Persimpangan SYSVOL mewarisi NTFS izin dari akar pengandar

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 319808 - Melihat produk di mana artikel ini berlaku.
Perbesar semua | Perkecil semua

Pada Halaman ini

GEJALA

Anda memiliki domain direktori aktif di mana anggota domain yang menerapkan kebijakan grup. Ketika Anda memeriksa log peristiwa anggota domain, Anda dapat melihat peristiwa yang menunjukkan bahwa ada masalah yang menerapkan kebijakan grup. Kesalahan ini login adalah sebagai berikut:

ID Peristiwa: 1058
Kategori: Tidak ada
Sumber: Userenv
Jenis: Kesalahan
Pesan: Windows tidak dapat mengakses berkas gpt.ini untuk GPO cn = {31B2F340-016D-11D2-945F-00C04FB984F9}, cn = policies, cn = system, DC = contoso, DC = com. File harus hadir di lokasi <\\contoso.com\sysvol\contoso.com\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\gpt.ini>. (Akses ditolak). Pemrosesan Kebijakan Grup dibatalkan.</\\contoso.com\sysvol\contoso.com\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\gpt.ini>

ID Peristiwa: 1030
Kategori: Tidak ada
Sumber: Userenv
Jenis: Kesalahan
Pesan: Windows tidak dapat mencari daftar objek kebijakan grup. Periksa log peristiwa untuk kemungkinan pesan sebelumnya dicatat oleh mesin kebijakan yang menjelaskan alasan untuk ini.

Untuk userenv.log:
USERENV(2a0.570) 11:29:29:456 ProcessGPO: ditemukan lintasan sistem berkas dari:<\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}></\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}>
USERENV(2a0.570) 11:29:29:471 ProcessGPO: tidak bisa menemukan berkas template kebijakan grup <\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}\gpt.ini>, kesalahan = 0x5.</\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}\gpt.ini>

Procmon log pembaruan kebijakan pada Windows XP dan Windows Server 2003:
winlogon.exe 672 CreateFile \\dc1.contoso.com\SysVol\contoso.com\Policies\{5388A065-90DD-4AE7-B462-DF948A659D4E}\gpt.ini ACCESS DENIED diinginkan akses: membaca atribut, disposisi: membuka, pilihan: Buka Reparse Point, atribut: n/a, ShareMode: membaca, menulis, Hapus...

Windows Vista dan versi:
Svchost.exe 672 CreateFile \\dc1.contoso.com\SysVol\contoso.com\Policies\{5388A065-90DD-4AE7-B462-DF948A659D4E}\gpt.ini ACCESS DENIED diinginkan akses: membaca atribut, disposisi: membuka, pilihan: Buka Reparse Point, atribut: n/a, ShareMode: membaca, menulis, Hapus...

Ketika Anda verifikasi hak akses pada GPT.INI atau di folder kebijakan, mereka tampaknya baik-baik saja. Misalnya, Anda menemukan bahwa "Dikonfirmasi pengguna" mempunyai akses baca.

PENYEBAB

Klien yang mengakses file kebijakan pada SYSVOL harus melewati berbagai pemeriksaan keamanan. Ini adalah sebagai berikut:
  • Hak-hak pengguna logon jaringan
  • Akses untuk berbagi SYSVOL
  • Izin untuk mengakses semua folder dalam lintasan map
  • Sebagai pengganti, Bypass melintasi memeriksa pengguna yang tepat
  • Izin untuk membaca semua persimpangan yang ditemui dalam lintasan map
Untuk item terakhir dalam daftar ini, kemudian kebutuhan pengguna izin pada persimpangan kedua dan folder target persimpangan.

