На одном из компьютеров перестали применяться новые параметры групповых политик. Для диагностики я вручную обновил параметров GPO с помощью команды
gpupdate /force
и увидел такую ошибку в консоли:
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки: Ошибка при обработке групповой политики. Windows не удалось применить основанные на данных реестра параметры политики для объекта групповой политики "LocalGPO". Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку, содержатся в подробностях об этом событии.
Computer policy could not be updated successfully. The following errors were encountered: The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LocalGPO. Group Policy settings will not be resolved until this event is resolved. View the event details for more information on the file name and path that caused the failure.
При этом в журнале System появляется событие с EvetID 1096 с тем же описанием (The processing of Group Policy failed):
Log Name: System Source: Microsoft-Windows-GroupPolicy Event ID: 1096 Level: Error User: SYSTEM
Если попробовать выполнить диагностику применения GPO с помощью команды gpresult (
gpresult.exe /h c:temptgpresultreport.html
), видно что не применяется только настройки из раздела Group Policy Registry —
Failed
:
Registry failed due to the following error listed below. Additional information may have been logged. Review the Policy Events tab in the console or the application event log.
Получается, что к компьютеру не применяются только GPO с настройками клиентских расширений групповых политик CSE (client-side extension), которые отвечают за управление ключами реестра через GPO.
Расширение Registry client-side не смогло прочитать файл registry.pol. Скорее всего файл это поврежден (рекомендуем проверить файловую систему на ошибки с помощью chkdsk). Чтобы пересоздать этот файл, перейдите в каталог c:WindowsSystem32GroupPolicyMachine и переименуйте его в registry.bak.
Можно переименовать файл из командой строки:
cd "C:WindowsSystem32GroupPolicyMachine"
ren registry.pol registry.bak
Обновите настройки групповых политик командой:
gpupdate /force
Windows должна пересоздать файл registry.pol (настройки локальных GPO будут сброшены) и успешно применить все настройки GPO.
Если в журнале вы видите событие Event ID 1096 (
The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LDAP://
) c ErrorCode 13 и описанием “
The data is invalid
”, значит проблема связана с доменной GPO, указанной в ошибке.
Скопируйте GUID политики и найдите имя GPO с помощь команды PowerShell:
Get-GPO -Guid 19022B70-0025-470E-BE99-8348E6E606C7
- Запустите консоль управления доменными GPO (gpmc.msc) и проверьте, что политика существует;
- Проверьте, что в каталоге SYSVOL политики есть файлы registry.pol и gpt.ini и они доступны на чтение (проверьте NTFS права);
- Проверьте, что версия политики на разных контроллерах домена одинакова (проверьте корректность работы домена и репликации в AD);
- Удалите файлы GPO в SYSVOL на контроллере домена, с которого получает политику клиент (
$env:LOGONSERVER
), и дождитесь ее репликации с соседнего DC - Если предыдущие способы не помогут, пересоздайте GPO или восстановите ее из бэкапа.
Как тут разобраться что не так?
политика такая есть, права настроены все стандартно, в сети есть еще пару серверов они работают прекрасно.
Собственно само предупреждение
Windows не удалось применить параметры «Group Policy Registry». Параметры «Group
Policy Registry» могут иметь свой собственный файл журнала. Щелкните ссылку «До
полнительные сведения».
Чтобы получить дополнительные сведения, просмотрите журнал событий или запустите
GPRESULT /H GPReport.html из командной строки для просмотра сведений о результа
тах групповой политики.
Кусок из файла report
Состояние компонента Имя компонента Состояние Время последней обработки Инфраструктура групповой политики Успешно 19.11.2012 14:07:37 Audit Policy Configuration Успешно 19.11.2012 14:07:37 Group Policy Registry Неудачно 19.11.2012 14:07:37 Group Policy Registry не удалось выполнить из-за указанной ниже ошибки. Системе не удается найти указанный путь. Возможно, в журнал были записаны дополнительные сведения. Откройте в журнале событий консоли или приложений вкладку событий политики и просмотрите события, записанные с 19.11.2012 14:07:37 по 19.11.2012 14:07:37. Security Успешно 19.11.2012 14:07:37 Реестр Успешно 19.11.2012 14:07:36
TRACE
2012-11-19 16:50:46.308 [pid=0x388,tid=0xf5c] Entering ProcessGroupPolicyExRegistry()
2012-11-19 16:50:46.437 [pid=0x388,tid=0xf5c] SOFTWAREPoliciesMicrosoftWindowsGroup Policy{B087BE9D-ED37-454f-AF9C-04291E351182}
2012-11-19 16:50:46.441 [pid=0x388,tid=0xf5c] BackgroundPriorityLevel ( 0 )
2012-11-19 16:50:46.444 [pid=0x388,tid=0xf5c] DisableRSoP ( 0 )
2012-11-19 16:50:46.448 [pid=0x388,tid=0xf5c] LogLevel ( 2 )
2012-11-19 16:50:46.451 [pid=0x388,tid=0xf5c] Command subsystem initialized. [SUCCEEDED(S_FALSE)]
2012-11-19 16:50:46.502 [pid=0x388,tid=0xf5c] Background priority set to 0 (Idle).
