本文提供有关修复运行组策略管理控制台(GPMC)时发生的错误的帮助。
原始 KB 编号: 828760
现象
在 Microsoft Windows Server 域中运行 GPMC 时,单击“默认域策略”或“默认域控制器策略”时,会收到以下消息之一:
如果有权修改组策略对象(GPO)的安全性,将收到以下消息:
sysvol 文件夹中此 GPO 的权限与 Active Directory 中的权限不一致。 建议这些权限保持一致。 若要将 SYSVOL 中的权限更改为 Active Directory 中的权限,请单击“确定”
如果无权修改组策略对象(GPO)的安全性,将收到以下消息:
sysvol 文件夹中此 GPO 的权限与 Active Directory 中的权限不一致。 建议这些权限保持一致。 请联系有权修改此 GPO 安全性的管理员。
原因
出现此问题的原因是组策略对象的 Sysvol 部分中的访问控制列表(ACL)设置为从父文件夹继承权限。
状态
Microsoft已确认,本文“适用于”部分中列出的Microsoft产品存在此问题。
解决方法
如果有权修改默认 GPO 的安全性,请单击“ 确定 ”以响应“症状”部分中描述的消息。 此操作修改组策略对象的 Sysvol 部分中的 ACL,并使它们与 Active Directory 组件上的 ACL 保持一致。 在这种情况下,组策略将删除 Sysvol 文件夹中的继承属性
详细信息
每个组策略对象(GPO)部分存储在域控制器上的 Sysvol 文件夹中,部分存储在 Active Directory 目录服务中。 GPMC、组策略对象编辑器和 Active Directory 管理单元中提供的旧组策略用户界面以单个单元的形式提供并管理 GPO。 例如,在 GPMC 中设置 GPO 的权限时,GPMC 在 Active Directory 和 Sysvol 文件夹中设置对象的权限。 对于每个 GPO,Active Directory 中的权限必须与 Sysvol 文件夹中的权限一致。 不得在 GPMC 和组策略对象编辑器之外更改这些单独的对象。 如果这样做,这可能会导致客户端上的组策略处理失败,或者通常具有访问权限的某些用户可能不再能够编辑 GPO。
此外,文件系统对象和目录服务对象没有相同的可用权限,因为它们是不同类型的对象。 当权限不匹配时,可能不容易使它们保持一致。 为了帮助你确保 Active Directory 和 GPO 的 Sysvol 组件的安全性是一致的,GPMC 会在 GPMC 中单击 GPO 时自动检查任何 GPO 权限的一致性。 如果 GPMC 检测到 GPO 出现问题,则会收到“症状”部分中描述的消息之一,具体取决于你是否有权修改该 GPO 的安全性。