灏濊瘯浠墦寮 � 为域管理员策略时发生"未能打开组策略对象"错误消息

在登录时使用的是域管理员帐户如果您尝试打开一个策略，鍙兘浼氭樉绀轰互涓嬫秷鎭細 当试图打开此组策略对象 (GPO) 的属性时您可能会收到以下错误信息：

如果下列条件之一存在，则可能会出现此问题：

• 域管理员组已被拒绝访问 gpo。
• 在主域控制器 (PDC) 操作主机 （也称为灵活的单主机操作或 FSMO） 的 Windows 2000 域已关闭。

要解决此问题，请为您的原因使用方法。

域管理员组已被拒绝访问 gpo

使用具有适当的权限来还原到该 GPO 的权限的帐户。 如果没有其他帐户有权还原到该 GPO 的权限，重置帐户或组已被拒绝访问到该 GPO 的权限。

您可以使用 Windows 2000 支持工具和 Windows Server 2003，从域管理员组中删除拒绝访问权限中包含的 DSACLS 工具。 您必须知道要使用此工具 GPO 的可分辨的名称 (也称为 DN）。 使用 Windows 2000 支持工具以及 Windows Server 2003，确定在 Active Directory 中 GPO 的可分辨的名称中包含 ADSIEdit.msc 工具。

若要重新设置权限：

1. PDC 模拟器上启动 ADSIEdit.msc。
   
   注意： 确定 PDC 模拟器操作主机角色所有者，用鼠标右键单击域名在 Active Directory 用户和计算机管理单元中，单击 操作主机，然后单击 PDC 选项卡。
2. ADSIEdit，下单击 域 NC，然后找到以下容器：
   Domain_Namecontainer\CN = System\CN = 策略容器
   右窗格列表全局通用标识在域中的所有 gpo 的数字 (guid)。
3. 找到已限制，该策略，然后注意此对象的可分辨的名称，例如：
   cn = {f5e14b83 0181-437e 878 c-8d16cb945d68}，cn = 策略，cn = 系统，dc = jlc，dc = com
   注意： 该受限制的策略，将显示用记事本的图标 ； 文件夹图标以显示其他策略。
4. 使用 DSACLS 删除已分配到域管理员组拒绝访问权限。 使用以下语法：
   dsacls distinguished_name distinguished_name/R"domain_name \domain 管理员"
   例如：
   dsacls cn = {f5e14b83 0181-437e 878 c-8d16cb945d68}，cn = 策略，cn = 系统，dc = jlc，dc = com/R"JLC\Domain 管理员"
5. 使用/g 开关来访问权限授予域 DSACLS 管理员组。 使用以下语法：
   dsacls distinguished_name distinguished_name/G domain_name \domain 管理员"： GA
6. PDC 模拟器上启动 Microsoft Windows 资源管理器，然后浏览到 Winnt\Sysvol\Sysvol\ Domain_name 櫒文件夹。 在受限制的 GPO 的 GUID 列出了此文件夹中。
7. 右键单击为该 GPO 的 GUID、 单击 属性，单击 安全 选项卡并接着赋予域管理员组完全控制权限。
8. 请检查以确认域管理员也有这些文件夹的权限此 GPO 对象之下子文件夹。

如果在使用域登录完成此过程之后管理员帐户才能打开和编辑此 GPO。

PDC 操作主的您的 Windows 2000 域是下移

解决该问题使 PDC 操作主机的 Windows 2000 域不可用。