2012-11-19 16:50:46.505 [pid=0x388,tid=0xf5c] —— Parameters
2012-11-19 16:50:46.507 [pid=0x388,tid=0xf5c] CSE GUID : {B087BE9D-ED37-454f-AF9C-04291E351182}
2012-11-19 16:50:46.510 [pid=0x388,tid=0xf5c] Flags : ( X ) GPO_INFO_FLAG_MACHINE — Apply machine policy rather than user policy
2012-11-19 16:50:46.514 [pid=0x388,tid=0xf5c] ( X ) GPO_INFO_FLAG_BACKGROUND — Background refresh of policy (ok to do slow stuff)
2012-11-19 16:50:46.517 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_SLOWLINK — Policy is being applied across a slow link
2012-11-19 16:50:46.530 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_VERBOSE — Verbose output to the eventlog
2012-11-19 16:50:46.533 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_NOCHANGES — No changes were detected to the Group Policy Objects
2012-11-19 16:50:46.536 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_LINKTRANSITION — A change in link speed was detected between previous policy application and current policy application
2012-11-19 16:50:46.539 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_LOGRSOP_TRANSITION — A change in RSoP logging was detected between the application of the previous policy and the application of the current policy.
2012-11-19 16:50:46.542 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_FORCED_REFRESH — Forced Refresh is being applied. redo policies.
2012-11-19 16:50:46.546 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_SAFEMODE_BOOT — windows safe mode boot flag
2012-11-19 16:50:46.549 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_ASYNC_FOREGROUND — Asynchronous foreground refresh of policy
2012-11-19 16:50:46.553 [pid=0x388,tid=0xf5c] Token (computer or user SID): S-1-5-18
2012-11-19 16:50:46.558 [pid=0x388,tid=0xf5c] Abort Flag : Yes (0x01cbd380)
2012-11-19 16:50:46.563 [pid=0x388,tid=0xf5c] HKey Root : Yes (0x80000002)
2012-11-19 16:50:46.568 [pid=0x388,tid=0xf5c] Deleted GPO List : No
2012-11-19 16:50:46.573 [pid=0x388,tid=0xf5c] Changed GPO List : Yes
2012-11-19 16:50:46.577 [pid=0x388,tid=0xf5c] Asynchronous Processing : Yes
2012-11-19 16:50:46.582 [pid=0x388,tid=0xf5c] Status Callback : No (0x00000000)
2012-11-19 16:50:46.587 [pid=0x388,tid=0xf5c] WMI namespace : Yes (0x044f9840)
2012-11-19 16:50:46.590 [pid=0x388,tid=0xf5c] RSoP Status : Yes (0x05f3e9a8)
2012-11-19 16:50:46.594 [pid=0x388,tid=0xf5c] Planning Mode Site : (none)
2012-11-19 16:50:46.599 [pid=0x388,tid=0xf5c] Computer Target : No (0x00000000)
2012-11-19 16:50:46.604 [pid=0x388,tid=0xf5c] User Target : No (0x00000000)
2012-11-19 16:50:46.609 [pid=0x388,tid=0xf5c] Calculated list relevance. [SUCCEEDED(S_FALSE)]
2012-11-19 16:50:46.614 [pid=0x388,tid=0xf5c] —— Changed — 0
2012-11-19 16:50:46.619 [pid=0x388,tid=0xf5c] Options : ( ) GPO_FLAG_DISABLE — This GPO is disabled.
2012-11-19 16:50:46.624 [pid=0x388,tid=0xf5c] ( ) GPO_FLAG_FORCE — Do not override the settings in this GPO with settings in a subsequent GPO.
2012-11-19 16:50:46.629 [pid=0x388,tid=0xf5c] Options (raw) : 0x00000000
2012-11-19 16:50:46.633 [pid=0x388,tid=0xf5c] Version : 3473614 (0x003500ce)
2012-11-19 16:50:46.638 [pid=0x388,tid=0xf5c] GPC : LDAP://CN=Machine,cn={31B2F340-016D-11D2-945F-00C04FB984F9},cn=policies,cn=system,DC=domain,DC=ru
2012-11-19 16:50:46.643 [pid=0x388,tid=0xf5c] GPT : \domain.rusysvoldomain.ruPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}Machine
2012-11-19 16:50:46.648 [pid=0x388,tid=0xf5c] GPO Display Name : Default Domain Policy
2012-11-19 16:50:46.653 [pid=0x388,tid=0xf5c] GPO Name : {31B2F340-016D-11D2-945F-00C04FB984F9}
2012-11-19 16:50:46.657 [pid=0x388,tid=0xf5c] GPO Link : ( ) GPLinkUnknown — No link information is available.
2012-11-19 16:50:46.662 [pid=0x388,tid=0xf5c] ( ) GPLinkMachine — The GPO is linked to a computer (local or remote).
2012-11-19 16:50:46.666 [pid=0x388,tid=0xf5c] ( ) GPLinkSite — The GPO is linked to a site.
2012-11-19 16:50:46.670 [pid=0x388,tid=0xf5c] ( X ) GPLinkDomain — The GPO is linked to a domain.
2012-11-19 16:50:46.674 [pid=0x388,tid=0xf5c] ( ) GPLinkOrganizationalUnit — The GPO is linked to an organizational unit.
