Komunikat "Uprawnienia dla tego obiektu zasad grupy w folderze sysvol są niespójne z uprawnieniami w usłudze Active Directory" podczas uruchamiania kontrolera zasad grupy
Ten artykuł zawiera pomoc w usuwaniu błędów występujących podczas uruchamiania konsoli zarządzania zasady grupy (GPMC).
Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 828760
Symptomy
Po uruchomieniu kontrolera zasad grupy w domenie systemu Microsoft Windows Server, a następnie kliknij domyślne zasady domeny lub domyślne zasady kontrolerów domeny, otrzymasz jeden z następujących komunikatów:
Jeśli masz uprawnienia do modyfikowania zabezpieczeń obiektów zasady grupy (GPO), zostanie wyświetlony następujący komunikat:
Uprawnienia tego obiektu zasad grupy w folderze sysvol są niezgodne z uprawnieniami w usłudze Active Directory. Zalecane jest, aby te uprawnienia były spójne. Aby zmienić uprawnienia w usłudze SYSVOL na te w usłudze Active Directory, kliknij przycisk OK
Jeśli nie masz uprawnień do modyfikowania zabezpieczeń obiektów zasady grupy (GPO), zostanie wyświetlony następujący komunikat:
Uprawnienia tego obiektu zasad grupy w folderze sysvol są niezgodne z uprawnieniami w usłudze Active Directory. Zalecane jest, aby te uprawnienia były spójne. Skontaktuj się z administratorem, który ma uprawnienia do modyfikowania zabezpieczeń tego obiektu zasad grupy.
Przyczyna
Ten problem występuje, ponieważ lista kontroli dostępu (ACL) w części Sysvol obiektu zasady grupy jest ustawiona na dziedziczenie uprawnień z folderu nadrzędnego.
Stan
Firma Microsoft potwierdziła, że jest to problem w produktach firmy Microsoft wymienionych w sekcji "Dotyczy" tego artykułu.
Obejście problemu
Jeśli masz uprawnienia do modyfikowania zabezpieczeń domyślnych obiektów zasad grupy, kliknij przycisk OK w odpowiedzi na komunikat opisany w sekcji "Objawy". Ta akcja modyfikuje listy ACL w części Sysvol obiektu zasady grupy i sprawia, że są one spójne z listami ACL w składniku usługi Active Directory. W takim przypadku zasady grupy usunie atrybut dziedziczenia w folderze Sysvol
Więcej informacji
Każdy obiekt zasady grupy (GPO) jest przechowywany częściowo w folderze Sysvol na kontrolerze domeny, a częściowo w usłudze katalogowej Active Directory. Kontroler zasad grupy, zasady grupy object Redaktor i stary interfejs użytkownika zasady grupy, który jest udostępniany w przystawkach usługi Active Directory, oraz zarządzanie obiektem zasad grupy jako pojedynczą jednostką. Na przykład po ustawieniu uprawnień dla obiektu zasad grupy w kontrolerze zasad grupy kontroler zasad grupy ustawia uprawnienia do obiektów zarówno w usłudze Active Directory, jak i w folderze Sysvol. Dla każdego obiektu zasad grupy uprawnienia w usłudze Active Directory muszą być zgodne z uprawnieniami w folderze Sysvol. Nie można zmieniać tych oddzielnych obiektów poza kontrolerem zasad grupy i zasady grupy Redaktor obiektu. W takim przypadku może to spowodować niepowodzenie przetwarzania zasady grupy na kliencie lub niektórych użytkowników, którzy zazwyczaj mają dostęp, mogą nie być już w stanie edytować obiektu zasad grupy.
Ponadto obiekty systemu plików i obiekty usługi katalogowej nie mają tych samych dostępnych uprawnień, ponieważ są to różne typy obiektów. Niezgodność uprawnień może nie być łatwa do urzekania. Aby upewnić się, że zabezpieczenia usługi Active Directory i składników Sysvol obiektu zasad grupy są spójne, kontroler zasad grupy automatycznie sprawdza spójność uprawnień dowolnego obiektu zasad grupy po kliknięciu obiektu zasad grupy w kontrolerze zasad grupy. Jeśli kontroler zasad grupy wykryje problem z obiektem zasad grupy, otrzymasz jeden z komunikatów opisanych w sekcji "Objawy", w zależności od tego, czy masz uprawnienia do modyfikowania zabezpieczeń tego obiektu zasad grupy.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla