Setzen Sie die GPO-Einstellungen auf Undefiniert zurück

Alle GPO-Einstellungen auf Undefiniert zurücksetzen (Nicht umkehren, was sie jetzt sind)

Ich habe versehentlich Gruppenrichtlinienobjekte auf eine gesamte Organisationseinheit angewendet, die noch nicht bereit war, bereitgestellt zu werden. Ich habe die Verknüpfung der Gruppenrichtlinienobjekte aufgehoben, aber sie wurden natürlich bereits angewendet. Gibt es eine Möglichkeit, diese Änderungen rückgängig zu machen (die Einstellung nicht umzukehren, sondern "sauber" oder "undefiniert" zu machen?

Ähnlich wie bei dieser Antwort, aber ich suche nach einer Möglichkeit, den Server so aussehen zu lassen, als ob diese Einstellungen niemals angewendet würden. Sicher bin ich nicht die erste SA, die so ein Hoppla macht. Oder haben Sie sogar eine Maschine, die sie aus irgendeinem anderen Grund nicht anwenden muss.

* Hinweis: Ich habe diese Antwort woanders gesehen, aber ich habe so etwas noch nie gehört (eigentlich widerspricht sie allem, was ich gehört habe), aber ich hoffe, dass es einen solchen "Trick" gibt, damit es funktioniert: ( paraphrasieren) Wenn Sie einige wirklich seltsame GP-Probleme haben ... können Sie die Sicherheitsdatei löschen, die sich in Windows \ Security befindet, wodurch der Computer zu dem Stadium zurückgedrängt wird, in dem er einer Domäne beigetreten ist. Führen Sie dann "gpupdate / force / boot" aus.

Nein, Sie können die Zeit in diesem Fall nicht zurückdrehen.

Der vorherige Status der Computer vor dem Anwenden des Gruppenrichtlinienobjekts wurde nicht aufgezeichnet. Wenn die Gruppenrichtlinie den Status dieser Konfigurationen geändert hat, gibt es jetzt keinen aufgezeichneten vorherigen Status, auf den zurückgesetzt werden kann. Wenn der Schaden schwerwiegend ist , sollten Sie die betroffenen Computer aus einem Backup wiederherstellen, nachdem Sie die fehlerhaften Gruppenrichtlinienobjekte entfernt haben.

Sicher, die meisten Richtlinien sind resistent gegen "Tätowieren", wie hier beschrieben , aber nicht alle. Es gibt bestimmte Richtlinieneinstellungen, die einfach gelöscht werden können, wenn das Gruppenrichtlinienobjekt entfernt wurde oder sich der Computer / Benutzer nicht mehr im Bereich des Gruppenrichtlinienobjekts befindet. Einige Einstellungen sind jedoch nicht so einfach.

Stellen Sie sich mit anderen Worten vor, dass vor dem Gruppenrichtlinienobjekt ein bestimmter Registrierungseintrag auf 1 gesetzt wurde und nicht von den Gruppenrichtlinien betroffen war. Dann wurde Ihre Gruppenrichtlinie angewendet und dieser Registrierungseintrag auf 0 gesetzt. Jetzt sagen Sie "Oh nein, setzen Sie ihn wieder so wie er war!" Also setzen Sie diese GPO-Einstellung auf Not Defined. Aber der Schaden ist bereits angerichtet. Not Definedbedeutet nicht "setze es zurück auf 1, wenn es 0 war, oder setze es zurück auf 0, wenn es 1 war." Dies bedeutet einfach, dass die Gruppenrichtlinie diesen Schalter nicht mehr in die eine oder andere Richtung umlegt.

Nein, natürlich sind Sie nicht der erste Systemadministrator, der diesen Fehler macht. Microsoft hat jedoch bereits Tools bereitgestellt, mit denen Sie sich vor sich selbst schützen können. (ZB erweiterte Gruppenrichtlinienverwaltung mit Check-out / Check-in, Offline-Bearbeitung und Genehmigungsfunktionen usw.)

Ich weiß, dass du nicht unterrichtet werden willst ... du musst nur vorsichtiger sein.