Добрый день. Достался в работу сервер AD, которому сейчас извожу болячки. Среди прочих моментов группа "Пользователи домена" включена в группу "Администраторы" (локальные), что в потенциале и на практике будет порождать кучу головной боли. Удалил привязку к группе "Администраторы", делаю gpupdate /force и привязка возвращается на свое место. Пробовал сделать Dcgpofix, но получаю Версия схемы Active Directory для данного домена не соответствует версии, поддерживаемой программой. GPO можно восстановить, задав в командной строке параметр /ignoreschema. Однако рекомендуется проверить и получить обновленную версию этой программы, которая, возможно, поддерживает обновленную версию схемы Active Directory. Восстановление GPO в неподходящей схеме может привести к непредсказуемым результатам.

И вот собственно 2 вопроса:

1. Где искать эту заковыку непосредственно в GPO?
2. Если первый вариант - не вариант, насколько безопасно лупить Dcgpofix с ключем /ignoreschema ибо резервного контроллера нет, бюджет-с.

Среди прочих моментов группа "Пользователи домена" включена в группу "Администраторы" (локальные), что в потенциале и на практике будет порождать кучу головной боли. »
Будет.

1. Где искать эту заковыку непосредственно в GPO? »
Через оснастку rsop.msc
1. Ищите похожие параметры среди всех применённых.
2. Смотрите, какой политикой применяется "лишний" параметр
3. ...
4. PROFIT!!!!

Цитата El Scorpio:
Через оснастку rsop.msc
1. Ищите похожие параметры среди всех применённых.
2. Смотрите, какой политикой применяется "лишний" параметр
3. ...
4. PROFIT!!!! »

Да, спасибо, все руки не доходили написать, что это помогло.