A permissão no contêiner de diretiva de grupo (o GPC, um objeto do Active Directory) foi definida para negar sua permissão de nível de leitura. As permissões no objeto do sistema de arquivos que você encontrou (o "Modelo de Diretiva de Grupo" ou GPT) podem "sair de sincronia" com as permissões no objeto do Active Directory. (Para alguns contextos, dê uma olhada no link ).
Felizmente, você pode usar uma ferramenta como ADSIEDIT para restaurar a permissão no GPC. Usando ADSIEDIT, você encontrará um "groupPolicyContainer" correspondente ao GUID do GPO problemático no objeto "CN = Policies" do objeto "CN = System" no NC de Domínio do domínio em que o GPO reside. (Instale o ADSIEDIT de as ferramentas de suporte na mídia do Windows Server, abra-o, faça drill em "Domain", em seguida, "CN = System" e "CN = Policies" e você encontrará o GPC).
Use a guia "Segurança" da planilha "Propriedades" para o GPC correspondente ao GPO problemático e use o botão "Padrão" na caixa de diálogo "Avançado" para restaurar as permissões padrão.
Se ADSIEDIT não permitir que você modifique as permissões (provavelmente exibindo uma mensagem de erro excêntrica como "Um nome de caminho de diretório inválido foi passado"), provavelmente alguém colocou uma permissão "Negar / Controle Total" no objeto. O comando dsacls
com os argumentos CN=GUID-OF-THE-PROBLEMATIC-GPO,CN=Policies,CN=System,DC=your,DC=domain,DC=com
relatará as permissões. Procure pela entrada errante "Negar" e "CONTROLE COMPLETO" e use o parâmetro /R user-or-group-namme
em dsacls
para remover as permissões associadas a esse usuário ou grupo. Se estiver realmente confuso, você provavelmente terá que usar a versão do dscals
do Windows Server 2008 ADAM / AD LDS com o argumento /takeownership
para apropriar-se do objeto).