關于win2003域控制器應用程序日志中組策略出現(xiàn)ID為1058、1030紀錄的解決方法

癥狀: 現(xiàn)公司域為windows2003域，共有兩臺DC（同時這兩臺DC也是DNS服務器），一直工作正常 在兩個月之前第一臺DC（暫時稱之為DC1）因為主板出現(xiàn)故障無法啟動，故由第二臺DC（暫時稱之為DC2）奪取FSMO角色，等DC1恢復工作之后，再讓DC1獲取FSMO角色，恢復原工作環(huán)境 但在恢復正常工作之后的一個月以后，不知何故，在DC2的事件日志中，應用程序紀錄中開始出現(xiàn)大量的ID 1030、1058的錯誤信息，二十天后DC1上面也開始出現(xiàn)這兩個錯誤信息，平均每隔5分鐘紀錄一次錯誤信息：類型: 錯誤 來源: Userenv類別: 無事件 ID: 1058 描述:Windows 無法訪問 GPO cn=0D16F706-E6F8-41E8-BBDB-4A5C4952F024,cn=policies,cn=system,DC=quande,DC=qd 的文件 gpt.ini。此文件必須在 。(拒絕訪問。（最早是找不到網絡路徑） )。組策略處理中止。有關更多信息，請參閱在 /fwlink/events.asp 的幫助和支持中心。類型: 錯誤來源: Userenv類別: 無事件 ID:1030 描述:Windows 不能查詢組策略對象列表。請查看事件日志，從中尋找策略引擎以前可能記錄的描述此原因的消息。有關更多信息，請參閱在 /fwlink/events.asp 的幫助和支持中心。處理過程：解決方法一：* 按照Microsoft的客服支持網頁/kb/zh-cn上的思路 認為主要是由于將不適當?shù)臋嘞薹峙浣o %SystemRoot%WinntSysvol 文件夾或將不適當?shù)慕M分配給 Bypass Traverse Checking User Rights Assignment（跳過遍歷檢查用戶權利指派），可能會發(fā)生此問題。另外，如果 sysvol 共享權限限制過多，也可能會發(fā)生此問題 提供的解決方案：（適用Windows Server 2003） 1. 設置文件夾安全權限。為此，請按照下列步驟操作： a. 在 Windows 資源管理器中，右鍵單擊“%SystemRoot%WindowsSysvol”文件夾，然后單擊“屬性”。 b. 在“安全性”選項卡上，單擊“高級”，單擊以清除“允許從父系來的繼承權限傳播到這個對象” 復選框，然后單擊“確定”。確保安全設置與以下設置相匹配，然后單擊“確定”： 管理員： 完全控制 經身份驗證的用戶： 讀取、讀取和執(zhí)行、列出文件夾內容 創(chuàng)建者所有者： 沒有選中項 服務器操作員： 讀取、讀取和執(zhí)行、列出文件夾內容 系統(tǒng)：完全控制 c. 右鍵單擊“%SystemRoot%WindowsSysvolSysvol”文件夾，然后單擊“屬性”。 d. 在“安全性”選項卡上，單擊“高級”，單擊以清除“允許從父系來的繼承權限傳播到這個對象” 復選框，然后單擊“確定”兩次。 e. 右鍵單擊“%SystemRoot%WinntSysvolSysvoldomain”文件夾，然后單擊“屬性”。 f. 在“安全性”選項卡上，單擊“高級”，單擊以清除“允許從父系來的繼承權限傳播到這個對象” 復選框，然后單擊“確定”兩次。 g. 右鍵單擊“%SystemRoot%WinntSysvolSysvoldomainPolicies”文件夾，然后單擊“屬性”。 h. 在“安全性”選項卡上，單擊“高級”，單擊以清除“允許從父系來的繼承權限傳播到這個對象” 復選框，然后單擊“確定”。確保安全設置與以下設置相匹配，然后單擊“確定”： 管理員：完全控制 經身份驗證的用戶：讀取、讀取和執(zhí)行、列出文件夾內容 創(chuàng)建者所有者：沒有選中項 組策略創(chuàng)建者所有者：讀取、讀取和執(zhí)行、列出文件夾內容、修改、寫入 服務器操作員：讀取、讀取和執(zhí)行、列出文件夾內容 系統(tǒng)：完全控制 i. 對于位于 %SystemRoot%WinntSysvolSysvoldomainPolicies 文件夾中的文件或文件夾， 分別右鍵單擊這些文件或文件夾，然后單擊“屬性”。 j. 在“安全性”選項卡上，單擊“高級”，單擊以選擇“允許從父系來的繼承權限傳播到這個對象” 復選框，然后單擊“確定”兩次。 2. 展開“Active Directory 用戶和計算機”。為此，單擊“開始”，單擊“所有程序”，然后單擊 “管理工具”。 3. 