Windows 95/98/NT FAQ - Event ID 43 в Application Event Log для событий WinMgmt

Event ID 1000, 1001 каждые 5 минут записываются в Application Event Log

Групповые Политики (Group Policies) не реплицируются между контроллерами домена, что приводит к записи ошибок Event ID 1000, 1001 в Application Event Log Windows 2000 Server следующего вида:

Type: 		Error 
Event 		ID: 1000 
Source: 	Userenv 
Category: 	None 
User: 		NT AUTHORITY\SYSTEM

Description: Windows cannot access the registry information at 
\domain\sysvol\domain\Policies\{31B2F340-016D-11D2-945F-
00C04FB984F9}\Machine\registry.pol with (5).

Type: 		Error 
Event ID: 	1001 
Source: 	SceCli
Category: 	None 
User: 		N/A

Description: Security policy cannot be propagated. 
Cannot access the template. 
Error code =3. \domain\sysvol\domain\Policies\
{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\
Microsoft\Windows NT\SecEdit\GptTmpl.inf.

Type: 		Error 
Event ID: 	1000 
Source: 	Userenv 
Category: 	None 
User: 		NT AUTHORITY\SYSTEM 

Description: The Group Policy client-side extension Security
was passed flags (17) and returned a failure status code of (3).

Эти ошибки могут происходить, если вы назначили неверные разрешения на папку %System Root%\Winnt\Sysvol или когда вы добавили неподходящие группы в Bypass Traverse Checking из User Rights Assignment.
Если ваш сервер оснащен несколькими сетевыми интерфейсами, начните решение вашей проблемы с шагов описанных в Примечании.

  1. Установите разрешения безопасности папки. (Правый клик на соответствующей папке, выберите Properties, вкладка Security).
    %SystemRoot%\Winnt\Sysvol:
    
    	Administrators:	Full Control 
    	Authenticated Users: 	Read, Read & Execute, and List Folder Contents 
    	Creator Owner:    	Nothing selected
    	Server Operators: 	Read, Read & Execute, and List Folder Contents  
    	System:  	  	Full Control 
            
    Снимите флажок: Allow inheritable permissions from parent to propagate to this object
    %SystemRoot%\Winnt\Sysvol\Sysvol:
    Папка наследует все разрешения от родительской папки.
    %SystemRoot%\Winnt\Sysvol\Sysvol\domain:
    Папка наследует все разрешения от родительской папки.
    %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies:
    
    	Administrators:	Full Control 
    	Authenticated Users: 	Read, Read & Execute, and List Folder Contents 
    	Creator Owner:    	Nothing selected
    	Server Operators: 	Read, Read & Execute, and List Folder Contents  
    	System:  	  	Full Control 
            
    Снимите флажок: Allow inheritable permissions from parent to propagate to this object
    %SystemRoot%\Winnt\Sysvol\Sysvol\domain\Policies:
    Поставьте флажок: Allow inheritable permissions from parent to propagate to this object
  2. Откройте консоль Active Directory Users and Computers, разверните Active Directory Users and Computers, а затем domain name.
  3. Правый клик Domain Controllers, выберите Properties.
  4. На вкладке Group Policy щелкните по Default Group Policy и нажмите кнопку Edit.
  5. Последовательно разверните:
    Computer Configuration
    Windows Settings
    Security Settings
    Local Policies
  6. Выберите User Rights Assignment, двойной клик по Bypass traverse checking. Должны присутствовать следующие настройки по умолчанию:
    Authenticated Users
    Everyone
    Administrators
    Если нужные группы не присутствуют, добавьте их, нажав кнопку Add.
  7. Наберите в командной строке:
    secedit /refreshpolicy machine_policy /enforce

Примечание: Если вышеперечиленные шаги не решили вашу проблему, или если вы не можете открыть Global Policies, проверьте привязки (Bindings) на сервере и убедитесь, что внутренняя (internal) сетевая карта стоит первой в списке привязок. Чтобы проверить порядок привязок, проделайте следующие шаги:

  1. Правый клик My Network Places, выберите Properties.
  2. Откройте меню Advanced и выберите Advanced Settings.
  3. В области Connections убедитесь, что внутренняя сетевая карта стоит первой. Если это не так, используйте стрелки, чтобы переместить ее вверх списка.

Для подготовки статьи были использованы следующие материалы:

  1. Статья Q290647 из MS Knowledge Base.
  2. Материалы форума сайта Windows FAQ.

Сайт Windows 95/98/NT/2000/XP FAQ выражает благодарность Дмитрию Захарову за подготовку статьи.