» Group Policy: Не применяются групповые политики

Помогите други!

Есть домен - TEMP.
2 контролера домена: Server (PDC) и Fileserver

На компьтере пользователей пишется такой log:
Windows cannot access the file gpt.ini for GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=temp.
The file must be present at the location <\\TEMP\sysvol\temp\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не найден сетевой путь. ). Group Policy processing aborted.

Причем если в командной строке прописать не "\\TEMP\sysvol\TEMP\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini", а "\\SERVER\sysvol\TEMP\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini", то этот ini-шник окрывается.

Права на папку SYSVOL у пользователей есть.

Что это может быть ???

Xap
А именно так "\\TEMP\sysvol\TEMP\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini" есть доступ к файлу?

Нет
Он не видит такого сетевого пути.

Xap
Если это домен контроллер то там какие непрятности с AD смотрите eventlog .... netdiag & dcdiag

SurfKoba

На серваке он вот что пишет:

The File Replication Service has detected that the replica set "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" is in JRNL_WRAP_ERROR.

Replica set name is : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
Replica root path is : "c:\winnt\sysvol\domain"
Replica root volume is : "\\.\C:"
A Replica set hits JRNL_WRAP_ERROR when the record that it is trying to read from the NTFS USN journal is not found. This can occur because of one of the following reasons.

[1] Volume "\\.\C:" has been formatted.
[2] The NTFS USN journal on volume "\\.\C:" has been deleted.
[3] The NTFS USN journal on volume "\\.\C:" has been truncated. Chkdsk can truncate the journal if it finds corrupt entries at the end of the journal.
[4] File Replication Service was not running on this computer for a long time.
[5] File Replication Service could not keep up with the rate of Disk IO activity on "\\.\C:".

Что такое "\\.\C:" ?
Что должно быть на самом деле там прописано ?

Xap
Там файловая система не fat случаем? Или с диском С: что то делали?

Ntfs конечно
Ничего такого помоему не делали
Еще есть свежие мысли ?

Xap
И с NTFS правами ничего не делали? А свежие мысли у вас появятся или по результатам netdiag & dcdiag или по воспоминанию что таки делали с диском C
Удачи

Вопрос должен быть поставлен так. Почему машины ломятся на \\TEMP когда доменным контроллером является \\server ?
Скорей всего машины не в домене...
настораживает DC=temp
Может раньше у тебя контроллером машина temp была? - тогда зарегистрируй компы на server'e

Где не применяются групповые политики?
Ежели на машинах которые логинятся к контроллеру домена, то было у меня такое.
Решилось настройкой клиентских машин. Там в конфиге TCP/IP нужно в качестве Alternate DNS указать IP контроллера домена. Тады все применяется.
Правда у меня на самом домене также DNS сервер стоит.

Значит, ситуевина такова: домен 2000, работающий в "родном" режиме (native mode), 2 контроллера домена, физически расположенные в одном месте, клиенты -- W2Kpro, XP. Все настроено, отлично работает уже несколько лет. Среди множества клиентов есть 2 подмножества: А и Б, причем Б, в свою очередь, является подмножеством А. Подмножеству А надо присоединить некий сетевой ресурс как локальный диск "R:". Подмножеству Б надо присоединить другой сетевой ресурс как локальный диск "S:". Я создал 2 группы пользователей: GroupA и GroupB. GroupB включает в себя пользователей из подмножества Б, а GroupA -- группу GroupB и пользователей из подмножества А. Обе группы имееют соответствующие полномочия на подсоединяемые сетевые ресурсы, тут все давно настроено и работает без нареканий. Автоматическое присоединение ресурсов я сделал через логон скрипты -- создал 2 OU, в один поместил GroupA, в другой -- GroupB, в обоих OU создал GPO и там назначил эти самые скрипты. Но не работает. Скрипты состоят из 1 строки и разумеется отлажены. Группы имеют права на чтение и применение соответствующих политик. Интересно то, что если я вместо групп переношу в новые OU пользователей, входящих в соответствующие группы, то все в порядке -- политики применяются и скрипты отрабатывают. Т.е. по-видимому проблема именно в группах. Но надо реализовать именно через группы. Куда копать?

gpotool рапортует, что с политиками и DC все просто шоколадно. Вывод команды gpresult под аккаунтом пользователя, входящего в группы GroupA и GroupB:

USER SETTINGS
--------------
Здесь неинтересная информация о пользователе

Applied Group Policy Objects
-----------------------------
Default Domain Policy

The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)

The user is a part of the following security groups:
----------------------------------------------------
...
GroupA
GroupB
...

