加入收藏 | 设为首页 | 会员中心 | 我要投稿 威海站长网 (https://www.0631zz.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 搭建环境 > Windows > 正文

windows-server-2003 – 诊断组策略对象无法访问的原因

发布时间:2021-01-22 01:06:30 所属栏目:Windows 来源:网络整理
导读:我有一个 Windows Server 2003域.其中一个组策略对象在OU中显示为链接项,但我可以看到唯一ID和链接状态是否已启用.旁边有一个红色的减号图标,其名称显示为“Inaccessible”.消息显示“此组策略对象(GPO)无法访问,因为您没有读取级别权限.” SYSVOL中有一个包

我有一个 Windows Server 2003域.其中一个组策略对象在OU中显示为链接项,但我可以看到唯一ID和链接状态是否已启用.旁边有一个红色的减号图标,其名称显示为“Inaccessible”.消息显示“此组策略对象(GPO)无法访问,因为您没有读取级别权限.”

SYSVOL中有一个包含唯一ID的文件夹,我可以毫不费力地浏览它.如果我查看组策略对象的完整列表,我找不到类似于这个无法访问的GPO的任何内容.

如果我针对不可访问策略适用的用户运行组策略结果向导,那么我可以看到GPO的真实名称,并查看从GPO应用于用户的所有设置.

可能发生的情况会导致管理员几乎失去对GPO的所有访问权限并且可以恢复访问权限吗?

组策略容器(GPC,Active Directory对象)的权限已设置为拒绝您的读取级别权限.您找到的文件系统对象的权限(“组策略模板”或GPT)可能与Active Directory对象上的权限“不同步”. (对于某些背景,请看一下 http://msdn.microsoft.com/en-us/library/aa374180(VS.85).aspx).

幸运的是,您可以使用ADSIEDIT之类的工具来恢复GPC的权限.使用ADSIEDIT,您将在GPO所在域的域NC中的“CN = System”对象的“CN = Policies”对象下找到与有问题的GPO的GUID相对应的“groupPolicyContainer”.(从以下位置安装ADSIEDIT) Windows Server媒体上的支持工具,打开它,钻入“域”,然后“CN =系统”和“CN =策略”,你会找到GPC).

使用与“有问题的GPO”对应的GPC的“属性”表的“安全”选项卡,并使用“高级”对话框中的“默认”按钮恢复默认权限.

如果ADSIEDIT不允许您修改权限(可能显示奇怪的错误消息,如“传递了无效的目录路径名”),那么可能有人将“拒绝/完全控制”权限放在该对象上.带有参数CN = GUID-OF-THE-PROBLEMATIC-GPO,CN = Policies,CN = System,DC = your,DC = domain,DC = com的dsacls命令将报告权限.搜索错误的“拒绝”和“完全控制”条目,并使用dsacls上的/ R user-or-group-namme参数删除与该用户或组关联的权限.如果它真的搞砸了,那么你可能不得不使用带有/ takeownership参数的Windows Server 2008 ADAM / AD LDS版本的dscals来获取对象的所有权.

(编辑:威海站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读