Nome de caminho de diretório inválido tentando fazer backup do GPO

4

A replicação de DFSR parece estar quebrada no meu domínio e, antes de começar a corrigir isso, eu queria fazer backups dos Objetos de Diretiva de Grupo atuais. No entanto, não consigo fazer o backup da Diretiva de Domínio Padrão, como Gerenciamento de Diretiva de Grupo - > Política de domínio padrão - > O backup do GPO simplesmente falha com o erro " An invalid directory pathname was passed " e o PowerShell Backup-GPO falha com " Exception from HRESULT: 0x80005000 ".

Eu encontrei a pergunta anterior " Diagnosticando por que um objeto de política de grupo está inacessível ", que parece muito semelhante (embora o GPO seja acessível por meio do Gerenciamento de Diretiva de Grupo, na medida em que pode modificá-lo). No entanto, restaurar as permissões padrão para o GPO conforme indicado usando o ADSI Edit não ajudou. Não falhou também; no entanto, voltar para o Gerenciamento de Diretiva de Grupo e selecionar novamente a Diretiva de Domínio Padrão observou que as permissões do sistema de arquivos não estavam em sincronia com o Active Directory e oferecidas para corrigi-las, o que eu permiti. Mesmo depois disso, o backup do GPO falha como acima. Posteriormente, passei por todas as subpastas do CN do GPO e redefini-as também para as permissões padrão, embora não tenha percebido que nenhuma delas já estava lá.

dsacls "CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=my,DC=domain" não lista (e não lista) as regras de Negação ( resultado exato ), então estou perdida - o que poderia estar causando os problemas de acesso?

Atualização 2013-08-27:

Como sugerido por Douda, analisei os dumps Procmon do powershell.exe tentando executar o Backup-GPO na Política de Domínio Padrão e notei algumas diferenças significativas em comparação com o dump que Douda gentilmente forneceu:

  1. No início, obtenho NAME NOT FOUND resultados de CreateFile operações em quatro diretórios imediatamente sob o diretório de GPO \servername\sysvol\domainname\Policies\{31b2f340-016d-11d2-945f-00c04fb984f9} : UserStaging, MachineStaging, UserOld e MachineOld.
  2. Depois que o Backup-GPO leu Registry.pol em MACHINE e USER , recebo um resultado NAME NOT FOUND de uma operação CreateFile em ... \Adm
  3. Finalmente, também recebo um resultado ACCESS DENIED de ... \MACHINE\microsoft\windows nt\SecEdit em uma operação QuerySecurityFile . Há um valor hexadecimal 0x20 como informações nos detalhes, mas não sei o significado disso.

Eu verifiquei as permissões na pasta SecEdit mencionada acima (assim como CN = Sistema / CN = Políticas / CN = {guid} / CN = Máquina / CN = Microsoft / CN = Windows em ADSI Edit), e eles parecem ser permissivos o suficiente, tanto quanto eu posso dizer. Os resultados são essencialmente idênticos dos dois CDs.

    
por Tomi Junnila 14.02.2013 / 17:46

2 respostas

1

Eu atualizei para o Windows Server 2012 R2 e o mesmo problema ainda persistiu. Eu notei, no entanto, que estava recebendo eventos do Evento 2004, Gerenciamento de Diretiva de Grupo sempre que eu tentava fazer backup do GPO de Diretiva de Domínio Padrão (recebi os eventos anteriormente, mas não os notei). Isso, por sua vez, me levou ao link e a sugestão para aumentar o nível de rastreio no Gerenciamento de Diretiva de Grupo criando as duas chaves do Registro:

Key:  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics 
        Value:  GPMgmtTraceLevel 
        Value Type:  REG_DWORD 
        Value Data:  2 
Key:  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics 
        Value:  GPMgmtLogFileOnly 
        Value Type:  REG_DWORD 
        Value Data:     1 

Isso me deu uma linha de aviso em gpmgmt.log (dividida em várias linhas para maior clareza):

[5890.af8] 10/29/2013 19:47:17:955  \
    [WARNING] CGPMDSObjectNode::process: \
    ADsGetObject failed binding to \
    LDAP://(FQDN-of-DC)/CN=(Domain)/(An-ancient-XP-wireless-network-policy),\
        CN=Wireless,CN=Windows,CN=Microsoft,cn=Machine,\
        cn={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,\
        CN=System,DC=(my),DC=(domain) \
    0x80005000

Eu removi isso e, depois de excluir mais duas antigas políticas de rede (depois de iterar o processo acima para encontrar as políticas problemáticas), a Diretiva de Domínio Padrão agora faz o backup (assim como todas as outras políticas).

    
por 29.10.2013 / 19:07
1

Eu serei honesto, seu problema é bem incomum. Eu trabalhei muito com o GPO e nunca vi esse erro. Eu posso estar errado, mas parece que você está muito focado no lado da ACL em sua solução de problemas. Como o problema está relacionado apenas ao seu GPO raiz, posso sugerir que você faça algumas pesquisas manuais:

  • backup "manual" do GPO (copie o conteúdo de \ nome_do_servidor \ sysvol \ nome_do_domínio \ Diretivas {31B2F340-016D-11D2-945F-00C04FB984F9}
  • compare hashs entre CDs diferentes (pode parecer estúpido, mas já aconteceu comigo e me deixou louco: corrupção de replicação)

Você tentou fazer backup de um controlador de domínio diferente para ver se você reproduz o erro em todo o seu domínio?

    
por 26.08.2013 / 09:34