服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 试图备份GPO的目录path名无效
Intereting Posts
服务器迁移后访问数据库的速度缓慢 SSO和不受信任网站的身份提供商 Azure站点恢复。 如何正确备份Azure虚拟机 故障转移到DNS提供商 什么是推荐的Nagios插件用于监视与公共IP路由器? 是否有可能有两个网站服务器托pipe在不同的地方共享相同的域名? Sonicwall后面的两台电子邮件服务器无法相互通信 Raid 5 HS重build失败 亚马逊Ec2 – 创build一个私人AMI 在Centos上closures默认SSH端口 Nginx丢弃号码后的数据(#) wordpress nginx sslredirect循环 Nginx内存不足,不加载新的虚拟主机? 401.2错误的Windows身份validation cron不会执行第二部分的命令

试图备份GPO的目录path名无效

DFSR复制似乎在我的域中被破坏了,在开始修复之前,我想对当前的组策略对象进行备份。 但是,我无法备份默认域策略,因为组策略pipe理 – >默认域策略 – >备份GPO只是失败,出现错误“ An invalid directory pathname was passed ”,PowerShell Backup-GPO失败,出现“ Exception from HRESULT: 0x80005000 “。

我确实发现了前面的问题“ 诊断为什么组策略对象不可访问 ”,这似乎非常相似(尽pipe可以通过组策略pipe理访问GPO,只要能够对其进行修改)。 但是,如使用ADSI Edit所示,将默认权限还原到GPO并没有帮助。 它也没有失败; 但是,切换回组策略pipe理并重新select默认域策略确实注意到,文件系统权限与Active Directory不同步,并提供了修复它们,我允许。 即使在这之后,如上所述备份GPO也失败了。 (我随后浏览了GPO的CN下的所有子文件夹,并将它们重置为默认权限,尽pipe我没有注意到它们中的任何一个都不在那里。)

dsacls "CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=my,DC=domain"没有(也没有)列出任何拒绝规则( 确切的输出 ),所以我茫然 – 可能会导致访问问题?

更新2013-08-27:

正如Douda所build议的那样,我看着ProcMon试图在默认域策略上运行Backup-GPO的powershell.exe转储,并注意到与Douda慷慨提供的转储相比有一些显着差异:

  1. 一开始,我在GPO目录\\servername\sysvol\domainname\Policies\{31b2f340-016d-11d2-945f-00c04fb984f9}下面的四个目录中从CreateFile操作获取NAME NOT FOUND结果:UserStaging,MachineStaging,UserOld,和MachineOld。
  2. 在Backup-GPO读取MACHINEUSER下的Registry.pol之后,我从… \Adm上的CreateFile操作中得到NAME NOT FOUND结果
  3. 最后,我还在QuerySecurityFile操作中从… \MACHINE\microsoft\windows nt\SecEdit获得ACCESS DENIED结果。 有一个hex值0x20作为详细信息,但我不知道这个意义。

我检查了上面提到的SecEdit文件夹的权限(以及CN = System / CN = Policies / CN = {guid} / CN = Machine / CN = Microsoft / CN = Windows,在ADSI Edit下)就我所知,足够宽容。 结果与两个DC基本相同。

我会说实话,你的问题很不寻常。 我用GPO工作了很多,从来没有看到这个错误。 我可能是错的,但似乎你太过专注于排除ACL故障。 由于问题仅与您的根GPO相关,因此我build议您进行一些手动挖掘:

  • “手动”备份GPO(复制\ servername \ sysvol \ domainname \ Policies的内容{31B2F340-016D-11D2-945F-00C04FB984F9}
  • 比较不同DC之间的哈希(可能看起来很愚蠢,但已经发生在我身上,让我疯狂:复制腐败)

您是否尝试从不同的DC进行备份以查看是否重现了整个域的错误?

我更新到Windows Server 2012 R2,同样的问题仍然存在。 但是,我注意到,无论何时尝试备份默认域策略GPO(我之前已经收到事件,但没有注意到这些事件),我都收到了事件2004,组策略pipe理事件。 这又反过来导致我到http://www.eventid.net/display-eventid-2004-source-Group%20Policy%20Management-eventno-6412-phase-1.htm,并build议打开跟踪级别在组策略pipe理中创build两个registry项: 

 Key: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics Value: GPMgmtTraceLevel Value Type: REG_DWORD Value Data: 2 Key: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics Value: GPMgmtLogFileOnly Value Type: REG_DWORD Value Data: 1

这给了我gpmgmt.log警告线(为了清晰起见分成多行): 

 [5890.af8] 10/29/2013 19:47:17:955 \ [WARNING] CGPMDSObjectNode::process: \ ADsGetObject failed binding to \ LDAP://(FQDN-of-DC)/CN=(Domain)/(An-ancient-XP-wireless-network-policy),\ CN=Wireless,CN=Windows,CN=Microsoft,cn=Machine,\ cn={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,\ CN=System,DC=(my),DC=(domain) \ 0x80005000

我删除了这个,在删除了两个古老的networking策略之后(在重复上述过程以find有问题的策略之后),默认域策略现在可以很好地进行备份(所有其他策略也一样)。