Ich habe versucht, in den Domänencontrollern eine Gruppenrichtlinie zu erstellen, um die Gruppe „Buildin\Administrators“ mithilfe eingeschränkter Gruppen zu ändern, habe mich aber dagegen entschieden und eindrucksvoll auf „OK“ statt auf „Abbrechen“ geklickt. Dadurch wurde die Administratorgruppe auf dem primären DC auf „Keine“ gesetzt und fast sofort repliziert. Gibt es eine Lösung, um diese Gruppenrichtlinie zu deaktivieren, ohne einen „dcrestore“ auszuführen? Ich bin ziemlich sicher, dass niemand in dieser Umgebung das Kennwort kennt, das beim Hochstufen des DC festgelegt wurde.
Antwort1
Da die Verwendung eingeschränkter Gruppen dazu gedacht war, die Mitgliedschaft lokaler Sicherheitsgruppen und nicht von Domänensicherheitsgruppen zu verwalten (was von Microsoft nicht unterstützt wird), könnten Sie den Effekt normalerweise rückgängig machen, indem Sie die eingeschränkte Gruppe aus der Gruppenrichtlinie entfernen oder die Verknüpfung der Gruppenrichtlinie vollständig aufheben. Dadurch wird die Gruppenmitgliedschaft auf den Zustand zurückgesetzt, in dem sie sich vor der Konfiguration über die Gruppenrichtlinie befand. Da Sie dies für die Domänengruppe „Builtin\Administrators“ getan haben, bin ich mir nicht sicher, was das Ergebnis sein wird, aber wenn Sie noch Zugriff auf die Gruppenrichtlinie haben, können Sie dies versuchen, um zu sehen, ob das Problem dadurch behoben wird.