应用程序事件日志中每 5 分钟记录一次 Event ID 1000、1001

文章翻译 文章翻译
文章编号: 290647 - 查看本文应用于的产品
本文的发布号曾为 CHS290647
展开全部 | 关闭全部

本文内容

症状

域控制器之间不复制组策略设置。因此,用户接收不到计算机的组策略设置。Microsoft Windows Server 2003 中的应用程序日志中会显示下面的事件:
类型:错误
来源:Userenv
类别:无
事件 ID: 1058
描述:Windows 无法访问 GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domainname,DC=com 的 gpt.ini 文件。此文件必须位于 <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>。(Error_Message)。组策略处理中止。有关更多信息,请参阅位于 http://support.microsoft.com 的帮助和支持中心。

类型:错误
来源:Userenv
类别:无
事件 ID: 1030
描述:Windows 不能查询组策略对象列表。策略引擎以前记录过描述此原因的消息。有关更多信息,请参阅位于 http://support.microsoft.com 的帮助和支持中心。


另外,在 Microsoft Windows 2000 Server 上的应用程序日志中,每 5 分钟会出现一次下面的事件:

类型:错误
事件 ID:1000
来源:Userenv
类别:无
用户:NT AUTHORITY\SYSTEM

描述:Windows 不能在 \\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol with (5) 访问注册表信息。

类型:错误
事件 ID:1001
来源:SceCli
类别:无
用户:不可用

描述:无法传播安全策略。无法访问模板。错误代码 =3。\\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf。

类型:错误
事件 ID: 1000
来源:Userenv
类别:无
用户:NT AUTHORITY\SYSTEM

描述:组策略客户端扩展安全已通过标志 (17) 并返回一个失败状态代码 (3)。

原因

如果您将不适当的权限分配给 %SystemRoot%\Winnt\Sysvol 文件夹或将不适当的组分配给 Bypass Traverse Checking User Rights Assignment(跳过遍历检查用户权利指派),可能会发生此问题。另外,如果 sysvol 共享权限限制过多,也可能会发生此问题。

解决方案

要解决此问题,请根据您的操作系统,使用以下方法之一:

Windows Server 2003

  1. 设置文件夹安全权限。为此,请按照下列步骤操作:
    1. 在 Windows 资源管理器中,右键单击“%SystemRoot%\Windows\Sysvol”文件夹,然后单击“属性”。
    2. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”。确保安全设置与以下设置相匹配,然后单击“确定”:
      管理员:完全控制
      经身份验证的用户:读取、读取和执行、列出文件夹内容
      创建者所有者:没有选中项
      服务器操作员:读取、读取和执行、列出文件夹内容
      系统:完全控制
    3. 右键单击“%SystemRoot%\Windows\Sysvol\Sysvol”文件夹,然后单击“属性”。
    4. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”两次。
    5. 右键单击“%SystemRoot%\Winnt\Sysvol\Sysvol\domain”文件夹,然后单击“属性”。
    6. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”两次。
    7. 右键单击“%SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies”文件夹,然后单击“属性”。
    8. 在“安全性”选项卡上,单击“高级”,单击以清除“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”。确保安全设置与以下设置相匹配,然后单击“确定”:
      管理员:完全控制
      经身份验证的用户:读取、读取和执行、列出文件夹内容
      创建者所有者:没有选中项
      组策略创建者所有者:读取、读取和执行、列出文件夹内容、修改、写入
      服务器操作员:读取、读取和执行、列出文件夹内容
      系统:完全控制
    9. 对于位于 %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies 文件夹中的文件或文件夹,分别右键单击这些文件或文件夹,然后单击“属性”。
    10. 在“安全性”选项卡上,单击“高级”,单击以选择“允许从父系来的继承权限传播到这个对象”复选框,然后单击“确定”两次。
  2. 展开“Active Directory 用户和计算机”。为此,单击“开始”,单击“所有程序”,然后单击“管理工具”。
  3. 展开“Active Directory 用户和计算机”,展开域名,右键单击“域控制器”,然后单击“属性”。
  4. 在“组策略”选项卡上,单击“默认域控制器策略”,然后单击“编辑”。

    注意:如果安装了组策略管理控制台,则“编辑”按钮不可用。在这种情况下,单击“打开”以启动组策略管理控制台,展开“domain name”,展开“域控制器”,右键单击“默认域控制器策略”,然后单击“编辑”。

