이 문서에서는 그룹 정책을 적용할 때 이벤트 1101 및 1030이 애플리케이션 로그에 기록되는 문제에 대한 해결을 제공합니다.
원래 KB 번호: 909260
증상
Microsoft Windows XP 이상을 실행하는 컴퓨터에서 애플리케이션 로그에 다음과 같은 오류 이벤트 항목이 발생할 수 있습니다. 사용자 환경 또는 GPSVC 디버그 로깅을 사용하도록 설정하면 다음 항목이 기록됩니다.
ProcessGOS: 사용자 이름은 UserOrComputerDN, 도메인 이름은 DomainName입니다.
ProcessGOS: 도메인 컨트롤러: \\ DC FQDN 도메인 DN은 DomainName
...
EvaluateDeferredOUs: 개체 OUName에 액세스할 수 없습니다.
GetGPOInfo: EvaluateDeferredOUs가 실패했습니다. 종료
참고 항목
이러한 항목 에서 OUName 은 사용자 계정 또는 컴퓨터 개체의 부모 OU(조직 구성 단위)입니다.
원인
이 문제는 Windows XP Professional 및 최신 버전의 그룹 정책 엔진에 부모 OU의 다음 특성에 대한 읽기 권한이 없기 때문에 발생합니다.
- distinguishedNanme(검색 필터에 사용됨)
- gPLink(데이터로 요청됨)
- gPOptions(데이터로 요청됨)
그룹 정책 엔진에 이러한 권한이 없는 경우 그룹 정책 엔진 그룹 정책 설정을 적용할 수 없습니다.
Microsoft Windows 2000 Server에서는 "증상" 섹션에 설명된 이벤트가 기록되지 않습니다. Windows 2000 Server의 그룹 정책 엔진은 OU에 연결된 그룹 정책 설정을 무시합니다. 이 오류를 무시하지 않도록 Windows XP가 변경되었습니다.
기본적으로 모든 OU에 대한 액세스 권한은 기본 보안 설명자의 액세스 제어 항목에 따라 부여됩니다. 이 보안 설명자는 인증된 사용자 그룹이 모든 속성을 읽을 수 있도록 하는 스키마의 일부입니다.
해결
이 문제를 해결하려면 모든 사용자 계정 및 OU를 통해 그룹 정책 설정을 적용하는 모든 컴퓨터에 부모 OU에 액세스할 수 있는 충분한 권한을 부여합니다.
ACL 편집기를 통해 "distinguishedName" 특성에 대한 권한을 부여하려면 DSSEC에서 특성 표시 유형을 변경해야 합니다. "[organizationalUnit]" 섹션의 DAT입니다. "distinguishedname=7" 줄을 "distinguishedname=0"으로 변경해야 합니다.
그런 다음 ACL 편집기를 보여 주는 애플리케이션을 다시 시작하면 특성이 표시됩니다.
데이터 수집
Microsoft 지원의 도움이 필요한 경우 그룹 정책 문제에 대해 TSS를 사용하여 정보 수집에 언급된 단계에 따라 정보를 수집하는 것이 좋습니다.