GPO domaine Windows 2000 et Vista

Le
Steph
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO que je
n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la recherche
d'erreur et vérifié tous les paramètres pré-requis : DNS, DFS Tout semble
ok.
J'ai activé le user debug level log sur une machine ou la GPO ne descend pas
et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO:
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
<CN={BF9FD37C-941F-4254-A86B-},CN=Policies,CN=System,DC=ndomaine,DC=xx>
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality version of: 2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
<omdomaine.xxSysVolomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-}>
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath: NetDfsGetClientInfo()
failed with error=0xa66 for GPT
Path=omdomaine.xxSysVolomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group policy
template file
<omdomaine.xxSysVolomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-}gpt.ini>,
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO:
GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs failed.
Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: ********************************

Je précise que le fichier GPT.ini est accessible depuis la machine dans
notepad et dans l'explorateur. Ce n'est donc pas un pb de droits ni de
chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66 pour ce
processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Lognoul, Marc \(Private\)
Le #1159693
Le code d'erreur 0x5 est pourtant bien un access denied.

Juste pour info: tester l'accès à une GPO pour ordinateur à partir d'une
session utilisateur ne permet pas de tester les permission puisque les
contextes de sécurité sotn différents.
Il est préférable de passer pas "psexec -s" pour simuler le contexte machine
à partir d'une session utilisateur.

En conclusion, je parie pour des permission incorrectes sur sysvol.

Marc


"Steph" news:47c7cd43$0$881$
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO que je
n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la
recherche d'erreur et vérifié tous les paramètres pré-requis : DNS, DFS...
Tout semble ok.
J'ai activé le user debug level log sur une machine ou la GPO ne descend
pas et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: ============================= > GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality version of:
2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath: NetDfsGetClientInfo()
failed with error=0xa66 for GPT
Path=\nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group policy
template file
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: ============================= > GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs failed.
Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: ********************************

Je précise que le fichier GPT.ini est accessible depuis la machine dans
notepad et dans l'explorateur. Ce n'est donc pas un pb de droits ni de
chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66 pour ce
processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane




Steph
Le #1160799
ok. J'ai essayé avec psexec et effectivement j'obtiens "Chemin d'accès
introuvable" à l'ouverture du gpt.ini.
J'ai testé en donnant les droits explicitement au pc (nomdomaine/nompc$) sur
le répertoire {BF9...} de policies. Cela résoud le problème sur un poste
mais je n'arrive pas à généraliser : quels droits faut il donner sur le
sysvol ?

J'ai désactivé les héritages. J'ai ajouté les "Ordinateurs du domaine" en
droit de lecture/exécution mais cela ne fonctionne pas sur les nouveaux
postes.


"Lognoul, Marc (Private)" news:
Le code d'erreur 0x5 est pourtant bien un access denied.

Juste pour info: tester l'accès à une GPO pour ordinateur à partir d'une
session utilisateur ne permet pas de tester les permission puisque les
contextes de sécurité sotn différents.
Il est préférable de passer pas "psexec -s" pour simuler le contexte
machine à partir d'une session utilisateur.

En conclusion, je parie pour des permission incorrectes sur sysvol.

Marc


"Steph" news:47c7cd43$0$881$
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO que
je n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la
recherche d'erreur et vérifié tous les paramètres pré-requis : DNS,
DFS... Tout semble ok.
J'ai activé le user debug level log sur une machine ou la GPO ne descend
pas et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: ============================= >> GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality version of:
2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath: NetDfsGetClientInfo()
failed with error=0xa66 for GPT
Path=\nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group policy
template file
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: ============================= >> GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs failed.
Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: ********************************

Je précise que le fichier GPT.ini est accessible depuis la machine dans
notepad et dans l'explorateur. Ce n'est donc pas un pb de droits ni de
chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66 pour
ce processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane






Michaël THIBAUT
Le #1192386
Bonsoir,

As tu essayé des tools comme dcgpofix ? ca fait des miracles !

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Steph" news:47c8154c$0$898$
ok. J'ai essayé avec psexec et effectivement j'obtiens "Chemin d'accès
introuvable" à l'ouverture du gpt.ini.
J'ai testé en donnant les droits explicitement au pc (nomdomaine/nompc$)
sur le répertoire {BF9...} de policies. Cela résoud le problème sur un
poste mais je n'arrive pas à généraliser : quels droits faut il donner sur
le sysvol ?

