Security Database corrupted cause Policy failed to apply

有時候,不管怎麼樣都無法套用policy,但是登入的動作都正常,SYSVOL的資料夾也可以正常訪問的話,看看下面的狀況,可能問題發生的情形相同。

GPResults的資訊:

MSFTMSFT 的 RSOP 結果在 MSFT: 記錄模式
----------------------------------------------
OS 類型: Microsoft Windows XP Professional
OS 設定: 成員工作站
OS 版本: 5.1.2600

網域名稱: MSFT 網域類型: Windows 2000
站台名稱: Default-First-Site-Name
漫遊設定檔:               
本機設定檔: C:Documents and SettingsMSFT
用低速連結來連線?: 否

COMPUTER SETTINGS
------------------

    CN=MSFT,OU=Client,OU=WSUS,DC=MICROSOFT,DC=com,DC=tw

上次套用的群組原則: 2009/3/10 at 上午 08:43:21
套用的群組原則來自: DC01.MICROSOFT.com.tw
群組原則低速連結閾值: 500 kbps
已套用的群組原則物件

-----------

Client WSUS Policy
Client Admin Change Policy
Software DeployXP SP2 Policy
Firewall Disable Policy
Default Domain Policy
本機群組原則

看起來Policy套用是有的,但是期望的Policy還是沒有生效。

不過我們從Winlogon.log 中發現以下錯誤:

建立 \MICROSOFT.com.twsysvolMICROSOFT.com.twPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}MachineMicrosoftWindows NTSecEditGptTmpl.inf 的本機複本。

GPLinkDomain GPO_INFO_FLAG_BACKGROUND )

建立 \MICROSOFT.com.twsysvolMICROSOFT.com.twPolicies{30A020C9-8D63-44C7-9F78-B38F751BAB58}MachineMicrosoftWindows NTSecEditGptTmpl.inf 的本機複本。

GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

建立 \MICROSOFT.com.twsysvolMICROSOFT.com.twPolicies{7F0629EF-1CAA-4DA1-9F67-36901C441328}MachineMicrosoftWindows NTSecEditGptTmpl.inf 的本機複本。

GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

群組原則物件 \MICROSOFT.com.twsysvolMICROSOFT.com.twPolicies{9547A99D-B82F-4563-9B42-57228985C31E}Machine 中並未定義範本。

處理 GP 範本 gpt00000.dom。

這不是最後一個 GPO。

-------------------------------------------

2009 年3月1日 上午 02:43:03

錯誤 1208: 發生延伸錯誤。

建立 database 時發生錯誤。

---- 設定引擎初始化發生錯誤。----

---- 不初始化設定引擎...

**************************

和UserENV裡面發現大量以下錯誤:

USERENV(404.218) 16:10:01:373 ProcessGPOs: Extension Security ProcessGroupPolicy failed, status 0x4b8.

USERENV(404.f54) 16:27:29:091 ProcessGPOs: GetGPOInfo failed.

USERENV(404.218) 17:51:08:265 ProcessGPOs: Extension Security ProcessGroupPolicy failed, status 0x4b8.

USERENV(404.f54) 18:08:29:334 ProcessGPOs: GetGPOInfo failed.

事件檢視器中也有相關錯誤:

事件類型: 警告
事件來源: SceCli
事件類別目錄: 無
事件識別碼: 1202
日期: 2009/3/10
時間: 上午 08:43:30
使用者: N/A
電腦: MSFT

描述:
安全性原則傳播中含有警告。 0x4b8 : 發生延伸錯誤。
若要得到解決這個事件的最佳結果,請以非系統管理員帳戶登入,然後在https://support.microsoft.com 搜尋 "Troubleshooting Event 1202's"。

請在 https://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

事件類型: 錯誤
事件來源: Userenv
事件類別目錄: 無
事件識別碼: 1085
日期: 2009/3/10
時間: 上午 08:43:30
使用者: NT AUTHORITYSYSTEM
電腦: MSFT

描述:
無法執行群組原則用戶端延伸 Security。請試著找出延伸先前是否有錯誤報告。
請在 https://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。

目前我們看到這樣的狀況,我們可以判斷這個問題是由於 secedit.sdb 資料庫損毀所導致的。

接下來,請依照以下方案重建 Secedit.sdb:

1. Open the %SystemRoot%Security folder, create a new folder, and then name it "OldSecurity".

2. Move all of the files ending in .log from the %SystemRoot%Security folder to the OldSecurity folder.

3. Find the Secedit.sdb file in the %SystemRoot%SecurityDatabase folder, and then rename this file to "Secedit.old".

4. Click Start, click Run, type mmc, and then click OK.

5. Click Console, click Add/Remove Snap-in, and then add the Security and Configuration snap-in.

6. Right-click Security and Configuration and Analysis, and then click Open Database.

7. Browse to the %TEMP% folder, type Secedit.sdb in the File name box, and then click Open.

8. When you are prompted to import a template, click Setup Security.inf, and then click Open.

9. Copy %TEMP%Secedit.sdb %SystemRoot%SecurityDatabase.