2012-11-19 16:50:46.679 [pid=0x388,tid=0xf5c] ( ) GP Link Error
2012-11-19 16:50:46.683 [pid=0x388,tid=0xf5c] lParam : 0x00000000
2012-11-19 16:50:46.689 [pid=0x388,tid=0xf5c] Prev GPO : No
2012-11-19 16:50:46.694 [pid=0x388,tid=0xf5c] Next GPO : No
2012-11-19 16:50:46.699 [pid=0x388,tid=0xf5c] Extensions : [{00000000-0000-0000-0000-000000000000}{BEE07A6A-EC9F-4659-B8C9-0B1937907C83}][{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}{D02B1F72-3407-48AE-BA88-E8213C6761F1}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B087BE9D-ED37-454F-AF9C-04291E351182}{BEE07A6A-EC9F-4659-B8C9-0B1937907C83}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}][{F3CCC681-B74C-4060-9F26-CD84525DCA2A}{0F3F3735-573D-9804-99E4-AB2A69BA5FD4}]
2012-11-19 16:50:46.704 [pid=0x388,tid=0xf5c] lParam2 : 0x11213358
2012-11-19 16:50:46.708 [pid=0x388,tid=0xf5c] Link : LDAP://DC=domain,DC=ru
2012-11-19 16:50:46.713 [pid=0x388,tid=0xf5c] Completed get GPH path. [SUCCEEDED(S_FALSE)]
2012-11-19 16:50:46.717 [pid=0x388,tid=0xf5c] Completed remove GPH. [SUCCEEDED(S_FALSE)]
2012-11-19 16:50:46.723 [pid=0x388,tid=0xf5c] Failed to open file. [ hr = 0x80070003 «Системе не удается найти указанный путь.» ]
2012-11-19 16:50:46.727 [pid=0x388,tid=0xf5c] Error reading GPE XML data file. [ hr = 0x80070003 «Системе не удается найти указанный путь.» ]
2012-11-19 16:50:46.732 [pid=0x388,tid=0xf5c] Completed loading of package. [ hr = 0x80070003 «Системе не удается найти указанный путь.» ]
2012-11-19 16:50:46.738 [pid=0x388,tid=0xf5c] Completed apply GPO. [ hr = 0x80070003 «Системе не удается найти указанный путь.» ]
2012-11-19 16:50:46.745 [pid=0x388,tid=0xf5c] Leaving ProcessGroupPolicyExRegistry() returned 0x80070003
2012-11-19 16:50:51.718 [pid=0x388,tid=0xf5c] Entering ProcessGroupPolicyExRegistry()
2012-11-19 16:50:51.842 [pid=0x388,tid=0xf5c] SOFTWAREPoliciesMicrosoftWindowsGroup Policy{B087BE9D-ED37-454f-AF9C-04291E351182}
2012-11-19 16:50:51.963 [pid=0x388,tid=0xf5c] BackgroundPriorityLevel ( 0 )
2012-11-19 16:50:51.967 [pid=0x388,tid=0xf5c] DisableRSoP ( 0 )
2012-11-19 16:50:51.970 [pid=0x388,tid=0xf5c] LogLevel ( 2 )
2012-11-19 16:50:51.973 [pid=0x388,tid=0xf5c] Command subsystem initialized. [SUCCEEDED(S_FALSE)]
2012-11-19 16:50:52.022 [pid=0x388,tid=0xf5c] Background priority set to 0 (Idle).
2012-11-19 16:50:52.034 [pid=0x388,tid=0xf5c] —— Parameters
2012-11-19 16:50:52.038 [pid=0x388,tid=0xf5c] CSE GUID : {B087BE9D-ED37-454f-AF9C-04291E351182}
2012-11-19 16:50:52.041 [pid=0x388,tid=0xf5c] Flags : ( X ) GPO_INFO_FLAG_MACHINE — Apply machine policy rather than user policy
2012-11-19 16:50:52.044 [pid=0x388,tid=0xf5c] ( X ) GPO_INFO_FLAG_BACKGROUND — Background refresh of policy (ok to do slow stuff)
2012-11-19 16:50:52.047 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_SLOWLINK — Policy is being applied across a slow link
2012-11-19 16:50:52.050 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_VERBOSE — Verbose output to the eventlog
2012-11-19 16:50:52.054 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_NOCHANGES — No changes were detected to the Group Policy Objects
2012-11-19 16:50:52.057 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_LINKTRANSITION — A change in link speed was detected between previous policy application and current policy application
2012-11-19 16:50:52.059 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_LOGRSOP_TRANSITION — A change in RSoP logging was detected between the application of the previous policy and the application of the current policy.
2012-11-19 16:50:52.062 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_FORCED_REFRESH — Forced Refresh is being applied. redo policies.
2012-11-19 16:50:52.066 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_SAFEMODE_BOOT — windows safe mode boot flag
2012-11-19 16:50:52.069 [pid=0x388,tid=0xf5c] ( ) GPO_INFO_FLAG_ASYNC_FOREGROUND — Asynchronous foreground refresh of policy
2012-11-19 16:50:52.072 [pid=0x388,tid=0xf5c] Token (computer or user SID): S-1-5-18
2012-11-19 16:50:52.075 [pid=0x388,tid=0xf5c] Abort Flag : Yes (0x01cbd380)
2012-11-19 16:50:52.078 [pid=0x388,tid=0xf5c] HKey Root : Yes (0x80000002)
2012-11-19 16:50:52.082 [pid=0x388,tid=0xf5c] Deleted GPO List : No
2012-11-19 16:50:52.085 [pid=0x388,tid=0xf5c] Changed GPO List : Yes
2012-11-19 16:50:52.088 [pid=0x388,tid=0xf5c] Asynchronous Processing : Yes
2012-11-19 16:50:52.091 [pid=0x388,tid=0xf5c] Status Callback : No (0x00000000)
2012-11-19 16:50:52.094 [pid=0x388,tid=0xf5c] WMI namespace : Yes (0x04b51120)
2012-11-19 16:50:52.098 [pid=0x388,tid=0xf5c] RSoP Status : Yes (0x05f3e9a8)
2012-11-19 16:50:52.100 [pid=0x388,tid=0xf5c] Planning Mode Site : (none)
2012-11-19 16:50:52.103 [pid=0x388,tid=0xf5c] Computer Target : No (0x00000000)
2012-11-19 16:50:52.107 [pid=0x388,tid=0xf5c] User Target : No (0x00000000)
2012-11-19 16:50:52.110 [pid=0x388,tid=0xf5c] Calculated list relevance. [SUCCEEDED(S_FALSE)]
2012-11-19 16:50:52.114 [pid=0x388,tid=0xf5c] —— Changed — 0
2012-11-19 16:50:52.117 [pid=0x388,tid=0xf5c] Options : ( ) GPO_FLAG_DISABLE — This GPO is disabled.
