ドメイン コントローラー OU に GPO を作成して、制限されたグループを使用して buildin\administrators グループを変更しようとしましたが、それをやめて、キャンセルではなく [OK] をクリックしたところ、プライマリ DC の管理者グループが [なし] に設定され、ほぼ瞬時にレプリケートされました。dcrestore を実行せずにこの GPO を無効にする修正方法はありますか? この環境では、DC が昇格されたときに設定されたパスワードを知っている人は誰もいないはずです。
答え1
制限されたグループの使用は、ローカル セキュリティ グループのメンバーシップを管理することを目的としており、ドメイン セキュリティ グループ (Microsoft ではサポートされていません) を管理することを目的としていないため、通常は、制限されたグループを GPO から削除するか、GPO のリンクを完全に解除することで、効果を元に戻すことができます。これにより、グループ メンバーシップは、GPO 経由で構成する前の状態に戻ります。Builtin\Administrators ドメイン グループに対してこれを行ったため、結果がどうなるかはわかりませんが、GPO にまだアクセスできる場合は、それを試して問題が解決するかどうかを確認してください。