运行 GPMC 时,“SYSVOL 文件夹中此 GPO 的权限与 Active Directory 中的权限不一致” 消息

本文提供了在 Windows Server 域中运行组策略管理控制台时发生的权限问题的解决方案。

适用于: Windows Server(所有支持的版本)
原始 KB 数: 2838154

现象

运行组策略管理控制台(GPMC),然后选择组策略时,会收到以下消息之一:

  • SYSVOL 文件夹中此 GPO 的权限与 Active Directory 中的权限不一致。 建议这些权限保持一致。 若要将 SYSVOL 中的权限更改为 Active Directory 中的权限,请单击“确定”。

    如果有权修改组策略对象(GPO)的安全性,则会收到此消息。

  • SYSVOL 文件夹中此 GPO 的权限与 Active Directory 中的权限不一致。 建议这些权限保持一致。 请联系有权修改此 GPO 安全性的管理员。

    如果没有修改组策略对象(GPO)安全性的权限,则会收到此消息。

原因

此问题由以下原因之一导致:

  • 组策略对象的 Sysvol 部分中的访问控制列表(ACL)设置为从父文件夹继承权限。
  • 手动更改 SysVol 上的权限可能会导致 Active Directory 和 SysVol 中的策略权限不匹配。

解决方法

如果有权修改默认 GPO 的安全性,请选择“确定”以响应“症状”部分中提到的消息。 此操作修改组策略对象的 Sysvol 部分中的 ACL,并使它们与 Active Directory 组件上的 ACL 保持一致。 在这种情况下,如果属性存在,组策略将删除 Sysvol 文件夹中的继承属性。

如果仍然收到消息,请检查是否为 经过身份验证的用户组 设置了权限,并根据需要更正权限。 有问题的设置是帐户在 Active Directory 中具有 List 对象 权限时。 此权限不映射到文件系统权限。 下面是经过 身份验证的用户的示例配置:

经过身份验证的用户权限。

高级权限:

经过身份验证的用户具有列表对象访问权限。

如果适用,请执行下列操作之一:

  1. 选择“ 还原” 默认设置,将权限重置为默认值。
  2. 从 Active Directory 权限中删除具有 List 对象权限的组。
  3. 如果适用,请将帐户(如经过身份验证的用户)的条目替换为授予读取权限的访问控制项(ACE),并根据需要替换组策略权限。 在 GPMC.msc 的 “作用域 ”选项卡中指定帐户:

默认域控制器策略的屏幕截图。

也可以在高级权限执行此操作:

高级权限的屏幕截图。