web-dev-qa-db-ja.com

バックアップしようとしている無効なディレクトリパス名GPO

ドメインでDFSRレプリケーションが壊れているようです。修正を開始する前に、現在のグループポリシーオブジェクトのバックアップを取りたいと思いました。ただし、グループポリシー管理->デフォルトドメインポリシー->バックアップGPOは単にエラー「_An invalid directory pathname was passed_」で失敗するため、デフォルトドメインポリシーをバックアップできません。 PowerShell _Backup-GPO_は「_Exception from HRESULT: 0x80005000_」で失敗します。

以前の質問 " グループポリシーオブジェクトにアクセスできない理由の診断 "を見つけました。これは非常に似ているようです(ただし、GPOは、グループポリシー管理からアクセスできます。ただし、ADSIEditを使用して示されているようにデフォルトのアクセス許可をGPOに復元することは役に立ちませんでした。失敗もしませんでしたが、グループポリシー管理に戻ります。デフォルトのドメインポリシーを再選択すると、ファイルシステムのアクセス許可がActive Directoryと同期しておらず、それらを修正するように提案されたことがわかりました。これを許可しました。この後でも、GPOのバックアップは次のように失敗します。上記(その後、GPOのCNの下にあるすべてのサブフォルダーを確認し、それらのサブフォルダーもデフォルトのアクセス許可にリセットしましたが、まだ存在していないことに気づきませんでした。)

_dsacls "CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=my,DC=domain"_は拒否ルールをリストしません(そしてリストしませんでした)( 正確な出力 )、それで私は途方に暮れています-何がアクセスの問題を引き起こしているのでしょうか?

更新2013-08-27:

Doudaが提案したように、デフォルトのドメインポリシーでBackup-GPOを実行しようとしているpowershell.exeのProcMonダンプを調べたところ、Doudaが親切に提供したダンプと比較していくつかの重要な違いに気づきました。

  1. 最初は、GPOディレクトリ_NAME NOT FOUND_:UserStaging、MachineStaging、UserOld、およびMachineOldのすぐ下にある4つのディレクトリでのCreateFile操作から_\\servername\sysvol\domainname\Policies\{31b2f340-016d-11d2-945f-00c04fb984f9}_の結果が得られます。
  2. Backup-GPOがMACHINEおよびUSERの下の_Registry.pol_を読み取った後、..._NAME NOT FOUND_でのCreateFile操作から_\Adm_の結果を取得します。
  3. 最後に、QuerySecurityFile操作で..._ACCESS DENIED_から_\MACHINE\Microsoft\windows nt\SecEdit_の結果も取得します。詳細の情報として16進値0x20がありますが、これの重要性はわかりません。

上記のSecEditフォルダー(およびADSIEditのCN = System/CN = Policies/CN = {guid}/CN = Machine/CN = Microsoft/CN = Windows)のアクセス許可を確認したところ、私が知る限り、十分に寛容です。結果は、2つのDCから本質的に同じです。

active-directorygroup-policywindows-server-2012
4
Tomi Junnila

Windows Server 2012 R2に更新しましたが、同じ問題が引き続き発生しました。ただし、デフォルトのドメインポリシーをバックアップしようとすると、イベント2004、グループポリシー管理イベントが発生することに気付きましたGPO(以前にイベントを受信しましたが、受信していませんでした。 tはそれらに気づきました)これは順番に私を http://www.eventid.net/display-eventid-2004-source-Group%20Policy%20Management-eventno-6412-phase-1.htm と、2つのレジストリキーを作成してグループポリシー管理のトレースレベルを上げる提案:

Key:  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics 
        Value:  GPMgmtTraceLevel 
        Value Type:  REG_DWORD 
        Value Data:  2 
Key:  HKLM\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics 
        Value:  GPMgmtLogFileOnly 
        Value Type:  REG_DWORD 
        Value Data:     1

これにより、gpmgmt.logに警告行が表示されました(わかりやすくするために複数行に分割しています)。

[5890.af8] 10/29/2013 19:47:17:955  \
    [WARNING] CGPMDSObjectNode::process: \
    ADsGetObject failed binding to \
    LDAP://(FQDN-of-DC)/CN=(Domain)/(An-ancient-XP-wireless-network-policy),\
        CN=Wireless,CN=Windows,CN=Microsoft,cn=Machine,\
        cn={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,\
        CN=System,DC=(my),DC=(domain) \
    0x80005000

これを削除し、さらに2つの古いネットワークポリシーを削除した後(上記のプロセスを繰り返して問題のあるポリシーを見つけた後)、デフォルトドメインポリシーが正常にバックアップされるようになりました(他のすべてのポリシーと同様)。

1
Tomi Junnila

私は正直に言うと、あなたの問題はかなり珍しいです。 GPOでよく作業しましたが、このエラーは表示されませんでした。間違っている可能性がありますが、トラブルシューティングでACL側に集中しすぎているようです。問題はあなたのルートGPO、私はあなたにいくつかの手動掘りをすることを提案することができます:

  • 「手動」バックアップGPO(\ servername\sysvol\domainname\Policies {31B2F340-016D-11D2-945F-00C04FB984F9}のコンテンツをコピーする}
  • 異なるDC(愚かに見えるかもしれませんが、すでに私に起こり、私を夢中にさせました:レプリケーションの破損)

別のDCからバックアップして、ドメイン全体でエラーが再現されるかどうかを確認しましたか?

1
Douda