Remove From My Forums

Acceso denegado al crear una politica de grupo

Pregunta
0

Inicie sesión para votar

Buenos dias,

Estoy intentando crear una politica de grupo a un departamento y cuando intento crearla me salta un error que dice: Acceo denegado

Esto lo he intenado hacer con el usuario adminsitrador, con otro que tambien esta dentro del grupo e incluso desde el propio servidor, sin usar la conexion remota y en todos me dice el mismo error

¿¿Alguien sabe porque puede ser???

Gracias

jueves, 17 de enero de 2008 12:17

Respuestas

0

Inicie sesión para votar
Hola,

Creo que ya se cual es el problema que tienes: los dos servidores llevan más de 60 dias sin replicar:

Te lo indica el dcdiag:

SERVIDOR: Current time is 2008-01-21 09:31:06.
            DC=ForestDnsZones,DC=DOMINIO,DC=org
               Last replication recieved from SERVIDOR05 at 2007-10-19 18:54:47.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

Basicamente los tombstones son los elementos eliminados de AD, se dicen zombies ya que una vez que se elimina un objeto (como por ej una cuenta de usuario) esta pasa a figurar en la lista de elementos eliminados, pero no se elimina completamente, este objeto que pasa a ser tombstone y tiene un "tiempo de vida" para que pueda recuperarse. Cuando se termina este periodo el objeto se elimina definitivamente.
El "tiempo de vida" predeterminado de un tombstone para Windows 2003 es de 60 dias, y en Windows 2003 SP1 este periodo se alarga a 180 dias de vida. Este valor se puede modificar pero no es aconsejable.

La verdad es que se trata de un problema bastante grave pero se puede solucionar.

Te adjunto el link:

http://technet2.microsoft.com/windowsserver/en/library/34c15446-b47f-4d51-8e4a-c14527060f901033.mspx?mfr=true

Bueno, tienes trabajo que hacer.

Buena suerte!!!
- Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:24
martes, 22 de enero de 2008 12:41

Todas las respuestas

0

Inicie sesión para votar

Hola,

Algún error en el visor de sucesos?

Mira este enlace:

http://www.petri.co.il/forums/showthread.php?p=27959

jueves, 17 de enero de 2008 14:46
0

Inicie sesión para votar

No entiendo muy bien lo que me quieren decir en el foro, sobre todo esto:
Open Component Services console and Click on computers.Right click on My Computer and select Properties. Select the MSDTC tab and click on Tracing Options. Click in sequence: Stop Session, New Session, Flush Data, OK, and OK.
Restart the DTC service.

No me acabo de enterar muy bien

En el visor de sucesos, me aparacen siempre los errores 1030 y 1058

Gracias

jueves, 17 de enero de 2008 15:13
0

Inicie sesión para votar

Hola,

1.- Abre la consola de Servicios de componentes. Para ello puedes hacer:

Inicio; Ejecutar, mmc.exe.

Dale a archivo; añadir/quitar componente; agregar; servicios de componentes; agregar; cerrar; aceptar

2.- Marca sobre: Equipos.

3.- Botón derecho sobre "Mi equipo" y seleciona propiedades.

4.- Selecciona la pestaña MSDTC y marca dale a "opciones de seguimiento"

5.- Dale a los siguientes botones en este orden: "Parar sesión", "nueva sesión", "vaciar datos". dale a Ok, OK.

6.- reinicia el servicio DTC desde: Botón derecho sobre "Mi equipo" y vuelve a iniciarlo.

Saludos

jueves, 17 de enero de 2008 15:31
0

Inicie sesión para votar

Hola,

Abro mmc y me sale totalmente vacio y en agregar/quitar complemeno, no me sale nada de equipo ni parecido, no se muy bien que agregarle

Gracias

jueves, 17 de enero de 2008 15:59
0

Inicie sesión para votar

Ejecuta:

C:\WINDOWS\system32\Com\comexp.msc

jueves, 17 de enero de 2008 16:13
0

Inicie sesión para votar

Muchas Gracias,

Pero lo malo que sigue igual

He estado mirando los errores que me daban, y con las soluciones que me daban, tampoco he conseguido nada

jueves, 17 de enero de 2008 16:26
0

Inicie sesión para votar

Más info,

http://www.capitalfederal.com/foros/viewtopic.php?p=108229&sid=8d1ccee1443c184bdd7e1c164a5908d7

jueves, 17 de enero de 2008 16:31
0

Inicie sesión para votar

estuve viendo esa página y estuve haciendo cosas que me decia, como por ejemplo, editar el registro, y no he conseguido nada

jueves, 17 de enero de 2008 16:49
0

Inicie sesión para votar

Hola, el problema de no poder crear GPOs se debe a que el usuario no tiene permisos de escritura sobre la carpeta sysvol del controlador de dominio.

