分类:
2008-10-17 13:56:19
凡是没有安装SP4的操作系统,都经常会出现SYSVOL权限和GPO的问题。详情请参见以下链接:()
在这两篇文章中都介绍了一些比较实用的解决方案,你可以参照实施。为了杜绝此类问题的出现,最好的办法就是在构建一个域时,先确认客户端所使用的 2000系统均为SP4版本。当然,如果是从Windows NT 4.0域升级为Windows 2000,恐怕会有点麻烦。
一般情况下,用户如果有足够的权限的话,可以调整对话框中的选项,然后点击OK按钮,就可以更改分配给SYSVOL文件夹的共享权限。在某些特殊的情况下,用户可能不得不手动修改。企业域控制器组也属于这一类情况——之所以出现“将不适当的组分配给‘跳过遍历检查用户权利指派’”的情况,也是因为目前域控制器所运行的Windows 2000系统并没有升级为SP4版本。
至于你所提到的最后一个问题,必须进入根域的PDC模拟器才能创建新策略,极有可能是因为其它域控制器无法正确定位PDC模拟器的位置而引起的,这属于DNS方面的问题。在DNS文件中单单只找到的域名,是不够的,还必须有PDC模拟器的服务资源(SRV)记录和维修记录。请参照以下步骤进行检测:
1)确认域控制器指向同一台DNS的IP地址(假设所有的域控制器都位于同一物理位置);
2)调出“命令提示符”窗口,键入IPCONFIG /REGISTERDNS;或者重新启动NETLOGON服务,检查PDC模拟器是否能够正确地注册DNS目录。然后,查看事件日志记录,发现问题;
3)检查DNS记录,在“:/DNS正向搜索区/[你的域名]/ _msdcs/pdc/_tcp”目录下搜索PDC模拟器;
4)检查其它域控制器对PDC模拟器的角色识别。我选用的工具为NTDSUTIL.exe。调出“命令提示符”窗口,键入Ntdsutil(在执行这步操作之前,必须确认电脑上已经安装了Win2000系统盘中捆绑的Windows支持工具包)。回车,屏幕上将会显示“NTDSUTIL:”,参照下文键入相应的字符串(黑体字):
Ntsdutil: roles fsmo maintenance: connections server connections: connect to server [servername of non-PDC emulator system] Connected to [servername] using credentials of locally logged on user. server connections: quit fsmo maintenance: Select operation target select operation target: List roles for connected server
输出的结果应该为:
Server "myserver" knows about 5 roles Schema - CN=NTDS Settings,CN=MYSERVER2,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=mydomain,DC=com Domain - CN=NTDS Settings,CN=MYSERVER2,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=mydomain,DC=com PDC - CN=NTDS Settings,CN=MYSERVER,CN=Servers,CN=Default-First-Site-Name,CN=Site s,CN=Configuration,DC=mydomain,DC=com RID - CN=NTDS Settings,CN=MYSERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sit es,CN=Configuration,DC=mydomain,DC=com Infrastructure - CN=NTDS Settings,CN=MYSERVER,CN=Servers,CN=Default-First-Site-N ame,CN=Sites,CN=Configuration,DC=mydomain,DC=com