PEMECAHAN MASALAH

Ada beberapa penyebab, dan penyebab semua terkait kurangnya izin atau hak-hak pengguna. Segera setelah penyebab diidentifikasi, resolusi jelas. Contoh dua kesalahan berikut tidak begitu jelas, dan contoh-contoh ini termasuk resolusi:
  1. Jika Anda menjalankan Wizard penginstalan direktori aktif (Dcpromo.exe), Anda dapat menentukan pengandar yang berbeda dan jalan yang berbeda untuk map SYSVOL. Proses aktif direktori instalasi Wizard set izin sistem berkas NTFS khusus pada SYSVOL dan subfolder kecuali untuk titik persimpangan dua berikut:
    • %SystemRoot%\Sysvol\Sysvol\contoso.com
      Persimpangan target adalah % SystemRoot%\Sysvol\Domain.
    • %SystemRoot%\Sysvol\Staging areas\contoso.com
      Persimpangan target adalah % SystemRoot%\Sysvol\Staging.

    Persimpangan kedua mewarisi NTFS izin dari orang tua dari jalur SYSVOL yang Anda tentukan di antarmuka pengguna aktif direktori instalasi Wizard. Induk ini biasanya adalah akar pengandar. Jika Anda mengubah izin NTFS pada drive akar sebelum Anda menjalankan Wizard penginstalan direktori aktif, persimpangan hanya mewarisi izin berubah.

    Jika izin ini hanya memungkinkan administrator untuk memiliki akses ke persimpangan, pengguna biasa tidak lagi dapat mengakses file kebijakan.
  2. Anda telah mengubah hak-hak pengguna dan dihapus hak pengguna Bypass melintasi memeriksauntuk non-administrator. Di jalan dari berbagi SYSVOL ke file kebijakan, Anda juga menghapus membaca perizinan untuk administrator pada salah satu folder. Satu contoh umum akan % SystemRoot%\Sysvol\Domain. Baca izin atau pengguna yang tepat Bypass melintasi memeriksadiperlukan untuk mengakses file kebijakan.

INFORMASI LEBIH LANJUT

Layanan Replikasi File (FRS) dan objek kebijakan grup (GPO) tidak terpengaruh jika izin NTFS berubah mewarisi dari akar pengandar.

FRS

Winnt\Sysvol\Staging areas\Mydomain.com digunakan hanya oleh FRS. FRS menggunakan NTBackup fungsi dan tidak tidak perlu izin eksplisit untuk mengakses folder yang diperlukan.

GPO

Warisan NTFS hak akses pada %SystemRoot%\Sysvol\Sysvol\Mydomain.com tidak mempengaruhi bagaimana GPO diterapkan. Setelah komputer klien Kebijakan Grup menghubungkan dynamic-link library (DLL) file SYSVOL, DLL kebijakan grup menggunakan SMB NT membuat melawan Mydomain.com\Policies\GUID (di mana GUID adalah global pengenal unik [GUID]) untuk membaca pengaturan sesuai kebijakan dari GUID folder. Karena Bypass melintasi memeriksa pengaturan kebijakan tidak melangkah melalui semua subfolder secara eksplisit, itu memungkinkan akses ke target folder (secara default, pengaturan kebijakan ini diaktifkan; Microsoft menganjurkan agar Anda menggunakan pengaturan kebijakan ini). Oleh karena itu, izin NTFS warisan di Winnt\Sysvol\Sysvol\Mydomain.com tidak berpengaruh pada GPO.

NETLOGON berbagi akses

%SystemRoot%\Sysvol\Sysvol\Mydomain.com\scripts folder tidak terpengaruh oleh izin NTFS warisan. Pengaturan yang sama seperti pengaturan instalasi default. Berbagi NETLOGON dapat diakses.

Izin default

Secara default, berikut NTFS perizinan di-set pada persimpangan. Microsoft menganjurkan agar Anda menggunakan pengaturan ini.
  • Domain\Administrator: Kontrol penuh
  • Sistem: Kontrol penuh
  • Domain\Users: Baca & Edit, membaca

Properti

ID Artikel: 319808 - Kajian Terakhir: 24 September 2011 - Revisi: 2.0
Berlaku bagi:
Kata kunci: 
kbprb kbmt KB319808 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:319808

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com