EduardFD ha dado ya la solución para este problema. Ahora si tu no ves muchos componentes de tu servidor es recomendable que pases el AV a tu server.

JC

viernes, 18 de enero de 2008 1:10
0

Inicie sesión para votar

Hola, ¿Qué es el AV?

viernes, 18 de enero de 2008 9:41
0

Inicie sesión para votar

Buenos días,

También me he dado cuenta, que en la pestaña de "Delegation" donde creo las políticas de grupo, me sale el grupo administradores, y ademas, me salen 3 caras con una interreogación seguido de nombres sin aparante sentido. Esto puede afectar?

También he visto, que la carpeta Sysvol, tengo control total para el grupo admisntrador

La verdad que no se por donde cogerlo ya

viernes, 18 de enero de 2008 9:52
0

Inicie sesión para votar

Hola,

Creo que no sólo hay un problema para crear GPOs.

Existen errores en el visor de sucesos?

Que resultado obtienes al ejecutar un dcdiag?

Cuantos controladores de dominio tienes? Hay un único dominio? Si hay varios DCs estan en un único site?

viernes, 18 de enero de 2008 16:13
0

Inicie sesión para votar

Hola Edard, tienes mucha razón, esto ya es un incidente generalizado.

Primero nos tienen que enviar los sucesos en el Event Viewer.

sábado, 19 de enero de 2008 2:57
0

Inicie sesión para votar

Estos son dos son los errores que me produce habitualmente:

17/01/2008 17:22:37 Userenv Error Ninguno 1030 NT AUTHORITY\SYSTEM IDCMAD001 Windows no puede hacer una consulta de la lista de objetos directiva de grupo. Compruebe el registro de eventos ante la posible existencia de mensajes previamente registrados por el motor de directiva que describe el motivo del suceso.

17/01/2008 17:22:37 Userenv Error Ninguno 1058 NT AUTHORITY\SYSTEM IDCMAD001 Windows no puede obtener acceso al archivo gpt.ini para GPO CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=Feb,DC=org. El archivo debe estar presente en la ubicación <\\Feb.org\sysvol\Feb.org\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\gpt.ini>. (No se encuentra el nombre de red especificado. ). Se ha anulado el proceso de Directiva de grupo.

¿Quereis ver el dcdiag?

Un saludo

lunes, 21 de enero de 2008 8:48
0

Inicie sesión para votar

Sí por favor,

Una pregunta, cuantos controladores de dominio hay? Recientemente se ha restaurado alguno?

En cuanto me pases le info te podré sugerir una serie de pruebas

Saludos.

lunes, 21 de enero de 2008 16:02
0

Inicie sesión para votar

Buenos días,

Tenemos otro servidor como contralador de dominio adicional. Y no se ha restaurado recientemente

Aqui te paso la info de dcdiag:

C:\Documents and Settings\Administrador>dcdiag

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests

   Testing server: Nombre-predeterminado-primer-sitio\SERVIDOR
      Starting test: Connectivity
         ......................... SERVIDOR passed test Connectivity

