Ошибка при обработке групповой политики 1096

PC running slow?

1. Download ASR Pro from the website

2. Install it on your computer

3. Run the scan to find any malware or virus that might be lurking in your system

Improve the speed of your computer today by downloading this software — it will fix your PC problems.

Today’s user guide is designed to help you if you receive the “Event ID 1096” Registry.pol error code.

Receive

I have an event with id 1096 in my firewood system on server 2008 r2 in this domain.
This server is used as a terminal site for several users

Event ID Statistics
General
Error processing group searchlyricism. Windows and cannot change registry-based policy settings for LDAP GPO: // CN = User, cn = 37BB0DD1-3F72-410D-86FD-113150E96DF9, cn = policy, cn = system, DC = testdomain, DC. never use = local. Group Policy settings are not resolved until the event is resolved. Check out the event ideas for information on file detection and the path that caused the error.

Server 01/02/03 receives Event ID 13516 as the remaining Serviced ID after restarting the NTFR service.

Question
01. Why am I getting event ID 1096 on event log server 02 on my terminal. Why is all content in DC03 different and not each of us is the same as 01 and 02

I have currently tried restoring sysvol using Burflags, key registry keys.
In the policy folder on server 2 there are 633 files with 491 folders, and on server 3 there are 572 files and 380 folders.

01. Why did I find event ID 1096 in the event log of my station’s server

Client registry extension could not read Registry.pol file from location template group policy. The Registry.pol file contains the registry settings policy. This file may actually be missing, inaccessible, or corrupted. A terminal server can be written to receive its “stuff” from dc03.

02. Why content on DC03 may differ from content 01 and 02

Make sure the Registry.pol file exists in the file and that its exact location has the same permissions as the specific gpt.ini file on the same GPO path.
Make sure Sysvol replication is working correctly in the domain of the controller.
Delete and duplicate the GPO.

If you see event 1096 (policy group processing error) in Event Viewer, you have a problem with business policies. The following event occurs multiple times in your syslog:

Protocol name: System
Source: Microsoft-Windows-GroupPolicy
Event ID: 1096
Level: Error
User: SYSTEM
Description:
A cure for group police work was not possible. Windows Cannot Apply Ree-Based Coverage Optionscountry for the LocalGPO policy group object. Group Policy settings will not be finally approved until the event is resolved. Look closely at the event details for information about that specific file name and path that caused the error.

To resolve this issue, check the major change date in the following file:

C: Windows System32 GroupPolicy Machine Registry.pol
(Note: GroupPolicy is a hidden folder, you may need to enable hidden folders to access this path)

Almost certainly the previously changed date went back many hours (or at least earlier than “today”). In this case, remove the type from the REGISTRY.POL file and run “gpupdate From / force” at the command line. Forced reapplication of industry policies. Problem solved 🙂

event id	1096
Source	Microsoft -Windows-GroupPolicy
Description	Poor handling of Group Policy. Windows was unable to apply registry-based policy settings for Group Policy template% 8. Group Policy settings are not honored until the event is resolved. I prefer to view the event details to get information about the file name and path that caused the nature of the error.
Event Information	According to Microsoft: Cause This event occurred during the registration of group policy processing. Solution – Fix Registry.extension error The registry client extension could not read the Registry.pol file from the Group Policy location template. The Registry.pol file contains the registry settings policy. This file may be missing, inaccessible, or corrupted. Possible solutions: 1. Make sure that the above Registry.pol file exists and that its location has the same permissions as the “gpt .ini” file in the specified Group Object Policy (GPO). 2. Make sure Sysvol replication is working properly on controllers beforeexchange. 3. Delete the GPO and recreate it. Check Group policies are applied to the computer and user logon. After that, Group Policy 90 is applied every 120 minutes or less. The events that appear in the event log may actually reflect the most recent state of Group Policy. Therefore, you should always update Group Policy to check if Group Policy is working properly. To update a group of policies on one specific computer: 1. Open the “Start” menu. Click on “All Programs”, then click on the accessories. 2. Click Command Prompt. 3. In the Command Prompt window, also type gpupdate and press Enter. 4. When gpupdate exits, you need to open Event Viewer. Group Policy is used when the latest Group Policy performance displayed in the system event symbol correctly has one of the following event IDs: 1500, 1501, 1502, 1503
Help Links	Microsoft-Windows-GroupPolicy withTh event 1096

Intercept Threats Immediately

We work with you to identify high-speed cyber threats and prevent attacks before they do damage.

Improve the speed of your computer today by downloading this software — it will fix your PC problems.

In general, be sure to register. pol exists at this location and has the same permissions as your gpt. ini in the same Group Policy Object (GPO).Make sure Sysvol replication is working properly on domain controllers.Delete and / or recreate the GPO.

Обновлено 2023 января: остановите эти сообщения об ошибках и устраните распространенные проблемы с помощью этого инструмента. Получить сейчас в эту ссылку

1. Скачайте и установите программного обеспечения.
2. Он просканирует ваш компьютер на наличие проблем.
3. Затем инструмент исправить проблемы которые были найдены.

Все мы знаем, что механизм групповой политики периодически обновляет всю архитектуру групповой политики каждые 90 минут. Таким образом, когда мы настраиваем параметр GPO, нам приходится ждать, пока этот параметр будет применен к клиентам. Кроме того, клиентам может потребоваться выйти из системы и снова войти в систему, чтобы настройка вступила в силу.

Если нам нужно обновить архитектуру GPO сразу после применения параметра, мы используем команду gpupdate /force. Использование параметра /force немедленно обновит объекты групповой политики как на уровне пользователя, так и на уровне компьютера. Кроме того, изменение относится не только к новым или измененным объектам групповой политики, но и к более старым объектам групповой политики.

Однако иногда запуск команды gpupdate /force не приводит к обновлению механизма GPO. Недавно мы столкнулись с этой проблемой на нашем сервере Windows. Следующее сообщение было показано, когда мы решили обновить механизм GPO:

Не удалось успешно обновить ИТ-политику. Были обнаружены следующие ошибки:

Ошибка обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена. Это может быть временное состояние. Сообщение об успешном завершении создается, когда компьютер подключен к контроллеру домена и групповая политика успешно обрабатывается. Если вы не видите сообщение об успешном завершении в течение нескольких часов, обратитесь к администратору.

Что вызывает сообщение «Обработка групповой политики не удалась из-за отсутствия сетевого подключения к контроллеру домена»

Эта проблема может быть временной и может быть вызвана одной или несколькими из следующих причин:

• разрешение имен/сетевое соединение с текущим контроллером домена;
• Задержка службы репликации файлов (файл, созданный на другом контроллере домена, не был реплицирован на текущий контроллер домена);
• Клиент распределенной файловой системы (DFS) отключен.

Эта ошибка может возникать не только при запуске gpupdate /force вручную, но и после запуска инструментов DCDIAG или в средстве просмотра событий при входе пользователя в систему. В некоторых случаях при возникновении этой ошибки вы не можете открыть общие сетевые ресурсы или ресурсы домена DFS с помощью сообщение об ошибке «Сетевой путь не найден».

Чтобы устранить ошибку «Ошибка обработки групповой политики из-за отсутствия сетевого подключения к контроллеру домена», выполните следующие действия.

Откройте локальную политику безопасности

1. Первое, что нужно сделать в этой ситуации — открыть локальную политику безопасности.
2. Для этого нажмите Windows + R, чтобы открыть диалоговое окно «Выполнить».
3. Затем скопируйте и вставьте файл secpol.MSC и нажмите Enter.

Это должно открыть окно политики безопасности, и вы можете продолжить оттуда.

Назначение разрешений пользователям

1. Следующим шагом является открытие назначения прав пользователя в только что открывшемся окне.
2. Для этого перейдите в «Настройки безопасности» и выберите «Локальные политики».
3. Ниже этого нажмите «Назначить права пользователя».
4. Наконец, вы должны дважды щелкнуть Доступ к этому компьютеру из сети.

Эта функция определяет, какому пользователю разрешен доступ к сети с другого компьютера.

Добавить нового пользователя или группу

1. Наконец, вам нужно добавить нового пользователя или группу, чтобы все снова заработало правильно.
2. В окне, которое появляется после того, как вы дважды щелкните Доступ к этому компьютеру из сети, мы ожидаем, что вы нажмете Добавить пользователя или группу.
3. Внесите необходимые изменения, затем нажмите OK и продолжите.

ОДОБРЕННЫЙ: Чтобы исправить ошибки Windows, нажмите здесь.

Часто задаваемые вопросы

Сообщение Просмотров: 127

Ошибка при обработке групповой политики в Windows

На одном из компьютеров перестали применяться новые параметры групповых политик. Для диагностики я вручную обновил параметров GPO с помощью команды gpupdate /force и увидел такую ошибку в консоли:

При этом в журнале System появляется событие с EvetID 1096 с тем же описанием (The processing of Group Policy failed):

Если попробовать выполнить диагностику применения GPO с помощью команды gpresult ( gpresult.exe /h c:temptgpresultreport.html ), видно что не применяется только настройки из раздела Group Policy Registry — Failed :

Получается, что к компьютеру не применяются только GPO с настройками клиентских расширений групповых политик CSE (client-side extension), которые отвечают за управление ключами реестра через GPO.

