Я столкнулся со странной проблемой при применении новых параметров GPO на одном из компьютеров. Чтобы диагностировать проблему, я обновил параметры GPO вручную, используя gpupdate /force и увидел в консоли следующую ошибку:
Computer policy could not be updated successfully. The following errors were encountered: The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LocalGPO. Group Policy settings will not be resolved until this event is resolved. View the event details for more information on the file name and path that caused the failure.
В это же время произошло событие с идентификатором EventID 1096 и тем же описанием (Не удалось обработать групповую политику) появилось в журнале событий системы:
Log Name: System Source: Microsoft-Windows-GroupPolicy Event ID: 1096 Level: Error User: SYSTEM
Если вы попытаетесь диагностировать проблему применения GPO с помощью команды gpresult (gpresult.exe /h c:\tempt\gpresultreport.html ), вы увидите, что не применяются только параметры реестра групповой политики (Group Policy Registry — Failed):
Registry failed due to the following error listed below. Additional information may have been logged. Review the Policy Events tab in the console or the application event log.
Это означает, что только объекты групповой политики с параметрами CSE (расширение на стороне клиента), которые управляют ключами реестра через GPO, не применяются на клиентском компьютере.
Клиентское расширение реестра не смогло прочитать файл файл registry.pol. Скорее всего, файл поврежден (мы рекомендуем проверить файловую систему на наличие ошибок с помощью chkdsk). Чтобы заново создать этот файл, перейдите по адресу c:\Windows\System32\GroupPolicy\Machine и переименуйте его в registry.bak.
Вы можете переименовать файл из поднятой командной строки:
cd "C:\Windows\System32\GroupPolicy\Machine"
ren registry.pol registry.bak
Обновление параметров групповой политики на компьютере с помощью команды:
gpupdate /force
Windows заново создаст файл registry.pol (локальные параметры GPO будут сброшены) и успешно применит все параметры GPO.
Если вы видите идентификатор события 1096 (The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LDAP://) с кодом ошибки 13 и «The data is invalid«, это означает, что ошибка связана с GPO домена, упомянутым в описании ошибки.
Скопируйте GUID политики и найдите имя GPO с помощью приведенной ниже команды PowerShell:
Get-GPO -Guid 19022120-0250-407E-EB99-8438B6BB06C7
- Откройте консоль управления групповой политикой домена (
gpmc.msc) и убедитесь, что объект групповой политики существует; - Убедитесь, что в папке SYSVOL на DC есть файлы registry.pol и gpt.ini и вы можете их прочитать (проверьте разрешения NTFS);
- Убедитесь, что версия GPO одинакова на всех контроллерах домена (проверьте правильность работы домена и репликации AD);
- Удалите файлы GPO из папки SYSVOL на контроллере домена, с которого клиент получает GPO (получите текущий logonserver:
$env:LOGONSERVER) и подождите, пока он не будет реплицирован с соседнего DC; - Если предыдущие методы не помогают, создайте GPO заново или восстановите его из резервной копии.