J'ai désactivé les héritages. J'ai ajouté les "Ordinateurs du domaine" en
droit de lecture/exécution mais cela ne fonctionne pas sur les nouveaux
postes.


"Lognoul, Marc (Private)" de news:
Le code d'erreur 0x5 est pourtant bien un access denied.

Juste pour info: tester l'accès à une GPO pour ordinateur à partir d'une
session utilisateur ne permet pas de tester les permission puisque les
contextes de sécurité sotn différents.
Il est préférable de passer pas "psexec -s" pour simuler le contexte
machine à partir d'une session utilisateur.

En conclusion, je parie pour des permission incorrectes sur sysvol.

Marc


"Steph" news:47c7cd43$0$881$
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO que
je n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la
recherche d'erreur et vérifié tous les paramètres pré-requis : DNS,
DFS... Tout semble ok.
J'ai activé le user debug level log sur une machine ou la GPO ne descend
pas et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: ============================= >>> GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality version of:
2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath: NetDfsGetClientInfo()
failed with error=0xa66 for GPT
Path=\nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group policy
template file
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: ============================= >>> GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs failed.
Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo:
********************************

Je précise que le fichier GPT.ini est accessible depuis la machine dans
notepad et dans l'explorateur. Ce n'est donc pas un pb de droits ni de
chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66 pour
ce processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane










Lognoul, Marc \(Private\)
Le #1203090
GPMC propose également de restaurer les permissions correctes sur SYSVOL en
fonction de celles de l'object GPO correspondant.

Marc

PS: A ma connaissance dcgpofix ne répare que les GPO's "default" (domain et
dc).


"Michaël THIBAUT" news:
Bonsoir,

As tu essayé des tools comme dcgpofix ? ca fait des miracles !

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Steph" news:47c8154c$0$898$
ok. J'ai essayé avec psexec et effectivement j'obtiens "Chemin d'accès
introuvable" à l'ouverture du gpt.ini.
J'ai testé en donnant les droits explicitement au pc (nomdomaine/nompc$)
sur le répertoire {BF9...} de policies. Cela résoud le problème sur un
poste mais je n'arrive pas à généraliser : quels droits faut il donner
sur le sysvol ?

J'ai désactivé les héritages. J'ai ajouté les "Ordinateurs du domaine" en
droit de lecture/exécution mais cela ne fonctionne pas sur les nouveaux
postes.


"Lognoul, Marc (Private)" de news:
Le code d'erreur 0x5 est pourtant bien un access denied.

Juste pour info: tester l'accès à une GPO pour ordinateur à partir d'une
session utilisateur ne permet pas de tester les permission puisque les
contextes de sécurité sotn différents.
Il est préférable de passer pas "psexec -s" pour simuler le contexte
machine à partir d'une session utilisateur.

En conclusion, je parie pour des permission incorrectes sur sysvol.

Marc


"Steph" news:47c7cd43$0$881$
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO que
je n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la
recherche d'erreur et vérifié tous les paramètres pré-requis : DNS,
DFS... Tout semble ok.
J'ai activé le user debug level log sur une machine ou la GPO ne
descend pas et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: ============================= >>>> GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this
GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality version
of: 2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath: NetDfsGetClientInfo()
failed with error=0xa66 for GPT
Path=\nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group policy
template file
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: ============================= >>>> GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs failed.
Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo:
********************************

Je précise que le fichier GPT.ini est accessible depuis la machine dans
notepad et dans l'explorateur. Ce n'est donc pas un pb de droits ni de
chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66 pour
ce processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane













Steph
Le #1203535
J'avais bien pensé au dcgpofix mais j'avais également lu qu'il remettait à
zéro la police par défaut du domaine. Je vais la sauvegarder et tenter cette
commande....

J'ai évolué un petit peu dans mes tests :

- A l'installation d'une nouvelle machine, la GPO (BF9..) ne descend pas sur
le poste.

- Il faut faire manuellement un gpupdate quelle que soit la session utilisée
sur le poste

- La GPO BF9 reste appliquée mais il ya tjs les messages d'erreurs au boot
(dans l'obs d'evts).

Je vous tiens au courant.

Merci.

S.

