschema] [/Target: Domain | DC | BOTH]

/target: {Domain | DC | BOTH}
Optional. Spezifiziert das wiederherzustellende Gruppenrichtlinienobjekt --
das Objekt der Standarddomänenrichtlinie, das Objekt der Standarddomänen-
controllerrichtlinie, oder beide.
[...]

Wie gesagt werden ohne Angabe des Targets und damit der Angabe der Richtlinie, beide Richtlinien auf den Ursprung zurückgesetzt.

Zwei Anmerkungen zum Zurücksetzen der Standard Richtlinien.

  1. Beide Tools stellen, mehr oder weniger, den Originalzustand (http://support.microsoft.com/kb/833783/en-us) der beiden Richtlinien her.
    Damit haben natürlich Applikationen Probleme, die selbst die Standard Richtlinien bei der Installation verändern. Der prominenteste Vertreter einer solchen Anwendung dürfte Exchange 200x sein. Nach dem Zurücksetzen wird man also vor dem Problem stehen, dass der Exchangeserver bzw. die Exchangeserver nach einiger Zeit den Betrieb einstellen.
    Siehe folgenden Artikel: http://support.microsoft.com/kb/919089/en-us 
    Die Lösung lautet, das Exchangesetup mit dem Schalter /domainprep nach dem Wiederherstellen der Richtlinien auszuführen. Damit werden die für den Betrieb von Exchange notwendigen Berechtigungen wieder eingetragen.
  2. Mit dem Erscheinen von Windows Server 2003 R2 wurde eine erneute Schemaerweiterung implementiert. Leider wurde jedoch das Tool dcgpofix nicht entsprechend angepasst und quittiert den Aufruf mit einer "besorgniserregenden" Fehlermeldung. ;) Auf einem deutschen Windows Server kommt erschwerend hinzu, dass sich auch noch ein Tippfehler in die Übersetzung der Fehlermeldung eingeschlichen hat.


Richtig muss es heißen "kann mit dem Befehlszeilenparamenter /ignoreschema wiederhergestellt werden.".
Das "NICHT" ist definitiv ein ÜBersetzungsfehler.



Gehört man zu denen, die Tools verabscheuen und lieber alles per Hand erledigen, kann auch geholfen werden. Ebenfalls könnte der Fall eintreten, dass nur eine bestimmte Einstellung zurückgesetzt werden soll und nicht die komplette Richtlinie.

Manuelles Zurücksetzen der Default Richtlinien:
(ich verweise bewusst auf englische KB Artikel, da mich bei den Deutschen, aufgrund der maschinellen Übersetzung, das Grausen packt.)

How to reset security settings in the default Domain GPO in Windows 2000
http://support.microsoft.com/default.aspx?scid=kb;en-us;226243

How to Reset User Rights in the Default Domain Controllers Group Policy Object
http://support.microsoft.com/default.aspx?scid=kb;en-us;267553


Allerdings bleibt hier noch ein Problem: Was ist mit den Einstellungen, die ich behalten möchte?
Nicht jeder freut sich nun darauf, jede einzelne Einstellung neu zu definieren. In diesem Fall hilft uns die GPMC. Wir kopieren mit ihr einfach die beiden Standard Richtlinien und verknüpfen sie auf gleicher Ebene oder evtl. an einer anderen Stelle, wenn z.B. die Benutzer und Computer nicht mehr in den Standard Containern "Users" und "Computers" liegen.

1. GPMC öffnen
2. unter Gruppenrichtlinienobjekte die Richtlinie auswählen und aus dem Kontextmenü "kopieren" wählen
3. Gruppenrichtlinienobjekte markieren und dort im Kontextmenü "einfügen" wählen
4. "Kopie von ..." entsprechend umbennen (muss nicht aber Kopie von ... hört sich nicht gut an ;-)
5. Entsprechend Verknüpfen.
---> "Kopie von Default Domain Policy" auf Domänen-Ebene
---> "Kopie von Default Domain Controllers Policy" auf Domain-Controllers Ebene
6. Die "Kopie" im Reiter "Verknüpfte Gruppenrichtlinienobjekte" nach "oben" sortieren.

Der Punkt 6 ist die einzige Stolperfalle. Ich denke das Kopieren und wieder einfügen macht kaum Probleme, wenn man einmal gemerkt hat, dass ein Einfügen nur auf den Gruppenrichtlinienobjekten selber möglich ist. Vergisst man allerdings den den Punkt 6, dann läuft die "Kopie" zuerst und erst danach die "Default". Das kann ansonsten zu dem Problem führen, dass die eigenen Einstellungen, wie z.B.: "Lokale Anmelden" oder "Anmelden über Terminaldienste" auf einen Domain Controller, oder die selbst definierten Kennwortrichtlinien auf Domänen-Ebene keine Wirkung mehr haben, da sie ja durch die nachfolgenden Richtlinien und damit dem MS Standard wieder überstimmt werden.







(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright