제한된 그룹을 사용하는 buildin\administrators 그룹을 변경하기 위해 도메인 컨트롤러 ou에서 gpo를 만들려고 했지만 이에 반대하기로 결정하고 취소 대신 확인을 클릭했으며 기본 DC에서 관리자 그룹을 없음으로 설정하고 거의 즉시 복제되었습니다. dcrestore를 수행하지 않고 이 gpo를 비활성화할 수 있는 수정 사항이 있습니까? 이 환경에서는 DC가 승격될 때 설정된 암호를 아는 사람이 아무도 없을 것이라고 확신합니다.
답변1
제한된 그룹의 사용은 도메인 보안 그룹(Microsoft에서 지원하지 않음)이 아닌 로컬 보안 그룹의 구성원 자격을 관리하기 위한 것이므로 일반적으로 GPO에서 제한된 그룹을 제거하거나 GPO 연결을 완전히 해제하여 효과를 되돌릴 수 있습니다. , 그러면 그룹 멤버십이 GPO를 통해 구성하기 전의 상태로 다시 설정됩니다. Buildin\Administrators 도메인 그룹에 대해 이 작업을 수행했기 때문에 결과가 어떻게 될지는 잘 모르겠지만 여전히 GPO에 액세스할 수 있는 경우 문제가 해결되는지 확인하기 위해 시도해 볼 수 있습니다.