No puedo acceder a GPO

23/10/2007 - 13:01 por israel97 | Informe spam

Hola a todos.
Tengo un servidor W2003SP2

El caso es que estabamos notando algunas irregularidades en el servidor. Al
mirar el visor, estaban los errores 1030 y 1058 (Userenv).
Ayer lanze la consulta y mire algunos articulos.

Hoy NO podian entrar los usuarios en el dominio (PC's con WXP)
Si entramos con un usuario que sea administrador no hay problema.

Curiosamente, desde el mismo servidor, el administrador NO puede entrar en
"Directiva de seguridad de dominio" ni en "Directiva de seguridad del
controlador de dominio", dice que es posible que NO tenga los permisos
adecuados o que NO encuentra la ruta de acceso de red.

He mirado un articulo que decia que puede ser un problema en el acceso
directo y esta correcto.
C:\WINDOWS\system32\dompol.msc
/gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=midominio,DC=com"

Tambien me da el mismo error si escribo
\\midominio.com\sysvol\policies\midominio.com (creo que lo he escrito asi,
ahora lo hago de cabeza)

He revisado los permisos de la carpeta SYSVOL y sobre todo las Policies y en
todas esta el grupo administradores.

No tengo ninguna politica creada, asi que he intentado hacer DCGPOFIX como
comentaban en eventid y tambien dice que no se puede
"No se pueden leer certificados EFS del archivo Registry.pol de Default
Domain Po
licy. El error era No se ha encontrado la ruta de acceso de la red."

Estoy pensando en borrar SYSVOL y volverla a crear.
¿Alguna idea? ¿Es factible borrar SYSVOL?

Gracias.

Saludos.

Siga el debate

15 respuestas

Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#6 israel97

23/10/2007 - 17:40 | Informe spam

Si, por desgracia tambien lo he hecho y desde linea de comandos y da el mismo
error.
en esta ruta C:\WINDOWS\system32\
dcpol.msc
/gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=midom,DC=com"

y con el otro igual.

el error es:
No se puede abrir el objeto de directiva de grupo. es posible que no tenga
los derechos apropiados.
No se ha encontrado la ruta de acceso de la red.

Abriendo el GPMC, he visto que pone lo que te comentaba,que las GPO afectan
a : usuarios autenticados y admins. del dominio.

Me he creado un usuario basico y no he podido entrar, le he añadido permisos
de administrador y tampoco pero le he puesto administrador del dominio y
entonces entra en el PC sin problemas.

Es como si en la GPO aunque pone "usuarios autentificados", NO hiciera caso
de esa politica (de hecho no encuentro ese grupo por ningun sitio)
he intentado quitarla y ponerla , pero da un error de acceso a red. Igual
que si intento agregar cualquier otro usuario, se conecta bien al AD, me sale
la lista de usuarios, lo marco y cuando doy aceptar, no puede añadirlo.
Un lio.
SOS

Gracias.

"Javier Inglés [MS MVP]" wrote:

No, note digo eso,. te digo de ejecutar lo del segundo KB

To resolve this problem, you must specify the domain name parameter and the
policy GUID parameter that the computer must bind to. For example, to open
the Default Domain Controllers Policy console in the example.com domain,
type the following at the command prompt:
dcpol.msc
/gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=example,DC=com"
To open the Default Domain Policy console in the example.com domain, type
the following at the command prompt:
dompol.msc
/gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=example,DC=com"

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services

"israel97" escribió en el mensaje
news:
> Si, me baje el programa "Administracion de directivas de grupo" (GPMC)
> Ahi me aparece todo, incluso he visto que los cambios de permisos se
> reflejan correctamente, pero si, por ejemplo intento agregar un nuevo
> usuario, me aparece la lista de los nombre aproximados, pero al
> seleccionar
> el correcto, me dice que no puede acceder a la red.
> Si intento editar cualquiera "Default domain controler" o "DDomain
> polices"
> intenta abrir los programas "clasicos" de windows y vuelve a salir el
> error.
>
> Mientras tanto, he borrado las zonas creadas de DNS (directa e inversa) y
> he
> reiniciado un par de equipos y se estan identificando bien en DNS
> (entrando
> como administrador).
>
> Al administrador le he quitado el permiso de Administrador de dominio y
> vuelto a agregar sin resultado. me he creado un nuevo administrador por si
> acaso y tampoco.
>
> ¿Mas ideas?
>
> Saludos.