Статью http://www.microsoft.com/windows2000/techinfo/reskit/samplechapters/dsef/dsef_tbs_xovi.asp читал. Собственно, вопрос -- а такая схема, как я хочу, вообще должна работать? Всегда полагал, что должна, но уже начали сомнения закрадываться. Кстати, в этой статье есть такой абзац:
Цитата:

To confirm that Group Membership does not cause the Group Policy objects to not apply because of a filter
...
3. Verify that loopback is enabled.

Я торможу -- что за loopback и где это проверить?

Никакие OU тебе нафиг не нужны.
Задай политики на уровне домена. В правах на полтику удали Authenticated Users - Read & Apply Policy и сделай для первой политики Allow Read & Apply Policy для группы А и строгий Deny для группы Б
Для второй политики удали Authenticated Users и дай Allow Read & Apply Policy для группы Б

kibkalo
Спасибо, все заработало. Единственное, что сделал -- перенес GPO из OU в то место, где находится дефолтовая доменная политика, как ты советуешь. Не нахожу ни одного разумного объяснения тому, что все заработало от такой простой манипуляции, кроме как то, что к пользователю применяются только те политики с соответствующими правами доступа, которые расположены на пути от корня дерева (домен) к расположению пользователя в нем (OU). Интересный факт...

ooptimum - описанный мной способ это рекомендованное решение от Майкрософт для доменов, где большинство ПК 2000 и ниже. Если же в домене все больше ХР, то логичнее использовать WMI фильтры.
Рад что у тебя заработало.

у меня тоже аналогичная проблема.
стоит сервер Windows2003 Standart Ed., сеть состоит из 5 машин Windows XP Pro.
задаю я Group Policy на уровне домена, но она как бы не срабатывает на клиентских машинах.
есть идеи ?

запусти на клиентах gpresult и дай сюда результат..

kibkalo

Цитата:

C:\Documents and Settings\user04.SIMO>gpresult
INFO: The policy object does not exist.

Добавлено
Вот ошибка c event log

Цитата:

Event Type: Warning
Event Source: NETLOGON
Event Category: None
Event ID: 5781
Date: 22.05.2004
Time: 20:41:10
User: N/A
Computer: SERVER
Description:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'DomainDnsZones.simo.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).

Possible causes of failure include:
- TCP/IP properties of the network connections of this computer contain wrong IP address(es) of the preferred and alternate DNS servers
- Specified preferred and alternate DNS servers are not running
- DNS server(s) primary for the records to be registered is not running
- Preferred or alternate DNS servers are configured with wrong root hints
- Parent DNS zone contains incorrect delegation to the child zone authoritative for the DNS records that failed registration

USER ACTION
Fix possible misconfiguration(s) specified above and initiate registration or deletion of the DNS records by running 'nltest.exe /dsregdns' from the command prompt or by restarting Net Logon service. Nltest.exe is available in the Microsoft Windows Server Resource Kit CD.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 2a 23 00 00 *#..

Aleek - ну видно, что трабл именно в DNS. Включи на нем Denamic Updates если не включена.
Ксли зона небольшая, попробуй ее удалить, создать заново и перезапстить на контроллере сервис Netlogon - он тогда должен всю доменную информацию заново прописать. В общем надо добиться отсутствия проблем с DNS

У меня тоэе проблема c полисами, не хотят применятся. DC - win2000. Единственный в домене. А днс все берут с DC другого домена, так как на нём и DHCP. Так вот в такой конфигурации виндовсы на машине пользователей в Event viewer'е пишет, что не может ресловить имя компа и поэтому прерывается применение груповых посисов
Цитата:

Windows cannot determine the user or computer name. (The specified domain either does not exist or could not be contacted. Group Policy processing aborted.

