Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Giao lộ SYSVOL thừa hưởng NTFS permissions từ ổ đĩa gốc

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:319808
TRIỆU CHỨNG
Bạn có một tên miền Active Directory mà trong đó các thành viên tên miền đang áp dụng chính sách nhóm. Khi bạn kiểm tra Nhật ký sự kiện của các thành viên miền, bạn có thể xem các sự kiện cho thấy rằng có những vấn đề áp dụng chính sách nhóm. Các lỗi đăng nhập là như sau:

ID sự kiện: 1058
Thể loại: Không có
Nguồn: Userenv
Loại: Lỗi
Thông báo: Windows không thể truy nhập tệp cho GPO cn gpt.ini = {31B2F340-016D-11D2-945F-00C04FB984F9}, cn = chính sách, cn = hệ thống, DC = contoso, DC = com. Tệp phải có mặt ở vị trí <\\contoso.com\sysvol\contoso.com\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\gpt.ini>. (Truy cập bị từ chối). Xử lý chính sách nhóm bỏ dở.</\\contoso.com\sysvol\contoso.com\policies\{31b2f340-016d-11d2-945f-00c04fb984f9}\gpt.ini>

ID sự kiện: 1030
Thể loại: Không có
Nguồn: Userenv
Loại: Lỗi
Thông báo: Windows không thể truy vấn danh sách đối tượng chính sách nhóm. Kiểm tra sổ ký sự để có thể thông báo trước đó đã đăng nhập bằng các công cụ chính sách mô tả lý do cho việc này.

Cho userenv.log:
USERENV(2A0.570) 11:29:29:456 ProcessGPO: tìm thấy đường dẫn hệ thống tệp của:<\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}></\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}>
USERENV(2A0.570) 11:29:29:471 ProcessGPO: không thể tìm thấy tập tin mẫu chính sách nhóm <\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}\gpt.ini>, lỗi = 0x5.</\\contoso.com\sysvol\contoso.com\policies\{5388a065-90dd-4ae7-b462-df948a659d4e}\gpt.ini>

Một Nhật ký procmon của một Cập Nhật chính sách trên Windows XP và Windows Server 2003:
Winlogon.exe 672 CreateFile \\dc1.contoso.com\SysVol\contoso.com\Policies\{5388A065-90DD-4AE7-B462-DF948A659D4E}\gpt.ini truy cập từ chối mong muốn truy cập: đọc thuộc tính, bố trí: mở, tùy chọn: mở Reparse Point, thuộc tính: n/a, ShareMode: đọc, viết, xóa...

Windows Vista và phiên bản mới nhất:
svchost.exe 672 CreateFile \\dc1.contoso.com\SysVol\contoso.com\Policies\{5388A065-90DD-4AE7-B462-DF948A659D4E}\gpt.ini truy cập từ chối mong muốn truy cập: đọc thuộc tính, bố trí: mở, tùy chọn: mở Reparse Point, thuộc tính: n/a, ShareMode: đọc, viết, xóa...

Khi bạn xác minh quyền truy cập vào GPT.ĐÂY hoặc vào thư mục chính sách, họ có vẻ là tốt. Ví dụ, bạn thấy rằng "Xác thực người dùng" có quyền truy cập đọc.
NGUYÊN NHÂN
Các khách hàng những người truy cập vào các tập tin chính sách trên SYSVOL phải vượt qua kiểm tra an ninh khác nhau. Đây là như sau:
  • Phiên bản quyền của mạng đăng nhập người dùng
  • Truy nhập chia sẻ SYSVOL
  • Quyền truy cập vào tất cả các thư mục trong đường dẫn cặp
  • Thay thế, các Bỏ qua đi qua kiểm tra người sử dụng quyền
  • Quyền đọc tất cả các nút gặp phải trong đường dẫn cặp
Cho mục cuối cùng trong danh sách này, người sử dụng cần thiết quyền truy cập vào cả hai giao lộ và vào thư mục đích giao lộ.
GIẢI PHÁP
Có rất nhiều nguyên nhân, và tất cả những nguyên nhân có liên quan đến thiếu quyền hoặc quyền của người dùng. Ngay sau khi nguyên nhân được xác định, nghị quyết là rõ ràng. Ví dụ hai lỗi sau đây không phải là như vậy rõ ràng, và các ví dụ bao gồm độ phân giải:
  1. Nếu bạn chạy thuật sĩ cài đặt thư mục hoạt động (Dcpromo.exe), bạn có thể chỉ định một ổ đĩa khác nhau và một con đường khác nhau cho thư mục SYSVOL. Quá trình thuật sĩ cài đặt Active Directory bộ cấp phép hệ thống tệp NTFS đặc biệt trên SYSVOL và cặp con của nó ngoại trừ điểm giao lộ hai sau đây:
    • %SystemRoot%\Sysvol\Sysvol\contoso.com
      Mục tiêu giao lộ là % SystemRoot%\Sysvol\Domain.
    • %SystemRoot%\Sysvol\Staging areas\contoso.com
      Mục tiêu giao lộ là % SystemRoot%\Sysvol\Staging.