2012-11-19 16:50:52.120 [pid=0x388,tid=0xf5c] ( ) GPO_FLAG_FORCE — Do not override the settings in this GPO with settings in a subsequent GPO.
2012-11-19 16:50:52.123 [pid=0x388,tid=0xf5c] Options (raw) : 0x00000000
2012-11-19 16:50:52.126 [pid=0x388,tid=0xf5c] Version : 3473614 (0x003500ce)
2012-11-19 16:50:52.130 [pid=0x388,tid=0xf5c] GPC : LDAP://CN=Machine,cn={31B2F340-016D-11D2-945F-00C04FB984F9},cn=policies,cn=system,DC=domain,DC=ru
2012-11-19 16:50:52.133 [pid=0x388,tid=0xf5c] GPT : \domain.rusysvoldomain.ruPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}Machine
2012-11-19 16:50:52.136 [pid=0x388,tid=0xf5c] GPO Display Name : Default Domain Policy
2012-11-19 16:50:52.140 [pid=0x388,tid=0xf5c] GPO Name : {31B2F340-016D-11D2-945F-00C04FB984F9}
2012-11-19 16:50:52.142 [pid=0x388,tid=0xf5c] GPO Link : ( ) GPLinkUnknown — No link information is available.
2012-11-19 16:50:52.145 [pid=0x388,tid=0xf5c] ( ) GPLinkMachine — The GPO is linked to a computer (local or remote).
2012-11-19 16:50:52.149 [pid=0x388,tid=0xf5c] ( ) GPLinkSite — The GPO is linked to a site.
2012-11-19 16:50:52.152 [pid=0x388,tid=0xf5c] ( X ) GPLinkDomain — The GPO is linked to a domain.
2012-11-19 16:50:52.155 [pid=0x388,tid=0xf5c] ( ) GPLinkOrganizationalUnit — The GPO is linked to an organizational unit.
2012-11-19 16:50:52.158 [pid=0x388,tid=0xf5c] ( ) GP Link Error
2012-11-19 16:50:52.161 [pid=0x388,tid=0xf5c] lParam : 0x00000000
2012-11-19 16:50:52.165 [pid=0x388,tid=0xf5c] Prev GPO : No
2012-11-19 16:50:52.168 [pid=0x388,tid=0xf5c] Next GPO : No
2012-11-19 16:50:52.171 [pid=0x388,tid=0xf5c] Extensions : [{00000000-0000-0000-0000-000000000000}{BEE07A6A-EC9F-4659-B8C9-0B1937907C83}][{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}{D02B1F72-3407-48AE-BA88-E8213C6761F1}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B087BE9D-ED37-454F-AF9C-04291E351182}{BEE07A6A-EC9F-4659-B8C9-0B1937907C83}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}][{F3CCC681-B74C-4060-9F26-CD84525DCA2A}{0F3F3735-573D-9804-99E4-AB2A69BA5FD4}]
2012-11-19 16:50:52.174 [pid=0x388,tid=0xf5c] lParam2 : 0x11213358
2012-11-19 16:50:52.177 [pid=0x388,tid=0xf5c] Link : LDAP://DC=domain,DC=ru
2012-11-19 16:50:52.181 [pid=0x388,tid=0xf5c] Completed get GPH path. [SUCCEEDED(S_FALSE)]
2012-11-19 16:50:52.184 [pid=0x388,tid=0xf5c] Completed remove GPH. [SUCCEEDED(S_FALSE)]
2012-11-19 16:50:52.188 [pid=0x388,tid=0xf5c] Failed to open file. [ hr = 0x80070003 «Системе не удается найти указанный путь.» ]
2012-11-19 16:50:52.191 [pid=0x388,tid=0xf5c] Error reading GPE XML data file. [ hr = 0x80070003 «Системе не удается найти указанный путь.» ]
2012-11-19 16:50:52.194 [pid=0x388,tid=0xf5c] Completed loading of package. [ hr = 0x80070003 «Системе не удается найти указанный путь.» ]
2012-11-19 16:50:52.199 [pid=0x388,tid=0xf5c] Completed apply GPO. [ hr = 0x80070003 «Системе не удается найти указанный путь.» ]
2012-11-19 16:50:52.205 [pid=0x388,tid=0xf5c] Leaving ProcessGroupPolicyExRegistry() returned 0x80070003
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки
При обновлении политики компьютера получаем сообщение об ошибке:
Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки: Ошибка при обработке групповой политики. Windows не удалось применить основанные на данных реестра параметры политики для объекта групповой политики "LocalGPO". Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку, содержатся в подробностях об этом событии. Чтобы диагностировать сбой, просмотрите журнал событий или запустите GPRESULT /H GPReport.html из командной строки для просмотра сведений о результатах групповой политики.
Удаляем файл
C:WindowsSystem32GroupPolicyMachineRegistry.pol
И запускаем
gpupdate /force
ещё раз
This entry was posted in Active Directory (AD), Windows. Bookmark the permalink.
- Remove From My Forums
-
Question
-
Hi,
Defined registry settings is not applied in the workstations. it gets applied in the different OU workstations. It does not get applied in particular OU machines
Windows failed to apply the group policy registry settings. group policy registry settings might have its own log file. Refer the below message from one of the workstation.
