「 無法開啟群組原則物件 」 當您嘗試開啟網域系統管理員一個原則會出現錯誤訊息

當您登入使用網域系統管理員的帳戶如果您嘗試開啟原則時，可能會顯示下列訊息： 當想開啟這個群組原則物件 (GPO) 的內容，您可能會收到下列錯誤訊息：

如果下列情況之一存在，就可能發生這個問題：

• 網域系統管理員群組已經被拒絕存取 GPO。
• 在主要網域控制站 (PDC) 操作主機 (也稱為彈性單一主機操作或 FSMO) 您的 Windows 2000 網域已關閉。

如果要解決這個問題，請的使用方法。

網域系統管理員群組已經被拒絕存取 GPO

使用具有適當的權限給 GPO，還原權限的帳戶。 如果沒有其他帳戶有權限來還原 GPO 的權限，重設帳戶或已拒絕存取 GPO 的群組的使用權限。

您可以使用 DSACLS 工具所包含的 Windows 2000 支援工具和 Windows Server 2003，拒絕存取權限移除網域系統管理員群組中。 您必須知道 「 GPO，才能使用此工具之辨別的名稱 (也稱為 DN)。 使用包含在為 Windows 2000 支援工具及 Windows Server 2003，若要判斷 GPO 在 Active Directory 中的辨別的名稱的 [ADSIEdit.msc] 工具。

重設權限：

1. 啟動 ADSIEdit.msc PDC 模擬器。
   
   注意 ： 判定 PDC 模擬器操作主機角色擁有者，用滑鼠右鍵按一下網域名稱，在 [Active Directory 使用者及電腦嵌入式管理單元，按一下 [ 操作主機 ，然後按一下 [ PDC ] 索引標籤。
2. 在 ADSIEdit 下, 按一下 網域 NC ，]，然後再找出下列容器：
   Domain_Namecontainer\CN = System\CN = 原則容器
   右窗格清單全域通用識別在網域中的所有 GPO 的編號 (GUID)。
3. 找出已限制，原則，並再記下的這個的物件辨別的名稱，例如：
   cn = {f5e14b83-0181年-437e-878 c-8d16cb945d68}，cn = CN 的原則 = 系統，dc = jlc，dc = 通訊
   注意 ： 的限制的原則會顯示 [記事本] 圖示 ； 其他原則] 資料夾中的圖示以顯示。
4. 使用 DSACLS 拒絕存取權限已指派給網域系統管理員群組中移除。 使用下列語法：
   dsacls distinguished_name /R"domain_name \domain 管理員"
   例如：
   dsacls cn = {f5e14b83-0181年-437e-878 c-8d16cb945d68}，cn = CN 的原則 = 系統，dc = jlc，dc = COM /R"JLC\Domain 系統管理員 」
5. 使用 DSACLS 使用 /g 參數對網域授與存取系統管理員群組。 使用下列語法：
   dsacls distinguished_name /G domain_name \domain 管理員 」： GA
6. 在 PDC 模擬器上, 啟動 Microsoft Windows 檔案總管]，然後再瀏覽至 Winnt\Sysvol\Sysvol\ Domain_name \Policies 資料夾]。 受限制的 GPO 的 GUID 會列在此資料夾中。
7. 上按一下滑鼠右鍵 GUID GPO 的並按 [ 內容 ，按一下 [ 安全性 ] 索引標籤後再給網域系統管理員群組完全控制，權限。
8. 請檢查這個 GPO] 物件，如果要確認網域系統管理員也擁有這些資料夾的權限下子資料夾。

在您完成此的程序，如果您使用登入網域之後系統管理員 」 帳戶您可以開啟並編輯這個 GPO。

您的 Windows 2000 網域的 PDC 操作主機已關閉

解決此問題進行 PDC 操作主機，您的 Windows 2000 網域無法使用。