» Group Policy: Не применяются групповые политики

Доброго времени суток!
ситуация: Windows2003 SMB + клиенты WinXP. Домен, AD, естественно DNS
Нарисовалась проблема: часть машин не может применить групповые политики, на сервере все в порядке, в логах проблемных машин в наличии ошибки

ID: 1058
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=<забито>,DC=local. Этот файл должен находиться в <\\<забито>.local\sysvol\<забито>.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не найден сетевой путь. ). Обработка групповой политики прекращена.

ID: 1030
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

Рекомендация микрософта про права доступа к папке sysvol и переставление местами сетевух ничего не дали.

Хелп!

Ситуация слегка похожа.
ОС - Win2k serv. SP4

ID: 1000
"Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики Этот файл должен находиться в <>. (). Обработка групповой политики прекращена."

Соответственно не запускается оснастка груповых политик, хотя в целом других глюков нет, сеть работает нормально. Выяснил, что была попытка почистить реестр.
Подскажите, пожалуйста, где в реестре прописываются пути к групповым политикам и к GPT.INI, т.к. похоже w2k потерял путь к файлам.

Стоит Windows SBS 2003 Premium SP2 и клиенты XP
В групповых политиках на компьютера выставлено в "Политика паролей" - "Макс. срок действия пароля" 60 дней.
Но на компьютерах (клиентах) пароль запрашивает на смену через 30 дней, а не через 60. Error в применении политик на компьютер не обнаружено.
При получении резултирующей политики на клиентах XP все нормально, стоит 60 дней.
В чем могут быть проблемы? Куда рыть....

Нашел способ, не описанный нигде. Для моего выше описанного случая помог. Может поможет еще кому-то.
Из общих ресурсов надо удалить ресурс SYSVOL. Затем найти папку с групповыми политиками, если она создавалась отдельно и в ней \sysvol\sysvol или папку ..:\WINNT\sysvol\sysvol и создать из нее общий ресурс с правами для юзеров "чтение", а для админов и системы - полный доступ. Главное открывать доступ на второе вложение SYSVOL.
После перезагрузки все групповые политики заработали идеально. Все ошибки из логов пропали.

Вопрос такой, есть OU, в нём одни пользователи, так вот если я изменю групповую политику "Конфигурация компьютера" этого OU то на этих пользователях это никак не отразится, так? Изменения произойдут только при редактировании "Конфигурации пользователя" опять же политики этого OU, правильно я понимаю?
И ещё, почему-то при перемещении пользователя из этого OU в CN Users результирующая по пользователю остаётся неизменной, т.е выдаёт что применяется не только дефолтная домена, но и GP этого OU.

CN=Евгений Евгеньевич,CN=Users,DC=RMZ,DC=local
Последнее применение групповой политики: 19.09.2007 at 15:45:06
Групповая политика была применена с: rmz-server.RMZ.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
Admin
Default Domain Policy

CN=Евгений Евгеньевич,OU=RMZ Users,DC=RMZ,DC=local
Последнее применение групповой политики: 19.09.2007 at 15:45:06
Групповая политика была применена с: rmz-server.RMZ.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
Admin
Default Domain Policy

Люди сведующие посоветуйте, работало все отлично, и тут бац обнаружил
------------------------
CN=MAINWS,OU=computers_moscow,DC=domain,DC=local
Последнее применение групповой политики: 14.04.2008 at 12:36:34
Групповая политика была применена с: dc-2.domain.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
System Center Essentials All Computers Policy
System Center Essentials All Computers Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
SCE Managed Computers Group Policy (SPS_MG)
Фильтрация: Не применено (причина неизвестна)

Политика локальной группы
Фильтрация: Не применяется (пусто)

SCE Managed Computers Group Policy (SPS_MG)
Фильтрация: Не применено (причина неизвестна)

Компьютер является членом следующих групп безопасности:
-------------------------------------------------------
Администраторы
Все
Пользователи
СЕТЬ
Прошедшие проверку
MAINWS$
Domain Computers
CERTSVC_DCOM_ACCESS


Конфигурация пользователя
--------------------------
CN=USER_Vasya,OU=Moscow,OU=Russia,DC=domain,DC=local
Последнее применение групповой политики: 14.04.2008 at 12:36:34
Групповая политика была применена с: dc-2.domain.local
Порог медленной связи групповой политики: 500 kbps

