Compartilhar via


Os eventos 1101 e 1030 são registrados no log do aplicativo ao aplicar a Política de Grupo

Este artigo fornece uma resolução para o problema de que os eventos 1101 e 1030 são registrados no log do aplicativo ao aplicar a Diretiva de Grupo.

Número original do KB: 909260

Sintomas

Em um computador que esteja executando o Microsoft Windows XP ou mais recente, você poderá enfrentar as seguintes entradas de evento de erro no log do aplicativo: Se você habilitar o ambiente do usuário ou o log de depuração GPSVC, as seguintes entradas serão registradas:

ProcessGPOs: O nome de usuário é: UserOrComputerDN, o nome de domínio é: DomainName
ProcessGPOs: O controlador de domínio é: \\ O DN do domínio FQDN do DC é DomainName
...
EvaluateDeferredOUs: o objeto OUName não pode ser acessado
GetGPOInfo: Falha em EvaluateDeferredOUs. Saindo

Observação

Nessas entradas, OUName é a unidade organizacional (UO) pai da conta de usuário ou de um objeto de computador.

Motivo

Esse problema ocorre porque o mecanismo de Diretiva de Grupo no Windows XP Professional e mais recente não tem permissões de leitura para os seguintes atributos das UOs pai:

  • distinguishedNanme (usado no filtro de pesquisa)
  • gPLink (solicitado como dados)
  • gPOptions (solicitadas como dados)

Se o mecanismo de Diretiva de Grupo não tiver essas permissões, o mecanismo de Diretiva de Grupo não poderá aplicar as configurações de Diretiva de Grupo.

No Microsoft Windows 2000 Server, os eventos descritos na seção "Sintomas" não são registrados. O mecanismo de Diretiva de Grupo no Windows 2000 Server ignora as configurações de Diretiva de Grupo vinculadas à UO. O Windows XP foi alterado para não ignorar esse erro.

Por padrão, o acesso a todas as UOs é concedido de acordo com uma entrada de controle de acesso no descritor de segurança padrão. Esse descritor de segurança faz parte do esquema que permite que o grupo Usuários Autenticados leia todas as propriedades.

Resolução

Para resolver esse problema, conceda permissões suficientes para acessar as UOs pai a todas as contas de usuário e a todos os computadores que aplicam as configurações de Diretiva de Grupo por meio das UOs.

A concessão de permissões no atributo "distinguishedName" por meio do Editor do ACL exige que você altere a visibilidade do atributo no DSSEC. DAT na seção "[organizationalUnit]". Você precisa alterar a linha "distinguishedname=7" para "distinguishedname=0".

Quando você reiniciar o aplicativo que mostra o Editor do ACL, o atributo deverá estar visível.

Coleta de dados

Se você precisar de ajuda do suporte da Microsoft, recomendamos que você colete as informações seguindo as etapas mencionadas em Coletar informações usando o TSS para problemas de Política de Grupo.