Расширение Registry client-side не смогло прочитать файл registry.pol. Скорее всего файл это поврежден (рекомендуем проверить файловую систему на ошибки с помощью chkdsk). Чтобы пересоздать этот файл, перейдите в каталог c:WindowsSystem32GroupPolicyMachine и переименуйте его в registry.bak.

Можно переименовать файл из командой строки:

cd «C:WindowsSystem32GroupPolicyMachine»
ren registry.pol registry.bak

Windows должна пересоздать файл registry.pol (настройки локальных GPO будут сброшены) и успешно применить все настройки GPO.

Если в журнале вы видите событие Event ID 1096 ( The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LDAP:// ) c ErrorCode 13 и описанием “ The data is invalid ”, значит проблема связана с доменной GPO, указанной в ошибке.

Скопируйте GUID политики и найдите имя GPO с помощь команды PowerShell:

Get-GPO -Guid 19022B70-0025-470E-BE99-8348E6E606C7

Источник

Руководство по групповая политика устранению неполадок

Попробуйте использовать виртуальный агент . Он поможет быстро выявить и устранить распространенные проблемы с репликацией Active Directory .

В этом руководстве приведены основные понятия, используемые для устранения неполадок групповая политика. Вы узнаете, как:

• Как найти новые сведения об устранении неполадок.
• Как использовать Просмотр событий для фильтрации определенных групповая политика данных.
• Чтение и интерпретация данных событий.
• Правильные методы для поиска точки сбоя.

Контрольный список по устранению неполадок

Начните с чтения групповая политика событий, записанных в системном журнале событий.

• События предупреждений предоставляют дополнительные сведения, чтобы убедиться, что групповая политика остается работоспособной.
• События ошибок предоставляют сведения, описывая сбой и возможные причины.
• Используйте ссылку «Дополнительные сведения», включенную в сообщение о событии.
• Используйте вкладку «Сведения » для просмотра кодов ошибок и описаний.

Используйте групповая политика журнал операций.

• Определите идентификатор действия экземпляра групповая политика обработки, которую вы устраняете.
• Создайте пользовательское представление операционного журнала.
• Разделите журнал на этапы: предварительная обработка, обработка и пост-обработка.
• Консолидировать каждое начальное событие с соответствующим конечным событием. Изучите все события предупреждений и ошибок.
• Изолировать и устранить неполадки зависимого компонента.
• Используйте команду групповая политика обновления (GPUPDATE) для обновления групповая политика. Повторите эти действия, чтобы определить, существует ли предупреждение или ошибка.

Обновление групповая политика изменяет идентификатор действия в пользовательском представлении. При устранении неполадок обязательно обновите пользовательское представление с помощью текущего идентификатора действия.

Определение экземпляра групповая политика обработки

Перед просмотром групповая политика операционного журнала необходимо сначала определить экземпляр групповая политика обработки, который завершился сбоем.

Чтобы определить экземпляр групповая политика обработки, выполните следующие действия.

1. Откройте Просмотр событий.
2. В Просмотр событий (локальный) выберите систему журналов>Windows.
3. Дважды щелкните групповая политика предупреждения или ошибки, которые требуется устранить.
4. Перейдите на вкладку «Сведения» и установите флажок » Понятное представление». Выберите «Система «, чтобы развернуть системный узел.
5. Найдите ActivityID всведениях о системных узлах. Это значение (без открывающих и закрывающих фигурных скобок) используется в запросе. Скопируйте это значение в Блокнот, чтобы оно было доступно позже, и нажмите кнопку «Закрыть».

Создание пользовательского представления экземпляра групповая политика экземпляра

На компьютере часто имеется несколько экземпляров групповая политика обработки. Компьютеры, выделенные для запуска служб терминалов, обычно имеют несколько экземпляров групповая политика и работают одновременно. Поэтому важно отфильтровать журнал групповая политика событий, чтобы отобразить только события для экземпляра, для устранения неполадок.

Используйте следующую процедуру, чтобы создать пользовательское представление групповая политика экземпляра. Это можно сделать с помощью Просмотр событий запроса. Этот запрос создает отфильтрованное представление рабочего групповая политика для определенного экземпляра групповая политика обработки.

Чтобы создать пользовательское представление экземпляра групповая политика, выполните следующие действия.

Откройте Просмотр событий.

Щелкните правой кнопкой мыши пользовательские представления и выберите команду «Создать настраиваемое представление».

Выберите вкладку XML и установите флажок «Изменить запрос вручную «. В Просмотр событий отображается диалоговое окно с объяснением того, что изменение запроса вручную не позволяет изменить запрос с помощью вкладки «Фильтр». Выберите «Да».

