web-dev-qa-db-ja.com

グループポリシーオブジェクトにアクセスできない理由の診断

Windows Server 2003ドメインを持っています。グループポリシーオブジェクトの1つがOU内のリンクされたアイテムとして表示されますが、一意のIDであり、リンクステータスが有効であるかどうかはすべてわかります。その横に赤いマイナスアイコンがあり、その名前は「アクセス不可」です。メッセージには、「このグループポリシーオブジェクト(GPO)には読み取りレベルのアクセス許可がないため、アクセスできません」と表示されます。

SYSVOLに一意のIDを含むフォルダーがあり、問題なく参照できます。グループポリシーオブジェクトの完全なリストを表示すると、このアクセスできないGPOに似たものは見つかりません。

アクセスできないポリシーが適用されているユーザーに対してグループポリシー結果ウィザードを実行すると、GPOの実際の名前が表示され、ユーザーに適用されているすべての設定が表示されます。 GPOから。

管理者がGPOへのほとんどすべてのアクセスを失い、アクセスを復元できるようになる原因は何ですか?

6
Andrew S

グループポリシーコンテナー(GPC、Active Directoryオブジェクト)のアクセス許可は、読み取りレベルのアクセス許可を拒否するように設定されています。見つかったファイルシステムオブジェクト( "グループポリシーテンプレート"、またはGPT)に対するアクセス許可は、Active Directoryオブジェクトに対するアクセス許可と "同期しなくなる"可能性があります。 (背景については、 http://msdn.Microsoft.com/en-us/library/aa374180(VS.85).aspx をご覧ください)。

さいわい、ADSIEDITなどのツールを使用して、GPCのアクセス許可を復元できます。 ADSIEDITを使用すると、 "CN = System"の "CN = Policies"オブジェクトの下に、問題のあるGUIDのGPOに対応する「groupPolicyContainer」が見つかります。 "GPOが存在するドメインのドメインNC内のオブジェクト。(Windows ServerメディアのサポートツールからADSIEDITをインストールして開き、[ドメイン]にドリルしてから、[CN = System "および" CN = Policies "を入力すると、GPCが表示されます)。

問題のあるGPO=に対応するGPCの[プロパティ]シートの[セキュリティ]タブを使用し、[詳細設定]ダイアログの[デフォルト]ボタンを使用してデフォルトのアクセス許可に戻します。

ADSIEDITでアクセス許可の変更が許可されない場合(おそらく、「無効なディレクトリパス名が渡されました」などの奇妙なエラーメッセージが表示されます)、オブジェクトに「拒否/フルコントロール」アクセス許可が設定されている可能性があります。引数CN=GUID-OF-THE-PROBLEMATIC-GPO,CN=Policies,CN=System,DC=your,DC=domain,DC=comを指定したdsaclsコマンドは、権限を報告します。誤った「拒否」および「フルコントロール」エントリを検索し、dsacls/R user-or-group-nammeパラメータを使用して、そのユーザーまたはグループに関連付けられている権限を削除します。それが本当にめちゃくちゃであるならば、あなたはおそらく、オブジェクトの所有権を取得するために/takeownership引数とともにdscalsのWindows Server 2008 ADAM/AD LDSバージョンを使用する必要があります。

8
Evan Anderson

または、GPにまだアクセスできるエンタープライズ/ドメイン管理者/その他の管理グループとして新しいユーザーアカウントを設定してログインし、GP管理を開いて、「アクセス不能」エラーが発生するユーザーのアクセス許可をリセットします。

3
user204474

同じ問題があり、グループポリシーの[セキュリティフィルタリング]タブを使用してGPOを特定のセキュリティグループにターゲティングしたことを忘れていました。これをAuthenticated Usersに変更すると、メッセージが表示されなくなりました。

1
Wichard Hartes

スプートニクは正しいです。私のGPOが機能を停止しました。作成したセキュリティグループをターゲットとするGPOのセキュリティフィルタリングがありました。GPO管理コンソールを介してシミュレーションに対して実行すると、 "アクセス不可能"簡単な修正は、GPOのデリゲートとしてドメインコンピュータを追加し、それに読み取りアクセス権を与えることです。

https://support.Microsoft.com/en-us/kb/3163622

1
DDSMLA

Evanの素晴らしい答えに加えて、グループポリシーマネージャーで親ポリシーのGUIDを見つけることができます。ポリシーを選択し、[詳細]タブに移動して、[一意のID]を探します。そこから、ポリシーでさらに権限を指定した場合は、探している正確なポリシーコンポーネントにドリルダウンできます。

1
user128688

Domain Computersグループをセキュリティフィルターに追加するだけです。元のAuthenticated Usersグループには、すべてのコンピューターアカウントが含まれています。

0
Sputnik