"Lognoul, Marc (Private)" news:
GPMC propose également de restaurer les permissions correctes sur SYSVOL
en fonction de celles de l'object GPO correspondant.

Marc

PS: A ma connaissance dcgpofix ne répare que les GPO's "default" (domain
et dc).


"Michaël THIBAUT" news:
Bonsoir,

As tu essayé des tools comme dcgpofix ? ca fait des miracles !

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Steph" news:47c8154c$0$898$
ok. J'ai essayé avec psexec et effectivement j'obtiens "Chemin d'accès
introuvable" à l'ouverture du gpt.ini.
J'ai testé en donnant les droits explicitement au pc (nomdomaine/nompc$)
sur le répertoire {BF9...} de policies. Cela résoud le problème sur un
poste mais je n'arrive pas à généraliser : quels droits faut il donner
sur le sysvol ?

J'ai désactivé les héritages. J'ai ajouté les "Ordinateurs du domaine"
en droit de lecture/exécution mais cela ne fonctionne pas sur les
nouveaux postes.


"Lognoul, Marc (Private)" de news:
Le code d'erreur 0x5 est pourtant bien un access denied.

Juste pour info: tester l'accès à une GPO pour ordinateur à partir
d'une session utilisateur ne permet pas de tester les permission
puisque les contextes de sécurité sotn différents.
Il est préférable de passer pas "psexec -s" pour simuler le contexte
machine à partir d'une session utilisateur.

En conclusion, je parie pour des permission incorrectes sur sysvol.

Marc


"Steph" news:47c7cd43$0$881$
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO
que je n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la
recherche d'erreur et vérifié tous les paramètres pré-requis : DNS,
DFS... Tout semble ok.
J'ai activé le user debug level log sur une machine ou la GPO ne
descend pas et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO:
============================= >>>>> GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this
GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality version
of: 2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath:
NetDfsGetClientInfo() failed with error=0xa66 for GPT
Path=\nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group
policy template file
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO:
============================= >>>>> GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs failed.
Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo:
********************************

Je précise que le fichier GPT.ini est accessible depuis la machine
dans notepad et dans l'explorateur. Ce n'est donc pas un pb de droits
ni de chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66
pour ce processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane















Lognoul, Marc \(Private\)
Le #1203976
Quels sont les messages d'erreur présents dans l'event log? Y aurait il des
messages LSASRV et W32time dnas le log système également?

Marc

"Steph" news:47cd112a$0$873$
J'avais bien pensé au dcgpofix mais j'avais également lu qu'il remettait à
zéro la police par défaut du domaine. Je vais la sauvegarder et tenter
cette commande....

J'ai évolué un petit peu dans mes tests :

- A l'installation d'une nouvelle machine, la GPO (BF9..) ne descend pas
sur le poste.

- Il faut faire manuellement un gpupdate quelle que soit la session
utilisée sur le poste

- La GPO BF9 reste appliquée mais il ya tjs les messages d'erreurs au boot
(dans l'obs d'evts).

Je vous tiens au courant.

Merci.

S.

"Lognoul, Marc (Private)" de news:
GPMC propose également de restaurer les permissions correctes sur SYSVOL
en fonction de celles de l'object GPO correspondant.

Marc

PS: A ma connaissance dcgpofix ne répare que les GPO's "default" (domain
et dc).


"Michaël THIBAUT" news:
Bonsoir,

As tu essayé des tools comme dcgpofix ? ca fait des miracles !

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Steph" news:47c8154c$0$898$
ok. J'ai essayé avec psexec et effectivement j'obtiens "Chemin d'accès
introuvable" à l'ouverture du gpt.ini.
J'ai testé en donnant les droits explicitement au pc
(nomdomaine/nompc$) sur le répertoire {BF9...} de policies. Cela résoud
le problème sur un poste mais je n'arrive pas à généraliser : quels
droits faut il donner sur le sysvol ?

J'ai désactivé les héritages. J'ai ajouté les "Ordinateurs du domaine"
en droit de lecture/exécution mais cela ne fonctionne pas sur les
nouveaux postes.


"Lognoul, Marc (Private)" message de news:
Le code d'erreur 0x5 est pourtant bien un access denied.

