Группе «Администраторы домена» запрещен доступ к объекту групповой политики Восстановите доступ к объекту групповой политики с помощью учетной записи, которая имеет необходимые разрешения. Если ни у одной из учетных записей нет таких разрешений, восстановите разрешения для учетной записи или для группы, которой было отказано в доступе к объекту групповой политики.
Воспользуйтесь средством DSACLS, входящим в состав средств поддержки для Windows 2000 и Windows Server 2003, чтобы удалить разрешения «Запретить доступ», назначенные группе «Администраторы домена». Чтобы воспользоваться этим средством, необходимо знать различающееся имя (также называемое DN) данного объекта групповой политики. С помощью средства ADSIEdit.msc из состава средств поддержки для Windows 2000 и Windows Server 2003 определите различающееся имя объекта групповой политики в Active Directory.
Для изменения разрешений выполните следующие действия.
1. Запустите ADSIEdit.msc или эмулятор PDC.
Примечание. Чтобы определить владельца роли хозяина операций эмуятора PDC, щелкните правой кнопкой мыши контроллер домена в оснастке «Пользователи и компьютеры Active Directory», выберите пункт Хозяева операций и перейдите на вкладку PDC. 2. В окне оснастки ADSIEdit выберите Domain NC и найдите следующий контейнер: имя_домена container\CN=System\CN=Policies container В правой области перечислены глобально уникальные идентификаторы (GUID) всех объектов групповой политики этого домена. 3. Найдите запрещенную политику и запишите различающееся имя нужного объекта, например: cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com Примечание. Запрещенная политика отображается со значком блокнота, все остальные политики отображаются со значком папки. 4. С помощью средства DSACLS удалите разрешения «Запретить доступ», назначенные группе «Администраторы домена». Используйте следующий синтаксис: dsacls различающееся_имя /R "имя_домена\domain admins" Например: dsacls cn={f5e14b83-0181-437e-878c-8d16cb945d68},cn=policies,cn=system,dc=jlc,dc=com /R "JLC\Domain Admins" 5. С помощью средства DSACLS и параметра /g предоставьте группе «Администраторы домена» права доступа к объекту групповой политики. Используйте следующий синтаксис: dsacls различающееся_имя /G "имя_домена\domain admins":GA 6. В эмуляторе PDC откройте проводник Windows и найдите папку Winnt\Sysvol\Sysvol\имя_домена\Policies. В этой папке указан идентификатор GUID объекта политики, доступ к которому запрещен. 7. Правой кнопкой мыши щелкните нужный идентификатор GUID, выберите пункт Свойства, перейдите на вкладку Безопасность и предоставьте группе «Администраторы домена» разрешение «Полный доступ». 8. Проверьте вложенные папки этого объекта групповой политики и убедитесь, что администраторы домена имеют доступ к этим папкам.
После выполнения этих действий, войдя в систему с помощью учетной записи администратора домена, можно открывать соответствующий объект групповой политики и редактировать его. |