SYSVOL中有一个包含唯一ID的文件夹,我可以毫不费力地浏览它.如果我查看组策略对象的完整列表,我找不到类似于这个无法访问的GPO的任何内容.
如果我针对不可访问策略适用的用户运行组策略结果向导,那么我可以看到GPO的真实名称,并查看从GPO应用于用户的所有设置.
可能发生的情况会导致管理员几乎失去对GPO的所有访问权限并且可以恢复访问权限吗?
幸运的是,您可以使用ADSIEDIT之类的工具来恢复GPC的权限.使用ADSIEDIT,您将在GPO所在域的域NC中的“CN = System”对象的“CN = Policies”对象下找到与有问题的GPO的GUID相对应的“groupPolicyContainer”.(从以下位置安装ADSIEDIT) Windows Server媒体上的支持工具,打开它,钻入“域”,然后“CN =系统”和“CN =策略”,你会找到GPC).
使用与“有问题的GPO”对应的GPC的“属性”表的“安全”选项卡,并使用“高级”对话框中的“默认”按钮恢复默认权限.
如果ADSIEDIT不允许您修改权限(可能显示奇怪的错误消息,如“传递了无效的目录路径名”),那么可能有人将“拒绝/完全控制”权限放在该对象上.带有参数CN = GUID-OF-THE-PROBLEMATIC-GPO,CN = Policies,CN = System,DC = your,DC = domain,DC = com的dsacls命令将报告权限.搜索错误的“拒绝”和“完全控制”条目,并使用dsacls上的/ R user-or-group-namme参数删除与该用户或组关联的权限.如果它真的搞砸了,那么你可能不得不使用带有/ takeownership参数的Windows Server 2008 Adam / AD LDS版本的dscals来获取对象的所有权.