Juste pour info: tester l'accès à une GPO pour ordinateur à partir
d'une session utilisateur ne permet pas de tester les permission
puisque les contextes de sécurité sotn différents.
Il est préférable de passer pas "psexec -s" pour simuler le contexte
machine à partir d'une session utilisateur.

En conclusion, je parie pour des permission incorrectes sur sysvol.

Marc


"Steph" news:47c7cd43$0$881$
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO
que je n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la
recherche d'erreur et vérifié tous les paramètres pré-requis : DNS,
DFS... Tout semble ok.
J'ai activé le user debug level log sur une machine ou la GPO ne
descend pas et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO:
============================= >>>>>> GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this
GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality version
of: 2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath:
NetDfsGetClientInfo() failed with error=0xa66 for GPT
Path=\nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group
policy template file
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO:
============================= >>>>>> GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs failed.
Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo:
********************************

Je précise que le fichier GPT.ini est accessible depuis la machine
dans notepad et dans l'explorateur. Ce n'est donc pas un pb de droits
ni de chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66
pour ce processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane



















Steph
Le #1203975
A boot de la machine il n'y a qu'un message d'erreur dans l'evt log (Source
GroupPolicy - ID :1058) :

Le traitement de la stratégie de groupe a échoué. Windows a tenté en vain de
lire le fichier
\nomdomaine.xx.frSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
à partir d'un contrôleur de domaine. Il est possible que les paramètres de
stratégie ne s'appliquent pas tant que cet événement n'est pas résolu. Cette
erreur peut être temporaire et avoir une ou plusieurs des causes suivantes :
a) Résolution de nom/connectivité réseau au contrôleur de domaine actif.
b) Latence du service de réplication de fichiers (un fichier créé dans un
autre contrôleur de domaine ne s'est pas répliqué sur le contrôleur de
domaine actif).
c) Le client du système de fichiers DFS (Distributed File System) a été
désactivé.


"Lognoul, Marc (Private)" news:
Quels sont les messages d'erreur présents dans l'event log? Y aurait il
des messages LSASRV et W32time dnas le log système également?

Marc

"Steph" news:47cd112a$0$873$
J'avais bien pensé au dcgpofix mais j'avais également lu qu'il remettait
à zéro la police par défaut du domaine. Je vais la sauvegarder et tenter
cette commande....

J'ai évolué un petit peu dans mes tests :

- A l'installation d'une nouvelle machine, la GPO (BF9..) ne descend pas
sur le poste.

- Il faut faire manuellement un gpupdate quelle que soit la session
utilisée sur le poste

- La GPO BF9 reste appliquée mais il ya tjs les messages d'erreurs au
boot (dans l'obs d'evts).

Je vous tiens au courant.

Merci.

S.

"Lognoul, Marc (Private)" de news:
GPMC propose également de restaurer les permissions correctes sur SYSVOL
en fonction de celles de l'object GPO correspondant.

Marc

PS: A ma connaissance dcgpofix ne répare que les GPO's "default" (domain
et dc).


"Michaël THIBAUT" news:
Bonsoir,

As tu essayé des tools comme dcgpofix ? ca fait des miracles !

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Steph" news:47c8154c$0$898$
ok. J'ai essayé avec psexec et effectivement j'obtiens "Chemin d'accès
introuvable" à l'ouverture du gpt.ini.
J'ai testé en donnant les droits explicitement au pc
(nomdomaine/nompc$) sur le répertoire {BF9...} de policies. Cela
résoud le problème sur un poste mais je n'arrive pas à généraliser :
quels droits faut il donner sur le sysvol ?

J'ai désactivé les héritages. J'ai ajouté les "Ordinateurs du domaine"
en droit de lecture/exécution mais cela ne fonctionne pas sur les
nouveaux postes.


"Lognoul, Marc (Private)" message de news:
Le code d'erreur 0x5 est pourtant bien un access denied.

Juste pour info: tester l'accès à une GPO pour ordinateur à partir
d'une session utilisateur ne permet pas de tester les permission
puisque les contextes de sécurité sotn différents.
Il est préférable de passer pas "psexec -s" pour simuler le contexte
machine à partir d'une session utilisateur.

En conclusion, je parie pour des permission incorrectes sur sysvol.

