Freigeben über

Meldung "Berechtigungen für dieses Gruppenrichtlinienobjekt im SYSVOL-Ordner sind mit denen in Active Directory inkonsistent", wenn Sie GPMC ausführen

Dieser Artikel enthält eine Lösung für ein Berechtigungsproblem, das auftritt, wenn Sie die Gruppenrichtlinien-Verwaltungskonsole in einer Windows Server-Domäne ausführen.

Gilt für: Windows Server (alle unterstützten Versionen)
Ursprüngliche KB-Nummer: 2838154

Symptome

Wenn Sie die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) ausführen und dann eine Gruppenrichtlinie auswählen, erhalten Sie eine der folgenden Meldungen:

  • Die Berechtigungen für dieses Gruppenrichtlinienobjekt im SYSVOL-Ordner sind mit denen in Active Directory inkonsistent. Es wird empfohlen, dass diese Berechtigungen konsistent sind. Klicken Sie auf 'OK', um die Berechtigungen in SYSVOL in active Directory zu ändern.

    Sie erhalten diese Meldung, wenn Sie über die Berechtigungen zum Ändern der Sicherheit für gruppenrichtlinienobjekte (Group Policy Objects, GPOs) verfügen.

  • Die Berechtigungen für dieses Gruppenrichtlinienobjekt im SYSVOL-Ordner sind mit denen in Active Directory inkonsistent. Es wird empfohlen, dass diese Berechtigungen konsistent sind. Wenden Sie sich an einen Administrator, der über Berechtigungen zum Ändern der Sicherheit für dieses Gruppenrichtlinienobjekt verfügt.

    Sie erhalten diese Meldung, wenn Sie nicht über die Berechtigungen zum Ändern der Sicherheit für gruppenrichtlinienobjekte (Group Policy Objects, GPOs) verfügen.

Ursache

Dieses Problem kann aus einem der folgenden Gründe auftreten:

  • Die Zugriffssteuerungsliste (Access Control List, ACL) im Sysvol-Teil des Gruppenrichtlinienobjekts wird so festgelegt, dass Berechtigungen vom übergeordneten Ordner geerbt werden.
  • Manuelle Änderungen an den Berechtigungen für SysVol können zu einem Konflikt zwischen den Richtlinienberechtigungen in Active Directory und SysVol führen.

Lösung

Wenn Sie über Berechtigungen zum Ändern der Sicherheit für die Standard-GPOs verfügen, wählen Sie "OK" als Reaktion auf die Im Abschnitt "Symptome" erwähnte Nachricht aus. Diese Aktion ändert die ACLs im Sysvol-Teil des Gruppenrichtlinienobjekts und macht sie konsistent mit den ACLs in der Active Directory-Komponente. In diesem Fall entfernt Die Gruppenrichtlinie das Vererbungsattribut im Sysvol-Ordner, wenn das Attribut vorhanden ist.

Wenn Sie die Nachricht weiterhin erhalten, überprüfen Sie, ob Berechtigungen für die Gruppe authentifizierte Benutzer festgelegt sind, und korrigieren Sie bei Bedarf die Berechtigungen. Eine problematische Einstellung ist, wenn Konten über die Berechtigung "Listenobjekt " in Active Directory verfügen. Diese Berechtigung ist keiner Dateisystemberechtigung zugeordnet. Nachfolgend finden Sie eine Beispielkonfiguration für authentifizierte Benutzer:

Authentifizierte Benutzerberechtigungen.

Erweiterte Berechtigungen:

Authentifizierte Benutzer haben einen Listenobjektzugriff.

Notiz

Denken Sie daran, Leseberechtigungen gemäß MS16-072 festzulegen und anzuwenden: Beschreibung des Sicherheitsupdates für Gruppenrichtlinien: 14. Juni 2016 – Microsoft-Support.

Wenn dies zutrifft, führen Sie eine der folgenden Aktionen aus:

  1. Wählen Sie "Standardwerte wiederherstellen" aus, um die Berechtigungen auf Standardwerte zurückzusetzen.
  2. Entfernen Sie die Gruppe, die über die Berechtigung "List-Objekt " verfügt, aus Active Directory-Berechtigungen.
  3. Ersetzen Sie ggf. den Eintrag für das Konto, z . B. authentifizierte Benutzer, durch einen Zugriffssteuerungseintrag (Access Control Entry, ACE), der lese- und ggf. Gruppenrichtlinienberechtigungen gewährt. Geben Sie das Konto auf der Registerkarte "Bereich " in GPMC.msc an:

Screenshot der Standardmäßigen Domänencontrollerrichtlinie.

Sie können dies auch in den erweiterten Berechtigungen tun:

Der Screenshot der erweiterten Berechtigungen.