Please guide me which log file to be refreed in the workstation to check why the policy is not applied
Regards, Boopathi
All replies
-
Hi,
Try the following way, we try to start a Windows Service and we’ll probably want to set it to automatic to prevent the issue from coming back in the future.
Click on Run.
Type in Services.msc and click OK.
Scroll down and look for Netlogon, if the status is not Running, then that’s why you’re getting this issue.
Double-Click on Netlogon and change the Startup Type to
Automatic and click the Start button.
Once the service is running, click the OK button.
Now try running gpupdate or gpupdate /force again.For details we can refer to the article:
How To Fix Group Policy: Error Windows could not determine if the user and computer accounts are in the same forest
https://www.tecklyfe.com/how-to-fix-group-policy-error-windows-could-not-determine-if-the-user-and-computer-accounts-are-in-the-same-forest/Tip: This answer contains the content of a third-party website. Microsoft makes no representations about the content of these websites. We provide this content only for your convenience.
Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com. -
Hi,
Netlogon service is in started state and Automatic.
Regards, Boopathi
-
Hi,
Can we check the error code in the Event Viewer?
For details we can refer to the following article.
Event ID 1110 — Group Policy Preprocessing (Active Directory)
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc727342(v=ws.10)Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.-
Proposed as answer by
Thursday, December 20, 2018 1:03 AM
-
Proposed as answer by
-
Hi,
If this question has any update? Also, for the question, is there any other assistance we could provide?Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com. -
Hi,
Greetings!
Would you please tell me how things are going on your side. If you have any questions or concerns about the information I provided, please don’t hesitate to let us know.
Again thanks for your time and have a nice day!Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
- Remove From My Forums
-
Question
-
Hi,
Defined registry settings is not applied in the workstations. it gets applied in the different OU workstations. It does not get applied in particular OU machines
Windows failed to apply the group policy registry settings. group policy registry settings might have its own log file. Refer the below message from one of the workstation.
Please guide me which log file to be refreed in the workstation to check why the policy is not applied
Regards, Boopathi
All replies
-
Hi,
Try the following way, we try to start a Windows Service and we’ll probably want to set it to automatic to prevent the issue from coming back in the future.
Click on Run.
Type in Services.msc and click OK.
Scroll down and look for Netlogon, if the status is not Running, then that’s why you’re getting this issue.
Double-Click on Netlogon and change the Startup Type to
Automatic and click the Start button.
Once the service is running, click the OK button.
Now try running gpupdate or gpupdate /force again.For details we can refer to the article:
How To Fix Group Policy: Error Windows could not determine if the user and computer accounts are in the same forest
https://www.tecklyfe.com/how-to-fix-group-policy-error-windows-could-not-determine-if-the-user-and-computer-accounts-are-in-the-same-forest/Tip: This answer contains the content of a third-party website. Microsoft makes no representations about the content of these websites. We provide this content only for your convenience.
Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com. -
Hi,
Netlogon service is in started state and Automatic.
Regards, Boopathi
-
Hi,
Can we check the error code in the Event Viewer?
For details we can refer to the following article.
Event ID 1110 — Group Policy Preprocessing (Active Directory)
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc727342(v=ws.10)Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.-
Proposed as answer by
Thursday, December 20, 2018 1:03 AM
-
Proposed as answer by
-
Hi,
If this question has any update? Also, for the question, is there any other assistance we could provide?Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com. -
Hi,
Greetings!
Would you please tell me how things are going on your side. If you have any questions or concerns about the information I provided, please don’t hesitate to let us know.
Again thanks for your time and have a nice day!Best Regards,
Daisy Zhou
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact
tnmff@microsoft.com.
- Remove From My Forums
-
Question
-
Hi
I have an odd situation on a network where a few weeks ago the registry settings I push out to the network clients stopped applying. Having looked into this there were errors on the clients about being able to read the registry.pol file. I traced
this down to some domain replication errors which I believe I’ve fixed. repadmin /showrepl now reports all succesful. However, I was still getting the same problem with the clients not reading the registry.pol file. Therefore I renamed all
the registry.pol files under c:windowssysvoldomainpolicies on each DC (3 in total) thinking they would be recreated. However, 24 hours later this hasn’t happened despite editing some details in each policy and creating a brand new policy. There
are no registry.pol files on any DC any longer — just the renamed ones.Does anyone know how to reset the registry.pol files please so they get recreated based on the settings within the GPO? I’m running 2008/R2 DC by the way on two DC’s and SBS 2011 on one. All 3 had a different datetime stamp on their registry.pol
files and some servers had more files than the other so I renamed them all. The rest of the policies appear to applying OK — it’s just the registry settings part.Thanks in advance.
Andy Truelove
- Remove From My Forums
-
Question
-
Hi
I have an odd situation on a network where a few weeks ago the registry settings I push out to the network clients stopped applying. Having looked into this there were errors on the clients about being able to read the registry.pol file. I traced
this down to some domain replication errors which I believe I’ve fixed. repadmin /showrepl now reports all succesful. However, I was still getting the same problem with the clients not reading the registry.pol file. Therefore I renamed all
the registry.pol files under c:windowssysvoldomainpolicies on each DC (3 in total) thinking they would be recreated. However, 24 hours later this hasn’t happened despite editing some details in each policy and creating a brand new policy. There
are no registry.pol files on any DC any longer — just the renamed ones.Does anyone know how to reset the registry.pol files please so they get recreated based on the settings within the GPO? I’m running 2008/R2 DC by the way on two DC’s and SBS 2011 on one. All 3 had a different datetime stamp on their registry.pol
files and some servers had more files than the other so I renamed them all. The rest of the policies appear to applying OK — it’s just the registry settings part.Thanks in advance.