    Cả hai các nút kế thừa các quyền NTFS từ cha SYSVOL đường dẫn đã chỉ định trong giao diện người dùng thuật sĩ cài đặt Active Directory. Phụ huynh này thường là ổ đĩa gốc. Nếu bạn thay đổi quyền NTFS vào ổ đĩa trước khi bạn chạy thuật sĩ cài đặt Active Directory gốc, là các nút chỉ kế thừa sự cho phép thay đổi.

    Nếu các cấp phép chỉ cho phép người quản trị có quyền truy cập vào giao lộ, người dùng thường xuyên không còn có thể truy nhập tệp chính sách.
  2. Bạn có thay đổi quyền của người dùng và gỡ bỏ quyền người dùng Bỏ qua đi qua kiểm trakhông-người quản trị. Trong con đường từ chia sẻ SYSVOL xuống đến các tập tin chính sách, bạn cũng đã gỡ bỏ đọc quyền cho không quản trị trên một trong các thư mục. Một trong những ví dụ phổ biến sẽ là % SystemRoot%\Sysvol\Domain. Hoặc đọc quyền hoặc người sử dụng quyền Bỏ qua đi qua kiểm tralà cần thiết để truy nhập tệp chính sách.
THÔNG TIN THÊM
Dịch vụ sao nhân bản tệp (FRS) và đối tượng Group Policy (GPO) không bị ảnh hưởng nếu NTFS thay đổi cấp phép được thừa kế từ ổ đĩa gốc.

FRS

Winnt\Sysvol\Staging areas\Mydomain.com được sử dụng bởi FRS. FRS sử dụng các NTBackup chức năng và không không cần thiết quyền rõ ràng để truy nhập thư mục cần thiết.

GPO

Cấp phép được thừa kế NTFS trên %SystemRoot%\Sysvol\Sysvol\Mydomain.com không ảnh hưởng như thế nào một GPO được áp dụng. Sau khi máy tính khách hàng chính sách nhóm tập tin thư viện liên kết động (DLL) kết nối đến SYSVOL, nhóm chính sách DLL sử dụng SMB NT tạo chống lại Mydomain.com\Policies\GUID (nơi GUID là mã định danh duy nhất toàn cầu [GUID]) để đọc các thiết lập chính sách thích hợp từ thư mục GUID. Bởi vì các bỏ qua đi qua kiểm tra thiết lập chính sách không bước qua tất cả các cặp con một cách rõ ràng, nó cho phép truy cập vào thư mục đích (theo mặc định, thiết lập chính sách này được bật; Microsoft khuyến cáo bạn sử dụng thiết đặt chính sách này). Vì vậy, các quyền NTFS được thừa kế trên Winnt\Sysvol\Sysvol\Mydomain.com không có hiệu lực vào GPO.

NETLOGON chia sẻ quyền truy cập

%SystemRoot%\Sysvol\Sysvol\Mydomain.com\scripts thư mục không bị ảnh hưởng bởi các cấp phép được thừa kế NTFS. Các thiết lập là giống như các thiết lập của một cài đặt mặc định. Chia sẻ NETLOGON có thể được truy cập.

Cấp phép mặc định

Theo mặc định, cấp phép NTFS sau đây được đặt trên các nút. Microsoft khuyến cáo bạn sử dụng các thiết đặt này.
  • Miền\Quản trị viên: Họ và kiểm soát
  • Hệ thống: Kiểm soát đầy đủ
  • Miền\Users: đọc & Edit, đọc
NTFRS sao chép NTFS quyền thừa kế GPO

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 319808 - Xem lại Lần cuối: 09/11/2011 23:36:00 - Bản sửa đổi: 3.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

  • kbprb kbmt KB319808 KbMtvi
Phản hồi