Windows无法访问查询打开组策略对象列表GPO|userenv10581030

报错1
事件类型: 错误
事件来源: Userenv
事件种类: 无
事件 ID: 1058
日期: 2008-10-6
事件: 10:22:42
用户: NT AUTHORITY\SYSTEM
计算机: BOEYI-AD
描述:
Windows 无法访问 GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=boeyi,DC=ad 的文件 gpt.ini。此文件必须在 <\\boeyi.ad\sysvol\boeyi.ad\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>。(拒绝访问。 )。组策略处理中止。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

报错2
事件类型: 错误
事件来源: Userenv
事件种类: 无
事件 ID: 1030
日期: 2008-10-6
事件: 10:22:42
用户: NT AUTHORITY\SYSTEM
计算机: BOEYI-AD
描述:
Windows 不能查询组策略对象列表。请查看事件日志，从中寻找策略引擎以前可能记录的描述此原因的消息。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

有以下原因可能产生问题:
1、首选DNS填写错误。
2、没有选中“Microsoft网络的文件和打印机共享”复选框
3、DFS服务没有启动。
4、Netlogon服务没有启动。
5、TCP/IP NetBIOS Helper服务没有启动。
6、DNS资源记录错误。
7、%systemroot%\SYSVOL\SYSVOL目录及以下目录的安全权限与共享权限设置不正确。

在不影响用户使用的情况下排查了2、3、4、5、7等导致的可能性。等大家下班了在去排查DNS的错误


下班后我从新安装了DNS服务并让其跑了一个晚上现在一切正常了


组策略报1058 1030错误个人的解决方法 ^V^
公司DC出现了1058 1030错误后，我吃不下饭，睡不着觉（嘻嘻），每天去网上找关于1058 1030错误的解决方法，但找了一大堆资料，无非是以下几种：
1、首选DNS填写错误。
2、没有选中“Microsoft网络的文件和打印机共享”复选框
3、DFS服务没有启动。
4、Netlogon服务没有启动。
5、TCP/IP NetBIOS Helper服务没有启动。
6、DNS资源记录错误。
7、%systemroot%\SYSVOL\SYSVOL目录及以下目录的安全权限与共享权限设置不正确。

而现在奇怪的是针对以上7点我在主、辅DC上都做了检查，都没无有问题，1058 1030照样我行我素，并且非常放肆地在应运程序事件查看器里"狂跑"，我怒火冲天，但又没办法在网上找到答案，所以不得不自己动脑筋，以下是我解决此问题的思路，特洛洛的邀请，把过程写出来供大家参考，有不对的地方，希望大家及时提出来：

其实在出现上述错误时，我第一步查看的是默认域策略的gpt.ini文件是否存在（但经我试验证明，其实此文件就算不存在，AD也会自动创建它），但结果却是安然无恙的”睡”在那休息(哈哈，因为它从今年2月份就没更新过了)，所以接下来我却检查%winroot%\sysvol下每个目录的安全权限，以及%winroot%\security\template\policies隐藏目录的安全权限(大伙可别马虎了这个目录，如果此隐藏目录权限不对，AD是无法访问安全模板，报：拒绝访问=3)，而结果也是正确的。

接下来我选择了沉默，沉默之余啃啃以前相关书籍，在一本书中发现AD在应用组策略时在基于Distribute File System（DFS）服务进行查找的，并且相关的一些数据被保存在AD数据库当中。当即我查看了server上的DFS服务，是启动的，而后我运行了：dfsutil /pktinfo、dfsutil /spcinfo查看相关信息，并与正常DC进行对比时发现，dfsutil /pktinfo的输出结果与正常DC有一行信息是不一样的，如下：
Microsoft(R) Windows(TM) Dfs Utility Version 4.0
Copyright (C) Microsoft Corporation 1991-2001. All Rights Reserved.
--mup.sys--
2 entries...
Entry: \jsfm.com\SYSVOL
ShortEntry: \jsfm.com\SYSVOL
Expires in 420 seconds
UseCount: 0 Type:0x10 ( OUTSIDE_MY_DOM )
0:[\server2.jsfm.com\SYSVOL] State:0x21 ( )
1:[\server1.jsfm.com\SYSVOL] State:0x31 ( ACTIVE )
Entry: \jsfm.com\NETLOGON
ShortEntry: \jsfm.com\NETLOGON
Expires in 0 seconds
UseCount: 0 Type:0x10 ( OUTSIDE_MY_DOM )
0:[\server2.jsfm.com\NETLOGON] State:0x21 ( )
1:[\server1.jsfm.com\NETLOGON] State:0x21 ( )
DfsUtil command completed successfully.
正常DC输入的结果是：
Microsoft(R) Windows(TM) Dfs Utility Version 4.0
Copyright (C) Microsoft Corporation 1991-2001. All Rights Reserved.
--mup.sys--
2 entries...
Entry: \jsfm.com\SYSVOL
ShortEntry: \jsfm.com\SYSVOL
Expires in 420 seconds
UseCount: 0 Type:0x1 ( DFS )。
0:[\server2.jsfm.com\SYSVOL] State:0x21 ( )
1:[\server1.jsfm.com\SYSVOL] State:0x31 ( ACTIVE )
Entry: \jsfm.com\NETLOGON
ShortEntry: \jsfm.com\NETLOGON
Expires in 0 seconds
UseCount: 0 Type:0x1 ( DFS )。
0:[\server2.jsfm.com\NETLOGON] State:0x21 ( )
1:[\server1.jsfm.com\NETLOGON] State:0x21 ( )
DfsUtil command completed successfully.
大家对比一下就知道哪几不一样了，其实这命令是用来查看客户的DFS缓存信息的，大家可以去：http://207.46.196.114/windowsserver/en/library/a9096e88-1634-4da6-b820-537341d349061033.mspx?mfr=true网站查看相关信息，
接下来，我停止Distribute File System（DFS）服务，并且暂时去除了“本地连接属性”中的“Microsoft网络文件与打印机共享”钩选。再运行：dfsutil /pktflush 、dfsutil /spcflush、dfsutil /purgemupcache进行缓存清除，重启电脑，重启Distribute File System（DFS）服务，钩选“Microsoft网络文件与打印机共享”几分钟后，一切恢复了正常。
体会：大家在管理DC时，不要去停止Distribute File System（DFS）服务与取消钩选“Microsoft网络文件与打印机共享”，特别是取消 “Microsoft网络文件与打印机共享” 钩选。
在解决组策略问题时，大家可以激活HKEY_LOCAL_MACHINE\Software\ Microsoft\WindowsNT\CurrentVersion\Winlogon\ GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}，新建一个DWORD值，名称为 Extension DebugLevel，数值设为2注册表键值来查看：%winroot%\security\logs\winlogon.log文件，里面有更祥细的错误说明