Diagnosticando porque um Objeto de Diretiva de Grupo está inacessível

6

Eu tenho um domínio do Windows Server 2003. Um dos Objetos de Diretiva de Grupo aparece como um item vinculado em uma UO, mas tudo o que posso ver é se a ID Exclusiva e o Status do Link estão Ativados. Há um ícone menos vermelho ao lado e seu nome é "Inacessível". A mensagem diz " Este objeto de diretiva de grupo (GPO) está inacessível porque você não tem a permissão de nível de leitura sobre ele ."

Existe uma pasta no SYSVOL que contém o ID Único e eu posso navegar nele sem nenhum problema. Se eu visualizar a lista completa de Objetos de Diretiva de Grupo, não consigo encontrar nada que se assemelhe a esse GPO inacessível.

Se eu executar o Assistente de resultados da Diretiva de Grupo em um usuário ao qual a política Inacessível se aplica, visualizarei o nome real do GPO e verei todas as configurações que estão sendo aplicadas ao usuário no GPO.

O que pode ter acontecido, o que faria com que um administrador perdesse quase todo o acesso a um GPO e o acesso pudesse ser restaurado?

    
por Andrew S 19.01.2011 / 20:55

6 respostas

8

A permissão no contêiner de diretiva de grupo (o GPC, um objeto do Active Directory) foi definida para negar sua permissão de nível de leitura. As permissões no objeto do sistema de arquivos que você encontrou (o "Modelo de Diretiva de Grupo" ou GPT) podem "sair de sincronia" com as permissões no objeto do Active Directory. (Para alguns contextos, dê uma olhada no link ).

Felizmente, você pode usar uma ferramenta como ADSIEDIT para restaurar a permissão no GPC. Usando ADSIEDIT, você encontrará um "groupPolicyContainer" correspondente ao GUID do GPO problemático no objeto "CN = Policies" do objeto "CN = System" no NC de Domínio do domínio em que o GPO reside. (Instale o ADSIEDIT de as ferramentas de suporte na mídia do Windows Server, abra-o, faça drill em "Domain", em seguida, "CN = System" e "CN = Policies" e você encontrará o GPC).

Use a guia "Segurança" da planilha "Propriedades" para o GPC correspondente ao GPO problemático e use o botão "Padrão" na caixa de diálogo "Avançado" para restaurar as permissões padrão.

Se ADSIEDIT não permitir que você modifique as permissões (provavelmente exibindo uma mensagem de erro excêntrica como "Um nome de caminho de diretório inválido foi passado"), provavelmente alguém colocou uma permissão "Negar / Controle Total" no objeto. O comando dsacls com os argumentos CN=GUID-OF-THE-PROBLEMATIC-GPO,CN=Policies,CN=System,DC=your,DC=domain,DC=com relatará as permissões. Procure pela entrada errante "Negar" e "CONTROLE COMPLETO" e use o parâmetro /R user-or-group-namme em dsacls para remover as permissões associadas a esse usuário ou grupo. Se estiver realmente confuso, você provavelmente terá que usar a versão do dscals do Windows Server 2008 ADAM / AD LDS com o argumento /takeownership para apropriar-se do objeto).

    
por 21.01.2011 / 09:59
3

Como alternativa, faça login com uma nova configuração de conta de usuário como administrador corporativo / domínio / outro grupo administrativo que ainda tenha acesso ao GP, abra o GP Management e redefina as permissões para os usuários que receberem o erro "Inacessível".

    
por 06.01.2014 / 13:57
1

Apenas uma adição à excelente resposta de Evan, é possível encontrar o GUID da política pai no Gerenciador de Diretiva de Grupo. Escolha a política, vá para a guia Detalhes e procure por ID exclusiva. A partir daí, você pode detalhar o componente de política exato que está procurando, se tiver especificado permissões mais abaixo na política.

    
por 18.07.2012 / 03:43
1

Eu tive o mesmo problema e descobri que tinha esquecido de ter segmentado o GPO para um grupo de segurança específico usando a guia "Filtragem de segurança" na diretiva de grupo. Altere isso para Usuários autenticados e a mensagem desapareceu!

    
por 22.09.2014 / 14:28
1

O Sputnik está certo. Meu GPO parou de funcionar. Eu tinha a filtragem de segurança do meu GPO direcionada a um grupo de segurança que criei. Ao executá-lo contra a simulação via console de gerenciamento de GPO, ele falharia com "inacessível". Correção fácil é adicionar computadores de domínio como um delegado para o GPO e conceder direitos de acesso de leitura.

link

    
por 14.09.2016 / 05:21
0

Basta adicionar o grupo Computadores do domínio ao filtro de segurança. O grupo Usuários autenticados originais inclui todas as contas de computador.

    
por 08.09.2016 / 23:16