尝试打开域管理员的策略时出现"无法打开组策略对象"错误信息

当您登录使用域管理员帐户帐户如果您尝试打开一个策略时, 可能显示以下消息： 尝试打开该组策略对象 (GPO) 的属性时，您可能会收到下面的错误信息：

如果以下任一存在，可能会发生此问题：

• 域管理员组被拒绝访问 GPO。
• 在主域控制器 (PDC) 操作主机 （也称为灵活单主机操作或 FSMO） Windows 2000 域的已关闭。

要解决此问题，请您原因使用方法。

Domain Administrators 组已被拒绝访问 GPO

使用有适当的权限若要恢复到 GPO 的权限的帐户。 如果没有其他帐户有权恢复到 GPO 的权限，请重置将帐户或已被拒绝访问 GPO 的组的权限。

可以使用 Windows 2000 支持工具和 Windows Server2003 要从域管理员组中删除拒绝访问权限中包含的 DSACLS 工具。 您必须知道要使用此工具 GPO 的可分辨的名称 （也称为 DN）。 使用 Windows 2000 支持工具和 Windows Server2003 来确定在 Active Directory 中 GPO 的可分辨的名称中包含该 ADSIEdit.msc 工具。

若要重置权限，请：

1. 启动 PDC 模拟器 ADSIEdit.msc。
   
   注意 ： 确定 PDC 模拟器操作主机角色所有者，右键单击域名称在 Active Directory 用户和计算机管理单元中，单击 操作主机 ，然后单击 PDC 选项卡。
2. 在 ADSIEdit，下单击 Domain NC ，，然后找到以下容器：
   Domain_Name container\CN = System\CN = 策略容器
   右窗格列表全局通用标识域中的所有 GPO 编号 (GUID)。
3. 找到已被限制的策略，然后例如记下此对象的可分辨的名称：
   cn = {f5e14b83 0181-96 878 c-8d16cb945d68}，cn = Policies，cn = system，dc = jlc，dc = com
   注意 ： The 受限制的策略显示用记事本图标 ； 以文件夹图标显示在其他策略。
4. 使用 DSACLS 删除已分配给域管理员组的拒绝访问权限。 使用以下语法：
   dsacls distinguished_name / R"domain_name \domain 管理员"
   例如：
   dsacls cn = {f5e14b83 0181-96 878 c-8d16cb945d68}，cn = Policies，cn = system，dc = jlc，dc = com / R"JLC\Domain Admins"
5. 向域管理员组授予访问权限，请 / g 开关使用 DSACLS。 使用以下语法：
   dsacls distinguished_name / G"domain_name \domain 管理员"： GA
6. 在 PDC 模拟器启动 Microsoft Windows 资源管理器，然后将其浏览到 Winnt\Sysvol\Sysvol\ Domain_name Policies 文件夹。 在为受限的 GPO 的 GUID 中列出此文件夹。
7. 右击该 GPO 的 GUID，单击 属性 安全 选项卡，单击将提供域管理员组完全控制权限。
8. 请检查在此 GPO 对象，以确认域管理员也具有这些文件夹的权限下子文件夹。

如果您登录使用域管理员帐户，完成此过程中之后，您可以打开，和编辑此 GPO。

PDC 操作您的 Windows 2000 域的主控形状是向下

解决了 PDC 操作主机，您的 Windows 2000 域的可用的问题。