|
|
Event ID 1000, 1001 каждые 5 минут записываются в Application Event Log
Групповые Политики (Group Policies) не реплицируются между контроллерами домена, что приводит к записи ошибок Event ID 1000, 1001 в Application Event Log Windows 2000 Server следующего вида:
Type: Error
Event ID: 1000
Source: Userenv
Category: None
User: NT AUTHORITY\SYSTEM
Description: Windows cannot access the registry information at
\\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-
00C04FB984F9}\Machine\registry.pol with (5).
Type: Error
Event ID: 1001
Source: SceCli
Category: None
User: N/A
Description: Security policy cannot be propagated.
Cannot access the template.
Error code =3. \\domain\sysvol\domain\Policies\
{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\
Microsoft\Windows NT\SecEdit\GptTmpl.inf.
Type: Error
Event ID: 1000
Source: Userenv
Category: None
User: NT AUTHORITY\SYSTEM
Description: The Group Policy client-side extension Security
was passed flags (17) and returned a failure status code of (3).
Эти ошибки могут происходить, если вы назначили неверные разрешения на
папку %System Root%\Winnt\Sysvol или когда вы добавили неподходящие группы
в Bypass Traverse Checking из User Rights Assignment.
Если ваш сервер оснащен несколькими сетевыми интерфейсами, начните решение
вашей проблемы с шагов описанных в Примечании.
- Установите разрешения безопасности папки. (Правый клик на соответствующей
папке, выберите Properties, вкладка Security).
%SystemRoot%\Winnt\Sysvol:
Administrators: Full Control
Authenticated Users: Read, Read & Execute, and List Folder Contents
Creator Owner: Nothing selected
Server Operators: Read, Read & Execute, and List Folder Contents
System: Full Control
Снимите флажок: Allow inheritable permissions from parent to propagate
to this object
• %SystemRoot%\Winnt\Sysvol\Sysvol:
Папка наследует все разрешения от родительской папки.
• %SystemRoot%\Winnt\Sysvol\Sysvol\domain:
Папка наследует все разрешения от родительской папки.
• %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies:
Administrators: Full Control
Authenticated Users: Read, Read & Execute, and List Folder Contents
Creator Owner: Nothing selected
Server Operators: Read, Read & Execute, and List Folder Contents
System: Full Control
Снимите флажок: Allow inheritable permissions from parent to propagate
to this object
• %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies:
Поставьте флажок: Allow inheritable permissions from parent to propagate
to this object
- Откройте консоль Active Directory Users and Computers, разверните
Active Directory Users and Computers, а затем domain name.
- Правый клик Domain Controllers, выберите Properties.
- На вкладке Group Policy щелкните по Default Group Policy
и нажмите кнопку Edit.
- Последовательно разверните:
• Computer Configuration
• Windows Settings
• Security Settings
• Local Policies
- Выберите User Rights Assignment, двойной клик по Bypass
traverse checking. Должны присутствовать следующие настройки по
умолчанию:
Authenticated Users
Everyone
Administrators
Если нужные группы не присутствуют, добавьте их, нажав кнопку Add.
- Наберите в командной строке:
secedit /refreshpolicy machine_policy /enforce
Примечание: Если вышеперечиленные шаги не решили вашу проблему,
или если вы не можете открыть Global Policies, проверьте привязки
(Bindings) на сервере и убедитесь, что внутренняя (internal) сетевая карта
стоит первой в списке привязок. Чтобы проверить порядок привязок, проделайте
следующие шаги:
- Правый клик My Network Places, выберите Properties.
- Откройте меню Advanced и выберите Advanced Settings.
- В области Connections убедитесь, что внутренняя сетевая карта
стоит первой. Если это не так, используйте стрелки, чтобы переместить
ее вверх списка.
Для подготовки статьи были использованы следующие материалы:
- Статья Q290647
из MS Knowledge Base.
- Материалы форума
сайта Windows FAQ.
Сайт Windows 95/98/NT/2000/XP FAQ выражает благодарность Дмитрию
Захарову за подготовку статьи.
|