Responder a este mensaje

#7 Javier Inglés [MS MVP]

23/10/2007 - 17:49 | Informe spam

En ese caso, tienes un backup de las GPO como tal?

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services

"israel97" escribió en el mensaje
news:

Si, por desgracia tambien lo he hecho y desde linea de comandos y da el
mismo
error.
en esta ruta C:\WINDOWS\system32\
dcpol.msc
/gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=midom,DC=com"

y con el otro igual.

el error es:
No se puede abrir el objeto de directiva de grupo. es posible que no tenga
los derechos apropiados.
No se ha encontrado la ruta de acceso de la red.

Abriendo el GPMC, he visto que pone lo que te comentaba,que las GPO
afectan
a : usuarios autenticados y admins. del dominio.

Me he creado un usuario basico y no he podido entrar, le he añadido
permisos
de administrador y tampoco pero le he puesto administrador del dominio y
entonces entra en el PC sin problemas.

Es como si en la GPO aunque pone "usuarios autentificados", NO hiciera
caso
de esa politica (de hecho no encuentro ese grupo por ningun sitio)
he intentado quitarla y ponerla , pero da un error de acceso a red. Igual
que si intento agregar cualquier otro usuario, se conecta bien al AD, me
sale
la lista de usuarios, lo marco y cuando doy aceptar, no puede añadirlo.
Un lio.
SOS

Gracias.

"Javier Inglés [MS MVP]" wrote:

No, note digo eso,. te digo de ejecutar lo del segundo KB

To resolve this problem, you must specify the domain name parameter and
the
policy GUID parameter that the computer must bind to. For example, to
open
the Default Domain Controllers Policy console in the example.com domain,
type the following at the command prompt:
dcpol.msc
/gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=example,DC=com"
To open the Default Domain Policy console in the example.com domain, type
the following at the command prompt:
dompol.msc
/gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=example,DC=com"

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services

"israel97" escribió en el mensaje
news:
> Si, me baje el programa "Administracion de directivas de grupo" (GPMC)
> Ahi me aparece todo, incluso he visto que los cambios de permisos se
> reflejan correctamente, pero si, por ejemplo intento agregar un nuevo
> usuario, me aparece la lista de los nombre aproximados, pero al
> seleccionar
> el correcto, me dice que no puede acceder a la red.
> Si intento editar cualquiera "Default domain controler" o "DDomain
> polices"
> intenta abrir los programas "clasicos" de windows y vuelve a salir el
> error.
>
> Mientras tanto, he borrado las zonas creadas de DNS (directa e inversa)
> y
> he
> reiniciado un par de equipos y se estan identificando bien en DNS
> (entrando
> como administrador).
>
> Al administrador le he quitado el permiso de Administrador de dominio y
> vuelto a agregar sin resultado. me he creado un nuevo administrador por
> si
> acaso y tampoco.
>
> ¿Mas ideas?
>
> Saludos.

Responder a este mensaje

#8 israel97

24/10/2007 - 09:20 | Informe spam

Hola Javier.
¿Te refieres a una copia de las GPO que estan entre cochetes? ¿{31XXXXX} y
las otras?
¿Tengo que restaurar algo mas?

Si, podemos conseguir alguna copia, aunque, para mas lio, la copia es cada 2
dias y creo que ya se han "comido" la cinta de antes del problema. Pero creo
que tenemos la copia semanal.

Saludos.

"Javier Inglés [MS MVP]" wrote:

En ese caso, tienes un backup de las GPO como tal?