Marc


"Steph" news:47c7cd43$0$881$
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO
que je n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la
recherche d'erreur et vérifié tous les paramètres pré-requis : DNS,
DFS... Tout semble ok.
J'ai activé le user debug level log sur une machine ou la GPO ne
descend pas et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO:
============================= >>>>>>> GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this
GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter
check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality version
of: 2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath:
NetDfsGetClientInfo() failed with error=0xa66 for GPT
Path=\nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group
policy template file
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO:
============================= >>>>>>> GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs
failed. Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo:
********************************

Je précise que le fichier GPT.ini est accessible depuis la machine
dans notepad et dans l'explorateur. Ce n'est donc pas un pb de
droits ni de chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66
pour ce processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane





















Lognoul, Marc \(Private\)
Le #1205674
Cet article de la KB MS donne la plupart des pistes à suivre. Mais la
première étape est la réparation des permissions sur les sous-répertoires de
Sysvol contenant les GPO's.
http://support.microsoft.com/kb/887303/en-us

Marc

"Steph" news:47cd2447$0$875$
A boot de la machine il n'y a qu'un message d'erreur dans l'evt log
(Source GroupPolicy - ID :1058) :

Le traitement de la stratégie de groupe a échoué. Windows a tenté en vain
de lire le fichier
\nomdomaine.xx.frSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
à partir d'un contrôleur de domaine. Il est possible que les paramètres de
stratégie ne s'appliquent pas tant que cet événement n'est pas résolu.
Cette erreur peut être temporaire et avoir une ou plusieurs des causes
suivantes :
a) Résolution de nom/connectivité réseau au contrôleur de domaine actif.
b) Latence du service de réplication de fichiers (un fichier créé dans un
autre contrôleur de domaine ne s'est pas répliqué sur le contrôleur de
domaine actif).
c) Le client du système de fichiers DFS (Distributed File System) a été
désactivé.


"Lognoul, Marc (Private)" de news:
Quels sont les messages d'erreur présents dans l'event log? Y aurait il
des messages LSASRV et W32time dnas le log système également?

Marc

"Steph" news:47cd112a$0$873$
J'avais bien pensé au dcgpofix mais j'avais également lu qu'il remettait
à zéro la police par défaut du domaine. Je vais la sauvegarder et tenter
cette commande....

J'ai évolué un petit peu dans mes tests :

- A l'installation d'une nouvelle machine, la GPO (BF9..) ne descend pas
sur le poste.

- Il faut faire manuellement un gpupdate quelle que soit la session
utilisée sur le poste

- La GPO BF9 reste appliquée mais il ya tjs les messages d'erreurs au
boot (dans l'obs d'evts).

Je vous tiens au courant.

Merci.

S.

"Lognoul, Marc (Private)" de news:
GPMC propose également de restaurer les permissions correctes sur
SYSVOL en fonction de celles de l'object GPO correspondant.

Marc

PS: A ma connaissance dcgpofix ne répare que les GPO's "default"
(domain et dc).


"Michaël THIBAUT" news:
Bonsoir,

As tu essayé des tools comme dcgpofix ? ca fait des miracles !

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Steph" news:47c8154c$0$898$
ok. J'ai essayé avec psexec et effectivement j'obtiens "Chemin
d'accès introuvable" à l'ouverture du gpt.ini.
J'ai testé en donnant les droits explicitement au pc
(nomdomaine/nompc$) sur le répertoire {BF9...} de policies. Cela
résoud le problème sur un poste mais je n'arrive pas à généraliser :
quels droits faut il donner sur le sysvol ?

J'ai désactivé les héritages. J'ai ajouté les "Ordinateurs du
domaine" en droit de lecture/exécution mais cela ne fonctionne pas
sur les nouveaux postes.


"Lognoul, Marc (Private)" message de news:

Le code d'erreur 0x5 est pourtant bien un access denied.

Juste pour info: tester l'accès à une GPO pour ordinateur à partir
d'une session utilisateur ne permet pas de tester les permission
puisque les contextes de sécurité sotn différents.
Il est préférable de passer pas "psexec -s" pour simuler le contexte
machine à partir d'une session utilisateur.

En conclusion, je parie pour des permission incorrectes sur sysvol.

