Здравствуйте, господа. Необходима ваша помощь. Сам пока решить не могу, хотя перепробовал много всего.
Есть домен, 2 сервера w2ks. Неизвестно по какой причине вдруг пропала возможность редактировать параметры безопасности GPO любого уровня - доменные, OU, контроллеров домена. При сохранении дважды вылетает окно "Не удалось сохранить Не удалось сохранить sysvol\{путь}\SecEdit\GptTmpl.inf". В результате не могу назначить права для доступа к одному из компьютеров из сети, ну и вообще ничего не могу. Учетка Enterprise Admin, права на редактирование sysvol проверил - учетке полный доступ. Руками править файлы GptTmpl.inf могу, через mmc не дает. Подскажите, куда посмотреть. Любую доп. инфу предоставлю.

Вывод gpresult /s, кусок касательно параметров безопасности:
The computer received "Security" settings from these GPOs:

Revision Number: 5 (Active Directory) 5 (Sysvol)
Unique Name: Domain Name:
Linked to: Local computer

Default Domain Controllers Policy
Revision Number: 3 (Active Directory) 3 (Sysvol)
Unique Name: {6AC1786C-016F-11D2-945F-00C04fB984F9}
Domain Name: MYDOMAIN.LOCAL
Linked to: Organizational Unit (OU=Domain Controllers,DC=mydomain,DC=local)

Default Domain Policy
Revision Number: 5 (Active Directory) 5 (Sysvol)
Unique Name: {31B2F340-016D-11D2-945F-00C04FB984F9}
Domain Name: MYDOMAIN.LOCAL
Linked to: Domain (DC=mydomain,DC=local)




Добавлено:
В логах вот такое наблюдаю, хотя раньше не было:

Не удалось создать используемый по умолчанию объект групповой политики. Ошибка 80070020 при сохранении объекта групповой политики (GPO) Доменная политика восстановления EFS.


При созданиии нового GPO шаблоны безопасности не сохраняются с ошибкой "Не удалось сохранить..."
Сломал голову уже, подтолкните мыслью...

Какие еще ошибки есть в логах?
Что устанавливалось незадолго до этого?
Не удалось создать используемый по умолчанию объект групповой политики. Ошибка 80070020 при сохранении объекта групповой политики (GPO) Доменная политика восстановления EFS.
А какой код ошибки то собственно? По журналу?

Да, маловато информации. не Ваш случай? (http://www.petri.co.il/forums/showthread.php?p=27959#post27959)

Какие еще ошибки есть в логах?
Логи идеально чистые, кроме вот этой самой "ID 1002 SclgNtfy..." и далее по тексту. Больше ничего.
Ничего не устанавливалось и не удалялось, судя по логам.
Но. Есть практически уверенность, что недавно сбрасывалась Default Domain Policy со слов предыдущего коллеги (я приходящий админ), он сам не знал что творит, но по мануалу с microsoft.com пересоздал, похоже, политику домена по умолчанию. Вопрос фактически в следующем: как восстановить права на изменение политики по умолчанию? И почему руками я могу править файлы политик, а через оснастки сначала подвисает секунд на 10-20, потом выдаёт ошибку?
Да, маловато информации
Скажите, что необходимо уточнить. Понимаю, что сложновато диагностировать, просто не знаю, что еще выложить полезного в этом плане.
не Ваш случай?
Был, читал, с координатором транзакций у меня вроде проблем нет. На всякий случай сделал сброс. Не помогло.

"ID 1002 SclgNtfy..."
а все сообщение не судьба записать? здесь же не телепаты?
На www.eventid.net не заглядывали?

а все сообщение не судьба записать? здесь же не телепаты?
Да я вроде выше писал.
ID: 1002
Источник: SclgNtfy
Описание: Не удалось создать используемый по умолчанию объект групповой политики. Ошибка 80070020 при сохранении объекта групповой политики (GPO) Доменная политика восстановления EFS.
На www.eventid.net не заглядывали?
Заглядывал конечно, перерыл там всё, но у меня подписки нет, а касательно EFS там только одна ссылка, которую вроде нашел поиском на support.microsoft.com. Пока не помогло.

