В кожному домені Active Directory за замовчуванням створюються два об'єкти групової політики (Group Policy Object, GPO): Default Domain Policy і Default Domain Controllers Policy. Default Domain Policy призначається на весь домен і визначає в ньому політику паролів і облікових записів, а Default Domain Controllers Policy пов'язаний з OU Domain Controllers і забезпечує підвищений рівень безпеки для контролерів домену.

Ці GPO дуже важливі, тому не рекомендується вносити в них зміни без крайньої необхідності. Так Default Domain Policy рекомендується використовувати тільки для управління настройками облікових записів, політиками паролів і Керберос, а Default Domain Controllers Policy GPO - для настройки призначених для користувача прав і політик аудиту.

Однак на той випадок, якщо вони пошкоджені або змінені до повної непрацездатності, є можливість повернути їх в початковий стан. Для цього до складу кожної серверної операційної системи починаючи з Windows Server 2003 включена утиліта Dsgpofix.exe, що дозволяє відновити стан цих GPO на момент установки.

Щоб запустити відновлення, досить в командному рядку виконати команду Dsgpofix. Запущена без параметрів, вона скасовує всі зміни об'єктів групової політики Default Domain Policy і Default Domain Controllers Policy, причому навіть якщо вони були перейменовані. Параметр/target дозволяє вказати, яку з GPO відновлювати - DC, Domain або Both (обидва).

Якщо в домені присутні різні версії Active Directory (наприклад при наявності контролерів домену з різними версіями Windows), то для сумісності слід використовувати ключ/ignoreschema, який ігнорує номер версії схеми AD. В іншому випадку команда спрацює тільки для однієї версії схеми - тієї, яка використовується на контролері домену з якого її запустили.

Як приклад відновимо зміни в Default Domain Policy в домені з різними версіями AD наступною командою:

Dcgpofix/ignoreschema/Target: Domain

І ще один важливий момент, який треба врахувати при відновленні Default Domain Controllers Policy GPO. При використанні Dcgpofix деякі параметри безпеки можуть відрізнятися вихідних (створюваних в процесі установки).У зв'язку з цим відразу після відновлення за допомогою Dcgpofix необхідно перевірити параметри безпеки вручну. Детальніше про цю проблему можна дізнатися тут.

На закінчення скажу, що Microsoft рекомендує використовувати Dcgpofix тільки в аварійних ситуаціях, при повній відсутності резервних копій.Рекомендований варіант відновлення GPO за допомогою резервного копіювання описаний в цій статті.