В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Каждые 5 минут в журнале событий приложений регистрируется событие с кодом 1000 или 1001

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Проблема
Параметры групповой политики не реплицируются между контроллерами домена, поэтому пользователи не получают параметры групповой политики для компьютеров. На компьютере под управлением Microsoft Windows Server 2003 в журнале событий приложений регистрируются следующие события.
Тип: Ошибка
Источник: Userenv
Категория: отсутствует
Код (ID): 1058
Описание: Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=domainname,DC=com . Этот файл должен находиться в <\\domainname.com\sysvol\domainname.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984 F9}\gpt.ini>. (Текст_сообщения_об_ошибке). Обработка групповой политики прекращена. Дополнительные сведения см. на веб-узле центра справки и поддержки по адресу http://support.microsoft.com.

Тип: Ошибка
Источник: Userenv
Категория: отсутствует
Код (ID): 1030
Описание: Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики. Дополнительные сведения см. на веб-узле центра справки и поддержки по адресу http://support.microsoft.com.


Кроме того, на компьютере под управлением Microsoft Windows Server 2000 в журнале событий приложений каждые пять минут могут регистрироваться следующие события.

Тип: Ошибка
Код (ID): 1000
Источник: Userenv
Категория: отсутствует
Пользователь: NT AUTHORITY\SYSTEM

Описание: Не удалось получить доступ к реестру на \\имя_домена\sysvol\имя_домена\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol (5).

Тип: Ошибка
Код (ID): 1001
Источник: SceCli
Категория: отсутствует
Пользователь: Нет данных

Описание: Не удалось выполнить распространение политики безопасности. Нет доступа к шаблону. Код ошибки = 3. \\имя_домена\sysvol\имя_домена\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.

Тип: Ошибка
Код (ID): 1000
Источник: Userenv
Категория: отсутствует
Пользователь: NT AUTHORITY\SYSTEM

Описание: Клиентское расширение безопасности групповой политики передало флаги (17) и возвратило код ошибки (3).
Причина
Эти ошибки могут возникать, если неправильно установлены права доступа к папке %SystemRoot%\Winnt\Sysvol или для параметра «Обход перекрестной проверки назначения прав пользователей» неправильно указаны группы пользователей. Причиной ошибки также может быть отсутствие необходимых разрешений на доступ к общей папке sysvol.
Решение
Чтобы устранить данную проблему, выполните описанные ниже действия с учетом используемой операционной системы.

Windows Server 2003

  1. Установите надлежащие разрешения на доступ к папке Sysvol. Для этого выполните следующие действия.
    1. В окне проводника Windows щелкните папку %SystemRoot%\Windows\Sysvol правой кнопкой мыши и выберите команду Свойства.
    2. На вкладке Безопасность нажмите кнопку Дополнительно, снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и нажмите кнопку ОК. Убедитесь, что для выбранной папки установлены указанные ниже права, доступа и нажмите кнопку ОК.
      Администраторы: полный доступ.
      Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки.
      Создатель-владелец: никакие права не установлены явно.
      Операторы сервера: чтение, чтение и выполнение, список содержимого папки.
      System: полный доступ
      .
    3. В окне проводника Windows щелкните папку %SystemRoot%\Windows\Sysvol\Sysvol правой кнопкой мыши и выберите команду Свойства.
    4. На вкладке Безопасность нажмите кнопку Дополнительно, снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и два раза нажмите кнопку ОК.
    5. Щелкните правой кнопкой мыши папку %SystemRoot%\Winnt\Sysvol\Sysvol\имя_домена и выберите команду Свойства.
    6. На вкладке Безопасность нажмите кнопку Дополнительно, снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и два раза нажмите кнопку ОК.
    7. Щелкните правой кнопкой мыши папку %SystemRoot%\Winnt\Sysvol\Sysvol\имя_домена\Policies и выберите команду Свойства.
    8. На вкладке Безопасность нажмите кнопку Дополнительно, снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и нажмите кнопку ОК. Убедитесь, что для выбранной папки установлены указанные ниже права доступа, и нажмите кнопку ОК.
      Администраторы: полный доступ.
      Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки.
      Создатель-владелец: никакие права не установлены явно.
      Владельцы-создатели групповой политики: чтение, чтение и выполнение, список содержимого папки, изменение, запись.
      Операторы сервера: чтение, чтение и выполнение, список содержимого папки.
      System: полный доступ.
    9. Для всех файлов и папок, расположенных в папке %SystemRoot%\Winnt\Sysvol\Sysvol\имя_домена\Policies, выполните следующие действия. Щелкните файл или папку правой кнопкой мыши и выберите пункт Свойства.
    10. На вкладке Безопасность нажмите кнопку Дополнительно, установите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и два раза нажмите кнопку ОК.
  2. Запустите оснастку «Active Directory - пользователи и компьютеры». Для этого нажмите кнопку Пуск и выберите в меню Все программы пункт Администрирование.
  3. Запустите оснастку «Active Directory - пользователи и компьютеры», разверните узел с именем домена, щелкните правой кнопкой мыши узел Контроллеры домена и выберите пункт Свойства.
  4. На вкладке Групповая политика выберите объект Политика контроллеров домена по умолчанию и нажмите кнопку Изменить.

