Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=x1,DC=x2,DC=x3,DC=x4. Этот файл должен находиться в <\\x1.x2.x3.x4\sysvol\x1.x2.x3.x4\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не удалось получить данные о конфигурации от контроллера домена. Либо он отключен, либо к нему нет доступа. ). Обработка групповой политики прекращена.
\\x1.x2.x3.x4\sysvol\ - нет доступа
\\айпи\sysvol\ - доступ есть
\\имя контролера домена\sysvol\ - есть домень
nslookup айпи адрес - имя домена.
nslookup домен - айпи адрес.
в спящий режим контролер домена не переходит, поэтому
http://support.microsoft.com/kb/842804/ru не подходит.
Заранее спасибо.
Группе «Администраторы домена» запрещен доступ к объекту групповой политики
Восстановите доступ к объекту групповой политики с помощью учетной записи, которая имеет необходимые разрешения. Если ни у одной из учетных записей нет таких разрешений, восстановите разрешения для учетной записи или для группы, которой было отказано в доступе к объекту групповой политики.
Воспользуйтесь средством DSACLS, входящим в состав средств поддержки для Windows 2000 и Windows Server 2003, чтобы удалить разрешения «Запретить доступ», назначенные группе «Администраторы домена». Чтобы воспользоваться этим средством, необходимо знать различающееся имя (также называемое DN) данного объекта групповой политики. С помощью средства ADSIEdit.msc из состава средств поддержки для Windows 2000 и Windows Server 2003 определите различающееся имя объекта групповой политики в Active Directory.
Для изменения разрешений выполните следующие действия.
1. Запустите ADSIEdit.msc или эмулятор PDC.
Примечание. Чтобы определить владельца роли хозяина операций эмуятора PDC, щелкните правой кнопкой мыши контроллер домена в оснастке «Пользователи и компьютеры Active Directory», выберите пункт Хозяева операций и перейдите на вкладку PDC.
2. В окне оснастки ADSIEdit выберите Domain NC и найдите следующий контейнер:
имя_домена container\CN=System\CN=Policies container
В правой области перечислены глобально уникальные идентификаторы (GUID) всех объектов групповой политики этого домена.
3. Найдите запрещенную политику и запишите различающееся имя нужного объекта, например:
cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com
Примечание. Запрещенная политика отображается со значком блокнота, все остальные политики отображаются со значком папки.
4. С помощью средства DSACLS удалите разрешения «Запретить доступ», назначенные группе «Администраторы домена». Используйте следующий синтаксис:
dsacls различающееся_имя /R "имя_домена\domain admins"
Например:
dsacls cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com /R "JLC\Domain Admins"
5. С помощью средства DSACLS и параметра /g предоставьте группе «Администраторы домена» права доступа к объекту групповой политики. Используйте следующий синтаксис:
dsacls различающееся_имя /G "имя_домена\domain admins":GA
6. В эмуляторе PDC откройте проводник Windows и найдите папку Winnt\Sysvol\Sysvol\имя_домена\Policies. В этой папке указан идентификатор GUID объекта политики, доступ к которому запрещен.
7. Правой кнопкой мыши щелкните нужный идентификатор GUID, выберите пункт Свойства, перейдите на вкладку Безопасность и предоставьте группе «Администраторы домена» разрешение «Полный доступ».
8. Проверьте вложенные папки этого объекта групповой политики и убедитесь, что администраторы домена имеют доступ к этим папкам.
После выполнения этих действий, войдя в систему с помощью учетной записи администратора домена, можно открывать соответствующий объект групповой политики и редактировать его.
Восстановите доступ к объекту групповой политики с помощью учетной записи, которая имеет необходимые разрешения. Если ни у одной из учетных записей нет таких разрешений, восстановите разрешения для учетной записи или для группы, которой было отказано в доступе к объекту групповой политики.
Воспользуйтесь средством DSACLS, входящим в состав средств поддержки для Windows 2000 и Windows Server 2003, чтобы удалить разрешения «Запретить доступ», назначенные группе «Администраторы домена». Чтобы воспользоваться этим средством, необходимо знать различающееся имя (также называемое DN) данного объекта групповой политики. С помощью средства ADSIEdit.msc из состава средств поддержки для Windows 2000 и Windows Server 2003 определите различающееся имя объекта групповой политики в Active Directory.
Для изменения разрешений выполните следующие действия.
1. Запустите ADSIEdit.msc или эмулятор PDC.
Примечание. Чтобы определить владельца роли хозяина операций эмуятора PDC, щелкните правой кнопкой мыши контроллер домена в оснастке «Пользователи и компьютеры Active Directory», выберите пункт Хозяева операций и перейдите на вкладку PDC.
2. В окне оснастки ADSIEdit выберите Domain NC и найдите следующий контейнер:
имя_домена container\CN=System\CN=Policies container
В правой области перечислены глобально уникальные идентификаторы (GUID) всех объектов групповой политики этого домена.
3. Найдите запрещенную политику и запишите различающееся имя нужного объекта, например:
cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com
Примечание. Запрещенная политика отображается со значком блокнота, все остальные политики отображаются со значком папки.
4. С помощью средства DSACLS удалите разрешения «Запретить доступ», назначенные группе «Администраторы домена». Используйте следующий синтаксис:
dsacls различающееся_имя /R "имя_домена\domain admins"
Например:
dsacls cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com /R "JLC\Domain Admins"
5. С помощью средства DSACLS и параметра /g предоставьте группе «Администраторы домена» права доступа к объекту групповой политики. Используйте следующий синтаксис:
dsacls различающееся_имя /G "имя_домена\domain admins":GA
6. В эмуляторе PDC откройте проводник Windows и найдите папку Winnt\Sysvol\Sysvol\имя_домена\Policies. В этой папке указан идентификатор GUID объекта политики, доступ к которому запрещен.
7. Правой кнопкой мыши щелкните нужный идентификатор GUID, выберите пункт Свойства, перейдите на вкладку Безопасность и предоставьте группе «Администраторы домена» разрешение «Полный доступ».
8. Проверьте вложенные папки этого объекта групповой политики и убедитесь, что администраторы домена имеют доступ к этим папкам.
После выполнения этих действий, войдя в систему с помощью учетной записи администратора домена, можно открывать соответствующий объект групповой политики и редактировать его.
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке: ошибка доступа к политике в домене
SoftoRooM © 2004-2024