_Dzen_
Надо нажимать на ссылку Comments and links for event id 1002 from source SclgNtfy , и получим результат (http://eventid.net/display.asp?eventid=1002&eventno=1392&source=SclgNtfy&phase=1) , также не забываем Microsoft (http://search.microsoft.com/results.aspx?q=event+id+1002&l=1&mkt=en-US&FORM=QBMH1)

Надо нажимать на ссылку Comments and links for event id 1002 from source SclgNtfy , и получим результат
Спасибо, я знаю, как пользоваться eventid'ом. перерыл там всё
касательно EFS там только одна ссылка
is a more appropriate article than M257705 since it deals with "domain" EFS. However this article may have a typo in stating that you do not need CA to add EFS Recovery Agents.
Вобщем, если у кого вдруг появятся соображения - любые - буду признателен. Коллективный разум дал понять, что надо уходить в глубокую отладку =(

2 _Dzen_

а если попробовать (при условии что у вас не "крутятся" "критичные" для вашей организации политики ) восстановить Default Domain Policy по умолчанию??????
(утилита dcgpofix.exe)

RaZZoRRo
Применительно к w2ks этот инструмент называется RecreateDefPol.exe
С помощью него и попали в эту ситуацию, как я понял из объяснений. Сбрасывал политику повторно, не помогает.
В данный момент интересует механизм применения шаблонов безопасности. Почему руками можно править файлы политик, а через оснастку GPO нельзя? Мне кажется, в этом суть решения и есть. Кто бы прояснил...

дубль

Есть в политике параметр, кому можно редактировать GP, посмотрите его. А также интересно, кто имеет доступ на запись к файлам SYSVOLа (SYSTEM, кто из администраторов)
{путь} - проверили? может одна буковка не сходится? Предыдущий админ переименовал?
руками я могу править файлы политик - пробовали исправить и сохранить?
А предыдущий делал dcgpofix.exe или в том мануале с microsoft.com как-то по-другому? Тогда точно стоит прислушаться к раЗЗорро...

Все еще бьюсь, решил на характер одолеть непокорную софтину ;)
Инструмента dcgpofix.exe нет для w2k. А есть RecreateDefPol.exe, которая не помогает.

Gpotool выдает такое:
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Error: GPO on DC2.domain.local contains user data but version is 0
Error: GPO on DC1.domain.local contains user data but version is 0
Policy OK

Расшифруйте, плз, как поменять версию. По мануалам она не может быть равной 0. А вот как изменить, нигде не нашел...

Еще вот чего есть:

Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch

{7F636AA6-03E0-4278-BA73-87EDC1AAF101}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch



О чем говорят эти ошибки? Я подозреваю, что на двух контроллерах различные версии GPO, т.е. не реплицируются изменения в GPO. Тогда почему в логах чисто и dcdiag не выдает предупреждений? А если тупо синхронизировать папки sysvol на обоих контроллерах? Не обвалится ничего, интересно..?
Есть ли у кого способ побороть эту ошибку?

