Групповые Политики (Group Policies) не реплицируются между контроллерами домена, что приводит к записи ошибок Event ID 1000, 1001 в Application Event Log Windows 2000 Server следующего вида:
Type: Error
Event ID: 1000
Source: Userenv
Category: None
User: NT AUTHORITYSYSTEM
Description: Windows cannot access the registry information at
\domainsysvoldomainPolicies{31B2F340-016D-11D2-945F-
00C04FB984F9}Machineregistry.pol with (5).
Type: Error
Event ID: 1001
Source: SceCli
Category: None
User: N/A
Description: Security policy cannot be propagated.
Cannot access the template.
Error code =3. \domainsysvoldomainPolicies
{31B2F340-016D-11D2-945F-00C04FB984F9}Machine
MicrosoftWindows NTSecEditGptTmpl.inf.
Type: Error
Event ID: 1000
Source: Userenv
Category: None
User: NT AUTHORITYSYSTEM
Description: The Group Policy client-side extension Security
was passed flags (17) and returned a failure status code of (3).
Эти ошибки могут происходить, если вы назначили неверные разрешения на папку %System Root%WinntSysvol или когда вы добавили неподходящие группы в Bypass Traverse Checking из User Rights Assignment.
Если ваш сервер оснащен несколькими сетевыми интерфейсами, начните решение вашей проблемы с шагов описанных в Примечании.
Установите разрешения безопасности папки. (Правый клик на соответствующей папке, выберите Properties, вкладка Security).
%SystemRoot%WinntSysvol:
Administrators:Full Control
Authenticated Users: Read, Read & Execute, and List Folder Contents
Creator Owner: Nothing selected
Server Operators: Read, Read & Execute, and List Folder Contents
System: Full Control
Снимите флажок: Allow inheritable permissions from parent to propagate to this object
- %SystemRoot%WinntSysvolSysvol:
Папка наследует все разрешения от родительской папки. - %SystemRoot%WinntSysvolSysvoldomain:
Папка наследует все разрешения от родительской папки. - %SystemRoot%WinntSysvolSysvoldomainPolicies:
Authenticated Users: Read, Read & Execute, and List Folder Contents
Creator Owner: Nothing selected
Server Operators: Read, Read & Execute, and List Folder Contents
System: Full Control
Снимите флажок: Allow inheritable permissions from parent to propagate to this object
to this object
- %SystemRoot%WinntSysvolSysvoldomainPolicies:
Поставьте флажок: Allow inheritable permissions from parent to propagate to this object
Откройте консоль Active Directory Users and Computers, разверните Active Directory Users and Computers, а затем domain name.
Правый клик Domain Controllers, выберите Properties.
На вкладке Group Policyщелкните по Default Group Policyи нажмите кнопку Edit.
Последовательно разверните: - Computer Configuration
- Windows Settings
- Security Settings
- Local Policiesto this object
Authenticated Users
Everyone
Administrators
Если нужные группы не присутствуют, добавьте их, нажав кнопку Add.
Наберите в командной строке:
secedit /refreshpolicy machine_policy /enforce
Примечание:Если вышеперечиленные шаги не решили вашу проблему, или если вы не можете открыть Global Policies, проверьте привязки (Bindings) на сервере и убедитесь, что внутренняя (internal) сетевая карта стоит первой в списке привязок. Чтобы проверить порядок привязок, проделайте следующие шаги:
Правый клик My Network Places, выберите Properties.
Откройте меню Advancedи выберите Advanced Settings.
В области Connectionsубедитесь, что внутренняя сетевая карта стоит первой. Если это не так, используйте стрелки, чтобы переместить ее вверх списка.
Перевод из статьи: Q290647из MS Knowledge Base.