And*_*w S 6 windows-server-2003 active-directory group-policy
我有一个 Windows Server 2003 域。组策略对象之一在 OU 中显示为链接项目,但我只能看到唯一 ID 和链接状态是否已启用。它旁边有一个红色减号图标,其名称为“无法访问”。该消息显示“无法访问此组策略对象 (GPO),因为您没有对其的读取级别权限。”
SYSVOL 中有一个包含唯一 ID 的文件夹,我可以毫无困难地浏览它。如果我查看组策略对象的完整列表,我找不到与此无法访问的 GPO 类似的任何内容。
如果我对应用了不可访问策略的用户运行组策略结果向导,那么我就能够看到 GPO 的真实名称并查看从 GPO 应用于用户的所有设置。
可能发生了什么导致管理员失去对 GPO 的几乎所有访问权限并且可以恢复访问权限?
组策略容器(GPC,一个 Active Directory 对象)的权限已设置为拒绝您的读取级别权限。您找到的文件系统对象(“组策略模板”或 GPT)的权限可能与 Active Directory 对象的权限“不同步”。(有关背景知识,请查看http://msdn.microsoft.com/en-us/library/aa374180(VS.85).aspx)。
幸运的是,您可以使用 ADSIEDIT 之类的工具来恢复对 GPC 的权限。使用 ADSIEDIT,您将在 GPO 所在域的域 NC 中“CN=System”对象的“CN=Policies”对象下找到与有问题的 GPO 的 GUID 对应的“groupPolicyContainer”。(从Windows Server 媒体上的支持工具,打开它,深入到“域”,然后是“CN=System”和“CN=Policies”,您将找到 GPC)。
使用与有问题的 GPO 对应的 GPC 的“属性”表的“安全”选项卡,并使用“高级”对话框中的“默认”按钮恢复默认权限。
如果 ADSIEDIT 不允许您修改权限(可能会显示一条奇怪的错误消息,例如“传递了无效的目录路径名”),那么可能有人在该对象上放置了“拒绝/完全控制”权限。dsacls带有参数的命令CN=GUID-OF-THE-PROBLEMATIC-GPO,CN=Policies,CN=System,DC=your,DC=domain,DC=com将报告权限。搜索错误的“拒绝”和“完全控制”条目并使用/R user-or-group-namme参数 ondsacls删除与该用户或组关联的权限。如果它真的搞砸了,那么您可能必须使用 Windows Server 2008 ADAM / AD LDS 版本dscals的/takeownership参数来获取对象的所有权)。