Marc


"Steph" news:47c7cd43$0$881$
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO
que je n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la
recherche d'erreur et vérifié tous les paramètres pré-requis : DNS,
DFS... Tout semble ok.
J'ai activé le user debug level log sur une machine ou la GPO ne
descend pas et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO:
============================= >>>>>>>> GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this
GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter
check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality
version of: 2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath:
NetDfsGetClientInfo() failed with error=0xa66 for GPT
Path=\nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group
policy template file
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO:
============================= >>>>>>>> GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs
failed. Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo:
********************************

Je précise que le fichier GPT.ini est accessible depuis la machine
dans notepad et dans l'explorateur. Ce n'est donc pas un pb de
droits ni de chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66
pour ce processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane

























Steph
Le #1609374
Bonour,

J'ai suivi l'article et vérifié tous les paramètres et rien n'était mauvais.
N'ayant pas trouvé dcgpofix.exe (je suis en 2000), j'ai finalement du
utiliser l'outil RecreateDefPol.exe qui a remis à zéro la Police par défaut
du domaine (et uniquement celle-ci). Cet utilitaire a également résolu les
pbs de droits sur le sysvol.

Tout fonctionne correctement maintenant.
Merci.
Steph


"Lognoul, Marc (Private)" news:
Cet article de la KB MS donne la plupart des pistes à suivre. Mais la
première étape est la réparation des permissions sur les sous-répertoires
de Sysvol contenant les GPO's.
http://support.microsoft.com/kb/887303/en-us

Marc

"Steph" news:47cd2447$0$875$
A boot de la machine il n'y a qu'un message d'erreur dans l'evt log
(Source GroupPolicy - ID :1058) :

Le traitement de la stratégie de groupe a échoué. Windows a tenté en vain
de lire le fichier
\nomdomaine.xx.frSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
à partir d'un contrôleur de domaine. Il est possible que les paramètres
de stratégie ne s'appliquent pas tant que cet événement n'est pas résolu.
Cette erreur peut être temporaire et avoir une ou plusieurs des causes
suivantes :
a) Résolution de nom/connectivité réseau au contrôleur de domaine actif.
b) Latence du service de réplication de fichiers (un fichier créé dans un
autre contrôleur de domaine ne s'est pas répliqué sur le contrôleur de
domaine actif).
c) Le client du système de fichiers DFS (Distributed File System) a été
désactivé.


"Lognoul, Marc (Private)" de news:
Quels sont les messages d'erreur présents dans l'event log? Y aurait il
des messages LSASRV et W32time dnas le log système également?

Marc

"Steph" news:47cd112a$0$873$
J'avais bien pensé au dcgpofix mais j'avais également lu qu'il
remettait à zéro la police par défaut du domaine. Je vais la
sauvegarder et tenter cette commande....

J'ai évolué un petit peu dans mes tests :

- A l'installation d'une nouvelle machine, la GPO (BF9..) ne descend
pas sur le poste.

- Il faut faire manuellement un gpupdate quelle que soit la session
utilisée sur le poste

- La GPO BF9 reste appliquée mais il ya tjs les messages d'erreurs au
boot (dans l'obs d'evts).

Je vous tiens au courant.

Merci.

S.

"Lognoul, Marc (Private)" message de news:
GPMC propose également de restaurer les permissions correctes sur
SYSVOL en fonction de celles de l'object GPO correspondant.

Marc

PS: A ma connaissance dcgpofix ne répare que les GPO's "default"
(domain et dc).


"Michaël THIBAUT" news:
Bonsoir,

As tu essayé des tools comme dcgpofix ? ca fait des miracles !

--
Cordialement,
Michaël

MCTS Windows Vista, Configuring
MCTS Windows Server 2008 Active Directory, Configuring
MCTS Windows Server 2008 Network Infrastructure, Configuring
MCTS Windows Server 2008 Applications, Configuring
MCTS Business Desktop Deployment Solution Accelerator 2.0
MCSA/MCSE 2003 Security
MCSA/MCSE 2003 Messaging

"Steph" news:47c8154c$0$898$
ok. J'ai essayé avec psexec et effectivement j'obtiens "Chemin
d'accès introuvable" à l'ouverture du gpt.ini.
J'ai testé en donnant les droits explicitement au pc
(nomdomaine/nompc$) sur le répertoire {BF9...} de policies. Cela
résoud le problème sur un poste mais je n'arrive pas à généraliser :
quels droits faut il donner sur le sysvol ?