展開“Active Directory 用戶和計算機”，展開域名，右鍵單擊“域控制器”，然后單擊“屬性”。 4. 在“組策略”選項卡上，單擊“默認域控制器策略”，然后單擊“編輯”。注意：如果安裝了組策略管理控制臺，則“編輯”按鈕不可用。在這種情況下，單擊“打開”以啟動組策略管理控制臺，展開“domain name”，展開“域控制器”，右鍵單擊“默認域控制器策略”，然后單擊“編輯”。 5. 展開下面的文件夾： 計算機配置 Windows 設置 安全設置 本地策略 6. 單擊“用戶權限分配”，然后雙擊“跳過遍歷檢查”。應該出現(xiàn)下列默認設置： 經身份驗證的用戶 所有人 管理員 如果沒有出現(xiàn)，而您又需要添加這些組，請單擊“添加用戶或組”，然后單擊“瀏覽”。 7. 單擊“開始”，單擊“運行”，鍵入 gpupdate，然后單擊“確定”。 8. 請驗證 sysvol 共享權限設置是否正確，如下所示： 管理員 = 完全控制 經身份驗證的用戶 = 完全控制 所有人 = 讀取注意：如果此過程不能解決問題，或者您在訪問組策略時遇到問題，請檢查服務器上的綁定順序，以確保內部網絡適配器在綁定順序列表中排在第一位。要檢查綁定順序，請按照下列步驟操作：1. 右鍵單擊“網上鄰居”，然后單擊“屬性”。 2. 在“高級”菜單上，單擊“高級設置”。 3. 在“連接”框內，確保內部網絡適配器第一個列出。如果不是第一個，使用箭頭將其移到列表頂部。照此文中所寫，逐步檢查并更正兩臺DC之后之后，狀況照舊，并無解決其次在網上搜索相關信息，得到的結論也基本都是圍繞著檢查SYSVOL的共享權限的設置解決方法二：* 按照Microsoft的客服支持網頁/kb/zh-cn上的說法：無法執(zhí)行組策略處理，事件 1030 和 1058 被記錄到域控制器的應用程序日志中原因: 如果 winlogon 進程試圖在其他組件運行前處理組策略，則可能發(fā)生此問題。本文介紹的此修補程序添加了更多的邏輯，以增強 winlogon 和工作站服務的默認行為。 但是，其他一些情況也可能導致此問題。應用此修補程序前，請確保已啟動并正確配置了下列組件： Netlogon 和 DFS 服務已啟動。 域控制器具有讀取和應用域控制器策略的權限。 在 Sysvol 共享上正確設置了 NTFS 文件系統(tǒng)權限和共享權限。 DNS 項對于域控制器正確。 解決方案:Windows Server 2003 Service Pack 信息 要解決此問題，請獲取 Windows Server 2003 的最新 Service Pack。有關更多信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章： url=/kb/url如何獲取 Windows Server 2003 的最新 Service Pack注意：安裝 Service Pack 后，您仍然必須按照“注冊表信息”一節(jié)中所述的過程操作。注冊表信息:警告：如果使用注冊表編輯器或其他方法錯誤地修改了注冊表，則可能會出現(xiàn)嚴重問題。這些問題可能需要重新安裝操作系統(tǒng)才能解決。Microsoft 不能保證可以解決這些問題。修改注冊表需要您自擔風險。注意：在 Windows Server 2003 中請按照下列步驟操作。應用此修補程序后，請按照下列步驟操作：1. 依次單擊“開始”、“運行”，在“打開”框中鍵入 regedit，然后單擊“確定”。2. 在注冊表編輯器中，找到下面的注冊表子項：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon3. 如果缺少“WaitForNetwork”項，則必須添加此項。為此，請按照下列步驟操作： a. 右鍵單擊“Winlogon”子項，單擊“新建”，然后單擊“DWORD 值”。 b. 在“數(shù)值名稱”框中，鍵入 WaitForNetwork。 4. 右鍵單擊“WaitForNetwork”，然后單擊“修改”。5. 在“編輯 DWORD 值”對話框的“數(shù)值數(shù)據”框中鍵入 1，然后單擊“確定”。6. 退出注冊表編輯器。注冊表內做如上添加之后，重啟DC1和DC2，執(zhí)行GPUPDATE /FORCE命令強制刷新組策略事件日志中出現(xiàn)ID1704，提示說組策略被成功應用解決方法三：* 在一本書中發(fā)現(xiàn)AD在應用組策略時在基于Distribute File System（DFS）服務進行查找的，并且相關的一些數(shù)據被保存在AD數(shù)據庫當中。當即查看server上的DFS服務，是啟動的，做如下操作：1.安裝windows