我有一个Windows Server 2003域。 其中一个组策略对象显示为OU中的链接项目,但是我可以看到唯一ID和链接状态是否已启用。 它旁边有一个红色的减号图标,其名称显示为“无法访问”。 该消息显示“ 此组策略对象(GPO)不可访问,因为您没有对其的读取级别权限 ”。
SYSVOL中有一个包含唯一ID的文件夹,我可以毫无困难地浏览它。 如果查看组策略对象的完整列表,我找不到类似于此无法访问的GPO的任何内容。
如果针对不可访问策略适用的用户运行组策略结果向导,则可以看到GPO的真实名称,并查看从GPO应用到用户的所有设置。
可能发生了哪些事情会导致pipe理员几乎失去对GPO的所有访问权限并且可以恢复访问权限?
组策略容器(GPC,Active Directory对象)的权限已被设置为拒绝您的读取级别权限。 您find的文件系统对象(“组策略模板”或GPT)的权限可能会“与Active Directory对象上的权限不同步”。 (对于一些背景,请看http://msdn.microsoft.com/en-us/library/aa374180(VS.85).aspx )。
幸运的是,您可以使用像ADSIEDIT这样的工具来恢复GPC的权限。 使用ADSIEDIT,您可以在GPO所在的域NC的“CN = System”对象的“CN = Policies”对象下find对应于有问题的GPO的GUID的“groupPolicyContainer”(将ADSIEDIT从在Windows Server媒体上的支持工具,打开它,钻入“域”,然后“CN = System”和“CN = Policies”,你会发现GPC)。
使用对应于有问题的GPO的“属性”表的“安全性”选项卡,并使用“高级”对话框中的“默认”button来恢复默认权限。
如果ADSIEDIT不允许你修改权限(可能会显示一个古怪的错误消息,例如“无效的目录path名已被传递”),那么可能有人将“拒绝/完全控制”权限放在对象上。 具有参数CN=GUID-OF-THE-PROBLEMATIC-GPO,CN=Policies,CN=System,DC=your,DC=domain,DC=com的dsacls命令将报告权限。 search错误的“拒绝”和“完全控制”条目,并使用dsacls上的/R user-or-group-namme参数删除与该用户或组关联的权限。 如果真的搞砸了,那么你可能不得不使用带有/takeownership参数的Windows Server 2008 ADAM / AD LDS版本的dscals来获取对象的所有权。
也可以使用全新的用户帐户设置作为企业/域pipe理员/其他pipe理组来访问GP,然后打开GPpipe理并重置获得“无法访问”错误的用户的权限。
Evan的一个很好的答案是,您可以在组策略pipe理器中find父策略的GUID。 select策略,转到“详细信息”选项卡并查找唯一ID。 从那里,您可以深入到您正在查找的确切策略组件,如果您已经指定了策略的更多权限。
我有同样的问题,发现我忘记了我使用组策略中的“安全筛选”选项卡将GPO定位到特定的安全组。 将其更改为Authenticated Users,消息消失!
人造卫星是正确的。 我的GPO停止工作。 我有我的GPO的安全筛选针对我创build的安全组。 当通过GPOpipe理控制台对仿真进行运行时,它会失败并显示“无法访问”。 简单的解决方法是将域计算机添加为GPO的代理,并赋予其读取权限。
只需将域计算机组添加到安全筛选器。 原始身份validation用户组包括所有计算机帐户。