    Примечание. Если на компьютере установлена консоль управления групповыми политиками, кнопка «Изменить» будет недоступна. В этом случае нажмите кнопку Открыть, чтобы запустить консоль управления групповыми политиками, разверните узлы имя_домена и Контроллеры домена, щелкните правой кнопкой мыши элемент Политика контроллеров домена по умолчанию и выберите пункт Изменить.

    Дополнительные сведения о консоли управления групповыми политиками см. на веб-узле Майкрософт по адресу:
  5. Последовательно раскройте следующие папки:
    Конфигурация компьютера
    Конфигурация Windows
    Параметры безопасности
    Локальные политики
  6. Выберите узел Назначение прав пользователя и дважды щелкните элемент Обход перекрестной проверки. По умолчанию данное право должно быть предоставлено следующим группам:
    «Прошедшие проверку»;
    «Все»;
    «Администраторы».
    Если эти группы отсутствуют в списке, их необходимо добавить. Для этого нажмите кнопку Добавить, а затем — кнопку Обзор.
  7. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду gpupdate и нажмите кнопку ОК.
  8. Убедитесь, что для общей папки sysvol установлены следующие разрешения общего доступа.
    Администраторы: полный доступ.
    Прошедшие проверку: полный доступ.
    Все: чтение.
Примечание. Если после выполнения данных инструкций ошибки не исчезают или же возникают проблемы при доступе к общей политике, проверьте порядок привязки на сервере и убедитесь, что внутренняя сетевая карта указана первой в списке привязки. Для этого выполните следующие действия.
  1. Щелкните правой кнопкой мыши значок Мое сетевое окружение и выберите команду Свойства.
  2. В меню Дополнительно выберите пункт Дополнительные параметры.
  3. Убедитесь, что внутренний сетевой адаптер указан первым в списке Подключения. В противном случае передвиньте его в начало списка, используя кнопки со стрелками.