Doing primary tests

   Testing server: Nombre-predeterminado-primer-sitio\SERVIDOR
      Starting test: Replications
         [Replications Check,SERVIDOR] A recent replication attempt failed:
            From SERVIDOR05 to SERVIDOR
            Naming Context: DC=ForestDnsZones,DC=DOMINIO,DC=org
            The replication generated an error (1753):
            No hay más extremos disponibles desde el asignador de extremos.
            The failure occurred at 2007-11-05 11:24:00.
            The last success occurred at 2007-10-19 18:54:47.
            5 failures have occurred since the last success.
            The directory on SERVIDOR05 is in the process.
            of starting up or shutting down, and is not available.
            Verify machine is not hung during boot.
         [SERVIDOR05] DsBindWithSpnEx() failed with error 1753,
         No hay más extremos disponibles desde el asignador de extremos..
         [Replications Check,SERVIDOR] A recent replication attempt failed:
            From SERVIDOR05 to SERVIDOR
            Naming Context: DC=DomainDnsZones,DC=DOMINIO,DC=org
            The replication generated an error (1753):
            No hay más extremos disponibles desde el asignador de extremos.
            The failure occurred at 2007-11-05 11:24:00.
            The last success occurred at 2007-10-19 18:54:47.
            5 failures have occurred since the last success.
            The directory on SERVIDOR05 is in the process.
            of starting up or shutting down, and is not available.
            Verify machine is not hung during boot.
         [Replications Check,SERVIDOR] A recent replication attempt failed:
            From SERVIDOR05 to SERVIDOR
            Naming Context: CN=Schema,CN=Configuration,DC=DOMINIO,DC=org
            The replication generated an error (1753):
            No hay más extremos disponibles desde el asignador de extremos.
            The failure occurred at 2008-01-21 08:45:46.
            The last success occurred at 2007-10-19 18:54:46.
            2252 failures have occurred since the last success.
            The directory on SERVIDOR05 is in the process.
            of starting up or shutting down, and is not available.
            Verify machine is not hung during boot.
         [Replications Check,SERVIDOR] A recent replication attempt failed:
            From SERVIDOR05 to SERVIDOR
            Naming Context: CN=Configuration,DC=DOMINIO,DC=org
            The replication generated an error (1753):
            No hay más extremos disponibles desde el asignador de extremos.
            The failure occurred at 2008-01-21 08:45:46.
            The last success occurred at 2007-10-20 11:25:53.
            2236 failures have occurred since the last success.
            The directory on SERVIDOR05 is in the process.
            of starting up or shutting down, and is not available.
            Verify machine is not hung during boot.
         [Replications Check,SERVIDOR] A recent replication attempt failed:
            From SERVIDOR05 to SERVIDOR
            Naming Context: DC=DOMINIO,DC=org
            The replication generated an error (1753):
            No hay más extremos disponibles desde el asignador de extremos.
            The failure occurred at 2008-01-21 08:45:46.
            The last success occurred at 2007-10-20 11:27:02.
            2236 failures have occurred since the last success.
            The directory on SERVIDOR05 is in the process.
            of starting up or shutting down, and is not available.
            Verify machine is not hung during boot.
         REPLICATION-RECEIVED LATENCY WARNING
         SERVIDOR: Current time is 2008-01-21 09:31:06.
            DC=ForestDnsZones,DC=DOMINIO,DC=org
               Last replication recieved from SERVIDOR05 at 2007-10-19 18:54:47.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

            DC=DomainDnsZones,DC=DOMINIO,DC=org
               Last replication recieved from SERVIDOR05 at 2007-10-19 18:54:46.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

            CN=Schema,CN=Configuration,DC=DOMINIO,DC=org
               Last replication recieved from SRVNAVI at 2006-12-18 10:52:56.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

               Last replication recieved from SERVIDOR05 at 2007-10-19 18:54:46.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

            CN=Configuration,DC=DOMINIO,DC=org
               Last replication recieved from SRVNAVI at 2006-12-18 11:05:12.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

               Last replication recieved from SERVIDOR05 at 2007-10-20 11:25:53.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

            DC=DOMINIO,DC=org
               Last replication recieved from SRVNAVI at 2006-12-18 11:07:22.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

               Last replication recieved from SERVIDOR05 at 2007-10-20 11:27:02.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

         ......................... SERVIDOR passed test Replications
      Starting test: NCSecDesc
         ......................... SERVIDOR passed test NCSecDesc
      Starting test: NetLogons
         ......................... SERVIDOR passed test NetLogons
      Starting test: Advertising
         ......................... SERVIDOR passed test Advertising
      Starting test: KnowsOfRoleHolders
         ......................... SERVIDOR passed test KnowsOfRoleHolders
      Starting test: RidManager
         ......................... SERVIDOR passed test RidManager
      Starting test: MachineAccount
         ......................... SERVIDOR passed test MachineAccount
      Starting test: Services
         ......................... SERVIDOR passed test Services
      Starting test: ObjectsReplicated
         ......................... SERVIDOR passed test ObjectsReplicated
      Starting test: frssysvol
         ......................... SERVIDOR passed test frssysvol
      Starting test: frsevent
         There are warning or error events within the last 24 hours after the
         SYSVOL has been shared. Failing SYSVOL replication problems may cause
         Group Policy problems.
         ......................... SERVIDOR failed test frsevent
      Starting test: kccevent
         An Error Event occured. EventID: 0xC0000466
            Time Generated: 01/21/2008   09:31:01
            (Event String could not be retrieved)
         ......................... SERVIDOR failed test kccevent
      Starting test: systemlog
         ......................... SERVIDOR passed test systemlog
      Starting test: VerifyReferences
         ......................... SERVIDOR passed test VerifyReferences

