Compartilhar via

Mensagem "As permissões para este GPO na pasta SYSVOL são inconsistentes com as do Active Directory" quando você executa o GPMC

Este artigo fornece uma solução para um problema de permissões que ocorre quando você executa o Console de Gerenciamento de Política de Grupo em um domínio do Windows Server.

Aplica-se a: Windows Server (todas as versões com suporte)
Número original do KB: 2838154

Sintomas

Ao executar o GPMC (Console de Gerenciamento de Diretiva de Grupo) e selecionar uma Diretiva de Grupo, você receberá uma das seguintes mensagens:

  • As permissões para esse GPO na pasta SYSVOL são inconsistentes com as do Active Directory. É recomendável que essas permissões sejam consistentes. Para alterar as permissões no SYSVOL para as do Active Directory, clique em OK.

    Você receberá essa mensagem se tiver permissões para modificar a segurança nos GPOs (Objetos de Diretiva de Grupo).

  • As permissões para esse GPO na pasta SYSVOL são inconsistentes com as do Active Directory. É recomendável que essas permissões sejam consistentes. Entre em contato com um administrador que tenha direitos para modificar a segurança neste GPO.

    Você receberá essa mensagem se não tiver as permissões para modificar a segurança nos GPOs (Objetos de Política de Grupo).

Motivo

Esse problema ocorre por um dos seguintes motivos:

  • A lista de controle de acesso (ACL) na parte Sysvol do Objeto de Política de Grupo é definida para herdar permissões da pasta pai.
  • Alterações manuais nas permissões no SysVol podem causar uma incompatibilidade entre as permissões de política no Active Directory e no SysVol.

Resolução

Se você tiver permissões para modificar a segurança nos GPOs padrão, selecione OK em resposta à mensagem mencionada na seção Sintomas . Essa ação modifica as ACLs na parte Sysvol do Objeto de Diretiva de Grupo e as torna consistentes com as ACLs no componente do Active Directory. Nessa situação, a Política de Grupo remove o atributo de herança na pasta Sysvol se o atributo estiver presente.

Se você ainda receber a mensagem, verifique se as permissões estão definidas para o grupo Usuários Autenticados e corrija as permissões, se necessário. Uma configuração problemática é quando as contas têm a permissão Listar Objeto no Active Directory. Essa permissão não é mapeada para uma permissão do sistema de arquivos. Abaixo está um exemplo de configuração para usuários autenticados:

Permissões de usuários autenticados.

Permissões avançadas:

Usuários autenticados tem acesso a um objeto de lista.

Observação

Lembre-se de definir as permissões de leitura e aplicação de acordo com o boletim MS16-072: Descrição da atualização de segurança para Política de Grupo: 14 de junho de 2016 - Suporte da Microsoft.

Se isso se aplicar, execute uma das seguintes ações:

  1. Selecione Restaurar padrões para redefinir as permissões para os padrões.
  2. Remova o grupo que tem a permissão de objeto List das permissões do Active Directory.
  3. Se apropriado, substitua a entrada da conta, como Usuários Autenticados, por uma ACE (Entrada de Controle de Acesso) que conceda permissões de leitura e, se necessário, Diretiva de Grupo. Especifique a conta na guia Escopo em GPMC.msc:

A captura de tela da política do controlador de domínio padrão.

Ou você pode fazer isso nas Permissões Avançadas:

A captura de tela das Permissões Avançadas.