本文提供協助以修正在執行群組原則管理主控台 (GPMC) 時發生的錯誤。
原始 KB 編號: 828760
癥狀
當您在 Microsoft Windows Server 網域中執行 GPMC,然後點擊 預設網域原則 或 預設網域控制器原則 時,您會收到以下訊息之一:
如果您有修改組策略物件 (GPO) 安全性的許可權,您會收到下列訊息:
sysvol 資料夾中此 GPO 的許可權與 Active Directory 中的許可權不一致。 建議這些權限應一致。 若要將 SYSVOL 中的許可權變更為 Active Directory 中的許可權,請按兩下 [確定]
如果您沒有權限修改群組原則物件 (GPO) 的安全性,您將收到以下訊息:
sysvol 資料夾中此 GPO 的許可權與 Active Directory 中的許可權不一致。 建議這些權限應一致。 請聯繫有權限修改此 GPO 安全性的管理員。
原因
發生此問題的原因是組策略物件之 Sysvol 部分的存取控制清單 (ACL) 設定為繼承父資料夾的許可權。
狀態
微軟已確認這是本文「適用於」部分中列出的微軟產品中的問題。
替代方案
如果您有權限修改預設 GPOs 的安全性,請根據「症狀」部分描述的訊息點擊 確定。 此動作會修改組策略物件 Sysvol 部分的 ACL,並使其與 Active Directory 元件上的 ACL 一致。 在此情況下,組策略會移除 Sysvol 資料夾中的繼承屬性
詳細資訊
每個群組原則物件(GPO)部分存儲在網域控制器的 Sysvol 資料夾中,部分存儲在 Active Directory 目錄服務中。 GPMC、群組原則物件編輯器和舊版的群組原則使用者介面(由 Active Directory 增益集提供)以單一單位呈現和管理 GPO。 例如,當您在 GPMC 中設定 GPO 的許可權時,GPMC 會在 Active Directory 和 Sysvol 資料夾中設定物件的許可權。 對於每一個 GPO,在 Active Directory 中的權限必須與 Sysvol 資料夾中的權限一致。 您不可在 GPMC 和群組原則物件編輯器之外更改這些獨立的對象。 如果您這樣做,這可能會導致用戶端上的組策略處理失敗,或通常具有存取權的特定使用者可能無法再編輯 GPO。
此外,檔案系統物件和目錄服務物件的可用權限不同,因為它們是不同類型的物件。 當權限不匹配時,可能不容易使它們達到一致。 為了幫助您確保 Active Directory 和 GPO 的 Sysvol 組件的安全性保持一致,當您在 GPMC 中點選 GPO 時,GPMC 會自動檢查任何 GPO 的權限一致性。 如果 GPMC 偵測到 GPO 的問題,您將會收到「症狀」部分所描述的其中一則訊息,這取決於您是否有修改該 GPO 安全性的權限。