Fehler bei GPO 1001 + 1085

[qmaestroq]

Hallo Leute,

ich habe eine ziemlich marode Domäne in meiner Firma übernommen. Nachdem ich zwei neue Domänencontroller etabliert habe, bekomme ich bei den GPOs ein Problem:

Ich habe eine Richtlinie erstellt, mit der ich automatisch Office 2003 installieren lasse. Das hat auch bis zum DCPromo auf dem zweiten neuen DC ziemlich gut funktioniert.
Aber jetzt laufen alle RIchtlinie bei mir nicht mehr. Es liegt auch nicht nur an der einen Richtlinie, die habe ich bereits mal deaktiviert. Irgendwie ist das komplette GPO Geraffel hinne...
Beim XP Client bekomme ich die beiden Events 1001 und 1085.
Sinngemäß heißt das , dass er den GPO Cache nicht leeren kann.

Folgendes habe ich schon herausgefunden:

Wenn ich mir auf dem XP Client die NTFS Rechte für .../Security/templates anschaue, dann sehe ich dass das Verzeichnis read only ist.

Ich habe bei eventid folgenden Text zur Hilfe gefunden:

- Error: "Cannot delete GP cache" - From a newsgroup post: "Turns out that the "Cannot delete GP cache" is referring to the files in the “\windows\security\templates\policies” folder on the client that had the read-only attribute set and the client-side security extension could not delete or update them. The root of the problem turns out to be how I originally created the group policies. I had copied all the security templates from the Win 2003 Security Guide that I had on a CD and put them into the “\Windows\security\templates” directory on the server and this took along the read-only attribute with the files. So when I created group policies by importing the security templates this copies the templates along with the read-only attribute to the SYSVOL. Well this left a bunch of the templates in the SYSVOL as read-only. Consequently when the template is brought down to the client so is the read-only attribute. Now you have the security policies on the client with read-only set and they cannot be deleted or updated by the client-side security extension. So the complete fix was to remove the read-only from the templates in the SYSVOL, delete the all the files from the security policy cache on the client and then run the “GPUPDATE /FORCE”. By the way, taking the read-only attribute off files in the SYSVOL was very tricky and cumbersome, so the word of warning is to make sure not to start with security templates that are read-only when importing them into group policies".

Ich habe aber keine Templates in die GPOs importiert. Ich habe immer nur Richtlinien per Hand erstellt.

Scheinbar kann er auf den Clients meine bisherigen Richtlinien nicht überschreiben, da sie irgendwie schreibgeschützt sind. Entferne ich das read only bei /../templates, dann ist es nach dem nächsten gpupdate wieder read only.

Kann ich jetzt im Sysvol einfach hergehen, und bei allen Richtlinien das Read only rausnehmen?

Wie kann ich auf den Clients den GPO Cache per Hand löschen, bzw. welche Dateien muss ich dazu löschen? Muss ich denn jetzt alle XP User zu Fuss besuchen, damit ich irgndwann meine GPOs wieder benutzen kann?

Ich habe auch das Anmeldescript per GPO verteilt, mit allen Shares etc. Die scheinen wohl zu laufen, aber wahrscheinlich auch nur, weil sie schon auf dewn Clients im Cache sind, oder? Wenn ich den Cache nun irgendwie lösche, und die GPOs nicht mehr richtig funktionieren, habe ich natürlich Angst, dass meine User das Anmeldescript nicht mehr bekommen würden, womit ich dann wohl mit einem erhöhten Besucherandrang in meiner Abteilung zu rechnen hätte :-(

Vielleicht hat jemand einen Rat...

Vielen Dank im voraus...

Schönen Abend

qmaestroq

[ChristianHemker]

Gruppenrichtlinien werden ja in Dateiform im SYSVOL Verzeichnis abgelegt und über den File Replcation Service zwischen den Domänencontrollern synchronisiert.
Klappt das? Vielleicht liegt der Fehler ja da?

[qmaestroq]

Hallo Christian,

vielen Dank für deinen Tipp, aber diese Möglichkeit habe ich schon gecheckt, die beiden verzeichnisse sind gleich groß etc.
Was ich aber noch herausgefunden habe, ist folgendes:

Die GPOs laufen im Prinzip doch, jedoch werden immer die beiden Ereignisse protokolliert.
Ich habe mir mal die beiden Standardrichtlinien bei uns angeschaut. Ich denke fast, dass da der Hase im Pfeffer liegt. Nachdem ich einen defekten DC ausgetauscht hatte, bekam ich die beiden Ereignisse bei den XP Clients. Also scheint beim DC Promo was schiufgelaufen zu sein.
In den Standardrichtlinien steht eine Menge Müll drin, also sehr viele User, die nicht mehr richtig aufgelöst werden. Da steht nur noch die SID drin. Manche User bzw. Serverkonten gibt es auch nicht mehr :-(

Aufgrund meiner Exchangeumgebung habe ich natürlich Angst, jetzt einfach die beiden Richtlinie mit dcgpofix zu fixen...
Hat das schonmal jemand gemacht?

Gruß

qmaestroq

[ChristianHemker]

Sichere doch die beiden Richtlinien vorher mit der GPMC, dann hast du immer einen Weg zurück.

[qmaestroq]

Hi,

hmm, werde ich wohl auch so machen. Ich habe sonst keine Ahnung, was ich noch anstellen könnte...

Gruß

qmaestroq