Andy Truelove
Обновлено 30.07.2021
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org, в прошлый раз я вам показал, как я делал досрочное погашение ипотеки Сбербанка, поделился свои жизненным опытом. Сегодня я хочу вас научить, как находить и диагностировать причины, по которым у вас может не применяться назначенная вами групповая политика к компьютеру или пользователю или целому организационному подразделению. Мы рассмотрим все этапы, через которые проходит происходит взаимодействие с GPO. Разберем утилиты, которыми должен владеть системный администратор в задачи которого входит создание и назначение политик. Уверен, что данный пост будет вам полезен и интересен.
За, что Active Directory от Microsoft получила такую популярность? Одним из ответов на данный вопрос, будет функционал групповой политики. Все администраторы, как и большинство современных людей, существа очень ленивые и любят, когда все централизованно управляется и по возможности автоматизированно. Именно объекты GPO, позволяют производить настройки десятков, сотен и тысяч компьютеров, из одного места и практически по всем направлениям, например добавление принтеров, скриптов входа, профилей WiFi и многое другое.
Очень частые ситуации, что системный администратор создал новую групповую политику, применил ее на нужный ему объект, но эффекта это не дало и нужно понять почему она не применилась и вот тут начинающие системные администраторы попадают в просак, не понимая, где и что нужно искать. Ниже мы с вами разберем алгоритм действий, который поможет вам найти причину и восстановить работу применения групповой политики на нужный объект.
К чему применяется групповая политика (GPO)
Первое, на что я хочу обратить внимание, это ответить, что делает групповая политика. Все мы прекрасно знаем, что операционная система Windows, это набор служб и ключей реестра. Все настройки, которые вы видите и меняете в графическом режиме, по сути меняют ключи реестра. Понимая, это сразу можно сделать вывод:
- что реестр есть как для объекта компьютер
- и реестр есть для объекта пользователь
Именно эту две сущности являются конечными объектами в политике GPO. В Active Directory объекты пользователей и компьютеров не лежат просто так, а располагаются в двух видах папок:
- Это контейнер — по сути простая папка, важно, что к ней нельзя применять объекты групповой политики.
- Второй тип, это организационные подразделения (OU) — это специальные папки для объединения объектов AD по принципам. Именно с OU связываются объекты групповой политики, для применения их к компьютерам и пользователям. Внешне контейнер отличается от организационной утилитой, тем что у OU, есть дополнительная лычка на значке, это показано на скриншоте.
Алгоритм устранения проблем с GPO
Предположим, что у меня есть групповая политика, которая применяется на организационное подразделение «Client Computers«. Политика называется «Управление UIPI». По какой-то причине пользователь жалуется, что она у него не применилась.
Из информации, об области действия групповой политики, первое на что нужно обратить свое внимание, это находится ли объект пользователя или компьютера по нужному пути. Сделать, это просто в оснастке «Управление групповой политикой» найдите вашу политику и посмотрите к каким OU она применяется, это видно на вкладке «Область (Scope)», ее еще называют областью действия политики. В моем случае, это путь root.pyatilistnik.org/Client Computers.
Так как Active Directory, это иерархическая структура, то одна OU можете быть часть дерева из других и сама включать в себя большое количество организационных подразделений. Поэтому если у вас есть вложенность, то просто зайдя в нужную OU вы можете сразу не найти нужный объект. В таком случае воспользуйтесь поиском по Active Directory. Например у меня есть рабочая станция с которой идут жалобы на применение объекта GPO. В поиске выбираем в поле «Найти» компьютеры и в имени указываем w10-cl01, после чего нажимаем «Найти». В результатах поиска вы получите выдачу. Щелкаем по нужному объекту и переходим в нем на вкладку «Объект», где смотрим «Каноническое имя объекта«, по сути это его путь расположения в Active Directory. Сравниваем его с тем, что получили из области применения групповой политики и делаем вывод, попадает объект под действие или нет.
Далее убедитесь, что у вас элементарно включена связь объекта групповой политики с нужным организационным подразделением. Для этого в оснастке управления GPO, щелкните правым кликом по нужной политике и в контекстном меню проверьте, что установлена галка «Связь включена«, ее так же можно проверить на вкладке «Область» в столбце «Связь задействована», должно стоять значение «да».
Следующим моментом необходимо проверить, что политика не отключена на определенный объект. Для этого перейдите на вкладку «Сведения» на нужной GPO. Нас интересует строка «Состояние GPO». По умолчанию там стоит значение «Включено«, означающее, что политика будет пытаться примениться заданные в ней настройки к обоим типам объектов (Пользователю и компьютеру). Но может быть выставлено значение:
- Параметры конфигурации компьютера отключены (Computer configuration settings disabled)
- Параметры конфигурации пользователя отключены (User configuration settings disabled)
- Все параметры отключены (All setting disabled) — запретит применение политики для любого объекта
Сделано, это для ускорения применения политики к объекты. Согласитесь, что если у вас в GPO настроены изменения только для пользователя, то нет смысла проверять политику для компьютера. Поэтому системные администраторы могут отключать это, но могут и ошибиться, выключив не тот объект
Выше я вам писал, что структура OU иерархическая, а это означает, что политика прилинкованная с вышестоящего организационного подразделения применяется на нижестоящее. Но вот если у нижестоящей OU отключено наследование сверху, то он не сможет применить данную политику. Проверяется очень просто, найдите нужную вам OU, щелкните по ней правым кликом и удостоверьтесь, что не стоит пункт «Блокировать наследование».
Он кстати будет иметь характерный значок с восклицательным знаком. Данный механизм создан специально, чтобы изолировать данную OU от ненужных политик GPO.
