- Remove From My Forums
-
Вопрос
-
При вводе компьютера сотрудника с OS windows7 в домен «Ошибка при обработке групповой политики» !
1)gpupdate /force
«Ошибка при обработке групповой политики из-за внутренней ошибки системы. Конкретное сообщение об ошибке можно найти в операционном журнале групповой политики.
Попытка обработки групповой политики будет предпринята при следующем цикле обновления.»
2)Идём в «Просмотр событий>Журналы приложений и служб>Микрософт>WINDOWS>GroupPolicy»
Там висит много «сведений» и одна «ошибка»: «Ошибка при обработке групповой политики» Код события: 7016
Идём в «Просмотр событий>Настраиваемые представления>События управления»
Находим там ошибку «Не удается найти описание для идентификатора события 1125 из источника Microsoft-Windows-GroupPolicy.
Вызывающий данное событие компонент не установлен на этом локальном компьютере или поврежден. Установите или восстановите компонент на локальном компьютере.
Если событие возникло на другом компьютере, возможно, потребуется сохранить отображаемые сведения вместе с событием. К событию были добавлены следующие сведения:
22075075195 Отказано в доступе.Неверный дескриптор» Ошибка в большом количестве !
3)cmd>rsop.msc
Политики не применяются именно для Компьютера.
4)Идём на сервер 2008 r2 находим нужную политику из-за которой висят ошибки !
«test_Запрет запуска не установленных администратором программ»
Приведу в скриншотах, применнёые настройки !
5)Очень не хотелось бы лишаться такой нужно политики,
p.s.Если заводишь в домен компьютер с неюзанной windows 7 всё работает на ура !-
Изменено
27 июня 2012 г. 13:12
-
Изменено
Ответы
-
Проблема была в блокировке реестра, нужен список программ установленных на компьютере! попробуйте применить данные политики на заведомо «голый» компьютер после установки windows !
-
Помечено в качестве ответа
Vinokurov Yuriy
29 октября 2012 г. 8:16
-
Помечено в качестве ответа
| title | description | ms.date | author | ms.author | manager | audience | ms.topic | ms.prod | localization_priority | ms.reviewer | ms.custom | ms.technology |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Errors when unknown environment variable is used |
Describes an issue where Group Policy error events are logged when unknown environment variable is used. Provides a solution to this issue. |
04/28/2023 |
Deland-Han |
delhan |
dcscontentpm |
itpro |
troubleshooting |
windows-server |
medium |
kaushika |
sap:problems-applying-group-policy-objects-to-users-or-computers, csstroubleshoot |
windows-server-group-policy |
Group Policy error events logged when unknown environment variable is used
This article helps avoid Group Policy error events that are logged when unknown environment variable is used.
Applies to: Windows Server 2012 R2
Original KB number: 2003730
Symptoms
If you are running an Active Directory forest and using a file system security policy, you may see the following events logged:
-
Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2 will log this event to the Group Policy operational log:
Log Name: Microsoft-Windows-GroupPolicy/Operational
Source: Microsoft-Windows-GroupPolicy
Event ID: 7016
Task Category: None
Level: Error
Keywords:
User: SYSTEM
Description:
Completed Security Extension Processing in 20984 milliseconds.
Event Xml:
<Event xmlns=»http://schemas.microsoft.com/win/2004/08/events/event»>
…
<EventData>
<Data Name=»CSEElaspedTimeInMilliSeconds»>20984</Data>
<Data Name=»ErrorCode»>1252</Data>
<Data Name=»CSEExtensionName»>Security</Data>
<Data Name=»CSEExtensionId»>{827D319E-6EAC-11D2-A4EA-00C04F79F83A}</Data>
</EventData>
</Event> -
Windows XP and Windows Server 2003 will log this event in the Application log:
Event ID: 1091
Category: None
Source: Userenv
Type: Error
Message: The Group Policy client-side extension Security failed to log RSOP (Resultant Set of Policy) data. Look for any errors reported earlier by that extension. -
All Windows version will log this event in the Application log:
Event ID: 1202
Category: None
Source: SceCli
Type: Warning
Message: Security policies were propagated with warning. 0xd: The data is invalid.
