Diagnosticando porque um Objeto de Diretiva de Grupo está inacessível

A permissão no contêiner de diretiva de grupo (o GPC, um objeto do Active Directory) foi definida para negar sua permissão de nível de leitura. As permissões no objeto do sistema de arquivos que você encontrou (o "Modelo de Diretiva de Grupo" ou GPT) podem "sair de sincronia" com as permissões no objeto do Active Directory. (Para alguns contextos, dê uma olhada no link ).

Felizmente, você pode usar uma ferramenta como ADSIEDIT para restaurar a permissão no GPC. Usando ADSIEDIT, você encontrará um "groupPolicyContainer" correspondente ao GUID do GPO problemático no objeto "CN = Policies" do objeto "CN = System" no NC de Domínio do domínio em que o GPO reside. (Instale o ADSIEDIT de as ferramentas de suporte na mídia do Windows Server, abra-o, faça drill em "Domain", em seguida, "CN = System" e "CN = Policies" e você encontrará o GPC).

Use a guia "Segurança" da planilha "Propriedades" para o GPC correspondente ao GPO problemático e use o botão "Padrão" na caixa de diálogo "Avançado" para restaurar as permissões padrão.

Se ADSIEDIT não permitir que você modifique as permissões (provavelmente exibindo uma mensagem de erro excêntrica como "Um nome de caminho de diretório inválido foi passado"), provavelmente alguém colocou uma permissão "Negar / Controle Total" no objeto. O comando dsacls com os argumentos CN=GUID-OF-THE-PROBLEMATIC-GPO,CN=Policies,CN=System,DC=your,DC=domain,DC=com relatará as permissões. Procure pela entrada errante "Negar" e "CONTROLE COMPLETO" e use o parâmetro /R user-or-group-namme em dsacls para remover as permissões associadas a esse usuário ou grupo. Se estiver realmente confuso, você provavelmente terá que usar a versão do dscals do Windows Server 2008 ADAM / AD LDS com o argumento /takeownership para apropriar-se do objeto).

Como alternativa, faça login com uma nova configuração de conta de usuário como administrador corporativo / domínio / outro grupo administrativo que ainda tenha acesso ao GP, abra o GP Management e redefina as permissões para os usuários que receberem o erro "Inacessível".

Apenas uma adição à excelente resposta de Evan, é possível encontrar o GUID da política pai no Gerenciador de Diretiva de Grupo. Escolha a política, vá para a guia Detalhes e procure por ID exclusiva. A partir daí, você pode detalhar o componente de política exato que está procurando, se tiver especificado permissões mais abaixo na política.

Eu tive o mesmo problema e descobri que tinha esquecido de ter segmentado o GPO para um grupo de segurança específico usando a guia "Filtragem de segurança" na diretiva de grupo. Altere isso para Usuários autenticados e a mensagem desapareceu!

O Sputnik está certo. Meu GPO parou de funcionar. Eu tinha a filtragem de segurança do meu GPO direcionada a um grupo de segurança que criei. Ao executá-lo contra a simulação via console de gerenciamento de GPO, ele falharia com "inacessível". Correção fácil é adicionar computadores de domínio como um delegado para o GPO e conceder direitos de acesso de leitura.

link

Basta adicionar o grupo Computadores do domínio ao filtro de segurança. O grupo Usuários autenticados originais inclui todas as contas de computador.