   Running partition tests on : ForestDnsZones
      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

   Running partition tests on : DomainDnsZones
      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation

      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

   Running partition tests on : Schema
      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

   Running partition tests on : Configuration
      Starting test: CrossRefValidation
         ......................... Configuration passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... Configuration passed test CheckSDRefDom

   Running partition tests on : DOMINIO
      Starting test: CrossRefValidation
         ......................... DOMINIO passed test CrossRefValidation
      Starting test: CheckSDRefDom
         ......................... DOMINIO passed test CheckSDRefDom

   Running enterprise tests on : DOMINIO.org
      Starting test: Intersite
         ......................... DOMINIO.org passed test Intersite
      Starting test: FsmoCheck
         Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355
         A Global Catalog Server could not be located - All GC's are down.
         ......................... DOMINIO.org failed test FsmoCheck

martes, 22 de enero de 2008 8:22
0

Inicie sesión para votar
Hola,

Creo que ya se cual es el problema que tienes: los dos servidores llevan más de 60 dias sin replicar:

Te lo indica el dcdiag:

SERVIDOR: Current time is 2008-01-21 09:31:06.
            DC=ForestDnsZones,DC=DOMINIO,DC=org
               Last replication recieved from SERVIDOR05 at 2007-10-19 18:54:47.
               WARNING: This latency is over the Tombstone Lifetime of 60 days!

Basicamente los tombstones son los elementos eliminados de AD, se dicen zombies ya que una vez que se elimina un objeto (como por ej una cuenta de usuario) esta pasa a figurar en la lista de elementos eliminados, pero no se elimina completamente, este objeto que pasa a ser tombstone y tiene un "tiempo de vida" para que pueda recuperarse. Cuando se termina este periodo el objeto se elimina definitivamente.
El "tiempo de vida" predeterminado de un tombstone para Windows 2003 es de 60 dias, y en Windows 2003 SP1 este periodo se alarga a 180 dias de vida. Este valor se puede modificar pero no es aconsejable.

La verdad es que se trata de un problema bastante grave pero se puede solucionar.

Te adjunto el link:

http://technet2.microsoft.com/windowsserver/en/library/34c15446-b47f-4d51-8e4a-c14527060f901033.mspx?mfr=true

Bueno, tienes trabajo que hacer.

Buena suerte!!!
- Marcado como respuesta Ismael Borche lunes, 29 de agosto de 2011 18:24
martes, 22 de enero de 2008 12:41
0

Inicie sesión para votar

Buenas,

Tras muchos días de estar pegandome con la réplica, he conseguido solucionar la replica. Lo que ocurria, es que hace tiempo replicaba a otro servidor y est efue quitado. La solucion ha sido elimando todo donde estuviera el antiguo, y la solucion definitiva ha sido entrando en ADSIedit y borrando tambien los rastros

Todo venia por los DNS

Tras solucionar esto, el problema de acceso denegado a la hora de crear una GPO. ¡Me lo sigue dando!!!! ya no se porque me puede dar este error

Alguien sabe porque puede ser?

Gracias

miércoles, 26 de marzo de 2008 17:01
0

Inicie sesión para votar

Hola como estas?... bueno al parecer tengo el mismo problema tengo un server 2008 con active directory, bueno hace un tiempo detecte algunos usuarios que estaban entrando a la unidad C y la D(aqui guardo el sysvol) y bueno decidi hacer restricciones a ciertos grupsod e usuarios y bueno por alli a los amdinistradores yd esde entonces no puedo modificar als politicas de grupo ni siquiera crear una politica, me podrian ayudar como solucionar este problemita,inclusive ejecute el dcdiag y me salio un error de permisos en el sysvol, como podria soluciinarlo, garcias

viernes, 3 de octubre de 2008 4:05
0

Inicie sesión para votar

Muchas gracias le di permisos de control total al usuario Administrador sobre la carpeta Sysvol y me funciono ya puedo crear nuevas GPO.

lunes, 15 de febrero de 2021 15:27

Productos

Resources

Solutions

Actualizaciones

Pruebas

Sitios relacionados

Aprendizaje

Certificaciones

Otros recursos

Por producto

Otros vínculos

¿No es experto en TI?

Principales respuestas

Acceso denegado al crear una politica de grupo

Pregunta

Respuestas

Todas las respuestas