作者 主題: active directory不能正常啟動,群組原則的權限不足  (閱讀 10757 次)

0 會員 與 1 訪客 正在閱讀本文。

dreamjiang

  • 可愛的小學生
  • *
  • 文章數: 21
    • 檢視個人資料
請問各位一個問題,很急的,研究了三天還沒有搞定,處於極度郁悶中.....
問題如下:在windows2003中利用active directory設置了“群組原則”,並對原則進行了權限設置,修改後發現active directory不能再正常的使用了。於是運行rsop.msc,提示錯誤訊息:

群組原則基礎結構 失敗,因為下列錯誤。
資料不正確。

注意事項: 因為 GP 核心失敗,並未處理其他群組原則元件的原則。所以其他元件的狀態資訊無法使用。
其他資料:
Windows 無法存取 Active Directory 中的物件 DC=abc,DC=sh。存取這個物件可能會被拒絕。群組原則處理已中止。

Windows 無法查詢群組原則物件的清單。請檢查可能訊息的事件日誌,這些訊息是先前由描述此現象原因的原則引擎所記錄的。


注:原系統未進行system status的備份,所以無法恢復system status。
請問應該如何去解決(除了重裝系統外)?多謝大家。

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
1.開啟 adsiedt.msc
2.檢查 Configuration、Domain、Schema等權限
3.執行MPSRPT_DirSvc來查詢詳細的錯誤訊息

dreamjiang

  • 可愛的小學生
  • *
  • 文章數: 21
    • 檢視個人資料
當我檢查 Configuration、Domain、Schema等權限的時候,雙擊Domain時出現“從取記憶體中找不到目錄的內容”的錯誤信息。
打開AD時,出現“找不到命名資訊,原因:指定的目錄服務屬性或服務值不存在。
通地MMC來編輯群組原則時,提示:無法查詢連結到這個容器的群組原則物件的清單。詳細資料:指定的目錄服務屬性或服務值不存在。

dreamjiang

  • 可愛的小學生
  • *
  • 文章數: 21
    • 檢視個人資料
我執行dcdiag /s:livead /a時,出現如下信息(在如下信息中有多項是failed),請問如何解決?多謝了!

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests
   
   Testing server: Default-First-Site-Name\LIVEAD
      Starting test: Connectivity
         ......................... LIVEAD passed test Connectivity

Doing primary tests
   
   Testing server: Default-First-Site-Name\LIVEAD
      Starting test: Replications
         [Replications Check,LIVEAD] DsReplicaGetInfo(NEIGHBORS,DC=abc,DC=com) failed with error 8453,
         複寫存取被拒。.
         ......................... LIVEAD failed test Replications
      Starting test: NCSecDesc
         Fatal Error: Cannot retrieve SID
         ......................... LIVEAD failed test NCSecDesc
      Starting test: NetLogons
         ......................... LIVEAD passed test NetLogons
      Starting test: Advertising
         ......................... LIVEAD passed test Advertising
      Starting test: KnowsOfRoleHolders
         Warning: LIVEAD could not resolve the name for role
         PDC Owner.
         The name error was Not Found.
         Warning: LIVEAD could not resolve the name for role
         Rid Owner.
         The name error was Not Found.
         Warning: LIVEAD could not resolve the name for role
         Infrastructure Update Owner.
         The name error was Not Found.
         ......................... LIVEAD failed test KnowsOfRoleHolders
      Starting test: RidManager
         The "RID manager reference" could not be found for domain DN

         DC=abc,DC=com. The lack of a RID manager reference indicates that

         the Security Accounts Manager has not been able to obtain a pool of

         RIDs for this machine. The Directory will not allow Netlogon to

         advertise this machine until the system has been able to obtain a RID

         pool. Please verify that this system can replicate with other members

         of the enterprise. Failure to replicate with the RID FSMO owner can

         prevent a system from obtaining a RID Pool.
         Warning: attribute FSMORoleOwner missing from (null)
         ......................... LIVEAD failed test RidManager
      Starting test: MachineAccount
         ......................... LIVEAD passed test MachineAccount
      Starting test: Services
         Warning: Could not verify whether this server has any SMTP replica

         links and therefore will not check for services required for SMTP

         replication.
         ......................... LIVEAD passed test Services
      Starting test: ObjectsReplicated
         ......................... LIVEAD passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... LIVEAD passed test frssysvol
      Starting test: frsevent
         ......................... LIVEAD passed test frsevent
      Starting test: kccevent
         ......................... LIVEAD passed test kccevent
      Starting test: systemlog
         ......................... LIVEAD passed test systemlog
      Starting test: VerifyReferences
         ......................... LIVEAD passed test VerifyReferences
   
