iT邦幫忙

0

公司網域管理群組原則的GPO失效,有別的方法可以處理嗎?

如題:
之前公司因為更改AD網域名稱的關係,導致目前群組管理原則GPO連結失效<p>
http://technet.microsoft.com/zh-tw/library/cc776004(WS.10).aspx
連結gpo時會出現第二排第四個圖片的問題:通往不存在之 GPO 的已啟用連結。GPO 已刪除,但仍然保持連結;或 GPO 是在另一個網域控制站上建立的,尚未將它複寫到 GPMC 正在使用的網域控制站。<P>
所以目前AD無法透過GPO來管理原則,現在公司要我修改AD網域底下PC的密碼原則,我應該要怎麼處理??

2 個回答

20
antiryan
iT邦新手 5 級 ‧ 2010-02-25 11:05:53
最佳解答

Hello

提供一個方法給你 (視GPO數量多寡,自行決定是否選用。使用前記得先備份目前的GPO,不然重建時都忘了當初設了什麼)

重建預設的群組原則
AD 網域建立,網域中會有兩個預設的 GPO 來控制整個網域與網域控制站的安全控管設定值。我們會建議請不要任意更動這兩個預設 GPO,以免 AD 的運作出現奇怪的問題。因此,當這兩個預設的 GPO 出現問題,可以透過系統 c:\windows\repair 目錄下的 DCGPOFIX.exe 工具程式來進行修復工作。這個工具可將預設網域原則和預設網域控制站原則還原到它們安裝後的原始狀態。工具程式的使用可以直接參考 Windows Server 2003 TechCenter 的文件。

我的經驗,透過 DCGPOFIX 來修復預設 GPO 之後,可能還需要手動將預設 GPO 連結到正確位置才行 (網域與 Domain Controllers 組織單位)。

當然如果要手動慢慢重新建立這兩個 GPO 也是可以,KB555647 可以成為非常好的指引。

4
ansonchen
iT邦新手 1 級 ‧ 2010-02-26 17:29:59

版主你好
win2003後有方便的GPMC來管理GPO,
更換網域名稱之前,記得先備份網域相關資料
以情況來看DC一定無法正確找到,
你的問題要先改密碼原則,可以試看看個別改DC上的GPO都改相同設定,
因你說目前無法管理GPO,請問個別DC上的群組原則管理可開啟?
網域相關資訊必須正常,請先確認DNS下有五個目錄是否FQDN正常,
再手動修復GPO,將相關連結指向正確DC
GPMC中有多各GPO,預設DC與Domain,若有其它site GPO也需要設定好連結,
基本上應該可正常運作,群組原則物件下有所有的GPO
最後再查看資料複寫USN是否一致相近以及AD Schema master的狀態是否正常
也可透過ADSI來check相關資訊
建議日後作相關修改先備份或移至VM虛擬機環境測試,
去年中完成完成了DC與Exchange異機備援也是放在VM機做環境測試
祝你順利

我要發表回答

立即登入回答