域策略恢复Default Domain Policy和Default Domain Controllers Policy

最新推荐文章于 2025-05-13 12:25:04 发布
原创 最新推荐文章于 2025-05-13 12:25:04 发布 · 9.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#域策略 #重建 #恢复

本文介绍了一种在Windows Server 2012 R2环境中恢复丢失的域控制器策略文件的方法,包括DefaultDomainPolicy和DefaultDomainControllersPolicy。通过使用dcgpofix命令可以有效地解决这一问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

最近碰到奇怪的问题,整个域中所有的域控策略文件都没有了,不得以只能重新建立,域默认的Default Domain Policy和Default Domain Controllers Policy可以通过命令恢复。
另外根据微软的最佳实践,不建议去更改这两个策略文件,如果想要恢复,也可以用这个方法。

环境

操作系统:Windows Server 2012 R2

操作步骤

执行以下命令:

dcgpofix /ignoreschema /Target:BOTH

/ignoreschema 表示忽略当前AD的架构版本。

/Target:Domain | DC | Both 表示需要重置哪个策略。

Domain 表示重置Default Domain Policy策略,

DC 表示重置Default Domain Controllers Policy。

Both 表示同时重置Default Domain Policy和Default Domain Controllers Policy两个策略。
这里写图片描述

WIndows AD 组策略Default Domain Controllers Policy排错分享
weixin_34088598的博客
06-21 1210
一、问题描述在域控上打开“组策略管理器”查看Default Domain Controllers Policy策略“高级审核策略配置”时,提示如下报错:二、问题原因1、 默认域控策略“Default Domain Controllers Policy”无法打开”高级审核策略配置的原因是由于此策略的Audit.csv文件损坏导致,解决方法是重命名该文件。三、解决过程1、默认域控...
如何将Windows AD的Default Domain PolicyDefault Domain Controllers Policy恢复
weixin_33962621的博客
06-07 631
根据微软的最佳实践我们在创建AD Group Policy的时候,不建议去更改Default Domain PolicyDefault Domain Controllers Policy这个两个策略中的配置。那么在不小心的情况下更改了这两个策略的配置的时候如何恢复默认设置呢? 微软提供了一个工具dcgpofix去重置这个两个策略D...
如何恢复默认域策略默认域控制器策略
weixin_33763244的博客
07-26 1692
如果需要将默认域策略默认域控制器策略恢复为起始状态,可以使用Dcgpofix.exe。这是一个命令行程序,内置在2008 R2中。要恢复默认域策略,请运行以下命令:Dcgpofix /target:domain恢复默认域控制器策略,请运行以下命令:Dcgpofix /target:dc 要同时恢复默认域策略默认域控制器策略,请运行以下命令:Dcgpofix /t...
“未能从策略 Default Domain Policy 中删除应用程序 Microsoft Office Professional Plus 2010”错误解决...
weixin_33967071的博客
11-17 653
操作过程:笔者通过组策略部署Office 2010时,由于部署方式不对,尽管在“软件部署”中删除了Office 2010,但启动计算机时,总提示“正在删除托管的Office 2010",同时日志文件中出现提示”未能从策略 Default Domain Policy 中删除应用程序 Microsoft Office Professional Plus 2010。错误为: %%1603”。解决方法:通...
Default Domain Policy 策略不生效,被拒绝
weixin_33695082的博客
07-02 2046
问题:AD组策略定义用户设置,登录注销脚本,但在在客户端没有生效,后通过在客户端执行Gpreuslt 查看策略生效情况,发现在用户设置中Default Domain Policy 策略没有应用。提示“正在筛选:没有应用(空)”使用gpreuslt /h gpresult.html查看策略应用情况.用户设置中默认策略被拒绝,拒绝原因为“空”查看显示没有配置WMI筛选通过排除...
AD 组策略 | 服务器管理 | 默认策略
梓芮
02-04 3633
