[решено] Ошибка 1024 Userenv - Проблема с применением GPO на членах домена.

Профиль · Отправлено: **15:49, 09-03-2006** | #51

приветствую вас, знатоки

у меня возникла аналогичная проблема, с неприменением ГП,
т.е. раньше все работало, но было несколько отключений света, очень длительных, и сервак отрубился (UPS сдох)...
наверно после этого глюк и попер. собственно хотел я изменить кое-какие параметры безопасности, для ОП, но они не вступили в силу! перед тем как я начал все это воротить у меня было 5 политик, каждая для своей группы пользователей (Menedgers, Buhgalters, Other...) названия у них были одноименные. изменять их я не стал, а как я обычно делаю создал политику TEST и там настроил политику ограниченния использования программ. но ничего не изменилось, тогда я начал тестировать, изменил рисунок рабочего стола, не применилось... тестил я для одного компа, назовем его TestComp, на TestComp в репорте gpresult было сказано, что применена только политика Other, а остальные отфильтрованы (Отказано по безопасности). Политикой TEST там вообще не пахло... далее в событиях компа TestComp нашел такие две ошибочки:
1030 и 1058
в первой сказано, что не удалось получить список политики, а во второй описание проблемы: не удалось получить доступ к файлу GPT.INI, указан путь и грит сетевой путь не найден, однако путь существует и доступен всем . начался гемор, вот проделонные действия:
1. gpupdate /force на серваке и на клиенте, рестарт... ничего
2. удалил нахрен все политики, оставил только TEST, gpresult на клиенте грит что все так и осталось (все старые политик показывает), причем я не только ссылки удалил, но и сами файлы.
3. восстановил дефолтную политику безопасности... ничего
4. лазил на мелкософте, читал про ошибки 1058 и 1030 грят, что DFS может виноват, проверил реестр, там ничего нет, создал ключ включил DFS (я так думаю)... gpupdate /force -> restart -> gpresult ->тоже самое
5. вывел комп TestComp из домена, загрузил, ввел снова и ... изменились политик безопасности компьютера, а именно, удалился тот список политик, который был (я их давно уже удалил)... но ГП юзера, те же, что и писал выше
6. скачал прогу GMPC, сделал анализ TestComp, показывает то же что и gpresult, но вывел другую ошибку с тем же смыслом: Component Status failed, не найден сетевой путь.
Эх... заб=ся кстати после установки этой проги исчезла вкладка настройки ГП из AD, как дефолтовой, так и для ОП
7. зашел сюда, прочитал эту и ещё одно похожую тему, перепробЫвал все изложенное, ничига, думал что DNS погнал, перезагрузил, в эвенте грит ОК, запущен.
8...... решил спросить у вас!
и к сожалению у меня нет времени ждать 20 мистических дней...

shefford · Отправлено: **21:31, 28-05-2007** | #52

Жуть какая-то.
Вобщем ситуация.

Тестирование. Сервер 2003 SP2 R2, клиенты XP SP2. На сервере расшаренная папка DOCS. В эту папку черех GP перенаправляется папка "Мои документы" пользователей. Входим пользователем, все пучком. Папка перенаправляется куда надо, выставляются нужные права, тестовый пользователи на тестовой машине успешно выполняет все операции.

Реальность. После тестирования, создаю по образу и подобию расшаренную папку на файл сервере (не том на котором тестировалось) . В старой политике (на которой тестил) отключаю перенаправление папки "Мои документы", в новой политике, созданной для целевого OU (компьютер и пользователь уже в нем) включаю перенаправление документов в созданную папку.

В итоге. Вся политика применяет к компьютеру и пользователю (включая параметры из созданных вручную adm шаблонов), за исключением перенаправления папки "Мои документы". Она упорно пытается перенаправляться по старому значению (в тестовую папку на тестовом сервере). Должно направляться \\dcfs\docs\%USERNAME%\ (задано в политике), пытается направляться \\dcweb\share\docs\%USERNAME%\ (было задано в другой политике и позже отключено)

В домене 4 контролера, один хозяин операций, DNS работает, никаких сообщений в логах о сбоях, репликация тоже проходит по плану. Проверил на всех контролерах политика со всеми параметрами одинаковая (включая самодельные adm которые добавлял только на 1 машине хозяине операций).

