Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приведено решение проблемы, из-за которых события 1101 и 1030 регистрируются в журнале приложений при применении групповой политики.
Исходный номер базы знаний: 909260
Симптомы
На компьютере под управлением Microsoft Windows XP или более поздней версии могут возникнуть следующие записи событий ошибки в журнале приложений: если включить ведение журнала отладки пользователей или GPSVC, эти записи записываются в журнал:
ProcessGPOs: имя пользователя: UserOrComputerDN, доменное имя: DomainName
ProcessGPOs: контроллер домена: \\ полное доменное доменное имя домена домена — domainName
...
EvaluateDeferredOUs: не удается получить доступ к объекту OUName
GetGPOInfo: сбой вычисляемых единиц вычислений. Окончание занятости
Примечание.
В этих записях OUName — это родительское подразделение организации (OU) учетной записи пользователя или объекта компьютера.
Причина
Эта проблема возникает из-за того, что подсистема групповой политики в Windows XP Professional и более поздней версии не имеет разрешений на чтение следующих атрибутов родительских подразделений:
- различающееся Нанм (используется в фильтре поиска)
- gPLink (запрошенный как данные)
- gPOptions (запрошенные в качестве данных)
Если подсистема групповой политики не имеет этих разрешений, подсистема групповой политики не может применять параметры групповой политики.
В Microsoft Windows 2000 Server события, описанные в разделе "Симптомы", не регистрируются. Затем подсистема групповой политики в Windows 2000 Server игнорирует параметры групповой политики, связанные с подразделением. Windows XP было изменено, чтобы не игнорировать эту ошибку.
По умолчанию доступ ко всем подразделениям предоставляется в соответствии с записью управления доступом в дескрипторе безопасности по умолчанию. Этот дескриптор безопасности является частью схемы, которая позволяет группе прошедших проверку подлинности пользователей читать все свойства.
Решение
Чтобы устранить эту проблему, предоставьте достаточные разрешения для доступа к родительским подразделениям для всех учетных записей пользователей и на всех компьютерах, которые применяют параметры групповой политики через подразделения.
Предоставление разрешений для атрибута "различающееся имя" с помощью редактора ACL требует изменения видимости атрибута в DSSEC. DAT в разделе "[организацияUnit]. Необходимо изменить строку "различающееся имя=7" на "различающееся имя=0".
После перезапуска приложения с редактором ACL атрибут должен быть видимым.
Сбор данных
Если вам нужна помощь от поддержки Майкрософт, рекомендуется собирать сведения, выполнив действия, описанные в статье "Сбор сведений" с помощью TSS для проблем групповой политики.