是 Windows Active Directory 组策略中两个重要的默认组策略对象,分别应用于域控制器域中的所有计算机。Default Domain Controllers Policy(默认域控制器策略)影响域中的所有域控制器。包括对域控制器上的用户账户、计算机账户以及域控制器本身的安全设置。策略对象主要用于配置域控制器上的安全设置用户权限。通过这个策略,设置域控制器的安全性,限制对域控制器的访问,并配置域控制器上的账户密码策略。
web安全day10:通过实验理解windows域的OUGPO
小梁的博客
12-11 1549
我们已经知道,通过在dc上创建新用户,新用户就可以登录连接到域的计算机。问题是,使用dc中的用户名登录到计算机后,是否对该计算机拥有完全控制权限呢? 答案是不行的。 我们既希望用户能对自己的电脑拥有完全控制权,但是又不希望将其域用户的权限提升到域管理员。我们应该怎样做呢? 我们知道,计算机是有本地管理员组的,我们能不能将域中的普通用户加入本地管理员组呢? 答案是可以的。 我们先使用域管理员身份登录该计算机。 右键我的电脑--计算机管理--本地用户组 我们可以看到在组中
本地策略、域策略
bfx849079281的博客
04-19 1万+
本地策略、域策略一、本地安全策略概述1、本地安全策略:本地安全策略影响本地计算机的安全设置2、打开方法:控制面板 → 管理工具”→ 本地安全策略 → 运行secpol.msc命令3、本地安全策略的分类本地安全策略主要包含:帐户策略本地策略。4、帐户策略(1)密码策略① 密码必须符合复杂性需求:英文字母大小写、数字、特殊符号四者取其三。② 密码长度最小值:设置范围0-14,设置为0表示不需要密码。...
ad域下发策略,在 Azure AD 域服务中创建管理组策略 | Microsoft Docs
weixin_32016817的博客
03-31 1008
您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.管理 Azure Active Directory 域服务托管域中的组策略Administer Group Policy in an Azure Active Directory Domain Services manage...
域服务器安全策略应用,ad域服务器组策略命令
weixin_42388176的博客
07-31 2555
在 Windows 下管理 Samba4 AD 域管制器 DNS 组策略12、这两个条目编辑完成后,关闭所有窗口,打开 CMD 窗口,执行以下命令来强制应用组策略。gpupdate/force 更新 Samba 域组策略 13、最后,重启你的电脑,当你准备登录进入系统的时候,你就会看到登录提示生效了。...文章知与谁同2017-05-251998浏览量迁移ADDNS到Windows 2008 ...
组策略学习-统一映射网络驱动盘
qq_39264896的博客
09-16 2172
组策略学习-统一映射网络驱动盘
AD组策略管理
weixin_42340624的博客
07-31 5818
AD 组策略管理
组策略应用
2302_76477333的博客
04-24 759
在“开始”菜单中的“Windows管理工具”中打开“组策略管理”控制台,展开左侧窗格中的各个节点,找到“组策略对象”,打开后就可以看到两个默认的GPO。单击组策略对象中的”Default Domain Controllers Policy",在右侧窗格中可以看到该GPO已经接到了组织单位“Domain Controllers"组策略是通过组策略对象进行管理的。:默认域策略影响域中的所有的用户计算机,默认域控制器策略影响组织单位“Domain Controllers"中的所有用户计算机。
组策略配置与管理
最新发布
2303_76336599的博客
05-13 1228
组策略是一个能够让系统管理员充分控制管理用户工作环境的功能。通过它来确保用户拥有受控制的工作环境,也通过它来限制用户,如此不但可以让用户拥有适当的环境,也可以减轻系统管理员的管理负担。
域用户登录方法在计算机上不被允许,允许普通域用户登录域控制器
weixin_35825868的博客
06-20 6139
允许普通域用户登录域控制器域控制器默认不允许普通域用户登录,如果你想修改此默认设置,需要编辑链接在“Domain Controllers”组织单元上的“Default Domain Controllers Policy”。1. 如图3-163所示,在DCServer上,切换用户,点击“其他用户”。2. 如图3-164所示,输入刘国瑞域用户密码,点击“”登录。 图 3-163 切换用户 图 ...
更改 Server  2012 域用户密码策略
mahailiang的专栏
08-07 1万+
1、windows 2012建域前是可以更改密码策略,建域后不能更改密码策略处理办法如下:在WIN2012中点"开始"-"运行",输入"mmc"回车.  2、在控制台中点"文件"-"添加/删除管理单元",点"添加",选"组策略管理编辑器"-"添加"-浏览->'在域/ou'下选择’default domain policy‘点确定"完成".再点"关闭"-"确定".这样就在控制台中打
如何修改域的密码策略?
weixin_34352449的博客
11-16 710
