13.02.2009 - 16:52 |#2
·YuraYuraYura66
Группа: Пользователи
Сообщений: 17
Группе «Администраторы домена» запрещен доступ к объекту групповой политики
Восстановите доступ к объекту групповой политики с помощью учетной записи, которая имеет необходимые разрешения. Если ни у одной из учетных записей нет таких разрешений, восстановите разрешения для учетной записи или для группы, которой было отказано в доступе к объекту групповой политики.
Воспользуйтесь средством DSACLS, входящим в состав средств поддержки для Windows 2000 и Windows Server 2003, чтобы удалить разрешения «Запретить доступ», назначенные группе «Администраторы домена». Чтобы воспользоваться этим средством, необходимо знать различающееся имя (также называемое DN) данного объекта групповой политики. С помощью средства ADSIEdit.msc из состава средств поддержки для Windows 2000 и Windows Server 2003 определите различающееся имя объекта групповой политики в Active Directory.
Для изменения разрешений выполните следующие действия.
1. Запустите ADSIEdit.msc или эмулятор PDC.
Примечание. Чтобы определить владельца роли хозяина операций эмуятора PDC, щелкните правой кнопкой мыши контроллер домена в оснастке «Пользователи и компьютеры Active Directory», выберите пункт Хозяева операций и перейдите на вкладку PDC.
2. В окне оснастки ADSIEdit выберите Domain NC и найдите следующий контейнер:
имя_домена container\CN=System\CN=Policies container
В правой области перечислены глобально уникальные идентификаторы (GUID) всех объектов групповой политики этого домена.
3. Найдите запрещенную политику и запишите различающееся имя нужного объекта, например:
cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com
Примечание. Запрещенная политика отображается со значком блокнота, все остальные политики отображаются со значком папки.
4. С помощью средства DSACLS удалите разрешения «Запретить доступ», назначенные группе «Администраторы домена». Используйте следующий синтаксис:
dsacls различающееся_имя /R "имя_домена\domain admins"
Например:
dsacls cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com /R "JLC\Domain Admins"
5. С помощью средства DSACLS и параметра /g предоставьте группе «Администраторы домена» права доступа к объекту групповой политики. Используйте следующий синтаксис:
dsacls различающееся_имя /G "имя_домена\domain admins":GA
6. В эмуляторе PDC откройте проводник Windows и найдите папку Winnt\Sysvol\Sysvol\имя_домена\Policies. В этой папке указан идентификатор GUID объекта политики, доступ к которому запрещен.
7. Правой кнопкой мыши щелкните нужный идентификатор GUID, выберите пункт Свойства, перейдите на вкладку Безопасность и предоставьте группе «Администраторы домена» разрешение «Полный доступ».
8. Проверьте вложенные папки этого объекта групповой политики и убедитесь, что администраторы домена имеют доступ к этим папкам.
После выполнения этих действий, войдя в систему с помощью учетной записи администратора домена, можно открывать соответствующий объект групповой политики и редактировать его.