Windows 2000 Server

  1. Установите надлежащие разрешения на доступ к папке Sysvol. Для этого выполните следующие действия.
    1. В окне проводника Windows щелкните папку %SystemRoot%\Winnt\Sysvol правой кнопкой мыши и выберите команду Свойства.
    2. На вкладке Безопасность снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и убедитесь, что права доступа установлены следующим образом.
      Администраторы: полный доступ.
      Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки.
      Создатель-владелец: никакие права не установлены явно.
      Операторы сервера: чтение, чтение и выполнение, список содержимого папки.
      System: полный доступ
      .
    3. Нажмите кнопку ОК.
    4. В окне проводника Windows щелкните папку %SystemRoot%\Winnt\Sysvol\Sysvol правой кнопкой мыши и выберите команду Свойства.
    5. На вкладке Безопасность установите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и нажмите кнопку ОК.
    6. Щелкните правой кнопкой мыши папку %SystemRoot%\Winnt\Sysvol\Sysvol\имя_домена: и выберите команду Свойства.
    7. На вкладке Безопасность установите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и нажмите кнопку ОК.
    8. Щелкните правой кнопкой мыши папку %SystemRoot%\Winnt\Sysvol\Sysvol\имя_домена\Policies и выберите команду Свойства.
    9. На вкладке Безопасность снимите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и убедитесь, что права доступа установлены следующим образом.
      Администраторы: полный доступ.
      Прошедшие проверку: чтение, чтение и выполнение, список содержимого папки.
      Создатель-владелец: никакие права не установлены явно.
      Владельцы-создатели групповой политики: чтение, чтение и выполнение, список содержимого папки, изменение, запись.
      Операторы сервера: чтение, чтение и выполнение, список содержимого папки.
      System: полный доступ.
    10. Нажмите кнопку ОК.
    11. Для всех файлов и папок, расположенных в папке %SystemRoot%\Winnt\Sysvol\Sysvol\имя_домена\Policies, выполните следующие действия. Щелкните файл или папку правой кнопкой мыши и выберите пункт Свойства. На вкладке Безопасность установите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и нажмите кнопку ОК.
  2. Откройте оснастку «Active Directory - пользователи и компьютеры». Для этого нажмите кнопку Пуск, выберите пункт Программы, а затем — команду Администрирование.
  3. Откройте оснастку «Active Directory - пользователи и компьютеры» и раскройте узел с именем домена.
  4. Щелкните правой кнопкой мыши узел Контроллеры домена и выберите пункт Свойства.
  5. На вкладке Групповая политика выберите объект Политика контроллеров домена по умолчанию и нажмите кнопку Изменить.
  6. Последовательно раскройте следующие папки:
    Конфигурация компьютера
    Конфигурация Windows
    Параметры безопасности
    Локальные политики
  7. Выберите узел Назначение прав пользователя и дважды щелкните элемент Обход перекрестной проверки. По умолчанию данное право должно быть предоставлено следующим группам.
    «Прошедшие проверку»;
    «Все»;
    «Администраторы».
    Если эти группы отсутствуют в списке, их необходимо добавить. Для этого нажмите кнопку Добавить, а затем кнопку Обзор.
  8. В командной строке выполните следующую команду:
    secedit /refreshpolicy machine_policy /enforce

  9. Убедитесь, что для общей папки sysvol установлены следующие разрешения общего доступа.
    Администраторы: полный доступ.
    Прошедшие проверку: полный доступ.
    Все: чтение.
Примечание. Если после выполнения данных инструкций ошибки не исчезают или же существуют проблемы при доступе к общей политике, проверьте порядок привязки на сервере и убедитесь, что внутренняя сетевая карта указана первой в списке привязки. Для этого выполните следующие действия.
  1. Щелкните правой кнопкой мыши значок Мое сетевое окружение и выберите команду Свойства.
  2. В меню Дополнительно выберите пункт Дополнительные параметры.
  3. Убедитесь, что внутренний сетевой адаптер указан первым в окне «Подключения». В противном случае передвиньте его в начало списка, используя кнопки со стрелками.
Дополнительная информация
Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:
271213 В журнале каждые 5 минут повторяются события с кодом 1000 и 1001
259398 Отключение клиента DFS приводит к появлению событий с кодом 1001 (SceCli) и 1000 (UserEnv)
285923 Каждые 5 минут регистрируются события с кодами 1000, 1001 и 13508, указывающие на наличие неполадок с проведением репликации
258296 Не удается получить доступ к объектам групповой политики: зарегистрированы коды событий 1000 и 1001
GPO 1000 1001 1058 1030 permissions sysvol
Свойства

Номер статьи: 290647 — последний просмотр: 09/22/2006 02:57:00 — редакция: 7.1

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kberrmsg kbprb KB290647
Отзывы и предложения
did=1&t=">