У меня домен Windows Server 2003. Один из объектов групповой политики отображается как связанный элемент в подразделении, но все, что я могу видеть, включен ли уникальный идентификатор и состояние связи. Рядом с ним есть красный значок «минус», а его название гласит «Недоступный». В сообщении говорится: "Этот объект групповой политики (GPO) недоступен, поскольку у вас нет разрешения на чтение для него.. "
В SYSVOL есть папка с уникальным идентификатором, и я могу без проблем просматривать ее. Если я просматриваю полный список объектов групповой политики, я не могу найти ничего похожего на этот недоступный GPO.
Если я запускаю мастер результатов групповой политики для пользователя, к которому применяется политика Inaccessible, я могу видеть настоящее имя GPO и все параметры, которые применяются к пользователю из GPO.
Что могло произойти, из-за чего администратор потерял почти весь доступ к объекту групповой политики и можно ли его восстановить?
Разрешение на контейнер групповой политики (GPC, объект Active Directory) было настроено так, чтобы запретить вам разрешение на чтение. Разрешения для найденного вами объекта файловой системы («Шаблон групповой политики» или GPT) могут «не синхронизироваться» с разрешениями для объекта Active Directory. (Для некоторой предыстории взгляните на http://msdn.microsoft.com/en-us/library/aa374180(VS.85).aspx).
К счастью, вы можете использовать такой инструмент, как ADSIEDIT, чтобы восстановить разрешение на GPC. Используя ADSIEDIT, вы найдете «groupPolicyContainer», соответствующий GUID проблемного объекта групповой политики в объекте «CN = Policies» объекта «CN = System» в NC домена домена, в котором находится объект групповой политики. (Установите ADSIEDIT из Инструменты поддержки на носителе Windows Server, откройте его, перейдите в «Домен», затем «CN = System» и «CN = Policies», и вы найдете GPC).
Используя вкладку «Безопасность» на листе «Свойства» для GPC, соответствующего проблемному объекту групповой политики, и используйте кнопку «По умолчанию» в диалоговом окне «Дополнительно», чтобы восстановить разрешения по умолчанию.
Если ADSIEDIT не позволяет изменять разрешения (возможно, отображается странное сообщение об ошибке, например «Передан неверный путь к каталогу»), то, вероятно, кто-то разместил на объекте разрешение «Запретить / Полный доступ». В dsacls команда с аргументами CN=GUID-OF-THE-PROBLEMATIC-GPO,CN=Policies,CN=System,DC=your,DC=domain,DC=com сообщит о разрешениях. Найдите ошибочную запись «Запретить» и «ПОЛНЫЙ КОНТРОЛЬ» и используйте /R user-or-group-namme параметр на dsacls чтобы удалить разрешения, связанные с этим пользователем или группой. Если это действительно не так, вам, вероятно, придется использовать версию Windows Server 2008 ADAM / AD LDS. dscals с /takeownership аргумент, чтобы стать владельцем объекта).
В качестве альтернативы войдите в систему с новой настройкой учетной записи пользователя в качестве администратора предприятия / домена / другой административной группы, у которой все еще есть доступ к GP, затем откройте Управление GP и сбросьте разрешения для пользователей, которые получают ошибку «Недоступно».
Просто дополнение к отличному ответу Эвана, что вы можете найти GUID родительской политики в диспетчере групповой политики. Выберите политику, перейдите на вкладку «Подробности» и найдите «Уникальный идентификатор». Оттуда вы можете перейти к конкретному компоненту политики, который ищете, если вы указали разрешения ниже по политике.
У меня была такая же проблема, и я обнаружил, что забыл, что нацелил GPO на определенную группу безопасности, используя вкладку «Фильтрация безопасности» в групповой политике. Измените это на Authenticated Users, и сообщение исчезнет!
Спутник прав. Мой GPO перестал работать. У меня была фильтрация безопасности моего GPO, нацеленная на созданную мной группу безопасности. При запуске против симуляции через консоль управления GPO он выдает ошибку «недоступен». Простое решение - добавить компьютеры домена в качестве делегата для объекта групповой политики и предоставить ему права доступа на чтение.
Просто добавьте группу «Компьютеры домена» в фильтр безопасности. Группа «Исходные аутентифицированные пользователи» включает все учетные записи компьютеров.