Ошибки при бекапе GPO

[STALKER_SLX]

Доброго времени суток, уважаемые форумчане!
Недавно достался мне в обслуживание контроллер домена. И я сразу, как порядочный админ, попытался сначала сделать бекап присутствующих там групповых политик, используя стандартную оснастку в Group Policy Management Editor. В результате получил вот такой вывод (привожу кусок, а полный лог - в прикреплённом файле):

GPO: Default Domain Controllers Policy...Succeeded, but note the following issues:

[Warning] The security principal [S-1-5-21-1527218283-693782691-1850845529-1011] referenced in extension [Security] cannot be resolved, but the task will continue. In the future, you can use a migration table to map or remove this security principal.
Details: No mapping between account names and security IDs was done.
 
[Warning] The security principal [S-1-5-21-1527218283-693782691-1850845529-1007] referenced in extension [Security] cannot be resolved, but the task will continue. In the future, you can use a migration table to map or remove this security principal.
Details: No mapping between account names and security IDs was done.
 
[Warning] The security principal [S-1-5-80-344959196-2060754871-2302487193-2804545603-1466107430] referenced in extension [Security] cannot be resolved, but the task will continue. In the future, you can use a migration table to map or remove this security principal.
Details: No mapping between account names and security IDs was done.
 
.........
 
[Warning] The security principal [S-1-5-80-2221029717-1628684966-3880876834-2474333986-1305827058] referenced in extension [Security] cannot be resolved, but the task will continue. In the future, you can use a migration table to map or remove this security principal.
Details: No mapping between account names and security IDs was done.
 
[Warning] The security principal [S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003] referenced in extension [Security] cannot be resolved, but the task will continue. In the future, you can use a migration table to map or remove this security principal.
Details: No mapping between account names and security IDs was done.
 
------------------------------------------------------------------------------------------------
GPO: Default Domain Policy...Succeeded
------------------------------------------------------------------------------------------------
GPO: DenyInternet...Succeeded
------------------------------------------------------------------------------------------------
GPO: gpUsers...Succeeded
------------------------------------------------------------------------------------------------
GPO: Roaming User Profile Settings...Succeeded
------------------------------------------------------------------------------------------------
GPO: Shops_map...Succeeded
------------------------------------------------------------------------------------------------
GPO: Shops_VPN...Succeeded
------------------------------------------------------------------------------------------------
GPO: WSUS...Succeeded
------------------------------------------------------------------------------------------------
GPO: Параметры клиента DirectAccess...Succeeded
------------------------------------------------------------------------------------------------
GPO: Параметры сервера DirectAccess...Succeeded
------------------------------------------------------------------------------------------------

10 GPOs were successfully backed up, but 1 had additional information in the log above.
0 GPOs were not backed up.

Посмотрел на просторах сети возможные решения такой задачи, но чёткого понимания как исправить пока не получил...
В связи с чем прошу Вас помочь разобраться в этом вопросе.

[Уваров А.С.]

Пока ничего криминального я там не увидел. Есть некие субъекты безопасности, идентификатор которых не удается разрешить в имя учетной записи. S-1-5-21 - это пользователи, S-1-5-80 - службы.

[STALKER_SLX]

Из того, что мне известно так это то, что текущий домен переезжал с Windows Server 2003 и аж до 2012 R2 (вроде бы так), а вместе с ним и политики, в том числе и "Default Domain Controllers Policy", в которой и накопилось столько всего разного.
Сейчас в сети функционируют 3 (три) контроллера домена: Windows Server 2012 R2 (rus), Windows Server 2016 и Windows Server 2019 (eng), которые реплицируются между собой.
1. В связи с чем, прошу Вас подсказать можно ли создать такую же новую дефолтную политику или скопировать такую же со свеже-установленного контроллера (например, из тестовой домашней ВМ-ки) на боевой контроллер домена, при этом удалив текущую (с указаными выше проблемами)?
2. Или у "Default Domain Controllers Policy" есть какой-то ОСОБЫЙ уникальный идентификатор, который нельзя подменить?
3. Если подменить указанную политику на точно такую же с чистой системы (при этом внеся в эту политики нужные значения) домен заработает?!

[ival]

Была утилита dcgpofix. Почитайте про неё. Я её ниразу не использовал, но вреде она может вам помочь.

[Уваров А.С.]

Да, есть такая утилита. Но я бы, на месте автора топика, ничего бы не трогал, без веских на то оснований. А таких оснований пока не видно.