2 _Dzen_

а можно результат выполнения gptool /verbose

Domain: domain.local
Validating DCs...
DC2.domain.local: OK
DC1.domain.local: OK
Available DCs:
DC2.domain.local
DC1.domain.local
Searching for policies...
Found 7 policies
============================================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Error: GPO on DC2.domain.local contains user data but version is 0
Error: GPO on DC1.domain.local contains user data but version is 0
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:16:58
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:14:55
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {4C834C6B-C760-4E4E-9C39-373D49F87D6D}
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: New Domain Policy
Created: 09.03.2006 11:11:37
Changed: 04.04.2006 4:32:28
DS version: 1(user) 1(machine)
Sysvol version: 1(user) 1(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: New Domain Policy
Created: 09.03.2006 11:11:37
Changed: 04.04.2006 4:27:28
DS version: 1(user) 1(machine)
Sysvol version: 1(user) 1(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {5AD04355-9E21-43DA-ABF2-77FE69CC4966}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: powerusers
Created: 26.05.2004 8:28:41
Changed: 26.05.2004 8:31:10
DS version: 1(user) 0(machine)
Sysvol version: 1(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: powerusers
Created: 26.05.2004 8:28:41
Changed: 13.07.2005 9:42:17
DS version: 1(user) 0(machine)
Sysvol version: 1(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Default Domain Controllers Policy
Created: 13.06.2002 15:11:42
Changed: 03.04.2006 12:27:46
DS version: 0(user) 3(machine)
Sysvol version: 0(user) 3(machine)
Flags: 0
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Domain Controllers Policy
Created: 13.06.2002 15:11:42
Changed: 03.04.2006 12:25:20
DS version: 0(user) 3(machine)
Sysvol version: 0(user) 3(machine)
Flags: 0
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {7F636AA6-03E0-4278-BA73-87EDC1AAF101}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Default Site Policy
Created: 04.04.2006 6:13:25
Changed: 04.04.2006 10:46:58
DS version: 0(user) 0(machine)
Sysvol version: 0(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Site Policy
Created: 04.04.2006 6:13:25
Changed: 04.04.2006 10:42:43
DS version: 0(user) 0(machine)
Sysvol version: 0(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {AD717D2A-156C-4151-A6D1-7FD1B2BA5AA5}
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Test policy
Created: 11.11.2005 10:47:21
Changed: 11.11.2005 11:06:07
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: not found
Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Test policy
Created: 11.11.2005 10:47:21
Changed: 11.11.2005 11:09:50
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: not found
Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {F5308753-CAB2-4957-BDB4-547995CEF7E0}
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: DameWare
Created: 30.01.2006 15:34:54
Changed: 09.02.2006 7:10:22
DS version: 6(user) 11(machine)
Sysvol version: 6(user) 11(machine)
Flags: 0
User extensions:
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: DameWare
Created: 30.01.2006 15:34:54
Changed: 09.02.2006 7:15:21
DS version: 6(user) 11(machine)
Sysvol version: 6(user) 11(machine)
Flags: 0
User extensions:
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------

Errors found

Политики New Domain Policy, Test Policy и DameWare были удалены, но GUIDы их (и собственно они сами) остались почему-то в sysvol.

_Dzen_

хммм ........
интересные у вас вещи происходят :
DC: DC2.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:16:58
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:14:55
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2

Flags: 0 - здесь все хорошо
Functionality version: 2 - тоже нормально (главное что бы не меньше 2)
репликация между контроллерами домена проходит , репликация с AD тоже проходит .....

но, что вызывает опасения : DS version: 0(user) , то соответственно и User extensions: "должен быть " not found

у вас к "user ам " применяется какие либо сценарии??????

у вас к "user ам " применяется какие либо сценарии??????
Да собственно один скрипт, прицеплен в Default Domain Policy как logon-скрипт, применяется к машинам, Конф. Компьютера - Конф. Windows - Сценарии - Автозагрузка. А можно поподробнее про 0(user)? В политике {31B2F340-016D-11D2-945F-00C04FB984F9} посмотрел GPT.ini, там версия 5. А версию user-ветки где смотреть?
Где про этот механизм оперативно почитать? У Зубанова в книге про AD вроде было, но сейчас не найду что-то...

2 _Dzen_

Ф.Зубанова можно взять здесь :
http://rapidshare.de/files/7028926/Zuban_Active_Direct_prof_natahaus.ru_.rar.html

у него да действительно было и есть ....;)

у вас к "user ам " применяется какие либо сценарии?
Пока Зубанова листаю, поясните этот вопрос вкратце, плз
;)