none
Acceso denegado GPO RRS feed

  • Pregunta

  • Cordial saludo

    Tengo un problema al intentar crear un GPO resulta que todo ocurrió cuando deje de colocar como compartida la carpeta sysvol, cuando coloque de nuevo la carpeta inclui los permisos de lectura para todo y de lectura escritura para los grupos administradores y los usuarios administradores también los agregue con control de lectura escritura. Una vez hecho esto intente crear la gpo.

    El ultimo error fue a las 11 de la mañana ya no lo genera aunque e inyectado varias vece con el tema de permisos. 

    Error al procesar la directiva de grupo. Windows no pudo leer el archivo \\innercia.net\sysvol\innercia.net\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini desde un controlador de dominio. La configuración de la directiva de grupo no se podrá aplicar hasta que se solucione este evento. Debe tratarse de un error temporal y puede deberse a alguna de la causas siguientes:
    a) Un problema con la resolución de nombres o con la conectividad de red al controlador de dominio actual.
    b) Latencia del servicio de replicación de archivos (una cuenta creada en otro controlador de dominio no se replicó en el controlador de dominio actual). 
    c) El cliente del Sistema de archivos distribuido (DFS) está deshabilitado.

    Requiero por favor se su ayuda 

    Gracias

    Att:

    jeysson Celis 

    j.celis@innercia.net

    Colombia 

    lunes, 10 de julio de 2017 22:07

Respuestas

  • Hola, Jeysson Ricardo Celis Cortes:

    Ante todo, un pequeño inciso: aunque facilites tu dirección de correo electrónico, no vamos a responderte de forma personalizada (por lo menos, yo).
    Respondiendo directamente a tu consulta, debo señalarte que el origen del error que señalas es MUY grave en un entorno de dominio, compañero: el directorio SYSVOL es el reponsable directo de permitir la réplica de GPOs aplicadas desde la consola GPMC, así como cualquier cambio que se produzca en el mismo. El archivo GPT.ini es usado por todos los servidores con acceso a la replicación para sincronizar los cambios de las GPO

    Dentro del directorio SYSVOL, está el contenedor NETLOGON cuya función principal es la de sincronizar los GC (Global Catalog) para la autenticación en el dominio de los objetos de cuenta autorizados ADDS. En otras palabras: si éste directorio deja de existir en la red, los usuarios no podrán iniciar sesión interactiva (a menos que sea por caché) ni acceder a los recusos de red corporativos por no poder consultar los status de accesibilidad a ningún DC/GC.

    Normalmente, a los objetos de cuenta de usuario les basta con tener al menos, permisos de lectura al directorio (incluidos SHARED) por lo que es posible que tu "restauración" manual funcione.. pero no apostaría por ello: habría que comprobar los permisos especiales, tanto en SMB como SHARED.

    El procedimiento normal para los casos como el que señalas es proceder con la restauración del System State a un punto anterior. Otra posibilidad es volver a generar el árbol SYSVOL y su contenido por los procesos señalados por Microsoft. Más info:

    · Cómo volver a generar el árbol de SYSVOL y su contenido en un dominio:
    https://support.microsoft.com/es-es/help/315457/how-to-rebuild-the-sysvol-tree-and-its-content-in-a-domain

    Desiderio Ondo || Engineer

    • Propuesto como respuesta Moderador M martes, 11 de julio de 2017 17:22
    • Marcado como respuesta Moderador M jueves, 13 de julio de 2017 22:59
    martes, 11 de julio de 2017 10:13

Todas las respuestas

  • Hola, Jeysson Ricardo Celis Cortes:

    Ante todo, un pequeño inciso: aunque facilites tu dirección de correo electrónico, no vamos a responderte de forma personalizada (por lo menos, yo).
    Respondiendo directamente a tu consulta, debo señalarte que el origen del error que señalas es MUY grave en un entorno de dominio, compañero: el directorio SYSVOL es el reponsable directo de permitir la réplica de GPOs aplicadas desde la consola GPMC, así como cualquier cambio que se produzca en el mismo. El archivo GPT.ini es usado por todos los servidores con acceso a la replicación para sincronizar los cambios de las GPO

    Dentro del directorio SYSVOL, está el contenedor NETLOGON cuya función principal es la de sincronizar los GC (Global Catalog) para la autenticación en el dominio de los objetos de cuenta autorizados ADDS. En otras palabras: si éste directorio deja de existir en la red, los usuarios no podrán iniciar sesión interactiva (a menos que sea por caché) ni acceder a los recusos de red corporativos por no poder consultar los status de accesibilidad a ningún DC/GC.

    Normalmente, a los objetos de cuenta de usuario les basta con tener al menos, permisos de lectura al directorio (incluidos SHARED) por lo que es posible que tu "restauración" manual funcione.. pero no apostaría por ello: habría que comprobar los permisos especiales, tanto en SMB como SHARED.

    El procedimiento normal para los casos como el que señalas es proceder con la restauración del System State a un punto anterior. Otra posibilidad es volver a generar el árbol SYSVOL y su contenido por los procesos señalados por Microsoft. Más info:

    · Cómo volver a generar el árbol de SYSVOL y su contenido en un dominio:
    https://support.microsoft.com/es-es/help/315457/how-to-rebuild-the-sysvol-tree-and-its-content-in-a-domain

    Desiderio Ondo || Engineer

    • Propuesto como respuesta Moderador M martes, 11 de julio de 2017 17:22
    • Marcado como respuesta Moderador M jueves, 13 de julio de 2017 22:59
    martes, 11 de julio de 2017 10:13
  • Gracias por tu oportuna respuesta estaré revisando el la documentación enviada.
    martes, 11 de julio de 2017 12:46
  • Marca la respuesta como correcta, Jeysson..
    Gracias!

    Desiderio Ondo || Engineer

    miércoles, 12 de julio de 2017 7:22