Скопируйте Просмотр событий запрос (указанный в конце этого шага) в буфер обмена. Вставьте запрос в поле запроса .

Скопируйте идентификатор activityID, сохраненный ранее из раздела определения экземпляра групповая политика обработки, в буфер обмена. В поле запроса выделите «INSERT ACTIVITY ID HERE» и нажмите клавиши CTRL+V, чтобы вставить activityID над текстом.

Не вставляйте фигурные скобки в начале и в конечных скобках (< >). Для правильной работы запроса необходимо включить эти фигурные скобки.

В диалоговом окне «Сохранение фильтра в пользовательском представлении» введите имя и описание, осмысленные для созданного представления. Нажмите кнопку ОК.

Имя сохраненного представления отображается в разделе » Пользовательские представления». Выберите имя сохраненного представления, чтобы отобразить его события в Просмотр событий.

Служба групповая политика назначает уникальный идентификатор activityID для каждого экземпляра обработки политики. Например, групповая политика назначает уникальный идентификатор activityID при обработке пользовательской политики во время входа пользователя. При групповая политика обновления служба групповая политика назначает другой уникальный идентификатор activityID экземпляру групповая политика, ответственному за обновление политики пользователя.

Убедитесь, что в групповой политике есть все необходимые параметры и она правильно связана. Ниже приведены вкладки, которые необходимо пройти. Если все они выглядят хорошо, перейдите на проблемный клиентский компьютер.

Откройте командную строку с повышенными привилегиями и выполните следующую команду.

Проверьте полученные gpresult выходные данные и найдите объект групповой политики, с которым у вас возникли проблемы. Это приведет к ошибке о том, почему объект групповой политики не применяется.

Если в выходных данных возникает gpresult ошибка, мы можем устранить проблему на ее основе. В противном случае перейдите к следующему шагу.

Откройте страницу Просмотр событий и перейдите к журналам событий приложения и системы. В журнале событий приложения содержатся сведения о том, почему обновление групповой политики завершается сбоем.

Откройте журнал операционных событий, чтобы получить более подробные сведения. Существуют события со списком примененных объектов групповой политики и списком запрещенных объектов групповой политики с причиной.

Большинство проблем с объектом групповой политики можно устранить с помощью этих базовых журналов.

групповая политика журналов

Вы можете включить подробное ведение журнала и изучить полученные файлы журналов. Подробное ведение журнала может снизить производительность и занимать значительное место на диске, поэтому рекомендуется включить подробное ведение журнала только при необходимости.

Включение групповая политика службы (GPSvc)

На клиенте, где возникает проблема с объектом групповой политики, выполните следующие действия, чтобы включить ведение журнала групповая политика отладки службы.

Откройте редактор реестра.

Найдите и выделите следующий подраздел реестра:

В меню «Правка » выберите » Новый>ключ».

Введите «Диагностика» и нажмите клавишу ВВОД.

Щелкните правой кнопкой мыши подраздел диагностики и выберите «Новое>значение DWORD (32-разрядная версия)».

Введите GPSvcDebugLevel и нажмите клавишу ВВОД.

Щелкните правой кнопкой мыши GPSvcDebugLevel и выберите » Изменить».

В поле «Значение» введите 30002 (шестнадцатеричное) и нажмите кнопку «ОК».

Закройте редактор реестра.

В окне командной строки выполните команду gpupdate /force и нажмите клавишу ВВОД.

Затем просмотрите файл Gpsvc.log в следующей папке: %windir%debugusermode

Если папка usermode не существует, создайте ее в папке %windir%debug. Если папка usermode не существует в папке %WINDIR%debug, файл gpsvc.log не создается.

Распространенные проблемы и решения

Идентификатор события 1129

Событие с идентификатором 1129 регистрируется, когда групповая политика не удается применить из-за проблем с сетевым подключением.

В этом случае подключение к порту 389 протокола LDAP на контроллере домена заблокировано. Команда gpupdate завершается ошибкой со следующей ошибкой:

При проверке журнала событий может появиться следующее описание события:

В этом случае включите журнал отладки GPSVC. В журнале gpsvc можно найти выходные данные «GetLdapHandle: Failed to connect DC with 81» (GetLdapHandle: Failed to connect with 81).