В старой политике в настройках перенаправления стоял чекбокс "При отключении политики перенаправить папку в локальный профиль пользователя"

gpupdate /force делал на всех контролерах и на тестовой машине.

Свойства двух применяемых политик и результаты GP modeling и GP resultat в аттаче поста

Хелп! Весь моск себе поломал.

ЗЫ. А почему тестовая машина получает политику с одного из 3 дополнительных контролеров домена, а не с основного (хозяин операций)? Так и задумано?

shefford · Отправлено: **22:32, 28-05-2007** | #53

удалил все политики, оставил только DDP, не помогает...
Как можно восстановить дефолтовую политику домена?

shefford · Отправлено: **17:58, 29-05-2007** | #54

ё мое... ничего не помогает....

GreenIce · Отправлено: **18:36, 29-05-2007** | #55

Запусти gpresult /v на клиенте

shefford · Отправлено: **01:08, 30-05-2007** | #56

да запускал уже все что можно.
В домене осталась только одна политика дефолтовая да и ту через dcgpfix.exe сбросил до состояния на момент установки.

Тем не менее к пользователям продолжают применяться так сказать фантомные политики...
Думал может на тестовой машине глюки какие-то. Взял голую машину, поставил винду, подключил к домену. Те же яйца, только в профиль. к любому пользователю на машине применяются параметры несуществующей политики.

Теряюсь в догадках.

Каким может быть вообще алгоритм возвращения всего домена к исходному состоянию? Удалить все политики, восстановит DDP dcgpfix.exe одновременно на всех доменах?

Где могли прижиться эти фантомные политики?

GreenIce · Отправлено: **07:05, 30-05-2007** | #57

Запусти gpresult /v на клиенте и выложи результат.

shefford · Отправлено: **16:49, 30-05-2007** | #58

Код:

Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

C:\Documents and Settings\badeev>gpresult /v

Программа формирования отчета групповой политики операционной системы
Microsoft (R) Windows (R) XP версии 2.0
(С) Корпорация Майкрософт, 1981-2001

Создано на 30.05.2007 в 16:43:59


RSOP-результаты для NOUPMG\badeev на WS358-08 : Режим журналирования
---------------------------------------------------------------------

Тип ОС:                     Microsoft Windows XP Professional
Конфигурация ОС:            Рядовая рабочая станция
Версия ОС:                  5.1.2600
Имя домена:                 NOUPMG
Тип домена:                 Windows 2000
Имя сайта:                  Default-First-Site-Name
Перемещаемый профиль:
Локальный профиль:          C:\Documents and Settings\badeev
Подключение по медленному каналу?:        Нет


Конфигурация компьютера
------------------------
    CN=WS358-08,OU=STEND,DC=noupmg,DC=corp
    Последнее применение групповой политики:  30.05.2007 at 16:28:59
    Групповая политика была применена с:      dcweb.noupmg.corp
    Порог медленной связи групповой политики: 500 kbps

    Примененные объекты групповой политики
    ---------------------------------------
        Default Domain Policy
        WSUS

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        Политика локальной группы
            Фильтрация:  Не применяется (пусто)

        STEND
            Фильтрация:  Не применяется (пусто)

    Компьютер является членом следующих групп безопасности:
    -------------------------------------------------------
        Администраторы
        Все
        Пользователи
        СЕТЬ
        Прошедшие проверку
        WS358-08$
        Компьютеры домена
        CERTSVC_DCOM_ACCESS

    Результирующий набор политик для компьютера:
    ---------------------------------------------

        Установка программ
        ------------------
            Н/Д

        Сценарии запуска
        ----------------
            Н/Д

        Сценарии завершения работы
        --------------------------
            Н/Д

        Политики учетных записей
        ------------------------
            GPO: Default Domain Policy
                Политика:             MinimumPasswordAge
                Параметры компьютера: 1

            GPO: Default Domain Policy
                Политика:             PasswordHistorySize
                Параметры компьютера: 24

            GPO: Default Domain Policy
                Политика:             MinimumPasswordLength
                Параметры компьютера: 7

            GPO: Default Domain Policy
                Политика:             LockoutBadCount
                Параметры компьютера: Н/Д