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services

"israel97" escribió en el mensaje
news:
> Si, por desgracia tambien lo he hecho y desde linea de comandos y da el
> mismo
> error.
> en esta ruta C:\WINDOWS\system32\
> dcpol.msc
> /gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=midom,DC=com"
>
> y con el otro igual.
>
> el error es:
> No se puede abrir el objeto de directiva de grupo. es posible que no tenga
> los derechos apropiados.
> No se ha encontrado la ruta de acceso de la red.
>
> Abriendo el GPMC, he visto que pone lo que te comentaba,que las GPO
> afectan
> a : usuarios autenticados y admins. del dominio.
>
> Me he creado un usuario basico y no he podido entrar, le he añadido
> permisos
> de administrador y tampoco pero le he puesto administrador del dominio y
> entonces entra en el PC sin problemas.
>
> Es como si en la GPO aunque pone "usuarios autentificados", NO hiciera
> caso
> de esa politica (de hecho no encuentro ese grupo por ningun sitio)
> he intentado quitarla y ponerla , pero da un error de acceso a red. Igual
> que si intento agregar cualquier otro usuario, se conecta bien al AD, me
> sale
> la lista de usuarios, lo marco y cuando doy aceptar, no puede añadirlo.
> Un lio.
> SOS
>
> Gracias.
>
>
>
>
>
> "Javier Inglés [MS MVP]" wrote:
>
>> No, note digo eso,. te digo de ejecutar lo del segundo KB
>>
>> To resolve this problem, you must specify the domain name parameter and
>> the
>> policy GUID parameter that the computer must bind to. For example, to
>> open
>> the Default Domain Controllers Policy console in the example.com domain,
>> type the following at the command prompt:
>> dcpol.msc
>> /gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=example,DC=com"
>> To open the Default Domain Policy console in the example.com domain, type
>> the following at the command prompt:
>> dompol.msc
>> /gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=example,DC=com"
>>
>> Salu2!!
>> Javier Inglés
>> https://mvp.support.microsoft.com/p...B5567431B0
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>> "israel97" escribió en el mensaje
>> news:
>> > Si, me baje el programa "Administracion de directivas de grupo" (GPMC)
>> > Ahi me aparece todo, incluso he visto que los cambios de permisos se
>> > reflejan correctamente, pero si, por ejemplo intento agregar un nuevo
>> > usuario, me aparece la lista de los nombre aproximados, pero al
>> > seleccionar
>> > el correcto, me dice que no puede acceder a la red.
>> > Si intento editar cualquiera "Default domain controler" o "DDomain
>> > polices"
>> > intenta abrir los programas "clasicos" de windows y vuelve a salir el
>> > error.
>> >
>> > Mientras tanto, he borrado las zonas creadas de DNS (directa e inversa)
>> > y
>> > he
>> > reiniciado un par de equipos y se estan identificando bien en DNS
>> > (entrando
>> > como administrador).
>> >
>> > Al administrador le he quitado el permiso de Administrador de dominio y
>> > vuelto a agregar sin resultado. me he creado un nuevo administrador por
>> > si
>> > acaso y tampoco.
>> >
>> > ¿Mas ideas?
>> >
>> > Saludos.
>>
>>
>>

Responder a este mensaje

#9 Javier Inglés [MS MVP]

24/10/2007 - 10:14 | Informe spam

Si tienes una copia anterior al problema, yo probaría a restaurar las GPO
como tal

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services

"israel97" escribió en el mensaje
news:

Hola Javier.
¿Te refieres a una copia de las GPO que estan entre cochetes? ¿{31XXXXX} y
las otras?
¿Tengo que restaurar algo mas?

Si, podemos conseguir alguna copia, aunque, para mas lio, la copia es cada
2
dias y creo que ya se han "comido" la cinta de antes del problema. Pero
creo
que tenemos la copia semanal.

Saludos.

"Javier Inglés [MS MVP]" wrote:

En ese caso, tienes un backup de las GPO como tal?

