Mensaje "Los permisos para este GPO en la carpeta sysvol son incoherentes con los de Active Directory" al ejecutar GPMC
En este artículo se proporciona ayuda para corregir los errores que se producen al ejecutar directiva de grupo Management Console (GPMC).
Se aplica a: Windows Server 2012 R2
Número de KB original: 828760
Síntomas
Al ejecutar GPMC en un dominio de Microsoft Windows Server y, a continuación, hacer clic en Directiva de dominio predeterminada o en Directiva de controladores de dominio predeterminada, recibirá uno de los siguientes mensajes:
Si tiene permisos para modificar la seguridad en los objetos directiva de grupo (GPO), recibirá el siguiente mensaje:
Los permisos de este GPO en la carpeta sysvol son incoherentes con los de Active Directory. Se recomienda que estos permisos sean coherentes. Para cambiar los permisos de SYSVOL a los de Active Directory, haga clic en Aceptar.
Si no tiene permiso para modificar la seguridad en los objetos directiva de grupo (GPO), recibirá el siguiente mensaje:
Los permisos de este GPO en la carpeta sysvol son incoherentes con los de Active Directory. Se recomienda que estos permisos sean coherentes. Póngase en contacto con un administrador que tenga derechos para modificar la seguridad en este GPO.
Causa
Este problema se produce porque la lista de control de acceso (ACL) de la parte Sysvol del objeto directiva de grupo se establece para heredar permisos de la carpeta primaria.
Estado
Microsoft ha confirmado que se trata de un problema en los productos de Microsoft que aparecen en la sección "Se aplica a" de este artículo.
Solución alternativa
Si tiene permisos para modificar la seguridad en los GPO predeterminados, haga clic en Aceptar en respuesta al mensaje que se describe en la sección "Síntomas". Esta acción modifica las ACL de la parte Sysvol del objeto directiva de grupo y las hace coherentes con las ACL del componente de Active Directory. En este caso, directiva de grupo quitará el atributo de herencia en la carpeta Sysvol.
Más información
Cada objeto directiva de grupo (GPO) se almacena parcialmente en la carpeta Sysvol del controlador de dominio y en parte en el servicio de directorio de Active Directory. GPMC, directiva de grupo Object Editor y la antigua interfaz de usuario directiva de grupo que se proporciona en los complementos de Active Directory presentes y administran un GPO como una sola unidad. Por ejemplo, al establecer permisos en un GPO en GPMC, GPMC establece permisos en objetos tanto en Active Directory como en la carpeta Sysvol. Para cada GPO, los permisos de Active Directory deben ser coherentes con los permisos de la carpeta Sysvol. No debe cambiar estos objetos independientes fuera de GPMC y directiva de grupo Editor object. Si lo hace, es posible que se produzca un error en el procesamiento de directiva de grupo en el cliente o que determinados usuarios que generalmente tengan acceso ya no puedan editar un GPO.
Además, los objetos del sistema de archivos y los objetos de servicio de directorio no tienen los mismos permisos disponibles porque son diferentes tipos de objetos. Cuando los permisos no coinciden, puede que no sea fácil hacerlos coherentes. Para ayudarle a asegurarse de que la seguridad de Active Directory y de los componentes sysvol de un GPO es coherente, GPMC comprueba automáticamente la coherencia de los permisos de cualquier GPO al hacer clic en el GPO en GPMC. Si GPMC detecta un problema con un GPO, recibirá uno de los mensajes que se describen en la sección "Síntomas", en función de si tiene o no permisos para modificar la seguridad de ese GPO.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de