Depending on the actual policy configuration, the settings in the security policies may or may not be present. The More Information section explains the conditions for policy failure or success (despite the errors).
Cause
The events are logged because the file system security settings of one policy contain an environment variable that is unknown on the client computer. To find out more about the problem, enable logging of the security configuration client-side extension:
Troubleshoot SCECLI 1202 events.
In the %windir%securitylogswinlogon.log file, you will see an entry such as:
Process GP template gpt0000x.inf.
Error 13: The data is invalid.
Error converting %PROGRAMFILES(X86)%MyApplication.
%PROGRAMFILES(X86)% is only an example. It is used when the policy is edited on a 64-bit version of Windows and security settings are made for the folder C:PROGRAM FILES (X86) or one of its subfolders.
The gpt0000x.inf file, a text file containing the policy settings, can be found in the %windir%securitytemplatespolicies folder. It also contains the location of the policy in Active Directory in the line starting with GPOPath, allowing you to identify which policy has the unknown environment variable.
Resolution
To avoid the problem, create a new policy at the same level that receives the settings referencing the missing environment variable. Then use a WMI filter to allow the policy to only apply to machines that have the environment variable defined.
For example, the WMI filter for %PROGRAMFILES(X86)% would be:
Select * from Win32_Envrionment where Name = ‘PROGRAMFILES(X86)’
More information
This section explains why in some cases the policy settings apply successfully, but in other cases they do not.
Security group policy is driven by the Userenv.dll library running within the Winlogon.exe process, or on Windows Vista and later, the Group Policy Service (GPSvc). This is the component that gets the list of policies that are assigned to the machine, and filters out the ones that do not apply. They may be filtered based on the permissions on the policy or a WMI filter.
Userenv/GPSvc then sorts the policies based on their priority. The first policy applied is the one with the lowest priority, the last one is the one with the highest priority. For security policy, Userenv/GPSvc calls the security policy client-side extension (SCECLI) with the policy settings file downloaded from SYSVOL.
SCECLI has two phases. In the first phase, it takes the settings passed to it and feeds them into the security database. The second phase is applying these settings to the system, for example, set user rights, security options or set security descriptors on the registry and files.
The first phase is active until the last policy is being processed. The call from Userenv/GPSvc to SCECLI for the last policy is a special case. When the call is made, the first phase is still active and the settings from the last policy are read into the security database as with all other policies. But before the call returns, SCECLI sees that this is the last policy and, within the same call, executes the second phase.
The settings for registry and file system policy are deemed to be expensive to commit, SCECLI does not execute them in the calling thread in foreground mode. For these settings, Userenv/GPSvc would create an additional thread so processing can complete while the user can already logon. Domain controllers are an exception to this rule. They would always first complete all security policy application before the user can logon.
With regard to missing environment variables, SCECLI reads the settings in the first phase and encounters an error when it resolves the environment variable to the actual path. SCECLI will skip the entry and continue adding settings to the security database and later return an error to Userenv/GPSVC.
When the problem happens in any policy except the last policy, Userenv/GPSVC treats the error as a fatal problem and aborts security group policy. Therefore the second phase is never happening. When the problem happens in the last policy, SCECLI ignores the error and executes the second phase. Userenv/GPSVC still aborts policy application with an error, but actually policy processing has been completed by this point.
Data collection
If you need assistance from Microsoft support, we recommend you collect the information by following the steps mentioned in Gather information by using TSSv2 for Group Policy issues.
If you get the following error in the event log:
Source: Microsoft-Windows-GroupPolicy
Event ID: 7016
Completed Security Extension Processing in 334 milliseconds
This is caused by the computer not being able to apply a group policy setting due to the fact that the group policy setting that is being applied, not existing on the computer.
An example of this might be a group policy applying something involving an environmental variable that doesn’t exist on the server.
In my case, it was a group policy trying to apply a predefined settings to restrict user actions on the Terminal server that existed on servers running Windows Server 2012 R2, but may have been renamed differently on a server running Windows Server 2019 and to which the policy has been applied
Is there a log or some diagnostic method to find out which policy contains the setting that causes the event 7016 (Completed Security Extension Processing…).