            GPO: Default Domain Policy
                Политика:             MaximumPasswordAge
                Параметры компьютера: 42

        Политика аудита
        ---------------
            Н/Д

        Права пользователя
        ------------------
            Н/Д

        Параметры безопасности
        ----------------------
            GPO: Default Domain Policy
                Политика:             RequireLogonToChangePassword
                Параметры компьютера: Не включено

            GPO: Default Domain Policy
                Политика:             PasswordComplexity
                Параметры компьютера: Включено

            GPO: Default Domain Policy
                Политика:             ForceLogoffWhenHourExpire
                Параметры компьютера: Не включено

            GPO: Default Domain Policy
                Политика:             ClearTextPassword
                Параметры компьютера: Не включено

        Параметры журнала событий
        -------------------------
            Н/Д

        Группы с ограниченным доступом
        ------------------------------
            Н/Д

        Системные службы
        ----------------
            Н/Д

        Параметры реестра
        -----------------
            Н/Д

        Параметры файловой системы
        --------------------------
            Н/Д

        Политики открытого ключа
        ------------------------
            Н/Д

        Административные шаблоны
        ------------------------
            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
                Состояние:                Включено

            GPO: WSUS
                Параметр:                 Software\Policies\Microsoft\Windows\Wi
ndowsUpdate\AU
                Состояние:                Включено


Конфигурация пользователя
--------------------------
    CN=Бадеев Д.В.,OU=ИТ,OU=Гимназия,DC=noupmg,DC=corp
    Последнее применение групповой политики:  30.05.2007 at 15:00:31
    Групповая политика была применена с:      dcweb.noupmg.corp
    Порог медленной связи групповой политики: 500 kbps

    Примененные объекты групповой политики
    ---------------------------------------
        Н/Д

    Следующие политики GPO не были приняты, поскольку они отфильтрованы
    --------------------------------------------------------------------
        Default Domain Policy
            Фильтрация:  Отключено (связь)

        Политика локальной группы
            Фильтрация:  Не применяется (пусто)

    Пользователь является членом следующих групп безопасности:
    ----------------------------------------------------------
        Пользователи домена
        Все
        Пользователи
        Администраторы
        ИНТЕРАКТИВНЫЕ
        Прошедшие проверку
        ЛОКАЛЬНЫЕ
        ИТ-Отдел
        Администраторы домена
        Администраторы схемы
        Администраторы предприятия
        CERTSVC_DCOM_ACCESS
        Администраторы DHCP

    Результирующий набор политик для пользователя:
    -----------------------------------------------

        Установка программ
        ------------------
            Н/Д

        Политики открытого ключа
        ------------------------
            Н/Д

        Административные шаблоны
        ------------------------
            Н/Д

        Перенаправление папки
        ---------------------
            Н/Д

        Пользовательский интерфейс обозревателя Internet Explorer
        ---------------------------------------------------------
            Н/Д

        Подключения Internet Explorer
        -----------------------------
            Н/Д

        Адреса Internet Explorer
        ------------------------
            Н/Д

        Безопасность Internet Explorer
        ------------------------------
            Н/Д

        Программы Internet Explorer
        ---------------------------
            Н/Д

C:\Documents and Settings\badeev>

GreenIce · Отправлено: **21:02, 30-05-2007** | #59

Судя по результату, у тебя никакого перенаправления сейчас не стоит, а стоит значение "неопределенно", в результате чего ИМХО она берет последние активное перенаправление папки.
Теперь сделай ГП с перенаправлением папки и привяжи к ОУ пользователя, и сделай команду на клиенте еще раз.

ЗЫ Оформляй результат тэгом [code]

shefford · Отправлено: **00:21, 31-05-2007** | #60

завтра с утра сделаю выложу. уже не на работе.
Но откуда он берет последнее перенаправление если все политики были удалены, а дефолтовым доменным сделан откат до исходного состояния (dcgpofix).

После этого проверил sysvol на всех контроллерах, везде только две дефолтовых политики с одинаковой версией. В реестре тестовых машин тоже ничего остаться не может, так как на машины залил чистую винду. Первоначальные тестовые OU и пользователей удалил. создал новые с другими именами.

Я в осадке. ДоМен с приведениями какой-то.