Включите трассировку сети для проверки:

• Запрос ldap выполняется на уровне сайта.
• Запрос возвращает две записи для этого сайта, на котором содержится роль службы ldap.
• Для одного из них мы видим, что разрешение имен выполняется.
• Так как разрешение имен выполнено успешно, он пытается выполнить привязку ldap, но при подтверждении TCP завершается сбоем, так как порт 389 заблокирован.
• Если от контроллера домена нет ответа на подтверждение TCP на порту 389, следующими шагами являются вовлечение группы клиентов в сеть и предоставление им этих сведений.
• Убедитесь, что в таких сценариях вы используете все журналы, указанные в указанном выше плане действий, сопоставляете их, и они приведут к первопричине или по крайней мере сузите проблему.

Код события 1002

Ниже приведено описание события с идентификатором 1002:

Это событие ошибки обычно разрешается, когда компьютер возвращается из состояния с низким ресурсом. Возможные решения:

1. Убедитесь, что на компьютере недостаточно памяти или свободного места на диске.
2. Перезапустите компьютер, если он работает в течение длительного периода.

Идентификатор события 1006

Ниже приведено описание события с идентификатором 1006:

Это событие ошибки обычно разрешается после исправления привязки к каталогу. Служба групповая политика регистрирует код ошибки, который отображается на вкладке «Сведения» сообщения об ошибке в Просмотр событий. Код ошибки (отображается как десятичное) и поля описания ошибки дополнительно определяют причину сбоя. Оцените код ошибки со списком ниже:

Код ошибки 5 (доступ запрещен)

Этот код ошибки может указывать на то, что у пользователя нет разрешения на доступ к Active Directory.

Код ошибки 49 (недопустимые учетные данные)

Этот код ошибки может указывать на то, что срок действия пароля пользователя истек, пока пользователь еще выполнил вход на компьютере. Чтобы исправить недопустимые учетные данные:

1. Измените пароль пользователя.
2. Заблокируйте или разблокируйте рабочую станцию.
3. Проверьте, запущены ли какие-либо системные службы в качестве учетной записи пользователя.
4. Убедитесь, что пароль в конфигурации службы правильный для учетной записи пользователя.

Код ошибки : 258 (время ожидания)

Этот код ошибки может указывать на то, что конфигурация DNS неправильная. Чтобы устранить проблемы с временем ожидания, nslookup используйте средство для подтверждения _ldap._tcp. регистрируются и указывают на правильные серверы ( — это полное доменное имя домена Active Directory).

Эти действия могут иметь различные результаты, если сеть ограничивает или блокирует пакеты протокола ICMP.

Идентификатор события 1030

Ниже приведено описание события с идентификатором 1030:

Проверьте, открыты ли порты LDAP. В противном случае убедитесь, что порты открыты в брандмауэре и локально на клиенте и контроллере домена.

Определение блока порта

• Используйте средство portqueryUI, чтобы определить, какие порты заблокированы. Дополнительные сведения см. в статье об использовании PortQry для устранения неполадок с подключением Active Directory.
• Используйте telnet для порта 389, чтобы проверить подключение к порту ldap.
• Настройка портов домена и доверия.
• Настройка поведения брандмауэра для исходящего трафика по умолчанию.
• Настройте требования к портам брандмауэра для групповая политика.

Убедитесь, что разрешение DNS-имен, в котором клиент не может разрешить имя узла

• Если клиенту не удается разрешить имя узла, лучше всего проверить указанную выше последовательность разрешения имен узла, которую должен использовать клиент. Если имя не существует ни в каких ресурсах, используемых клиентом, необходимо решить, какой ресурс добавить. Если имя существует в одном из ресурсов, например DNS-сервере или сервере службы windows Internet Name Service (WINS), и клиент не разрешает имя правильно, сосредоточьте внимание на устранении неполадок с этим конкретным ресурсом.
• Кроме того, убедитесь, что клиент пытается разрешить имя узла, а не netBIOS-имя. Многие приложения имеют несколько методов, которые они могут использовать для разрешения имен. Это особенно актуально для почтовых приложений и приложений баз данных. Приложение может быть настроено для подключения к ресурсам с помощью NetBIOS. В зависимости от конфигурации клиента клиент может обойти разрешение имен узлов. После этого потребуется либо изменить тип подключения на сокеты TCP/IP, либо устранить проблему как проблему NetBIOS.

групповая политика контейнера

Используйте следующий командлет Get-GPPermission PowerShell , чтобы получить уровень разрешений для всех субъектов безопасности в указанном объекте групповой политики:

Идентификатор события 1058

Ниже приведено описание события с идентификатором 1058:

Правильное подключение к групповая политика шаблону. Служба групповая политика регистрирует имя контроллера домена и код ошибки, который отображается на вкладке «Сведения» сообщения об ошибке в Просмотр событий. Код ошибки (отображается как десятичное) и поля описания ошибки дополнительно определяют причину сбоя. Оцените код ошибки со списком ниже:

Код ошибки 3 (системе не удается найти указанный путь)

Этот код ошибки обычно указывает, что клиентский компьютер не может найти путь, указанный в событии. Чтобы проверить подключение клиента к sysvol контроллера домена:

Определите контроллер домена, используемый компьютером. Имя контроллера домена регистрируется в сведениях о событии ошибки.

