В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету

Соединения SYSVOL наследует разрешения NTFS из корневого каталога диска

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.

Эта статья на английском языке:319808
Проблема
У вас домен Active Directory, в котором члены домена в случае применения групповой политики. Проверьте журналы событий членов домена появится событий, указывающих, что существуют проблемы с применением групповой политики. Ниже приведены эти журнал ошибок.

КОД события: 1058
Категория: Нет
Источник: Userenv
Тип: Ошибка
Сообщение об ошибке: Отказано в доступе к файл gpt.ini для GPO cn = {31B2F340-016 D-11 D 2-945F-00C04FB984F9}, cn = политик, cn = system, DC = contoso, DC = com. Этот файл должен находиться в месте <\\contoso.com\sysvol\contoso.com\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\gpt.ini>. (Доступ запрещен). Обработка групповой политики прекращена.</\\contoso.com\sysvol\contoso.com\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\gpt.ini>

КОД события: 1030
Категория: Нет
Источник: Userenv
Тип: Ошибка
Сообщение об ошибке: Не удалось запросить список объектов групповой политики. Проверьте журнал событий на наличие возможных сообщений, зарегистрированных модулем политики, описывающее причину.

Для userenv.log:
Userenv(2A0.570) 11:29:29:456 ProcessGPO: найти путь к файлу:<\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}></\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}>
Userenv(2A0.570) 11:29:29:471 ProcessGPO: не удалось найти файл шаблона групповой политики <\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}\gpt.ini>, ошибка = 0x5.</\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}\gpt.ini>

Журнал procmon обновления политики в Windows XP и Windows Server 2003:
Winlogon.exe 672 CreateFile \\dc1.contoso.com\SysVol\contoso.com\Policies\{5388A065-90DD-4AE7-B462-DF948A659D4E}\gpt.ini ACCESS DENIED необходимости доступа: чтение атрибутов, ликвидации: Откройте параметры: открыть точку повторной обработки, атрибуты: н/д», «ShareMode: чтение, запись и удаление …

Windows Vista и более поздних версий:
Svchost.exe 672 CreateFile \\dc1.contoso.com\SysVol\contoso.com\Policies\{5388A065-90DD-4AE7-B462-DF948A659D4E}\gpt.ini ACCESS DENIED необходимости доступа: чтение атрибутов, ликвидации: Откройте параметры: открыть точку повторной обработки, атрибуты: н/д», «ShareMode: чтение, запись и удаление …

Если проверка разрешений на GPT.INI или папкам политики они кажутся нормально. Например можно найти, что «Прошедшие проверку» имеет доступ на чтение.
Причина
Клиенты, имеющие доступ к файлам политики в SYSVOL нужно передать различные проверки безопасности. Это следующим образом:
  • Сетевой вход в систему пользователя
  • Доступ к общим SYSVOL
  • Разрешения на доступ к папкам в пути к папке
  • Как замену Обход перекрестной проверки Право пользователя
  • Разрешения на чтение всех соединения, которые встречаются в путь к папке
Для последнего элемента в этом списке пользователь должен разрешения на оба соединения и на целевую папку соединения.
Решение
Существуют различные причины и причины всех связанных отсутствие разрешений и прав пользователей. Как определить причину разрешение очистки. В следующем примере два сообщения об ошибках, не столь очевидным, и эти примеры включают разрешение:
  1. При запуске мастера установки Active Directory (Dcpromo.exe), можно указать другой диск и другой путь к папке SYSVOL. Процесс мастер установки Active Directory устанавливает специальные разрешения файловой системы NTFS в SYSVOL и ее подпапках, за исключением следующих двух точек соединения:
    • %SystemRoot%\Sysvol\Sysvol\contoso.com
      Цель соединения является % SystemRoot%\Sysvol\Domain.
    • %SystemRoot%\Sysvol\Staging areas\contoso.com
      Цель соединения является % SystemRoot%\Sysvol\Staging.

    Оба соединения наследуют разрешения NTFS родительского пути SYSVOL, указанный в пользовательском интерфейсе мастера установки Active Directory. Этот родительский обычно является корневой диск. Если изменить разрешения файловой системы NTFS в корневом каталоге диска перед запуском мастера установки Active Directory соединения наследовать только измененные разрешения.

    Если эти разрешения позволяют только администраторы имеют доступ к соединения, обычные пользователи могут открывать файлы политики.
  2. Изменение прав пользователей и удалено право пользователя Обход перекрестной проверкидля не являющихся администраторами. Путь из общей папки SYSVOL, работу с файлами политики будут удалены также разрешения на чтение прав администратора на одну из папок. Типичные примеры бы % SystemRoot%\Sysvol\Domain. Разрешения на чтение или права пользователя Обход перекрестной проверкинеобходим доступ к файлам политики.
Дополнительная информация
Служба репликации файлов (FRS) и объект групповой политики (GPO) не влияет на при измененных разрешений NTFS, наследуются от корневого диска.

СЛУЖБА FRS

Winnt\Sysvol\Staging areas\Mydomain.com используется только службой FRS. Использование службы репликации файлов Программа NTBackup работать и не требуется не явных разрешений на доступ к необходимым папкам.

ОБЪЕКТ ГРУППОВОЙ ПОЛИТИКИ

Унаследованные разрешения NTFS на %SystemRoot%\Sysvol\Sysvol\Mydomain.com не влияет на способ применения объекта групповой Политики. После файл библиотеки динамической компоновки (DLL) подключается к SYSVOL групповой политики на клиентском компьютере использует библиотеку DLL групповой политики Создание SMB NT соответствие Mydomain.com\Policies\ИДЕНТИФИКАТОР GUID (где ИДЕНТИФИКАТОР GUID — это глобально уникальный идентификатор [GUID]) читать соответствующий параметр из идентификатора GUID папки. Так как Обход перекрестной проверки политика пройти все подпапки явно, она разрешает доступ к целевой папке (по умолчанию этот параметр политики включен; Корпорация Майкрософт рекомендует использовать этот параметр политики). Таким образом наследуемые разрешения NTFS на Winnt\Sysvol\Sysvol\Mydomain.com не оказывают влияния на объект групповой Политики.

Доступ К общим ресурсам службы входа в сеть

%SystemRoot%\Sysvol\Sysvol\Mydomain.comунаследованные разрешения NTFS не влияет на папке \scripts. Параметры совпадают с параметрами установки по умолчанию. Можно получить доступ к общей папке NETLOGON.

Разрешения по умолчанию

По умолчанию для соединения задаются следующие разрешения NTFS. Корпорация Майкрософт рекомендует использовать эти параметры.
  • Домен\Администраторы: Полный доступ
  • Система: Полный доступ
  • Домен\Пользователи: Правка & чтение, чтение
Репликация NTFRS наследование разрешений NTFS объекта групповой Политики

Внимание! Эта статья переведена автоматически

Свойства

Номер статьи: 319808 — последний просмотр: 09/11/2011 17:33:00 — редакция: 5.0

операционная система Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

  • kbprb kbmt KB319808 KbMtru
Отзывы и предложения
;did=1&t=">