Невозможно войти в контроллеры домена

У нас есть 2 контроллера домена с сервером 2019, системный администратор сделал что-то с GPO, что запретило доступ для группы "Администраторы домена" к рабочим станциям, теперь это распространено по всему домену (включая контроллеры домена и серверы). Он также внес изменения в Active Directory Users and Computers (например, включил администраторов домена в защищенную группу пользователей, запретил делегирование для администраторов домена в профилях, сбросил пароль krbtgt).

GPO было таким:

 Deny access to this computer from the network
 Deny log on as a batch job
 Deny log on as a service
 Deny log on locally
 Deny log on through Remote Desktop Services user rights

ошибка:

Logon failure: user account restriction. Possible reasons are blank passwords not allowed,logon hour restrictions, or a policy restriction has been enforced.

Поэтому мы не можем войти в контроллеры домена или другие серверы/рабочие станции с учетными данными администратора домена. Все удаленное управление также заблокировано. Я не знаю, является ли это просто GPO или чем-то еще (потому что при удаленном просмотре GPO не должен применяться к OU с контроллерами домена)

Я выполнил Authoritative Restore (DSRM) для всех AD, но это не сработало. Я вижу, что папка sysvol все еще содержит этот GPO (файлы удалены, но структура папок сохранена). Также все изменения, внесенные в AD, все еще сохраняются (например, пользователи Domain admins все еще находятся в группе Protected users). Почему эти изменения не откатываются?

gpupdate /force с рабочих станций выдает ошибку, так как gpt.ini из этого объекта групповой политики не существует и групповая политика не может быть применена.

Помогите, пожалуйста.