    有关组策略管理控制台的其他信息,请访问下面的 Microsoft 网站:
    http://www.microsoft.com/china/windowsserver2003/gpmc/default.mspx
  5. 展开下面的文件夹:
    计算机配置
    Windows 设置
    安全设置
    本地策略
  6. 单击“用户权限分配”,然后双击“跳过遍历检查”。应该出现下列默认设置:
    经身份验证的用户
    所有人
    管理员
    如果没有出现,而您又需要添加这些组,请单击“添加用户或组”,然后单击“浏览”。
  7. 单击“开始”,单击“运行”,键入 gpupdate,然后单击“确定”。
  8. 请验证 sysvol 共享权限设置是否正确,如下所示:
    管理员 = 完全控制
    经身份验证的用户 = 完全控制
    所有人 = 读取
注意:如果此过程不能解决问题,或者您在访问组策略时遇到问题,请检查服务器上的绑定顺序,以确保内部网络适配器在绑定顺序列表中排在第一位。要检查绑定顺序,请按照下列步骤操作:
  1. 右键单击“网上邻居”,然后单击“属性”。
  2. 在“高级”菜单上,单击“高级设置”。
  3. 在“连接”框内,确保内部网络适配器第一个列出。如果不是第一个,使用箭头将其移到列表顶部。

Windows 2000 Server

  1. 设置文件夹安全权限。为此,请按照下列步骤操作:
    1. 在 Windows 资源管理器中,右键单击 %SystemRoot%\Winnt\Sysvol 文件夹,然后单击属性
    2. 安全性选项卡上,清除“允许从父系来的继承权限传播到这个对象”复选框,然后确保安全设置与下列设置匹配:
      管理员:完全控制
      经身份验证的用户:读取、读取和执行、列出文件夹内容
      创建者所有者:没有选中项
      服务器操作员:读取、读取和执行、列出文件夹内容
      系统:完全控制
    3. 单击确定
    4. 右键单击 %SystemRoot%\Winnt\Sysvol\Sysvol 文件夹,然后单击属性
    5. 安全性选项卡上,选中“允许从父系来的继承权限传播到这个对象”复选框,然后单击确定
    6. 右键单击 %SystemRoot%\Winnt\Sysvol\Sysvol\domain:文件夹,然后单击属性
    7. 安全性选项卡上,选中“允许从父系来的继承权限传播到这个对象”复选框,然后单击确定
    8. 右键单击 %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies 文件夹,然后单击属性
    9. 安全性选项卡上,清除“允许从父系来的继承权限传播到这个对象”复选框,然后确保安全设置与下列设置匹配:
      管理员:完全控制
      经身份验证的用户:读取、读取和执行、列出文件夹内容
      创建者所有者:没有选中项
      组策略创建者所有者:读取、读取和执行、列出文件夹内容、修改、写入
      服务器操作员:读取、读取和执行、列出文件夹内容
      系统:完全控制
    10. 单击确定
    11. 对于位于 %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies 文件夹中的文件或文件夹,分别右键单击这些文件或文件夹,然后单击属性。在安全性选项卡上,选中“允许从父系来的继承权限传播到这个对象”复选框,然后单击确定
  2. 打开“Active Directory 用户和计算机”:单击开始,单击程序,然后单击管理工具
  3. 展开“Active Directory 用户和计算机”,然后展开域名。
  4. 右键单击域控制器,然后单击属性
  5. 组策略选项卡上,单击“默认域控制器策略”,然后单击编辑
  6. 展开下面的文件夹:
    计算机配置
    Windows 设置
    安全设置
    本地策略
  7. 单击用户权限分配,然后双击“跳过遍历检查”。应该出现下列默认设置:
    经身份验证的用户
    所有人
    管理员
    如果没有出现,而您又需要添加这些组,请单击添加,然后单击浏览
  8. 在命令提示符下,键入:
    secedit /refreshpolicy machine_policy /enforce

  9. 请验证 sysvol 共享权限设置是否正确,如下所示:
    管理员 = 完全控制
    经身份验证的用户 = 完全控制
    所有人 = 读取
注意:如果此过程不能解决此问题,或者访问组策略时遇到问题,请检查服务器上的绑定,以确保内部网络适配器在绑定顺序列表中排在第一位。要检查绑定顺序,请按照下列步骤操作:
  1. 右键单击网上邻居,然后单击属性
  2. 单击高级菜单,然后单击高级设置
  3. 在“连接”下,确保内部网络适配器第一个列出。如果不是第一个,使用箭头将其移到列表顶部。

更多信息

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
271213 Event ID 1000 和 1001 在事件日志中每 5 分钟出现一次
259398 禁用 Dfs 客户端后出现 SceCli Event ID 1001 和 UserEnv Event ID 1000
285923 错误消息每 5 分钟报告一次事件 1000、1001 和 13508 并说明复制问题
258296 不能访问组策略对象--记录了 Event ID 1000 和 Event ID 1001

属性

文章编号: 290647 - 最后修改: 2006年9月22日 - 修订: 7.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
关键字:?
kberrmsg kbprb KB290647
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com