Mensaje de Error "No se pudo abrir el objeto de directiva de grupo" se produce cuando se intenta abrir una directiva como un administrador de dominio

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 294257
Síntomas
Cuando inicia la sesión con una cuenta de administrador de dominio, si intenta abrir una directiva, puede aparecer el siguiente mensaje:
GPO inaccesible: acceso denegado.
Cuando intenta abrir las propiedades de este objeto de directiva de grupo (GPO), puede recibir el siguiente mensaje de error:
Error de directiva de grupo:

No se pudo abrir el objeto de directiva de grupo. No tenga los derechos adecuados.
Causa
Este problema puede producirse si se da cualquiera de las condiciones siguientes:
  • El grupo de administradores de dominio ha denegado el acceso al GPO.
  • El controlador de dominio (PDC) operaciones principal (alsoknown como operaciones de maestro único flexibles, o FSMO) de la domainis de Windows 2000 hacia abajo.
Solución
Para resolver este problema, utilice el método para la causa.

El grupo de administradores de dominio ha denegado el acceso al GPO

Utilice una cuenta que tenga los permisos adecuados para restaurar los permisos para el GPO. Si ninguna otra cuenta tiene permisos para restaurar los permisos en el GPO, restablezca los permisos de la cuenta o grupo que se ha denegado acceso al GPO.

Puede utilizar la herramienta DSACLS que se incluye en las herramientas de soporte técnico para Windows 2000 y Windows Server 2003, para quitar los permisos Denegar el acceso desde el grupo de administradores de dominio. Debe conocer el nombre completo (también conocido como DN) del GPO para utilizar esta herramienta. Utilice la herramienta ADSIEdit.msc que se incluye en las herramientas de soporte técnico para Windows 2000 y Windows Server 2003, para determinar el nombre completo del GPO en Active Directory.

Para restablecer los permisos:
  1. Inicie ADSIEdit.msc en el emulador de PDC.

    NOTA: Para determinar el propietario de la función PDC emulator operaciones patrones, derecha y haga clic en usuarios de Active Directory y Computerssnap en el nombre de dominio, haga clic en Maestros de operacionesy, a continuación, haga clic en el PDC ficha.
  2. En ADSIEdit, haga clic en NC de dominioy, a continuación, busque el contenedor siguiente:
    NombreDeDominio container\CN = System\CN = contenedor de directivas
    El panel de la derecha muestra la numbers(GUIDs) de identificación universal global para todos los GPO en el dominio.
  3. Busque la directiva que se ha restringido y NotaEl nombre completo de este objeto, por ejemplo:
    cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies, cn=system,dc=jlc, dc=com
    NOTA: La directiva restringido se muestra con un icono de Bloc de notas; otras directivas se muestran con iconos de carpeta.
  4. Utilizar DSACLS para quitar los permisos Denegar acceso asignados al grupo Administradores de dominio. Utilice la sintaxis siguiente:
    DSACLS distinguished_name /R"nombreDeDominioadministradores de \domain"
    Por ejemplo:
    DSACLS cn = {f5e14b83-0181-437e-878c-8d16cb945d68}, cn = policies, cn = system, dc = jlc, dc = com/r "Administradores de JLC\Domain"
  5. Utilizar DSACLS con el modificador/g para conceder acceso al grupo DomainAdministrators. Utilice la sintaxis siguiente:
    DSACLS distinguished_name /G"nombreDeDominioadministradores de \domain": GA
  6. En el emulador PDC, inicie Microsoft Windows Explorer, busque y theWinnt\Sysvol\Sysvol\NombreDeDominioCarpeta \Policies. TheGUID para el GPO restringido se muestra en esta carpeta.
  7. Haga clic en el GUID para el GPO, haga clic en Propiedades, haga clic en el Seguridad ficha y, a continuación, dar al grupo de administradores de dominio completo Controlpermissions.
  8. Compruebe que las subcarpetas bajo este objeto GPO para confirmar que los administradores de thatdomain también tienen derechos para estas carpetas.
Después de completar este procedimiento, si inicia la sesión con una cuenta de administrador de dominio, puede abrir y editar este GPO.

El OperationsMaster PDC de su dominio de Windows 2000 está fuera de servicio

Resuelva el problema que ha hecho el PDC maestro de operaciones del dominio Windows 2000 disponible.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 294257 - Última revisión: 07/25/2015 10:50:00 - Revisión: 5.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server

  • kbprb kbmt KB294257 KbMtes
Comentarios