   Running partition tests on : ForestDnabcones
      Starting test: CrossRefValidation
         ......................... ForestDnabcones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... ForestDnabcones passed test CheckSDRefDom
   
   Running partition tests on : DomainDnabcones
      Starting test: CrossRefValidation
         ......................... DomainDnabcones passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DomainDnabcones passed test CheckSDRefDom
   
   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom
   
   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom
   
   Running partition tests on : abc
      Starting test: CrossRefValidation
         ......................... abc passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... abc passed test CheckSDRefDom
   
   Running enterprise tests on : abc.com
      Starting test: Intersite
         ......................... abc.com passed test Intersite
      Starting test: FsmoCheck
         ......................... abc.com passed test FsmoCheck

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
引述: "dreamjiang"
當我檢查 Configuration、Domain、Schema等權限的時候,雙擊Domain時出現“從取記憶體中找不到目錄的內容”的錯誤信息。
打開AD時,出現“找不到命名資訊,原因:指定的目錄服務屬性或服務值不存在。
通地MMC來編輯群組原則時,提示:無法查詢連結到這個容器的群組原則物件的清單。詳細資料:指定的目錄服務屬性或服務值不存在。


不用雙擊Domain,直接選取Domain的「內容」
檢查以下權限
Administrators[Replicating Directory Changes All][管理複寫拓樸][管理目錄變更][複寫同步處理]
Domain Admins[Replicating Directory Changes All][管理複寫拓樸][管理目錄變更][複寫同步處理]
Domain Controllers[Replicating Directory Changes All]
Enterprise Admins[Replicating Directory Changes All][管理複寫拓樸][管理目錄變更][複寫同步處理]
Enterprise Domain Controllers[管理複寫拓樸][管理目錄變更][複寫同步處理]

dreamjiang

  • 可愛的小學生
  • *
  • 文章數: 21
    • 檢視個人資料
首先感謝上樓的朋友的回復。
因為,點擊domain時,不會出現下面分支目錄,也就無法去執行相應目錄“內容”的設置,對於Configuration、Schema兩項存在下級分支目錄。出現AD不能正常使用的原因:主要是由於不小心將“群組原則”的許可權中的所有用戶及用戶組給刪除了,只保留了一個普通的用戶(tempuser).現在我執行ntdsutil,當執行到seize pdc時,出現如下的錯誤信息:
fsmo maintenance:seize pdc
在拿取前,嘗試PDC FSMO的安全轉移。
ldap_modify_sW 錯誤  0x32<50 <權利不足>。
Ldap 延伸錯誤訊息是 00002098: SecErr:DSID-03151CCD,problem 4003 <INSUFF_ACCESS_REGHTS>,data 0
傳回的Win32 錯誤是 0x2098<存取權限不足,無法執行操作。>
>
錯誤碼可能指出連線、ldap或功能轉移錯誤。
PDC FSMO 的轉移失敗,執行拿取中...
伺服器 “livead"知道5功能
架構--CN=NTDS Settings,CN=LIVEAD,CN=Servers,CN=Default-First-Site-Name,CN=Site,CN=Configuration,DC=abc,DC=com
網域--CN=NTDS Settings,CN=LIVEAD,CN=Servers,CN=Default-First-Site-Name,CN=Site,CN=Configuration,DC=abc,DC=com
找不到PDC角色的擁有者
找不到RID角色的擁有者
找不到基礎結構角色的擁有者

zoob

  • 鑽研的研究生
  • *****
  • 文章數: 776
    • 檢視個人資料
    • http://www.myunix.idv.tw
沒有備份Systen Status嗎?

由於你將所有權限均移除,故亦無法重新Initial Group Pollicy了

重灌吧

dreamjiang

  • 可愛的小學生
  • *
  • 文章數: 21
    • 檢視個人資料
做了一個system status,但是那個system status是很早時候備份的,超過恢復的時間限制(恢復時,備份的system status不能是60天以前的備份文件)