培训
应用组策略时,在应用程序日志中记录事件 1101 和 1030
本文针对应用组策略时在应用程序日志中记录事件 1101 和 1030 的问题提供了解决方法。
原始 KB 编号: 909260
在运行Microsoft Windows XP 或更高版本的计算机上,可能会在应用程序日志中遇到以下错误事件条目:如果启用用户环境或 GPSVC 调试日志记录,则会记录以下条目:
ProcessGPOs:用户名为:UserOrComputerDN,域名为:DomainName
Process GPO:域控制器为:\\ DC FQDN 域 DN 为 DomainName
...
EvaluateDeferredOUs:无法访问对象 OUName
GetGPOInfo:EvaluateDeferredOUs 失败。 离职
备注
在这些条目中, OUName 是用户帐户或计算机对象的父组织单位(OU)。
出现此问题的原因是 Windows XP Professional 和较新的 Windows XP Professional 中的组策略引擎没有对父 OU 的以下属性的读取权限:
- distinguishedNanme (在搜索筛选器中使用)
- gPLink (请求为数据)
- gPOptions (请求为数据)
如果组策略引擎没有这些权限,则组策略引擎无法应用组策略设置。
在 Microsoft Windows 2000 Server 中,不会记录“症状”部分中描述的事件。 然后,Windows 2000 Server 中的组策略引擎将忽略链接到 OU 的组策略设置。 Windows XP 已更改为不忽略此错误。
默认情况下,根据默认安全描述符中的访问控制条目授予对所有 OU 的访问权限。 此安全描述符是架构的一部分,它使经过身份验证的用户组能够读取所有属性。
若要解决此问题,请向所有用户帐户和通过 OU 应用组策略设置的所有计算机授予足够的权限,以访问父 OU。
通过 ACL 编辑器授予对“distinguishedName”属性的权限需要更改 DSSEC 中的属性可见性。“[organizationUnit]”部分中的 DAT。 需要将行“distinguishedname=7”更改为“distinguishedname=0”。
然后重启显示 ACL 编辑器的应用程序时,该属性应可见。
如果需要Microsoft支持方面的帮助,建议按照使用 TSS 收集信息中的 步骤收集组策略问题来收集信息。