我正在使用两个 2016 DC 运行 Windows Active Directory 域。有关域和我的 GPO 策略的所有内容都运行正常。但是,当我打开组策略管理,然后在 OU 中选择链接的 GPO,然后选择“委派”选项卡时,我会看到“访问被拒绝”模式对话框。如果我在“组策略对象”容器中选择一个 GPO,我会立即看到“访问被拒绝”模式对话框。
我属于哪个组(管理员、域管理员、企业管理员)似乎并不重要,而且我已经检查了 SYSVOL 中的策略权限,对我来说似乎没有任何问题。到目前为止,这只是一个麻烦,但我想知道原因是什么以及如何解决它。
我还注意到其他一些细节:
- 策略详细信息的范围选项卡上的 WMI 筛选部分丢失。
- 策略详细信息的“范围”选项卡的“安全过滤”部分中没有列出任何用户。
我登录到成员服务器或域控制器,然后 gpmc 正常运行(没有委派访问被拒绝消息,显示 WMI 过滤,安全过滤已填充其用户)
我通过注册表项启用了组策略管理日志记录,并将好系统和坏系统的日志输出进行了比较。很明显,我的工作站被拒绝访问,但没有明确的原因说明为什么会出现这种情况。
坏的:
[127c.2f4] 11/07/2023 09:32:33:087 [VERBOSE] CEffectivePermissionsTable::Load(): Loading from cn={xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx},cn=policies,cn=system,DC=myname,DC=mydomain,DC=com.
[127c.2f4] 11/07/2023 09:32:33:106 [WARNING] CSecurityUtility::GetDSSecurityDescriptorDacl(): GetNamedSecurityInfo for LDAP://MyDC1.myname.mydomain.com/cn={xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx},cn=policies,cn=system,DC=myname,DC=mydomain,DC=com failed with 0x80070005.
[127c.2f4] 11/07/2023 09:32:33:106 [WARNING] CGPOPermissionsTable::GetSecurityDescriptors(): GetDSSecurityDescriptorDacl failed with 0x80070005.
[127c.2f4] 11/07/2023 09:32:33:106 [WARNING] CEffectivePermissionsTable::Load(): GetSecurityDescriptors failed with 0x80070005.
[127c.2f4] 11/07/2023 09:32:33:106 [WARNING] CGPMSecurityInfo::Load(): Load failed with 0x80070005.
[127c.2f4] 11/07/2023 09:32:33:107 [VERBOSE] CGPMGPO::GetSecurityInfo(): Loading for GPO cn={xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx},cn=policies,cn=system,DC=myname,DC=mydomain,DC=com
[127c.2f4] 11/07/2023 09:32:33:107 [WARNING] CGPMGPO::GetSecurityInfo(): Load failed with 0x80070005.
好的:
[192c.528] 11/07/2023 03:57:42:427 [VERBOSE] CEffectivePermissionsTable::Load(): Loading from cn={xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxx},cn=policies,cn=system,DC=myname,DC=mydomain,DC=com.
[192c.528] 11/07/2023 03:57:42:443 [VERBOSE] CEffectivePermissionsTable::GetOrAddEntry: Entry already found for S-1-5-11
[192c.528] 11/07/2023 03:57:42:443 [VERBOSE] CGPMSecurityInfo::Load(): Dumping permissions table.
[192c.528] 11/07/2023 03:57:42:443 [VERBOSE] ==========BEGIN EFFECTIVE PERMISSIONS LIST DUMP==========
...dumps ACLS.....
在看到日志中的访问被拒绝消息时,我在工作站上使用 ldp.exe 作为我的用户绑定,它也能够毫无问题地查询和检索 ACL。
此外,我的工作站中的 Get-GPPermission 也会返回访问被拒绝的信息,但在成员服务器或 DC 上则不会。