Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce una risoluzione del problema per cui gli eventi 1101 e 1030 vengono registrati nel log applicazioni quando si applicano Criteri di gruppo.
Numero KB originale: 909260
Sintomi
In un computer che esegue Microsoft Windows XP o versione successiva, è possibile che si verifichino le voci di evento Error seguenti nel registro applicazioni: se si abilita l'ambiente utente o la registrazione del debug GPSVC, vengono registrate le voci seguenti:
ProcessGPOs: Nome utente è: UserOrComputerDN , Nome di dominio è: DomainName
ProcessGPOs: Il controller di dominio è: \\ dominio FQDN dc è DomainName
...
EvaluateDeferredOUs: Impossibile accedere a Object OUName
GetGPOInfo: EvaluateDeferredOUs non riuscito. Uscita
Note
In queste voci OUName è l'unità organizzativa padre dell'account utente o di un oggetto computer.
Causa
Questo problema si verifica perché il motore Criteri di gruppo in Windows XP Professional e versioni successive non dispone delle autorizzazioni di lettura per gli attributi seguenti delle unità organizzative padre:
- distinguishedNanme (usato nel filtro di ricerca)
- gPLink (richiesto come dati)
- gPOptions (richiesto come dati)
Se il motore Criteri di gruppo non dispone di queste autorizzazioni, il motore Criteri di gruppo non può applicare le impostazioni di Criteri di gruppo.
In Microsoft Windows 2000 Server gli eventi descritti nella sezione "Sintomi" non vengono registrati. Il motore Criteri di gruppo in Windows 2000 Server ignora quindi le impostazioni di Criteri di gruppo collegate all'unità organizzativa. Windows XP è stato modificato per non ignorare questo errore.
Per impostazione predefinita, l'accesso a tutte le unità organizzative viene concesso in base a una voce di controllo di accesso nel descrittore di sicurezza predefinito. Questo descrittore di sicurezza fa parte dello schema che consente al gruppo Utenti autenticati di leggere tutte le proprietà.
Risoluzione
Per risolvere questo problema, concedere autorizzazioni sufficienti per accedere alle unità organizzative padre a tutti gli account utente e a tutti i computer che applicano le impostazioni di Criteri di gruppo tramite le unità organizzative.
Per concedere le autorizzazioni per l'attributo "distinguishedName" tramite L'editor ACL è necessario modificare la visibilità dell'attributo in DSSEC. DAT nella sezione "[organizationalUnit]". È necessario modificare la riga "distinguishedname=7" in "distinguishedname=0".
Quando si riavvia l'applicazione che mostra l'editor ACL, l'attributo deve essere visibile.
Raccolta dei dati
Se è necessaria assistenza dal supporto tecnico Microsoft, è consigliabile raccogliere le informazioni seguendo i passaggi indicati in Raccogliere informazioni usando TSS per i problemi di Criteri di gruppo.