Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece uma resolução para o problema de que os eventos 1101 e 1030 são registrados no log do aplicativo ao aplicar a Diretiva de Grupo.
Número original do KB: 909260
Sintomas
Em um computador que esteja executando o Microsoft Windows XP ou mais recente, você poderá enfrentar as seguintes entradas de evento de erro no log do aplicativo: Se você habilitar o ambiente do usuário ou o log de depuração GPSVC, as seguintes entradas serão registradas:
ProcessGPOs: O nome de usuário é: UserOrComputerDN, o nome de domínio é: DomainName
ProcessGPOs: O controlador de domínio é: \\ O DN do domínio FQDN do DC é DomainName
...
EvaluateDeferredOUs: o objeto OUName não pode ser acessado
GetGPOInfo: Falha em EvaluateDeferredOUs. Saindo
Observação
Nessas entradas, OUName é a unidade organizacional (UO) pai da conta de usuário ou de um objeto de computador.
Motivo
Esse problema ocorre porque o mecanismo de Diretiva de Grupo no Windows XP Professional e mais recente não tem permissões de leitura para os seguintes atributos das UOs pai:
- distinguishedNanme (usado no filtro de pesquisa)
- gPLink (solicitado como dados)
- gPOptions (solicitadas como dados)
Se o mecanismo de Diretiva de Grupo não tiver essas permissões, o mecanismo de Diretiva de Grupo não poderá aplicar as configurações de Diretiva de Grupo.
No Microsoft Windows 2000 Server, os eventos descritos na seção "Sintomas" não são registrados. O mecanismo de Diretiva de Grupo no Windows 2000 Server ignora as configurações de Diretiva de Grupo vinculadas à UO. O Windows XP foi alterado para não ignorar esse erro.
Por padrão, o acesso a todas as UOs é concedido de acordo com uma entrada de controle de acesso no descritor de segurança padrão. Esse descritor de segurança faz parte do esquema que permite que o grupo Usuários Autenticados leia todas as propriedades.
Resolução
Para resolver esse problema, conceda permissões suficientes para acessar as UOs pai a todas as contas de usuário e a todos os computadores que aplicam as configurações de Diretiva de Grupo por meio das UOs.
A concessão de permissões no atributo "distinguishedName" por meio do Editor do ACL exige que você altere a visibilidade do atributo no DSSEC. DAT na seção "[organizationalUnit]". Você precisa alterar a linha "distinguishedname=7" para "distinguishedname=0".
Quando você reiniciar o aplicativo que mostra o Editor do ACL, o atributo deverá estar visível.
Coleta de dados
Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de Política de Grupo.