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services

"israel97" escribió en el mensaje
news:
> Si, por desgracia tambien lo he hecho y desde linea de comandos y da el
> mismo
> error.
> en esta ruta C:\WINDOWS\system32\
> dcpol.msc
> /gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=midom,DC=com"
>
> y con el otro igual.
>
> el error es:
> No se puede abrir el objeto de directiva de grupo. es posible que no
> tenga
> los derechos apropiados.
> No se ha encontrado la ruta de acceso de la red.
>
> Abriendo el GPMC, he visto que pone lo que te comentaba,que las GPO
> afectan
> a : usuarios autenticados y admins. del dominio.
>
> Me he creado un usuario basico y no he podido entrar, le he añadido
> permisos
> de administrador y tampoco pero le he puesto administrador del dominio
> y
> entonces entra en el PC sin problemas.
>
> Es como si en la GPO aunque pone "usuarios autentificados", NO hiciera
> caso
> de esa politica (de hecho no encuentro ese grupo por ningun sitio)
> he intentado quitarla y ponerla , pero da un error de acceso a red.
> Igual
> que si intento agregar cualquier otro usuario, se conecta bien al AD,
> me
> sale
> la lista de usuarios, lo marco y cuando doy aceptar, no puede añadirlo.
> Un lio.
> SOS
>
> Gracias.
>
>
>
>
>
> "Javier Inglés [MS MVP]" wrote:
>
>> No, note digo eso,. te digo de ejecutar lo del segundo KB
>>
>> To resolve this problem, you must specify the domain name parameter
>> and
>> the
>> policy GUID parameter that the computer must bind to. For example, to
>> open
>> the Default Domain Controllers Policy console in the example.com
>> domain,
>> type the following at the command prompt:
>> dcpol.msc
>> /gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=example,DC=com"
>> To open the Default Domain Policy console in the example.com domain,
>> type
>> the following at the command prompt:
>> dompol.msc
>> /gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=example,DC=com"
>>
>> Salu2!!
>> Javier Inglés
>> https://mvp.support.microsoft.com/p...B5567431B0
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>> "israel97" escribió en el mensaje
>> news:
>> > Si, me baje el programa "Administracion de directivas de grupo"
>> > (GPMC)
>> > Ahi me aparece todo, incluso he visto que los cambios de permisos se
>> > reflejan correctamente, pero si, por ejemplo intento agregar un
>> > nuevo
>> > usuario, me aparece la lista de los nombre aproximados, pero al
>> > seleccionar
>> > el correcto, me dice que no puede acceder a la red.
>> > Si intento editar cualquiera "Default domain controler" o "DDomain
>> > polices"
>> > intenta abrir los programas "clasicos" de windows y vuelve a salir
>> > el
>> > error.
>> >
>> > Mientras tanto, he borrado las zonas creadas de DNS (directa e
>> > inversa)
>> > y
>> > he
>> > reiniciado un par de equipos y se estan identificando bien en DNS
>> > (entrando
>> > como administrador).
>> >
>> > Al administrador le he quitado el permiso de Administrador de
>> > dominio y
>> > vuelto a agregar sin resultado. me he creado un nuevo administrador
>> > por
>> > si
>> > acaso y tampoco.
>> >
>> > ¿Mas ideas?
>> >
>> > Saludos.
>>
>>
>>

Responder a este mensaje

#10 israel97

24/10/2007 - 16:51 | Informe spam

Hola Javier.
Pues nada, despues de una mañana movida, la cosa esta como sigue.
NO habia copia de seguridad de la carpeta windows (no se porque, los
encargados de la copia decidieron NO incluirla)

Asi que he tenido que tomar una decision drastica.
Tenemos un nuevo servidor que pensabamos ponerlo como controlador de dominio
cuando terminaramos de instalar el software nuevo. Hemos adelantado el tema.
He añadido el nuevo servidor y ya puedo acceder a las GPO desde este.
En el visor todo esta bastante limpio pero parece que tiene problemas en la
replicacion de SYSVOL con el servidor viejo.
Voy a despromocionar el servidor viejo a ver si todo se queda ok.
De momento los usuarios "normales" siguen sin poder entrar.
Los usuarios que le hemos añadido el grupo "admin. del dominio" si que
pueden entrar.

Te seguire informando,

Saludos.

"Javier Inglés [MS MVP]" wrote:

Si tienes una copia anterior al problema, yo probaría a restaurar las GPO
como tal

Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services

"israel97" escribió en el mensaje
news:
> Hola Javier.
> ¿Te refieres a una copia de las GPO que estan entre cochetes? ¿{31XXXXX} y
> las otras?
> ¿Tengo que restaurar algo mas?
>
> Si, podemos conseguir alguna copia, aunque, para mas lio, la copia es cada
> 2
> dias y creo que ya se han "comido" la cinta de antes del problema. Pero
> creo
> que tenemos la copia semanal.
>
> Saludos.
>
> "Javier Inglés [MS MVP]" wrote:
>
>> En ese caso, tienes un backup de las GPO como tal?
>>
>> Salu2!!
>> Javier Inglés
>> https://mvp.support.microsoft.com/p...B5567431B0
>> MS MVP, Windows Server-Directory Services
>>
>>
>>
>> "israel97" escribió en el mensaje
>> news:
>> > Si, por desgracia tambien lo he hecho y desde linea de comandos y da el
>> > mismo
>> > error.
>> > en esta ruta C:\WINDOWS\system32\
>> > dcpol.msc
>> > /gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=midom,DC=com"
>> >
>> > y con el otro igual.
>> >
>> > el error es:
>> > No se puede abrir el objeto de directiva de grupo. es posible que no
>> > tenga
>> > los derechos apropiados.
>> > No se ha encontrado la ruta de acceso de la red.
>> >
>> > Abriendo el GPMC, he visto que pone lo que te comentaba,que las GPO
>> > afectan
>> > a : usuarios autenticados y admins. del dominio.
>> >
>> > Me he creado un usuario basico y no he podido entrar, le he añadido
>> > permisos
>> > de administrador y tampoco pero le he puesto administrador del dominio
>> > y
>> > entonces entra en el PC sin problemas.
>> >
>> > Es como si en la GPO aunque pone "usuarios autentificados", NO hiciera
>> > caso
>> > de esa politica (de hecho no encuentro ese grupo por ningun sitio)
>> > he intentado quitarla y ponerla , pero da un error de acceso a red.
>> > Igual
>> > que si intento agregar cualquier otro usuario, se conecta bien al AD,
>> > me
>> > sale
>> > la lista de usuarios, lo marco y cuando doy aceptar, no puede añadirlo.
>> > Un lio.
>> > SOS
>> >
>> > Gracias.
>> >
>> >
>> >
>> >
>> >
>> > "Javier Inglés [MS MVP]" wrote:
>> >
>> >> No, note digo eso,. te digo de ejecutar lo del segundo KB
>> >>
>> >> To resolve this problem, you must specify the domain name parameter
>> >> and
>> >> the
>> >> policy GUID parameter that the computer must bind to. For example, to
>> >> open
>> >> the Default Domain Controllers Policy console in the example.com
>> >> domain,
>> >> type the following at the command prompt:
>> >> dcpol.msc
>> >> /gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=example,DC=com"
>> >> To open the Default Domain Policy console in the example.com domain,
>> >> type
>> >> the following at the command prompt:
>> >> dompol.msc
>> >> /gpobject:"LDAP://CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=example,DC=com"
>> >>
>> >> Salu2!!
>> >> Javier Inglés
>> >> https://mvp.support.microsoft.com/p...B5567431B0
>> >> MS MVP, Windows Server-Directory Services
>> >>
>> >>
>> >>
>> >> "israel97" escribió en el mensaje
>> >> news:
>> >> > Si, me baje el programa "Administracion de directivas de grupo"
>> >> > (GPMC)
>> >> > Ahi me aparece todo, incluso he visto que los cambios de permisos se
>> >> > reflejan correctamente, pero si, por ejemplo intento agregar un
>> >> > nuevo
>> >> > usuario, me aparece la lista de los nombre aproximados, pero al
>> >> > seleccionar
>> >> > el correcto, me dice que no puede acceder a la red.
>> >> > Si intento editar cualquiera "Default domain controler" o "DDomain
>> >> > polices"
>> >> > intenta abrir los programas "clasicos" de windows y vuelve a salir
>> >> > el
>> >> > error.
>> >> >
>> >> > Mientras tanto, he borrado las zonas creadas de DNS (directa e
>> >> > inversa)
>> >> > y
>> >> > he
>> >> > reiniciado un par de equipos y se estan identificando bien en DNS
>> >> > (entrando
>> >> > como administrador).
>> >> >
>> >> > Al administrador le he quitado el permiso de Administrador de
>> >> > dominio y
>> >> > vuelto a agregar sin resultado. me he creado un nuevo administrador
>> >> > por
>> >> > si
>> >> > acaso y tampoco.
>> >> >
>> >> > ¿Mas ideas?
>> >> >
>> >> > Saludos.
>> >>
>> >>
>> >>
>>
>>
>>

Responder a este mensaje

Ads by Google

Hacer una preguntaSiguiente

Tengo una respuesta

1 2 3

Busqueda sugerida