Определите, происходит ли сбой во время обработки пользователем или компьютером. Для обработки пользовательской политики в поле пользователя события будет отображаться допустимое имя пользователя. Для обработки политики компьютера в поле пользователя будет отображаться «SYSTEM».

Создайте полный сетевой путь к gpt.iniкак SYSVOL Policies gpt.ini — это имя контроллера домена, <> домен — имя домена, — GUID папки политики. Вся информация отображается в событии.

Убедитесь, что выgpt.ini , используя полный сетевой путь, полученный на предыдущем шаге. Для этого откройте окно <>командной строки и введите file_path, file_path путь, сконструированный на предыдущем шаге, и нажмите клавишу ВВОД.

Эту команду необходимо выполнить от имени пользователя или компьютера, учетные данные которого ранее завершались сбоем.

Код ошибки 5 (доступ запрещен)

Этот код ошибки обычно указывает, что у пользователя или компьютера нет соответствующих разрешений на доступ к пути, указанному в событии. Убедитесь, что на контроллере домена у пользователя и компьютера есть соответствующее разрешение на чтение пути, указанного в событии. Чтобы проверить учетные данные компьютера и пользователя, выполните следующее.

1. Выйдите из системы и перезапустите компьютер.
2. Войдите на компьютер с учетными данными домена, которые использовались ранее.

Код ошибки 53 (сетевой путь не найден)

Этот код ошибки обычно указывает, что компьютер не может разрешить имя в указанном сетевом пути. Чтобы проверить разрешение имен сетевых путей:

1. Определите контроллер домена, используемый компьютером. Имя контроллера домена регистрируется в сведениях о событии ошибки.
2. Попробуйте подключиться к общей папке netlogon на контроллере домена, используя путь netlogon — это имя контроллера домена в событии ошибки.

Идентификатор события 1053

Ниже приведено описание события с идентификатором 1053:

Служба групповая политика регистрирует имя контроллера домена и код ошибки. Эти сведения отображаются на вкладке «Сведения» сообщения об ошибке в Просмотр событий. Код ошибки (отображается как десятичное) и поля описания ошибки дополнительно определяют причину сбоя. Оцените код ошибки со списком ниже:

Код ошибки 5 (доступ запрещен). Этот код ошибки может указывать на то, что срок действия пароля пользователя истек, пока пользователь еще вошел в систему на компьютере. Если пользователь недавно изменил пароль, проблема может исчезнуть после того, как репликация Active Directory завершится успешно.

1. Измените пароль пользователя.
2. Заблокируйте или разблокируйте рабочую станцию.
3. Проверьте, запущены ли какие-либо системные службы в качестве учетной записи пользователя.
4. Убедитесь, что пароль в конфигурации службы правильный для учетной записи пользователя.

Код ошибки 14 (недостаточно места в хранилище для выполнения этой операции)

Этот код ошибки может указывать на то, что в Windows недостаточно памяти для выполнения задачи. Изучите журнал системных событий на любые другие проблемы, связанные с памятью.

Код ошибки 525 (указанный пользователь не существует)

Этот код ошибки может указывать на неправильные разрешения для подразделения. Пользователю требуется доступ на чтение к подразделению, содержащее объект пользователя. Аналогичным образом компьютерам требуется доступ на чтение к подразделению, содержащее объект компьютера.

Код ошибки 1355 (указанный домен либо не существует, либо не удалось связаться)

Этот код ошибки может указывать на ошибку или неправильная конфигурация с разрешением имен (DNS). Используется nslookup для подтверждения разрешения адресов контроллеров домена в домене пользователя.

Код ошибки 1727 (сбой удаленного вызова процедуры и не выполнен)

Этот код ошибки может указывать на то, что правила брандмауэра препятствуют обмену данными с контроллером домена. Если у вас установлено стороннее программное обеспечение брандмауэра, проверьте конфигурацию брандмауэра или попробуйте временно отключить его и убедиться, что групповая политика успешно.

Код события 1097

Ниже приведено описание события с идентификатором 1097:

Компьютеры домена могут выполнять проверку подлинности в домене, как и пользователи домена. Windows требует, чтобы компьютер вход был включен, прежде чем он сможет применить групповая политика к компьютеру. Возможные решения:

• Убедитесь, что время на компьютере синхронизировано со временем на контроллере домена.
• Укажите неправильные настройки часового пояса, если компьютер настроен в часовом поясе, отличается от контроллера домена.
• Разница во времени между компьютером и контроллером домена может привести к сбою проверки подлинности компьютера в домене. Принудительная синхронизация времени со службой времени с помощью w32tm /resync команды.
• Перезагрузите компьютер.