Проверка прав на политику
Объекты групповой политики, так же имеют свой ACL (лист доступа), это означает, что вы можете более тонко настраивать к каким объектам применяется данная политика. В редакторе «Управление групповой политикой» выберите ваш GPO. На вкладке «Область» найдите раздел «Фильтры безопасности«, он отображает к каким объектам применяется политика. Данный фильтр безопасности может включать объекты:
- Пользователь
- Компьютер
- Группа безопасности
По умолчанию тут прописана группа безопасности «Прошедшие проверку (Authenticated Users)». По умолчанию в данную группу входят все доменные пользователи и доменные компьютеры
Если у вас тут выставлена другая группа или отдельные записи, то убедитесь, что нужный объект состоит в данном ACL. Хочу отметить, что если даже нужный объект присутствует в списке фильтра безопасности, то это не означает, что политика к нему применяется и тут дело все в том, что в 2014 году Microsoft изменила принцип чтения политики, таким образом, что у вас в делегированном фильтре безопасности обязательно должна присутствовать группа «Компьютеры домена» или «Прошедшие проверку» у которой должны быть прав на чтение политики. Вся соль в том, что когда вы удаляете группу «Прошедшие проверку» из фильтра безопасности, она удаляется и из вкладки делегирование.
Чтобы параметры групповой политики для пользователя успешно применялись, она требует наличия у каждой учетной записи компьютера разрешения на считывание данных GPO из контроллера домена. Удаление группы «Прошедшие проверку» может предотвратить обработку групповых политик для пользователя. добавьте группу безопасности «Пользователи, прошедшие проверку подлинности» или «Компьютеры домена», у которой есть по крайней мере разрешение только для чтения (https://support.microsoft.com/en-us/kb/316622)
Поэтому перейдите на вкладку «Делегирование» и проверьте наличие любой из групп «Прошедшие проверку» или «Компьютеры домена» и, что есть права на чтение. Если групп нет, то добавьте любую из них. Для этого нажмите кнопку «Дополнительно», далее добавить и выберите «Прошедшие проверку».
Удостоверьтесь, что выставлена галка «Чтение».
Тут же убедитесь, что нет запретов на нужный вам объект, в моем примере, это W10-CL03. Если есть снимите.
Обратите внимание на группу «КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ (Enterprise Domain Controllers)» данная группа определяет, будет ли происходить репликация данной политики на другие контроллеры или нет, так что если политика отсутствует в папке SYSVOL на других контроллерах, то проверьте права у данной группы.
Еще одним механизмом фильтрации групповой политики, может выступать WMI фильтры. Если они есть и ваш объект не соответствует его требованиям, то вы не сможете применить политику. Посмотреть, это можно в соответствующем разделе. В моем примере есть WMI фильтр для ноутбуков, который не даст применения политики на стационарные компьютеры. Подробнее, о создании WMI фильтров и механизме проверки WMI фильтров, читайте по ссылкам. Ниже я покажу, как на конечном компьютере увидеть, что он не подошел из-за фильтрации GPO по WMI.
Инструменты диагностики групповой политики
Выше мы разобрали возможные места, где могла быть проблема, но по мимо них еще есть несколько инструментов, которые могут дать системному администратору информацию, о причинах, которые мешают применению GPO к нужному объекту.
Существуют три инструмента, которые вам покажут информацию, о применяемых политиках на объекты:
- Утилита командной строки gpresult
- Утилита rsop
- Моделирование групповой политики в оснастке gpmc.msc
- Результаты групповой политики
Диагностика GPO через gpresult
Gpresult первое средство, которое позволит системному администратору определить на каком этапе есть проблемы с выполнением GPO. Откройте на клиентском компьютере или ноутбуке командную строку от имени администратора и введите команду:
gpresult /r /scope:user (Для пользователя)
gpresult /r /scope:computer (Для компьютера)
Gpresult /r /z (Полный отчет)
Gpresult /r /z > c:gpresult.txt (Экспорт в файл)
В моем примере у меня есть политика для компьютера «Управление UIPI», поэтому я воспользуюсь gpresult для компьютера. Выполнив gpresult /r /scope:computer я вижу, что моя политика не применилась и числится в списке «Следующие политики GPO не были применены, так как они отфильтрованы». Фильтрация отказано в доступе (Безопасность). Из этого видно, что у компьютера просто нет прав на чтение политики.
Так же в логах Windows вы можете обнаружить событие с кодом ID 5313:
Код 5313: Следующие объекты групповой политики не были применены, так как они были отфильтрованы:
Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (безопасность)
А вот пример 5313, но с уже WMI фильтром:
Следующие объекты групповой политики не были применены, так как они были отфильтрованы:
Local Group Policy
Не применяется (пусто)
Управление UIPI
Отказано (фильтр WMI)
Я для исключаю его из запрета применения и пробую новую попытку применения политики. Я делаю для начала обновление групповой политики через gpupdate /force и затем снова выполняю команду gpresult /r /scope:computer, где теперь вижу, что политика не применилась из-за WMI фильтра. Теперь уже понятно куда копать.
Получение данных GPResult с удаленного компьютера GPResult /s server01 /r, поможет администратору или технической поддержке собрать диагностические данные. Аналогичные действия вы можете выполнять и для пользователя, тут все аналогично. Теперь воспользуемся утилитой RSOP. Откройте окно выполнить и введите rsop.msc.
Начнется сбор применяемых политик.
По результатам, у вас откроется окно результирующей политики. Похожее на то, где вы редактируете политику GPO. Тут вы можете перемещаться по веткам и смотреть текущие значения.