域的密码策略只能够在“Default Domain Policy”上面进行操作,在其它的域策略上设置将不会生效,这可能是微软的系统设计造成的。以下是具体的操作步骤: 1.打开Active Directory 用户计算机,在弹出窗口的左边树状菜单中右击默认的域,选择"属性". 2.在弹出的"属性"窗口中切换到"组策略",单击“Defau...
Window server 2012 R2 AD域的组策略设置
热门推荐
My Inspiration World _" Franz °
10-18 9万+
1.AD域的组策略添加有助于管理AD域中的用户使用的client端的环境。 2.组策略依附于AD域的OU构成 3.使用“gpmc.msc”在运行里面打开,或者是在“开始—管理工具”里面打开 4.在打开的组策略管理界面里面,林kaka下的DefaultDomain Policy为全局策略,而只对计算机做了配置。   一、简单组策略的建立实现: 来做一个实例说明组策略的简单实现: 要求:
ad域控中 通过组策略将domain user中的普通用户的卸载按钮 变成灰色,禁止用户卸载
05-09
<think>好的,我现在需要解决用户的问题:如何通过组策略在AD域控中禁止domain users组的普通用户卸载软件,特别是让卸载按钮变灰不可用。首先,我得回忆一下组策略的相关知识。用户提到的是域控制器,所以应该是在Active Directory环境中操作组策略对象(GPO)。 首先,用户想要限制的是软件卸载功能。在Windows中,控制软件安装卸载通常涉及到组策略中的“控制面板”设置,特别是“禁止用户从控制面板卸载程序”这个策略。我记得这个路径可能在用户配置下的控制面板或者系统相关部分。 接下来,我需要确定正确的组策略路径。正确的路径应该是“用户配置” → “管理模板” → “控制面板” → “程序” → “禁止卸载应用程序”。启用这个策略应该可以阻止用户通过控制面板卸载软件,导致卸载按钮变灰。不过需要确认这个策略是否适用于domain users组,并且是否被正确应用。 然后,考虑应用范围的问题。用户需要针对domain users组,所以应该将GPO链接到包含这些用户的OU上,或者整个域。但要注意不要影响到管理员账户,可能需要使用安全筛选,将GPO应用给domain users组,并排除管理员组,比如通过组策略的安全过滤,仅应用给domain users。 另外,用户的引用中有提到Default Domain Controllers PolicyDefault Domain Policy,这两个默认的GPO需要谨慎修改。最佳实践是创建新的GPO,而不是修改默认的,以免引发其他问题。比如,创建一个新的GPO,命名为“禁止软件卸载策略”,然后配置相应的策略设置。 此外,还需要考虑策略的应用顺序继承。如果存在其他GPO,可能会有冲突,需要检查策略的优先级。另外,组策略更新可能需要使用gpupdate /force命令来强制刷新,或者等待自动刷新周期。 测试环节也很重要。应用GPO后,应该以domain users组成员的账户登录客户端,验证控制面板中的卸载功能是否被禁用。如果仍然可用,可能需要检查策略是否正确应用,是否有其他策略覆盖,或者客户端是否成功接收到了策略更新。 用户还提到“灰色卸载按钮”,这可能需要具体策略的支持。除了禁止卸载程序外,可能还需要禁用其他相关入口,比如通过设置注册表限制运行卸载程序,或者使用软件限制策略。不过标准的组策略应该已经覆盖了这个需求,但如果需要更严格的控制,可能需要额外的配置。 最后,确保步骤清晰,指导用户如何创建链接GPO,配置策略,设置安全筛选,并验证结果。同时提醒用户谨慎操作,避免影响其他策略或用户。</think>要通过组策略在Active Directory域控中禁止$domain\ users$组的用户卸载软件,可按以下步骤实现: ### 一、创建组策略对象(GPO) 1. 打开**组策略管理控制台**(GPMC) 2. 右键目标组织单位(OU)或域 → 选择**创建并链接GPO** 3. 命名新策略如`禁止软件卸载策略` ### 二、配置策略设置 1. 定位路径: ``` 用户配置 → 管理模板 → 控制面板 → 程序 ``` 2. 启用策略: ``` 禁止卸载应用程序 → 设置为「已启用」 ``` 该策略会使控制面板的卸载程序功能变灰禁用[^2] ### 三、应用范围设置 1. 在GPO的**安全筛选**中: - 添加`Domain Users`组 - 移除`Authenticated Users` 2. 建议添加`Deny Apply`规则给管理员组(如`Domain Admins`) ### 四、验证策略生效 1. 在客户端执行: ```powershell gpupdate /force ``` 2. 使用普通用户账户登录,验证: - 控制面板 → 程序 → 卸载程序界面是否禁用 - 尝试运行`appwiz.cpl`是否被阻止 ### 五、补充限制(可选) 通过注册表限制: ```regedit [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall] "NoRemovePrograms"=dword:00000001 ``` 该键值会完全隐藏卸载入口[^1]
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值