診斷組策略對象為何不可訪問
我有一個 Windows Server 2003 域。其中一個組策略對像在 OU 中顯示為連結項目,但我只能看到唯一 ID 和連結狀態是否已啟用。它旁邊有一個紅色的減號圖示,其名稱為“無法訪問”。消息顯示“此組策略對象 (GPO) 無法訪問,因為您沒有對其的讀取級別權限。”
SYSVOL 中有一個包含唯一 ID 的文件夾,我可以毫無問題地瀏覽它。如果我查看組策略對象的完整列表,我找不到任何類似於這個無法訪問的 GPO 的東西。
如果我針對應用了不可訪問策略的使用者執行組策略結果嚮導,那麼我可以看到 GPO 的真實名稱,並查看從 GPO 應用到使用者的所有設置。
可能發生了什麼會導致管理員幾乎失去對 GPO 的所有訪問權限,並且可以恢復訪問權限嗎?
組策略容器(GPC,一個 Active Directory 對象)的權限已設置為拒絕您的讀取級別權限。您找到的文件系統對象(“組策略模板”或 GPT)的權限可能與 Active Directory 對象的權限“不同步”。(有關一些背景資訊,請查看http://msdn.microsoft.com/en-us/library/aa374180(VS.85).aspx)。
幸運的是,您可以使用 ADSIEDIT 之類的工具來恢復 GPC 上的權限。使用 ADSIEDIT,您將在 GPO 所在域的域 NC 中的“CN=System”對象的“CN=Policies”對像下找到與有問題的 GPO 的 GUID 對應的“groupPolicyContainer”。(從安裝 ADSIEDIT Windows Server 媒體上的支持工具,打開它,進入“域”,然後進入“CN=System”和“CN=Policies”,您會找到 GPC)。
使用與有問題的 GPO 對應的 GPC 的“屬性”表的“安全”選項卡,並使用“高級”對話框中的“預設”按鈕恢復預設權限。
如果 ADSIEDIT 不允許您修改權限(可能會顯示奇怪的錯誤消息,例如“傳遞了無效的目錄路徑名”),那麼很可能有人對對象設置了“拒絕/完全控制”權限。
dsacls帶有參數的命令CN=GUID-OF-THE-PROBLEMATIC-GPO,CN=Policies,CN=System,DC=your,DC=domain,DC=com將報告權限。搜尋錯誤的“拒絕”和“完全控制”條目並使用/R user-or-group-namme參數 ondsacls刪除與該使用者或組關聯的權限。如果真的搞砸了,那麼您可能必須使用dscals帶有/takeownership參數的 Windows Server 2008 ADAM / AD LDS 版本來獲取對象的所有權)。