J'ai désactivé les héritages. J'ai ajouté les "Ordinateurs du
domaine" en droit de lecture/exécution mais cela ne fonctionne pas
sur les nouveaux postes.


"Lognoul, Marc (Private)" message de news:

Le code d'erreur 0x5 est pourtant bien un access denied.

Juste pour info: tester l'accès à une GPO pour ordinateur à partir
d'une session utilisateur ne permet pas de tester les permission
puisque les contextes de sécurité sotn différents.
Il est préférable de passer pas "psexec -s" pour simuler le
contexte machine à partir d'une session utilisateur.

En conclusion, je parie pour des permission incorrectes sur sysvol.

Marc


"Steph" news:47c7cd43$0$881$
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une
GPO que je n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu dans la
recherche d'erreur et vérifié tous les paramètres pré-requis :
DNS, DFS... Tout semble ok.
J'ai activé le user debug level log sur une machine ou la GPO ne
descend pas et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO:
============================= >>>>>>>>> GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to
this GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter
check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality
version of: 2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path
of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath:
NetDfsGetClientInfo() failed with error=0xa66 for GPT
Path=\nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group
policy template file
error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO:
============================= >>>>>>>>> GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs
failed. Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo:
********************************

Je précise que le fichier GPT.ini est accessible depuis la machine
dans notepad et dans l'explorateur. Ce n'est donc pas un pb de
droits ni de chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message 0xa66
pour ce processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane



























psychoo
Le #16472821
Steph a écrit le 29/02/2008 à 10h14 :
Bonjour,

Il y a quelques temps, j'avais posté une demande concernant une GPO que
je
n'arrivais pas à faire redescendre sur un poste Vista.
Mon problème n'est tjs pas résolu mais j'ai avancé un peu
dans la recherche
d'erreur et vérifié tous les paramètres pré-requis
: DNS, DFS... Tout semble
ok.
J'ai activé le user debug level log sur une machine ou la GPO ne descend
pas
et voici ce qu'il dit :

GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: ==============================
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Searching
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Machine has access to this GPO.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: GPO passes the filter check.
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found functionality version of: 2
GPSVC(3f8.5e4) 09:37:11:922 ProcessGPO: Found file system path of:
GPSVC(3f8.5e4) 09:37:11:938 GetDCNameFromGPTPath: NetDfsGetClientInfo()
failed with error=0xa66 for GPT
Path=nomdomaine.xxSysVolnomdomaine.xxPolicies{BF9FD37C-941F-4254-A86B-...}gpt.ini
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: Couldn't find the group policy
template file

error = 0x5. DC: <null>
GPSVC(3f8.5e4) 09:37:11:938 ProcessGPO: ==============================
GPSVC(3f8.5e4) 09:37:11:938 EvalList: ProcessGPO failed
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: EvaluateDeferredGPOs failed.
Exiting
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: Leaving with 0
GPSVC(3f8.5e4) 09:37:11:938 GetGPOInfo: ********************************

Je précise que le fichier GPT.ini est accessible depuis la machine dans

notepad et dans l'explorateur. Ce n'est donc pas un pb de droits ni de
chemin réseau.
Je n'ai pas trouvé sur Internet à quoi correspond ce message
0xa66 pour ce
processus. Quelqu'un sait il à quoi il correspond ?

Merci d'avance.
Stéphane


Bonjour,

J'ai moi même le même problème sur mon domaine Win2K3. Ce dont je me suis rendu compte est que au démarrage, dans l'event de mon poste, il ne trouve pas le lien vers le fichier GPT.ini. En reprenant le lien exact je me rends compte que cela ne passe pas car visiblement les accolades du N° de la stratégie a disparu !!

Dans l'event mon ordi essaye d'accéder par ce path :
\domaine1.infrastructures.comsysvoldomaine1.infrastructures.comPolicies31B2F340-016D-11D2-945F-00C04FB984F9gpt.ini

alors que le chemin exact est :
\domaine1.infrastructures.comsysvoldomaine1.infrastructures.comPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}gpt.ini

J'imagine que si j'applique une refresh de la default domain policy comme indiqué dans ta solution cela devrait foncitonner mais je ne m'explique pas cette erreur grossière dans mon event. Normal que le fichier ne soit pas trouvable si le chemin est faux !
Publicité
Poster une réponse
Anonyme