Прежде чем обращаться к служба поддержки Майкрософт

Перед выполнением запроса на поддержку рекомендуется использовать функцию дампа Windows Live для сохранения моментального снимка памяти ядра на затронутом компьютере. Для этого выполните следующие действия:

Запишите групповая политика подробное ведение журнала службы, выполнив следующие команды:

Обновите локальные и групповая политика на основе AD с помощью команды gpupdate /force .

При устранении неполадок, связанных с отсутствием параметров конкретного пользователя или компьютера, используйте одну из приведенных ниже команд.

• Gpupdate /force /target:computer
• Gpupdate /force /target:user

Сохраните отчет результирующего набора политик (RSoP) в HTML-файл, выполнив следующую команду:

Сохраните сводные данные RSoP в TXT-файл, выполнив следующую команду:

Экспортируйте разделы реестра GPExtensions, выполнив следующую команду:

Экспортируйте журналы системы, приложения и групповая политика средства просмотра операционных событий, выполнив следующие команды:

Запишите следующие файлы:

По завершении можно остановить ведение групповая политика службы, выполнив следующую команду:

Источник

На одном из компьютеров перестали применяться новые параметры групповых политик. Для диагностики я вручную обновил параметров GPO с помощью команды
gpupdate /force
и увидел такую ошибку в консоли:

Не удалось успешно обновить политику компьютера. Обнаружены следующие ошибки:
Ошибка при обработке групповой политики. Windows не удалось применить основанные на данных реестра параметры политики для объекта групповой политики "LocalGPO". Параметры групповой политики не могут быть применены, пока не будет исправлена эта ситуация. Сведения об имени и пути файла, вызвавшего эту ошибку, содержатся в подробностях об этом событии.

Computer policy could not be updated successfully. The following errors were encountered:
 The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LocalGPO. Group Policy settings will not be resolved until this event is resolved. View the event details for more information on the file name and path that caused the failure.

При этом в журнале System появляется событие с EvetID 1096 с тем же описанием (The processing of Group Policy failed):

Log Name:     System
Source:       Microsoft-Windows-GroupPolicy
Event ID:     1096
Level:         Error
User:         SYSTEM

Если попробовать выполнить диагностику применения GPO с помощью команды gpresult (
gpresult.exe /h c:\tempt\gpresultreport.html
), видно что не применяется только настройки из раздела Group Policy Registry —
Failed
:

Registry failed due to the following error listed below.
Additional information may have been logged. Review the Policy Events tab in the console or the application event log.

Получается, что к компьютеру не применяются только GPO с настройками клиентских расширений групповых политик CSE (client-side extension), которые отвечают за управление ключами реестра через GPO.

Расширение Registry client-side не смогло прочитать файл registry.pol. Скорее всего файл это поврежден (рекомендуем проверить файловую систему на ошибки с помощью chkdsk). Чтобы пересоздать этот файл, перейдите в каталог c:\Windows\System32\GroupPolicy\Machine и переименуйте его в registry.bak.

Можно переименовать файл из командой строки:

cd "C:\Windows\System32\GroupPolicy\Machine"
ren registry.pol registry.bak

Обновите настройки групповых политик командой:

gpupdate /force

Windows должна пересоздать файл registry.pol (настройки локальных GPO будут сброшены) и успешно применить все настройки GPO.

Если в журнале вы видите событие Event ID 1096 (
The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object LDAP://
) c ErrorCode 13 и описанием “
The data is invalid
”, значит проблема связана с доменной GPO, указанной в ошибке.

Скопируйте GUID политики и найдите имя GPO с помощь команды PowerShell:

Get-GPO -Guid 19022B70-0025-470E-BE99-8348E6E606C7

• Запустите консоль управления доменными GPO (gpmc.msc) и проверьте, что политика существует;
• Проверьте, что в каталоге SYSVOL политики есть файлы registry.pol и gpt.ini и они доступны на чтение (проверьте NTFS права);
• Проверьте, что версия политики на разных контроллерах домена одинакова (проверьте корректность работы домена и репликации в AD);
• Удалите файлы GPO в SYSVOL на контроллере домена, с которого получает политику клиент (
  $env:LOGONSERVER
  ), и дождитесь ее репликации с соседнего DC
• Если предыдущие способы не помогут, пересоздайте GPO или восстановите ее из бэкапа.