Примененные объекты групповой политики
---------------------------------------
x
Default Domain Policy
System Center Essentials All Computers Policy

Следующие политики GPO не были приняты, поскольку они отфильтрованы
--------------------------------------------------------------------
Политика локальной группы
Фильтрация: Не применяется (пусто)

SCE Managed Computers Group Policy (SPS_MG)
Фильтрация: Отказано (безопасность)

Пользователь является членом следующих групп безопасности:
----------------------------------------------------------
Domain Users
Все
Администраторы
Пользователи
ИНТЕРАКТИВНЫЕ
Прошедшие проверку
ЛОКАЛЬНЫЕ
Admin inet access
1C users
Domain Admins
CERTSVC_DCOM_ACCESS

Собственно вопрос, почему "Фильтрация: Отказано (безопасность)", куда смотреть, и как это могло произойти?

И еще вопрос, если я хочу отключить для всей сети использование брандмауэра виндовс, то мне нужно отдельную политику делать или можно в Default Domain Policy ??



Добавлено:
вопрос отпал сам собой, помог F1
SCE Managed Computers Group Policy (SPS_MG) применяется только для группы к то в ней состоит! а сооотвественно , не пользователя ни компьютера нет. кроме сервера SPS

Цитата:

SCE Managed Computers Group Policy (SPS_MG) применяется только для группы к то в ней состоит! а сооотвественно , не пользователя ни компьютера нет. кроме сервера SPS

точно так

Цитата:

И еще вопрос, если я хочу отключить для всей сети использование брандмауэра виндовс, то мне нужно отдельную политику делать или можно в Default Domain Policy ??

зачем отдельную, можно в Default Domain Policy

Привет всем.
Все прекрасно работало очень долго, и не понятно после каких изменения возникли следующие пролемы:
На контейнер в АД назначена групповая политика (ГП), которая в конфигурации пользователя при логоне должна запускать некие бат и рег файлы.
Если заходить на компьютеры (проблема на всех компах), находящиеся в домене, под админом домена, то все происходит как и должно - запускается батник, применяется рег-файл. Но если зайти под пользователем домена, в том числе если он локальный админ, то ни один из этих файлов не стартует. Причем, в результирующих политиках значится, что объект ГП применился, но файлов при логоне нет.
С доступом у пользователей к этим файлам вроде все нормально - если файлы запускать вручную, то все выполняется хорошо. Путь к этим файлам копирую из свойств объекта ГП, через кнопку "Показать файлы".
win 2003? На клиентах ХР минимум СП2.
Если кто подскажет в каком направлении рыть, буду благодарен.

potapich1, а если перенести на конфигурацию непосредственно компьютера, а не пользователя? Или есть строгое разграничение по отдельным лицам?

Разграничений нет, но рег файл принемняется на ветку HKLU, например, да и из батника программы для пользователя запускаются,.

-

Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1058
Дата:        14.05.2009
Время:        7:36:44
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    AQS1
Описание:
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=aq,DC=local. Этот файл должен находиться в <\\aq.local\sysvol\aq.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Устройство не опознает команду. ). Обработка групповой политики прекращена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Кто может помочь?

по этому пути пробовал зайти
Цитата:

\\aq.local\sysvol\aq.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini

открывается gpt.ini?

ща попробую

Добавлено:
1. со второго сервера открывает файл
2. с клиентской машины открывает запрашивая имя и пароль администратора
3. с самого сервера(где лежит сам файл) также открывает

в самом файле прописана только версия и все. Еще что-то в нем дожно быть?

так эта ошибка где вылазиет, на серваках чё стоит? репликация идёт между серверами?

не прошло и 5 минут как доступ к файлу пропал (( теперь не открывает выдает ошибку на самом сервере (2003 server r2 enterprice) "Попытка выполнить операцию для несуществующего сетевого подключения" и на клиентской машине (XP pro sp 2) выдает "Configuration information could not be read from the domain controller? either because the machine is unavailable? or access has been denied."

aqsaqs
сеть случайно не падает? проверьте работоспособность служб "Рабочая станция" и "Сервер" в то время как появляется
Цитата:

"Configuration information could not be read from the domain controller? either because the machine is unavailable? or access has been denied."

