此域控制器上一个或多个 GPO 的 sysvol 权限与基线域上的 GPO 的权限不同步

此域控制器上一个或多个 GPO 的 sysvol 权限与基线域上的 GPO 的权限不同步

我最近安装了第二个域控制器,除了组策略之外,所有复制似乎都运行良好 - 在 Windows 2012r2 中,通过新的组策略管理,当我单击“立即检测”时,结果显示 ACL 与基线域不同步...

环境:

DC1:Windows 2008 R2;DC2:Windows 2012 R2;林和域功能级别:Windows 2003;复制类型:FRS;

我已经运行了 dcdiag,查看了事件日志、repadmin /showrepl 等,一切似乎都很好,但组策略无法同步...我已经检查了两个 DC 中的 sysvol ACL,它们似乎具有相同的权限...此外,组策略中央存储已正确复制(即 sysvol)...

我发现其他人也有这个问题http://sysadminconcombre.blogspot.com.au/2014/06/microsoft-dfs-r-problem-sysvol.html并采取了重启 DFSR 的措施……但我有 FRS,因为 DFL 是 2003 年的 :(

我的问题是,有没有办法在不迁移到 DFSR 的情况下解决这个问题,或者我应该先移动到 DFSR?... 一切都表明,如果复制不能“完美”运行,我不应该从 FRS 移动到 DFSR...

欢迎提出任何建议:)

答案1

更新:我设法通过在两个服务器上手动应用策略的 sysvol ACL 来解决这个问题...出于某种原因,我不得不将 domain\administrators 组添加为 sysvol\policies 下每个策略的完全控制,然后它才能同步....现在一切都正常了,稍后当我们可以升级 DFL 时,我会考虑迁移到 DFRS,谢谢

其他人是否也看到了这个问题 - 如果您只有一两个策略,则可能更快地备份设置,将其全部删除,然后再次添加它们,这样会具有相同的效果。

答案2

当本地计算机上的 GPO 已更改但尚未完成向其他参与域控制器的复制事件时,就会发生这种情况。您可以强制复制到林中的其他 DC“Get-ADDomainController -Filter * | %{repadmin /syncall /edjQSA $_.hostname}”或只需等待 15-20 分钟并刷新 GPMC。这是设计使然,通常会在下一个复制周期中自行解决。

答案3

使用 Detect Now 时,我遇到了同样的问题。每次我更改 GPO 上的安全过滤时,sysvol 的 ACL 都会显示有问题。在一个 DC 上,sysvol 中的策略有权限更改,但在另一个 DC 上没有。这种情况持续了一个多小时。然后,当我第二天上班时,一切都很好。就我而言,似乎复制权限需要很长时间,但新的 GPO 在创建时会立即复制。

在我的测试域中只有少数 GPO(我的真实域有很多),当我立即检测时,我收到相同的错误;但是,当我关闭并重新打开 GPMC 时,一切都恢复正常。

答案4

我的环境也遇到了类似的问题,只是发现 ACL 仅在非常旧的 GPO(超过 10 年)上显示为错误。我只是删除了它们,因为它们不再使用,现在所有服务器都同步显示。这让我觉得这不会帮助我解决机器 GPO 无法应用于机器的问题,但让我们拭目以待!祝你好运!

相关内容