Com resetejar les GPO per defecte

Tal i com explicava en un article anterior, a vegades cal tornar a deixar en el seu estat original algunes polítiques, tot sovint perquè algú sense masses coneixements o sense una percepció del risc que això comporta les ha modificat sense documentar els canvis.

En aquell article explicava com resetejar els User Right Assigment. En aquest article podem veure com resetejar les polítiques a la política per defecte del domini i la del controlador de domini.

Aquesta eina s’anomena DCGPOFIX, i ve inclosa en el sistema.

Sintaxis:

dcgpofix [/ignoreschema][/target: {domain | dc | both}]

Si posem /target: domain, es reseteja la política Default Domain Policy. Si posem /target:dc, també es reseteja la Domain Controllers Policy.

En cas de disposar d’un Windows 2003 R2, com la versió del esquema ha estat modificada i és la 31, l’eina falla. Podem usar tranquilament el parámetre /ignoreschema com recomana Microsoft en aquest article.

També podem veure la descripció de l’eina i els seus usos aquí

Recomanació: Abans de resetejar la política caldria fer un backup amb l’eina GPMC.MSC. També recomano guardar les polítiques actuals modificades amb un altre nom. Així podem aplicar les anteriors juntament amb les noves, permetent-nos aplicar les parts de la política que ja teniem fins que revisem completament el funcionament

Com resetejar els user rights a la política GPO per defecte del domini

A vegades algún element decideix modificar les polítiques per defecte del domini o dels controladors de domini per afegir noves polítiques que afectin als usuaris.

Tot i que això és poc recomanable (és millor afegir una altra política específica amb un nom que l’identifiqui clarament), ens pot passar que algú hagi tancat completament aquesta política, deixant el sistema inoperatiu en cas d’aplicació d’un service pack o fins i tot a l’actualtizar de Windows 2000 a Windows 2003.

Com sempre, després de buscar i buscar, he trobat que Microsoft té una solució al problema, i és simplement resetejar la part de User Rights de les polítiques del domini i del controlador de domini.

Com funciona?

Existeix un arxiu anomenat Gpttmpl.inf que conté les polítiques que hem modificat. Només cal buscar aquest arxiu de la Default Domain Policy i posar-lo “a zero”.

Com que cada política té un GUID únic que l’identifica, la ruta completa on podem trobar aquest arxiu és

Sysvol_path SysvolDomainPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}

on Sysvol_path acostuma a ser:

%SystemRoot%Sysvol

Un cop trobat aquest arxiu, l´únic que hem de fer es esborrar el seu contigut i deixar-lo així:

[Unicode]
Unicode=yes
[System Access]
MinimumPasswordAge = 0
MaximumPasswordAge = 42
MinimumPasswordLength = 0
PasswordComplexity = 0
PasswordHistorySize = 1
LockoutBadCount = 0
RequireLogonToChangePassword = 0
ForceLogoffWhenHourExpire = 0
ClearTextPassword = 0
[Kerberos Policy]
MaxTicketAge = 10
MaxRenewAge = 7
MaxServiceAge = 600
MaxClockSkew = 5
TicketValidateClient = 1
[Version]
signature=”$CHICAGO$”
Revision=1

Per tal que un canvi pendent en qualsevol altre controlador de domini no afecti al nostre canvi, cal actualitzar el contingut del arxiu gtp.ini, que també es troba a:

Sysvol_path \Sysvol\Domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}

Hem de incrementar el “version number” una quantitat suficient per assegurar que el nostre canvi no serà sobreescrit per la replicació, (per exemple posem un zero al final del número o un 1 davant)

Aquest article el podem trobar a:
How To Reset User Rights in the Default Domain Group Policy in Windows Server 2003