當您執行 GPMC 時，「sysvol 資料夾中此 GPO 的許可權與 Active Directory 中的許可權不一致」訊息

本文提供修正當您在 GPMC) 執行 群組原則 Management Console (時所發生錯誤的協助。

適用：Windows Server 2012 R2
原始 KB 編號： 828760

徵狀

當您在 Microsoft Windows Server 網域中執行 GPMC，然後按兩下 [ 預設網域 原則] 或 [ 預設域控制器原則] 時，您會收到下列其中一則訊息：

• 如果您有許可權可修改 GPO) (群組原則 物件的安全性，您會收到下列訊息：

  sysvol 資料夾中此 GPO 的許可權與 Active Directory 中的許可權不一致。 建議您讓這些許可權保持一致。 若要將 SYSVOL 中的許可權變更為 Active Directory 中的許可權，請按兩下 [確定]

• 如果您沒有許可權可修改 GPO 群組原則) (物件的安全性，您會收到下列訊息：

  sysvol 資料夾中此 GPO 的許可權與 Active Directory 中的許可權不一致。 建議您讓這些許可權保持一致。 請連絡有權修改此 GPO 安全性的系統管理員。

原因

發生此問題的原因是，群組原則 物件 Sysvol 部分的訪問控制清單 (ACL) 設定為繼承父資料夾的許可權。

狀態

Microsoft 已確認這是本文一節中所列的 Microsoft 產品問題。

因應措施

如果您有許可權可修改預設 GPO 的安全性，請按兩下 [ 確定 ] 以回應「徵兆」一節中所述的訊息。 此動作會修改 群組原則 物件之 Sysvol 部分的 ACL，並使其與 Active Directory 元件上的 ACL 一致。 在此情況下，群組原則 會移除 Sysvol 資料夾中的繼承屬性

其他相關資訊

每個 群組原則 物件 (GPO) 會部分儲存在域控制器的 Sysvol 資料夾中，部分儲存在 Active Directory 目錄服務中。 GPMC、群組原則 Object 編輯器，以及 Active Directory 嵌入式管理單元中提供的舊 群組原則 使用者介面，以單一單位的形式呈現和管理 GPO。 例如，當您在 GPMC 中設定 GPO 的許可權時，GPMC 會設定 Active Directory 和 Sysvol 資料夾中物件的許可權。 針對每個 GPO，Active Directory 中的許可權必須與 Sysvol 資料夾中的許可權一致。 您不得在 GPMC 和 群組原則 Object 編輯器 之外變更這些個別的物件。 如果您這樣做，這可能會導致用戶端上的 群組原則 處理失敗，或某些通常具有存取權的使用者可能無法再編輯 GPO。

此外，檔案系統對象和目錄服務對象沒有相同的可用許可權，因為它們是不同類型的物件。 當許可權不相符時，讓許可權保持一致可能並不容易。 為了協助您確定 Active Directory 和 GPO Sysvol 元件的安全性是一致的，當您在 GPMC 中按兩下 GPO 時，GPMC 會自動檢查任何 GPO 許可權的一致性。 如果 GPMC 偵測到 GPO 有問題，您會收到「徵兆」一節中所述的其中一則訊息，視您是否有權修改該 GPO 上的安全性而定。