Но это не удобно и мы можем совместить две утилиты gpresult и Resultant Set of Policies (RSoP), получив выгодный симбиоз. В командной строке введите:
GPResult /h c:report.html /f
На выходе вы получите удобный html отчет, о всех примененных или отфильтрованных политиках. Открыв отчет, вы легко поймете ,какие политики были применены, а какие нет и можете сразу посмотреть значения настроек.
Результаты групповой политики
В оснастке GPMC есть возможность посмотреть какие политики применяются к нужному объекту групповой политики. Данный мастер называется «Результат моделирования групповой политики». Щелкаем по нему правым кликом и открываем мастер.
Выбираем нужный компьютер, к которому мы хотим проверить применение политики.
Если в момент добавления компьютера у вас выскочит ошибка «Сервер RPC-недоступен», то проверьте, что у вас запущена на нем служба WMI и в брандмауэре открыты порты для подключения к ней.
Так как я проверяю GPO для компьютера, то мне нет смысла отображать политику для пользователей.
Нажимаем далее. У вас появится отчет. Раскрыв его на вкладке «Сведения» вы увидите, какие политики применены, а какие нет.
Раскрыв подробнее политику, которая не смогла примениться, я вижу, что причиной всему был WMI фильтр.
Последним удобным инструментом диагностики и моделирования групповой политики, выступает функционал GPMC, под названием «Моделирование групповой политики«. В задачи которого входит проверка применения политики в существующей ситуации, так и просто тест без реальной прилинковки к OU, указав нужный объект. В оснастке GPMC выберите пункт «Моделирование групповой политикой» и щелкните по нему правым кликом, выбрав «Мастер моделирования групповой политики».
На первом шаге мастера моделирования групповой политики, будет простое уведомление, что к чему, нажимаем далее.
Далее вам будет предложен выбор, дабы указать нужный контроллер домена.
Теперь выбираем нужную OU, для которой мы будем тестировать групповую политику. Делается все через кнопку «Обзор». Я выбрал «Client Computers»
Нажимаем далее.
На следующем шаге мастера моделирования групповой политики, вам предоставят сэмулировать таки параметры:
- Медленное сетевое подключение, меньше 500 кб/с
- Обработка петлевого адреса (Замыкание групповой политики — loopbacl policy) — это опция когда вы применяете для OU в которой находятся компьютеры, например терминальные сервера, политики для пользователя. Делается это для того, чтобы политики применяемые к пользователю на его рабочей станции или другом сервере от тех, что в данной OU. Можете подробно почитать, что такое замыкание групповой политики.
- Выбор сайта.
Указываем в какой группе находится наш объект, к которому будет применяться политика.
далее вы можете применить любой из фильтров WMI, который вы хотите тестировать.
Нажимаем далее.
В итоге мы получаем результат моделирования групповой политики, тут можно посмотреть, что применилось, что нет.
На этом у меня все. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что статья оказалась полезной.
Я использую редактор групповой политики для настройки множества параметров в Windows 10. Недавно, когда я пытался открыть его из командной строки или напрямую через панель управления, я получил сообщение об ошибке:Не удалось открыть объект групповой политики на этом компьютере. Возможно, у вас нет соответствующих прав — неопределенная ошибка. Если вы получаете ту же ошибку, то вот как вы можете быстро исправить проблему и получить обратно доступ к редактору групповой политики.
Не удалось открыть объект групповой политики на этом компьютере
Сообщение было неожиданным, потому что я не изменил ничего, что могло бы привести к сообщению об ошибке. Когда я перешел к C: Windows System32 GroupPolicy, все политики остались нетронутыми, но редактор групповой политики не работал. Итак, вот что я сделал, чтобы решить эту проблему. Убедитесь, что у вашей учетной записи есть права администратора.
- Настройте Windows на отображение скрытых файлов и папок
- Перейдите к Групповая политика папка
- Выбирать Машина папку и нажмите F2, чтобы переименовать ее.
- Переименуйте Machine в Machine.old
- Он запросит разрешение администратора.
- Щелкните по кнопке «Продолжить».
- После переименования папки откройте редактор групповой политики, набрав gpedit.msc в строке «Выполнить» с последующим нажатием клавиши Enter.
- Редактор групповой политики запустится без проблем.
- Вернитесь к C: Windows System32 GroupPolicy папка, и вы должны увидеть новую папку Machine.
- Теперь любые изменения, которые вы сделаете, будут доступны в этой папке.
Есть еще один способ исправить это.
Вы можете удалить все файлы в папке Machine вместо ее переименования. Windows автоматически воссоздает необходимые файлы при перезапуске редактора политики.
Читать: Компьютерная политика не может быть обновлена успешно, Ошибка обработки групповой политики.
Причина ошибки Failed to Open Group Policy Object
Пройдя через форумы Microsoft и Technet, я заметил, что некоторые пользователи сообщают о том же, и один из них поделился информацией о повреждении Registry.pol с Идентификатор события 1096. В этом файле хранятся параметры политики на основе реестра, в том числе политики управления приложениями, административные шаблоны и многое другое. В средстве просмотра событий был журнал, указывающий на это повреждение. В описании говорилось:
Ошибка обработки групповой политики. Windows не может применить параметры политики на основе реестра для объекта групповой политики LocalGPO. Параметры групповой политики не будут разрешены, пока это событие не будет разрешено. Просмотрите сведения о событии, чтобы получить дополнительную информацию об имени файла и пути, вызвавшем сбой.
Он подтверждает отчет пользователя, и вы можете удалить файл Registry.pol, доступный в папке Machine, и снова запустить групповую политику.
Надеюсь, это поможет вам устранить ошибку.
Теперь прочтите: Как сбросить все параметры локальной групповой политики по умолчанию в Windows 10.
- Теги: Ошибки, групповая политика