Коллеги помогите решить проблему.

Не могу открыть объект групповой политики Default Domain Policy все остальные нормально открываются.
При попытке редактирования появляется окошко http://forum.oszone.net/attachment.php?attachmentid=52325&stc=1&d=1286373976 закрываешь окно, открывается ммс консоль в которой ничего нет.

Нашел статью http://support.microsoft.com/kb/294257
Хоть по описанным симптомам у меня не так все выглядит, в частности
Примечание. Запрещенная политика отображается со значком блокнота, все остальные политики отображаются со значком папки.
рекомендации по поводу dsacls выполнил, но ничего не изменилось.

А началось все с того, что в журналах стали регистрироваться каждые 5 минут ероры

Event ID: 1001
Description:
Security policy cannot be propagated. Cannot access the template. Error code = -536870656.
\\domain.local\sysvol\domain.local\Policies\{6AC1786C-016F-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.


and


Event ID: 1096
Description:
Windows cannot access the registry policy file, \\domain.local\sysvol\domain.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol. (The data is invalid. )


{31B2F340-016D-11D2-945F-00C04FB984F9} это Default Domain Policy
{6AC1786C-016F-11D2-945F-00C04FB984F9} это Default Domain Controllers Policy

Уже и не понятно, что чему явилось причиной, а что следствием.
Помогите разрулить ситуацию.

А разрешения NTFS на указанные файлы не проверяли?

GPMC -
смотри разрешения на политики...
если там не будет нормальных групп и пользователей, а будут записи типа:
имя - набор цифр и букв, значок - белая голова с красным вопросом.

Это говорит о том, что ранее была группа или пользователь, а теперь их нет или к ним утерян доступ.
(почему это уже другой вопрос)...
отпишись если так - расскажу что надо делать...
просто это долгая песня

А разрешения NTFS на указанные файлы не проверяли? »
Это всё в норме. Стоит Group Policy Management там даже если что-то не так с правами на NTFS, GPM говорит, что права не те установлены и надобно сменить на необходимые.

GPMC -
смотри разрешения на политики...
если там не будет нормальных групп и пользователей, а будут записи типа:
имя - набор цифр и букв, значок - белая голова с красным вопросом. »

С этим тоже всё гуд.

Default Group Policy objects become corrupted: disaster recovery (http://technet.microsoft.com/en-us/library/cc739095(WS.10).aspx)

Запустил Dcgpofix без параметров, на сколько понял можно заускать без параметров.
Увидел следующее.
Unable to read EFS certificates from Registry.pol file of Default Domain Policy.
The error was
Unspecified error
The restore failed. See previous messages for more details

Security policy cannot be propagated. Cannot access the template. Error code = -536870656.
\\domain.local\sysvol\domain.local\Policies\{6AC1786C-016F-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
Применительно к INF-файлам код ошибки -536870656 (0xe0000100) означает ERROR_WRONG_INF_STYLE, что в файле GptTmpl.inf у вас, в какой кодировке?

И в папке {31B2F340-016D-11D2-945F-00C04FB984F9} тоже проверьте.

Резервный DC есть?
Еще результаты Dcdiag выложите.

Far говорит, файлы в кодировке DOS

Резервный DC был, я его понизил до уровня рядового.

Результаты Dcdiag

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SERV-DC
Starting test: Connectivity
......................... SERV-DC passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERV-DC
Starting test: Replications
......................... SERV-DC passed test Replications
Starting test: NCSecDesc
......................... SERV-DC passed test NCSecDesc
Starting test: NetLogons
......................... SERV-DC passed test NetLogons
Starting test: Advertising
......................... SERV-DC passed test Advertising
Starting test: KnowsOfRoleHolders
......................... SERV-DC passed test KnowsOfRoleHolders
Starting test: RidManager
......................... SERV-DC passed test RidManager
Starting test: MachineAccount
......................... SERV-DC passed test MachineAccount
Starting test: Services
......................... SERV-DC passed test Services
Starting test: ObjectsReplicated
......................... SERV-DC passed test ObjectsReplicated
Starting test: frssysvol
......................... SERV-DC passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may cause

Group Policy problems.
......................... SERV-DC failed test frsevent
Starting test: kccevent
......................... SERV-DC passed test kccevent
Starting test: systemlog
......................... SERV-DC passed test systemlog
Starting test: VerifyReferences
......................... SERV-DC passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : DOMEN
Starting test: CrossRefValidation
......................... DOMEN passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... DOMEN passed test CheckSDRefDom

Running enterprise tests on : DOMEN.local
Starting test: Intersite
......................... DOMEN.local passed test Intersite
Starting test: FsmoCheck
......................... DOMEN.local passed test FsmoCheck

Far говорит, файлы в кодировке DOS
Странно, вроде по умолчанию кодировка Unicode.
А внутри что?

В статье KB324800 (http://support.microsoft.com/kb/324800) описана процедура редактирования GptTmpl.inf

SERV-DC failed test frsevent
Учитывая, что у вас только один DC, вряд ли это имеет значение (но на всякий случай KB327341 (http://support.microsoft.com/kb/327341/ru)).

А внутри что? »

козявки какие-то, файлы повреждены.


В статье KB324800 описана процедура редактирования Gpttmpl.inf »
В статье описано редактирования Domain Policy, а к Domain Controllers Policy можно применить данную процедуру?

Проблема решилась следующим образом.
Откопал бекап развернул его в альтернативное место, заменил требуемые файлы, изменил значение version в gpt.ini, выполнил GPUpdate /Force и данные проблемы решились.