Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung für das Problem, das Ereignisse 1101 und 1030 beim Anwenden von Gruppenrichtlinien im Anwendungsprotokoll protokolliert werden.
Ursprüngliche KB-Nummer: 909260
Symptome
Auf einem Computer, auf dem Microsoft Windows XP oder neuer ausgeführt wird, können die folgenden Fehlerereigniseinträge im Anwendungsprotokoll auftreten: Wenn Sie die Benutzerumgebung oder die GPSVC-Debugprotokollierung aktivieren, werden die folgenden Einträge protokolliert:
ProcessGPOs: Benutzername: UserOrComputerDN , Domänenname lautet: DomainName
ProcessGPOs: Domänencontroller lautet: \\ DC FQDN Domain DN is DomainName
...
EvaluateDeferredOUs: Auf Objekt-OUName kann nicht zugegriffen werden
GetGPOInfo: EvaluateDeferredOUs failed. Ausscheidend
Notiz
In diesen Einträgen ist OUName die übergeordnete Organisationseinheit (OU) des Benutzerkontos oder eines Computerobjekts.
Ursache
Dieses Problem tritt auf, da das Gruppenrichtlinienmodul in Windows XP Professional und neuer nicht über Leseberechtigungen für die folgenden Attribute der übergeordneten Organisationseinheiten verfügt:
- distinguishedNanme (im Suchfilter verwendet)
- gPLink (als Daten angefordert)
- gPOptions (als Daten angefordert)
Wenn das Gruppenrichtlinienmodul nicht über diese Berechtigungen verfügt, kann das Gruppenrichtlinienmodul keine Gruppenrichtlinieneinstellungen anwenden.
In Microsoft Windows 2000 Server werden die im Abschnitt "Symptome" beschriebenen Ereignisse nicht protokolliert. Das Gruppenrichtlinienmodul in Windows 2000 Server ignoriert dann die Gruppenrichtlinieneinstellungen, die mit der OE verknüpft sind. Windows XP wurde geändert, um diesen Fehler nicht zu ignorieren.
Standardmäßig wird der Zugriff auf alle OUs gemäß einem Zugriffssteuerungseintrag im Standardsicherheitsdeskriptor gewährt. Dieser Sicherheitsdeskriptor ist Teil des Schemas, mit dem die Gruppe authentifizierte Benutzer alle Eigenschaften lesen kann.
Lösung
Um dieses Problem zu beheben, erteilen Sie ausreichende Berechtigungen für den Zugriff auf die übergeordneten Organisationseinheiten für alle Benutzerkonten und für alle Computer, auf denen Gruppenrichtlinieneinstellungen über die OUs angewendet werden.
Das Erteilen von Berechtigungen für das Attribut "distinguishedName" über den ACL-Editor erfordert, dass Sie die Attributsichtbarkeit in DSSEC ändern. DAT im Abschnitt "[organizationalUnit]" Sie müssen die Zeile "distinguishedname=7" in "distinguishedname=0" ändern.
Wenn Sie die Anwendung dann mit dem ACL-Editor neu starten, sollte das Attribut sichtbar sein.
Datensammlung
Wenn Sie Unterstützung vom Microsoft-Support benötigen, empfehlen wir Ihnen, die Informationen zu sammeln, indem Sie die unter " Sammeln von Informationen" genannten Schritte unter Verwendung von TSS für Gruppenrichtlinienprobleme ausführen.