Соединения SYSVOL наследует разрешения NTFS из корневого каталога диска

Переводы статьи Переводы статьи
Код статьи: 319808 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

У вас домен Active Directory, в котором члены домена в случае применения групповой политики. Проверьте журналы событий членов домена появится событий, указывающих, что существуют проблемы с применением групповой политики. Ниже приведены эти журнал ошибок.

КОД события: 1058
Категория: Нет
Источник: Userenv
Тип: Ошибка
Сообщение об ошибке: Отказано в доступе к файл gpt.ini для GPO cn = {31B2F340-016 D-11 D 2-945F-00C04FB984F9}, cn = политик, cn = system, DC = contoso, DC = com. Этот файл должен находиться в месте <\\contoso.com\sysvol\contoso.com\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\gpt.ini>. (Доступ запрещен). Обработка групповой политики прекращена.</\\contoso.com\sysvol\contoso.com\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\gpt.ini>

КОД события: 1030
Категория: Нет
Источник: Userenv
Тип: Ошибка
Сообщение об ошибке: Не удалось запросить список объектов групповой политики. Проверьте журнал событий на наличие возможных сообщений, зарегистрированных модулем политики, описывающее причину.

Для userenv.log:
Userenv(2A0.570) 11:29:29:456 ProcessGPO: найти путь к файлу:<\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}></\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}>
Userenv(2A0.570) 11:29:29:471 ProcessGPO: не удалось найти файл шаблона групповой политики <\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}\gpt.ini>, ошибка = 0x5.</\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}\gpt.ini>

Журнал procmon обновления политики в Windows XP и Windows Server 2003:
Winlogon.exe 672 CreateFile \\dc1.contoso.com\SysVol\contoso.com\Policies\{5388A065-90DD-4AE7-B462-DF948A659D4E}\gpt.ini ACCESS DENIED необходимости доступа: чтение атрибутов, ликвидации: Откройте параметры: открыть точку повторной обработки, атрибуты: н/д», «ShareMode: чтение, запись и удаление …

Windows Vista и более поздних версий:
Svchost.exe 672 CreateFile \\dc1.contoso.com\SysVol\contoso.com\Policies\{5388A065-90DD-4AE7-B462-DF948A659D4E}\gpt.ini ACCESS DENIED необходимости доступа: чтение атрибутов, ликвидации: Откройте параметры: открыть точку повторной обработки, атрибуты: н/д», «ShareMode: чтение, запись и удаление …

Если проверка разрешений на GPT.INI или папкам политики они кажутся нормально. Например можно найти, что «Прошедшие проверку» имеет доступ на чтение.

Причина

Клиенты, имеющие доступ к файлам политики в SYSVOL нужно передать различные проверки безопасности. Это следующим образом:
  • Сетевой вход в систему пользователя
  • Доступ к общим SYSVOL
  • Разрешения на доступ к папкам в пути к папке
  • Как замену Обход перекрестной проверки Право пользователя
  • Разрешения на чтение всех соединения, которые встречаются в путь к папке
Для последнего элемента в этом списке пользователь должен разрешения на оба соединения и на целевую папку соединения.

Решение

Существуют различные причины и причины всех связанных отсутствие разрешений и прав пользователей. Как определить причину разрешение очистки. В следующем примере два сообщения об ошибках, не столь очевидным, и эти примеры включают разрешение:
  1. При запуске мастера установки Active Directory (Dcpromo.exe), можно указать другой диск и другой путь к папке SYSVOL. Процесс мастер установки Active Directory устанавливает специальные разрешения файловой системы NTFS в SYSVOL и ее подпапках, за исключением следующих двух точек соединения:
    • %SystemRoot%\Sysvol\Sysvol\contoso.com
      Цель соединения является % SystemRoot%\Sysvol\Domain.
    • %SystemRoot%\Sysvol\Staging areas\contoso.com
      Цель соединения является % SystemRoot%\Sysvol\Staging.

    Оба соединения наследуют разрешения NTFS родительского пути SYSVOL, указанный в пользовательском интерфейсе мастера установки Active Directory. Этот родительский обычно является корневой диск. Если изменить разрешения файловой системы NTFS в корневом каталоге диска перед запуском мастера установки Active Directory соединения наследовать только измененные разрешения.

    Если эти разрешения позволяют только администраторы имеют доступ к соединения, обычные пользователи могут открывать файлы политики.
  2. Изменение прав пользователей и удалено право пользователя Обход перекрестной проверкидля не являющихся администраторами. Путь из общей папки SYSVOL, работу с файлами политики будут удалены также разрешения на чтение прав администратора на одну из папок. Типичные примеры бы % SystemRoot%\Sysvol\Domain. Разрешения на чтение или права пользователя Обход перекрестной проверкинеобходим доступ к файлам политики.

Дополнительная информация

Служба репликации файлов (FRS) и объект групповой политики (GPO) не влияет на при измененных разрешений NTFS, наследуются от корневого диска.

СЛУЖБА FRS

Winnt\Sysvol\Staging areas\Mydomain.com используется только службой FRS. Использование службы репликации файлов Программа NTBackup работать и не требуется не явных разрешений на доступ к необходимым папкам.

ОБЪЕКТ ГРУППОВОЙ ПОЛИТИКИ

Унаследованные разрешения NTFS на %SystemRoot%\Sysvol\Sysvol\Mydomain.com не влияет на способ применения объекта групповой Политики. После файл библиотеки динамической компоновки (DLL) подключается к SYSVOL групповой политики на клиентском компьютере использует библиотеку DLL групповой политики Создание SMB NT соответствие Mydomain.com\Policies\ИДЕНТИФИКАТОР GUID (где ИДЕНТИФИКАТОР GUID — это глобально уникальный идентификатор [GUID]) читать соответствующий параметр из идентификатора GUID папки. Так как Обход перекрестной проверки политика пройти все подпапки явно, она разрешает доступ к целевой папке (по умолчанию этот параметр политики включен; Корпорация Майкрософт рекомендует использовать этот параметр политики). Таким образом наследуемые разрешения NTFS на Winnt\Sysvol\Sysvol\Mydomain.com не оказывают влияния на объект групповой Политики.

Доступ К общим ресурсам службы входа в сеть

%SystemRoot%\Sysvol\Sysvol\Mydomain.comунаследованные разрешения NTFS не влияет на папке \scripts. Параметры совпадают с параметрами установки по умолчанию. Можно получить доступ к общей папке NETLOGON.

Разрешения по умолчанию

По умолчанию для соединения задаются следующие разрешения NTFS. Корпорация Майкрософт рекомендует использовать эти параметры.
  • Домен\Администраторы: Полный доступ
  • Система: Полный доступ
  • Домен\Пользователи: Правка & чтение, чтение

Свойства

Код статьи: 319808 - Последний отзыв: 11 сентября 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
Ключевые слова: 
kbprb kbmt KB319808 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:319808

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com