Windows Server 2016 + CIS 安全基准：GP 对象上“拒绝访问”，锁定所有共享（包括 SYSVOL）

我们有一个 Active Directory 域，域控制器上装有 Windows Server 2016，所有客户端上都装有最新的 Windows 10。不久前，我开始通过组策略在域上部署互联网安全中心 (CIS) 1 级安全基准：默认域策略中的 Windows 10 基准，默认控制器策略中基于 Windows Server 2012 R2 文档（目前还没有 2016 年的文档）进行覆盖。我以前因粗心大意地强化 Windows 而吃过苦头，所以这次我逐一检查了所有设置，打开相关文档并检查任何不熟悉的选项的影响。它运行良好 - 直到今天，我终于把事情搞砸了。症状如下

1. 在组策略管理中左键单击任何 GPO 都会显示“拒绝访问”错误框。但我仍然可以检查和操作对象属性，包括更改 GPO 状态；
2. 打开其中一个 GPO 进行编辑时再次显示“访问被拒绝”，尽管是在不同的框中，并且当编辑器启动时可见的树条目用红色 X 标记；
3. 回到组策略管理，如果我转到 GPO 的“详细信息”选项卡，我只能看到其 AD 版本。sysvol 中的版本被描述为不可用；
4. 最后，当我跑步时gpupdate /force在任何域计算机（包括 DC 本身）上，我都会收到如下错误：

组策略处理失败。Windows 尝试从域控制器读取文件 \contoso.com\sysvol\contoso.com\Policies{foo}\gpt.ini，但未成功。在此事件解决之前，可能无法应用组策略设置。此问题可能是暂时的，可能由以下一个或多个原因导致：a) 当前域控制器的名称解析/网络连接。b) 文件复制服务延迟（在另一个域控制器上创建的文件未复制到当前域控制器）。c) 分布式文件系统 (DFS) 客户端已被禁用。

不幸的是，我刚刚意识到我忘了检查事件日志中的相应错误代码，但是如果我将资源管理器指向 \contoso.com\sysvol\（或者任何在该服务器上共享，在路径中使用主机名和域名）我被要求提供凭据，但尚未找到可用的凭据，我打赌再次出现“访问被拒绝”的情况。顺便说一句，通过 DC 上的本地路径访问 sysvol 工作正常。

简而言之，至少后两种症状强烈表明我已成功将自己锁定在 SYSVOL 共享之外；不知道前两种症状是否也是由此引起的。顺便提一下，将域控制器重新启动到 DSRM 然后恢复正常模式后，一切工作了大约 10 分钟。

现在，我已经获得了最新的备份，因此我只需恢复到上次的工作状态即可。但是，我真正想要的是 a) 了解究竟哪些设置可能导致了这个问题（否则我可能很快会再次遇到同样的问题），以及 b) 弄清楚如何让我的域在所有强化措施到位的情况下工作（CIS 1 级基准测试是基线，它们不应该对功能产生太大影响...）。哦，还有 c）我是否仍然可以使用当前配置做任何事情。

有谁有强化 Windows 的经验，或者专门应用 CIS 基准测试的经验，可以给我一些建议吗？如果可以的话，提前谢谢您了！

更新：似乎我能够禁用有问题的策略，但无法撤消 SYSVOL 锁定。使用 secedit 将本地安全策略重置为默认值也无济于事，可能是因为该过程生成了所有“访问被拒绝”警告。

顺便说一句，我注意到一件有趣的事情是，如果我从以提升的权限启动的 PowerShell 提示符在 DC 上运行“net share SYSVOL”，它确实会返回预期的信息（与从正常提示符运行不同，它会给出 - 你猜对了！ - “访问被拒绝”）。