Los eventos 1101 y 1030 se registran en el registro de aplicaciones al aplicar la directiva de grupo

En este artículo se proporciona una resolución para el problema de que los eventos 1101 y 1030 se registran en el registro de aplicaciones al aplicar la directiva de grupo.

Número de KB original: 909260

Síntomas

En un equipo que ejecuta Microsoft Windows XP o versiones posteriores, puede experimentar las siguientes entradas del evento Error en el registro de aplicaciones: Si habilita el entorno de usuario o el registro de depuración de GPSVC, se registran las siguientes entradas:

ProcessGPOs: Nombre de usuario es: UserOrComputerDN , Nombre de dominio es: DomainName
ProcessGPOs: el controlador de dominio es: \\ FQDN dominio DN es DomainName
...
EvaluateDeferredOUs: no se puede tener acceso a Object OUName
GetGPOInfo: Error de EvaluateDeferredOUs. Fin del empleo

Nota:

En estas entradas, OUName es la unidad organizativa principal (OU) de la cuenta de usuario o de un objeto de equipo.

Causa

Este problema se produce porque el motor de directivas de grupo de Windows XP Professional y versiones más recientes no tiene permisos de lectura para los siguientes atributos de las UNIDADES organizativas primarias:

• distinguishedNanme (usado en el filtro de búsqueda)
• gPLink (solicitado como datos)
• gPOptions (solicitado como datos)

Si el motor de directivas de grupo no tiene estos permisos, el motor de directivas de grupo no puede aplicar la configuración de directiva de grupo.

En Microsoft Windows 2000 Server, los eventos que se describen en la sección "Síntomas" no se registran. A continuación, el motor de directivas de grupo de Windows 2000 Server omite la configuración de directiva de grupo vinculada a la unidad organizativa. Windows XP se cambió para no omitir este error.

De forma predeterminada, se concede acceso a todas las unidades organizativas según una entrada de control de acceso en el descriptor de seguridad predeterminado. Este descriptor de seguridad forma parte del esquema que permite al grupo Usuarios autenticados leer todas las propiedades.

Solución

Para resolver este problema, conceda permisos suficientes para acceder a las unidades organizativas primarias a todas las cuentas de usuario y a todos los equipos que aplican la configuración de directiva de grupo a través de las UNIDADES organizativas.

La concesión de permisos en el atributo "distinguishedName" mediante el Editor de ACL requiere que cambie la visibilidad del atributo en DSSEC. DAT en la sección "[organizationalUnit]". Debe cambiar la línea "distinguishedname=7" a "distinguishedname=0".

Al reiniciar la aplicación que muestra el Editor de ACL, el atributo debe estar visible.

Recolección de datos

Si necesita ayuda del soporte técnico de Microsoft, se recomienda recopilar la información siguiendo los pasos mencionados en Recopilación de información mediante TSS para problemas de directiva de grupo.