Цитата:

2. с клиентской машины открывает запрашивая имя и пароль администратора

какие права стоят на данную групповую политику? В это время учетная запись пользователя не заблокирована?

Уважаемые, помогите решить проблему. У самого опыта нету почти.
Такая ситуация. На 2к8 поднял контролед домена и ад в нем создал. Создал группы и в них юзеров. Все сделал на дефолтной полиси.
Теперь пытаюсь добавить новую полиси. вношу в ней в сценариях входа - скрипты, и.. они применяются с ошибками. Точнее клиентская машинка отказывается их выполнять.
Создаю нового юзера вэтой же группе с этими же правами и ГПО. Захожу под ним - все воркает. gpresult ничего не показывает. все одинаково что у старого, что у нового юзера. Все политики применяются. В чем может быть проблема? Доступ естественно одинаковый у обоих.

bagros
что за скрипты? что значит
Цитата:

применяются с ошибками

?

vbs файлики старые от 2003 сервачка. для создания ярлыков. Чет как пользоваться новыми фичами в ад на 2к8 для этих целей я не разобрался.

MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.2\programs\2gis\3.0\grym.exe")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.2\programs\2gis\3.0\grym.exe")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.2\programs\2gis\3.0\grym.exe, 0")
MyShortcut.Save
вот на MyShortcut.Save он выдает отшибку 800405 кажется и прекращает работу. Тот же самый скрипт на другом юзере отрабатывается на ура.

bagros

Цитата:

он выдает отшибку 800405

Скорее всего правильный номер ошибки - 80004005.
Этот номер говорит "Access Denied", т.е. у пользователя нет прав на запись.

Чтобы понять куда нет прав, не хватает куска скрипта, который начинается на "Set MyShortcut = ..."

Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
Dim MyShortcut, MyDesktop, DesktopPath
DesktopPath = WSHShell.SpecialFolders("Desktop")
Set MyShortcut = WSHShell.CreateShortcut(DesktopPath & _
"\2gis_3.0.lnk")
MyShortcut.TargetPath = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.2\programs\2gis\3.0\grym.exe")
MyShortcut.WorkingDirectory = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.2\programs\2gis\3.0\grym.exe")
MyShortcut.WindowStyle = 4
MyShortcut.IconLocation = WSHShell.ExpandEnvironmentStrings _
("\\192.168.0.2\programs\2gis\3.0\grym.exe, 0")
MyShortcut.Save
Код ошибки действительно такой. НО дело в том, что доступ у всех одинаковый вроде как. все дефолтное. ничего еще не менял. все - одинаковые члены одинаковых групп. ДАже не знаю что моге такого сделать. Дефолтную полиси не изменял тоже. Сервак еще голый и не настраивался.

скрипт применяется для пользователя или для компьютера?

И там и там пробовал. Работал везде раньше да и на новом пользователе работает везде.

если просто скрипт под пользователем запустить работает?

Под этим пользователем и на этой машинке - нет. Под новым и на той же самой машинке - да

Ну тогда Filemon в помощь. Запускать в сессии проблемного пользователя, но через runas от администратора. Нужно вбить в фильтр wscript.exe (include) и убрать галку "Log Successes". Результаты покажите здесь. Тогда станет ясно, где проблема. Может быть

новый юзер
старый
сорри за айфолдер. Не разобрался как тут вложения делать (

Посмотрел/сравнил логи - ничего не понял, сорри. Как-то странно они выглядят. Особенно в логе для старого пользователя меня смутили строки вида
Цитата:

OPEN    C:\DOCUMENTS AND SETTINGS\USERXX\Рабочий стол\2GIS_3.0.LNK    ACCESS DENIED    ENERGO\user17

Чего это пользователь user17 делает в профиле у USERXX? Со скриптом это никак не вяжется.

Если не потеряли веру, то выложите логи для старого пользователя только с галкой "Log Errors". Можно прямо здесь, под тегом "more".

ну насколько я понял, скрипт кидает в папку десктоп всех юзеров созданых на компе. вот отсюда и папка юзерхх (это тестовый рабочий юзер)
p.s. Хотя не, там еще куча папок есть, и он их не трогает ( Щас покапаю ( Интересно всетаки почему на новых юзерах то работает? (