Почему gpupdate не работает?

Почему gpupdate не работает?

Итак, у меня есть домен Windows Active Directory с двумя контроллерами домена, DC1и DC2, оба работают под управлением Windows Server 2008 R2. DC1— это основной контроллер домена, на котором хранятся все роли FSMO. Он работал нормально, как и ожидалось, пока в один прекрасный день у нас не возникло требование к некоторым (паршивым) приложениям предоставить определенным пользователям возможность изменять время и дату на своих машинах по какой-то причине. Мы установили объект групповой политики для определенных пользователей ( OU1и OU2), позволяющий им изменять системное время:

Computer Configurations
    -> Windows Settings
        -> Security Settings
            -> Local Policies
                -> User Rights Assignment
                    -> Change the system time

И добавил группы, которым я хочу назначить это право. Однако после установки этих настроек на на DC1, я сделал gpupdateи была возвращена ошибка:

C:\Users\myuser>gpupdate
Updating Policy...

User Policy update has completed successfully.
Computer policy could not be updated successfully. The following errors were encountered:

The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed).
Look in the details tab for error code and description.

To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.

Я проверил Event Viewer и он показал ошибку EventID 1006, ErrorCode 49, ErrorDescription: Invalid Credentials.

Эта статьяпредполагает, что эта ошибка вызвана тем, что некоторая системная служба запущена как учетная запись пользователя, учетные данные которого были изменены, и после проверки служб выяснилось, что ни одна из них не запущена как пользователь (все запущены как локальная система, локальная служба или сетевая служба и отображаются в журналах как пользователь SYSTEM).

Политика не была применена к пользователям, и нам пришлось вручную обойти некоторые срочные случаи. Запуск gpupdateна DC2не приводит к ошибкам, поэтому мы подумали о передаче ролей FSMO в DC2, удалении DC1и переформатировании его (или о том, что отчаянные администраторы делают в наши дни :D) в качестве последнего средства. Прямо сейчас мы передали роли, и все еще запуск gpupdategpupdate /force) приводит к той же ошибке в , DC1но работает гладко в DC2. Однако политика не была применена. В чем проблема и где мы ошибаемся? И как мы можем это исправить?

P.S. Я также дважды проверил DNS и использовал анализатор передового опыта ролей Active Directory, но он выдал мне только пару предупреждений об отсутствии резервного копирования и ошибку при настройке синхронизации времени.

ОБНОВЛЯТЬ: Кто-то опубликовал ответ (вскоре удаленный) о том, что он/она столкнулся с той же проблемой, и спросил, нашли ли мы решение. Нет, не нашли, мы просто заменили паршивое приложение, которому нужна была эта групповая политика.

решение1

очистите кэшированные учетные данные на машине

rundll32.exe keymgr.dll,KRShowKeyMgr

очистить учетные данные домена

  • скачать psexec
  • запустить cmd как систему

    c:\PSTools>psexec -i -s cmd.exe
    
    PsExec v2.2 - Execute processes remotely
    Copyright (C) 2001-2016 Mark Russinovich
    Sysinternals - www.sysinternals.com
    
    Microsoft Windows [Version 10.0.14393]
    (c) 2016 Microsoft Corporation. All rights reserved.
    
    C:\Windows\system32>whoami
    nt authority\system
    

Если вы запустите реестр Windows с привилегиями уровня SYSTEM и перейдете в раздел "HKEY_LOCAL_MACHINE\SECURITY\CACHE", вы найдете в общей сложности 10 записей, начиная с NL1 по NL10. Эти двоичные записи содержат кэшированные учетные данные пользователей на уровне домена. По умолчанию Windows позволяет кэшировать в общей сложности 10 учетных данных, и если все 10 записей заполнены, любые новые учетные данные, подлежащие кэшированию, будут перезаписаны датой валютирования в самой старой записи NL. Кроме того, чтобы узнать, сколько свободных записей осталось, просто подсчитайте количество записей, двоичные данные значений которых заполнены на '0'.

Связанный контент