當您執行 GPMC 時,「sysvol 資料夾中此 GPO 的許可權與 Active Directory 中的許可權不一致」訊息

本文提供協助,修正當您執行「群組原則管理主控台 (GPMC) 時發生的錯誤。

原始產品版本:  Windows Server 2012 R2
原始 KB 編號:  828760

徵狀

當您在 Microsoft Windows Server 網域中執行 GPMC,然後按一下 [ 預設網域原則 ] 或 [ 預設網域控制站原則] 時,會收到下列其中一則訊息:

  • 如果您有許可權修改群組原則物件 (Gpo) 的安全性,您會收到下列訊息:

    Sysvol 資料夾中此 GPO 的許可權與 Active Directory 中的許可權不一致。 建議這些許可權一致。 若要將 SYSVOL 中的許可權變更為 Active Directory 中的許可權,請按一下 [確定]。

  • 如果您沒有在 [群組原則物件] 上修改安全性的許可權 (Gpo) ,您會收到下列訊息:

    Sysvol 資料夾中此 GPO 的許可權與 Active Directory 中的許可權不一致。 建議這些許可權一致。 請與有權修改此 GPO 之安全性的系統管理員聯繫。

原因

發生此問題的原因是,「群組原則」物件之 Sysvol 部分 (ACL) 的存取控制清單已設定為繼承來自上層資料夾的許可權。

狀態

Microsoft 已確認這是本文「適用于」一節所列的 Microsoft 產品中的問題。

因應措施

如果您有許可權修改預設 Gpo 的安全性,請按一下 [確定] 以回應「徵兆」一節中所述的訊息。 此動作會修改群組原則物件之 Sysvol 部分上的 ACLs,並使其與 Active Directory 元件上的 ACLs 一致。 在此情況下,群組原則會移除 Sysvol 資料夾中的繼承性屬性

詳細資訊

每個群組原則物件 (GPO) 會儲存在網域控制站上的 Sysvol 資料夾中,而且部分會儲存在 Active Directory 目錄服務中。 GPMC、群組原則物件編輯器,以及 Active Directory 管理單元中提供的舊群組原則使用者介面,並以單一單位管理 GPO。 例如,當您在 GPMC 中設定 GPO 的許可權時,GPMC 會設定 Active Directory 和 Sysvol 資料夾中物件的許可權。 針對每個 GPO,Active Directory 中的許可權必須與 Sysvol 資料夾中的許可權一致。 在 GPMC 和群組原則物件編輯器之外,您必須變更這些不同的物件。 如果您這麼做,可能會造成用戶端上的「群組原則」處理失敗,或一般具有存取權的某些使用者可能不再能夠編輯 GPO。

此外,因為檔案系統物件與目錄服務物件是不同類型的物件,所以沒有相同的可用許可權。 當權限不符時,可能不會輕易使其保持一致。 為了協助您確定 Active Directory 的安全性和 GPO 的 Sysvol 元件是否一致,當您按一下 GPMC 中的 GPO 時,GPMC 會自動檢查任何 GPO 的許可權一致性。 如果 GPMC 偵測到 GPO 的問題,您會收到「徵兆」一節中所述的其中一個訊息,視您是否有權修改該 GPO 的安全性而定。