Если выставить в настройках компа пользователя ручками основным DNS тот что на своём DC а не на чужом - всё работает. Но ведь в DHCP другого домена прописаны обы эти DNS'a, почему они не дружат не знаю
Посоветуйте как делать
Где то вычитал что полисы применяются лишь в том случае если у всех главным DNS прописан тот который стоит на DC твоего домена. Неужели это так?

если подчиненных политик ou нет , поставь на политику домена no override и в самой политике allways wait for network before logon

NightRave
ipconfig /all с DC & клиента, dcdiag, netdiag... что-то говорит, что неправильно ДНС прописан... что за другой домен? этот является отдельным или дочерним? подробнее.... на "своем DC" зона как вторичная прописана?

Чуваки если возникли прблемы с политиками то наилутший вариант вернуть все в исходное состояние(Default) - воспользоваться утилитой dcgpofix, там три параметра, во всех случаях нужно указать "yes". Она же вам покажет что у вас не так. Кроме того сразу умолчания применить не удасться, будет указано на ошибки, и лишь после 2-го или 3-го раза пименения вступят в силу. Удачи

Проблемка следующая:
Server 2003, AD, DNS. WS - XP. Все работало и груповые политики применялись до того момента пока на сервере не запустил Outpost Firewall Pro. После запуска фаервола клиенты не могут найти сервер с которого необходимо взять политики, в evant log на WS пишется: Не удалось получить имя конироллера домена даной сети... Ошибка 1054
Может как надо подстроить этот фаервол, не подскажите?

Открой нужные порты на файере. А какие, ищи здесь:
Service overview and network port requirements for the Windows Server system

Привет всем
Очень интересует данный вопрос.... проблему решили?
По поводу:

Цитата:

Не удалось определить имя пользователя или компьютера. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.

вопрос снят

Так и не понял, что делать
Есть MS 2003 поднят домен, настроены Актив директории, групповые политити, клиентские компьютеры XP, пользователь входит в домен, НО ДЛЯ НЕГО ПОЛИТИКИ НЕ ПРИМЕНЯЮТСЯ? В ЧЕМ ПРОБЛЕМА?

Попробуй следующее.
1. Открой Device Manager и найди в нем свою сетевую карточку. (клиентская тачка)
2. Открой свойства, закладка Drivers и жми Drivers detail
3. Запомни название sys файла (например, Rtenicxp.sys)
4. Теперь открывай regedit.exe
5. HKLM\SYSTEM\CurrentControlSet\Services и ищи там сервис в котором ключик ImagePath=system32\drivers\Rtenicxp.sys (ну имя файла конечно друго будет)
6. Рядом найди ключ Start, который обычно 2 или 3
7. Меняй его на 0

Перезапускай клиентика. Помогло?

Всем добрый день!
У меня похожая проблема, описанной в первом посте, но только с той разницей, что она возникает на контролере домена. Вот что он пишет в логе:
Windows не удалось получить доступ к файлу GPT.INI для объекта
групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},
CN=Policies,CN=System,DC=svdigital,DC=ru. Этот файл должен
находиться в <\\svdigital.ru\sysvol\svdigital.ru\Policies\
{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>.
(Системе не удается найти указанный путь. ).
Обработка групповой политики прекращена.

И у меня есть подозрения что это я все удалил из этих папок ручками. Т.к. я в этом деле еще полный профан, после установки AD , решил проверить насколько у него все защищено и с другого пользователя сказал удалить папку SysVol, а он взял и удалил....
Знаю что это очень глупо но все же, теперь не знаю как все вернуть в зад. В папке svdigital.ru\sysvol\svdigital.ru\Policies\ есть еще две папки но сдругими имянами, я так предпологаю это папки созданных мной политик.

Кто-нибудь может мне что-нибудь посоветовать???