“回滚”到默认域控制器策略

上周我也提了一个类似的问题，现在我已经准备好向前迈进了，我只是为了确保我不把它搞砸

我inheritance了一个新的办公室，直到上个周末，当我升级他们有W2K域控制器。

他们现在是W2K3域控制器。

我试图添加一个W2k8 DC，并遇到了一些严重的问题，因为默认域控制器策略已经修改了W2k DC安全模板，该模板改变了registry和文件权限，并locking了W2k8依赖的多个服务。

• OU使用PowerShell批量许可Office 365用户
• 无缝SSO与Kerberos，IE浏览器，Firefox，LDAP活动目录
• 为域用户设置照片
• 跟踪哪个进程/程序导致Kerberos预authentication错误（代码0x18）
• pipe理员帐户错误的SID

这是我的build议，只是希望你告诉我，如果听起来不对，

1. 在域上创build一个新的W2k8框
2. 备份当前的DC
3. 备份当前的GPO
4. 通过删除导致问题的所有条目手动更改默认域控制器策略。
5. 等30分钟
6. 推广新的W2k8盒作为DC
7. 复制
8. 将所有FSMOangular色转移到W2k8框
9. 降级所有较旧的DC（这似乎是必要的，因为它们仍然受不良GPO“影响”）
10. 带上第二个DC

这对你来说似乎合乎逻辑吗？ 似乎它会对我工作。