After updating the Group Policy Objects on a certain domain, it’s best to run the gpupdate /force command to apply the changes, as they only apply automatically every 90 minutes. However, sometimes running this command gives the “The processing of Group Policy failed. Windows could not apply the registry-based policy settings for the Group Policy object” error.

The main cause of the issue is the corruption of the file storing the Group Policy Registry settings on your local system or the domain controller. Such corruption can occur because of temporary issues such as server updates or being inactive for some time. However, it will also happen if there are some problems with your GPO or the replication system in your domain.

How to Fix Windows Could Not Apply the Registry-based Policy Settings for the Group Policy Object

The first thing you need to do after you encounter this issue is to check the event logs for more information. Doing so will help you narrow down the cause as well as tell you the GUID name or number in case you did not note it from the gpupdate error message.

1. Open Run by pressing Win + R.
2. Type eventvwr and press Enter to open the Event Viewer.
3. Go to Windows Logs > System and click on Filter Current Logs.
   
4. Enter 1096 on the <All Event IDs> textbox and click OK.
5. Double-click on the latest or the most relevant event and check both General and Details tabs.
   

If you could determine the exact reason for the issue, go to the corresponding solution. Also, make sure to copy down the GUID number of the GPO that failed to update.

Recreate Local Registry.pol File

The easiest possible fix for this error is to delete the local Registry.pol file on the client side and allow the domain to recreate it. Registry.pol stores all the registry-based policy settings for the GPO, and this error indicates that the file in your system is corrupted.

The local Registry.pol is only a copy of the source file on the Domain Controller, so you can safely delete it.

1. Navigate to C:\Windows\System32\GroupPolicy\Machine
2. Delete the Registry.pol file.
   
3. Delete the Registry.pol file inside C:\Windows\System32\GroupPolicy\Machine too.
4. Then, run gpupdate /force on your local machine to have the domain controllers apply all GPOs to your machine, thereby recreating the Registry.pol file.
   

If it doesn’t recreate the folder, contact your system admin to apply the group policy to your local machine or wait for 90 or so minutes for the policy to apply automatically.

Check Registry.pol File inside Sysvol

If recreating the Registry.pol file doesn’t resolve the issue, it’s likely that the source file on a Domain Controller (DC) is corrupt. If you have access to the DC, you can perform the following steps to troubleshoot the issue. If you don’t, you need to contact your system admin for this purpose.

1. Open the File Explorer.
2. Go to C:\Windows\SYSVOL\sysvol\“Domain Name”\Policies\“GPO GUID”\Machine.
3. Make sure that Registry.pol exists here along with GPT.ini in the “GPO GUID” folder.
   
4. Right-click on GPR.ini and select Properties.
5. Go to the Security tab and check who has permission for the file.
6. Do the same for Registry.pol and see if they have the same permissions.

If they don’t, or the Registry.pol file is missing, delete the SYSVOL folder and copy or replicate it from another domain controller. You also need to do the same if the dates or versions of the files in the SYSVOL folder don’t match that of other DCs.

If you can’t do so, you need to demote and then promote the DC again while making sure there are no issues with your replication policy.

Check and Troubleshoot Sysvol Replication

If replicating the SYSVOL folder from another domain controller doesn’t work, there may be some issues with your domain’s replication health. You can use the Repadmin tool to monitor the replication status and analyze the report for any issues.

1. Open Run.
2. Type cmd and press Ctrl + Shift + Enter to open the Elevated Command Prompt.
3. Enter the command repadmin /showrepl * /csv >showrepl.csv
   
4. Open the showrepl.csv file in Excel.

The exact process to analyze this file is slightly complex. And there are several possible ways to troubleshoot the replication issue depending on the nature of the error, which you can determine through the repadmin /showrepl command. So we recommend visiting Microsoft’s comprehensive guide on this process to learn the full process if necessary.

Delete and Recreate GPO

If the above solutions don’t work, you need to delete the GPO showing the issue and recreate it again to resolve the issue.

1. Note down the GUID of the GPO from the event log.
2. Then, open Run.
3. Type powershell and press Ctrl + Shift + Enter to open Windows PowerShell
4. Enter the cmdlet Get-GPO -Guid “GUID” to get the name of the GPO.
   
5. Now, open Run again.
6. Type gpmc.msc and press Enter to open the Group Policy Management Console.
7. Expand “Domain name” > Domains > “Domain name” > Group Policy Objects.
   
8. Right-click on the relevant GPO and click Delete.
9. Click on delete GPO from archive and production.
10. Then, Right-click on an empty area and select New.
11. Follow the instructions to recreate the GPO according to your situation.
12. Then, link it to the necessary users.

After that, run the gpupdate /force command to update the policy.