So that you do not have to go through all the set options manually
Обновлено 20.07.2021
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз я вам подробно показал, как убрать тестовый режим Windows 10. Сегодня мы вновь вернемся к обсуждению работы терминальных серверов, а именно я разберу ситуацию при которой у вас при входе на RDS ферму долго висит надпись «Применение политики Microsoft Disk Quota«, и в журнале событий есть ошибки и предупреждения ID 1085, ID 7016 и ID 4016. Я вам покажу из-за чего появляются данные предупреждения и как вам от них избавиться.
Описание проблемы
Есть RDS ферма построенная на операционной системе Windows Server 2012 R2. Есть два посредника подключений и 15 RDCH хостов. При входе на терминальный стол у пользователя долго висит экран с надписью:
Применение политики Microsoft Disk Quota
После чего сотрудник успешно попадает на свой виртуальный стол. После обращения пользователя, стали рассматривать в чем дело. Раньше я помню, что была политика управления дисковыми квотами, но она была отключена и удалена из объектов GPO. Открыв логи операционной системы Windows, я обнаружил вот такие события и ошибки:
В журнале «Система» было предупреждение с кодом события ID 1085 (Источник GroupPolicy (Microsoft-Windows-GroupPolicy))
Код 1085: Windows не удалось применить параметры «Microsoft Disk Quota». Параметры «Microsoft Disk Quota» могут иметь свой собственный файл журнала. Щелкните ссылку «Дополнительные сведения».
Так же в журнале «Журналы приложений и служб» выбрать папку «Microsoft — Windows — GroupPolicy — Operational». Там были события с кодом ID 4016 и ID 7016.
Код 4016: Запуск обработки расширения Microsoft Disk Quota.
Список применимых объектов групповой политики: (Изменения обнаружены.)
Имя объекта GPO (Который является источником ошибки)
И событие 7016.
Завершена обработка расширения Microsoft Disk Quota за 16 мс.
Когда вы устанавливаете или отключаете политику дисковой квоты, для атрибута gPCMachineExtensionNames объекта групповой политики устанавливается следующее значение:
[{35378EAC-683F-11D2-A89A-00C04FBBCFA2} {D02B1F72-3407-48AE-BA88-E8213C6761F1}] [{3610EDA5-77EF-11D2-8DC5-00C04FA31A66} {D02B1F72-3407-48AE-BA88-E8213C6761F1}]
И когда вы отключаете данную политику или удаляете ее как объект GPO, то к сожалению значение gPCMachineExtensionNames не очищается. Поэтому вы и видите все события 1085, 4016, 7016.
Как устранить ошибки
Первое, что вы должны сделать, это удостовериться, есть или нет у вас групповая политика настраивающая дисковые квоты (Microsoft Disk Quota), если она есть, то провести диагностику применения групповой политики. В моем случае ее не было. Ранее была политика, но она была отключена и удалена.
Далее в событии 4016 вы видите, из-за какой политики вы получаете ошибку. Очень полезно будет открыть в режиме XML, там будет полезен раздел EventData.
<EventData>
<Data Name=»CSEExtensionId»>{3610EDA5-77EF-11D2-8DC5-00C04FA31A66}</Data>
<Data Name=»CSEExtensionName»>Microsoft Disk Quota</Data>
<Data Name=»IsExtensionAsyncProcessing»>false</Data>
<Data Name=»IsGPOListChanged»>true</Data>
<Data Name=»GPOListStatusString»>%%4102</Data>
<Data Name=»DescriptionString»>GPO-Имя</Data>
<Data Name=»ApplicableGPOList»><GPO ID=»{E26B087E-2CF3-40C9-8910-66E48A1E53C5}»><Name>GPO-Имя</Name></GPO></Data>
</EventData>
</Event>
Тут видно имя CSEExtensionName и его ID который нам нужно будет удалить из атрибута gPCMachineExtensionNames. В XML версии события 7016, вы можете обнаружить:
<EventData>
<Data Name=»CSEElaspedTimeInMilliSeconds»>16</Data>
<Data Name=»ErrorCode»>2147942402</Data>
<Data Name=»CSEExtensionName»>Microsoft Disk Quota</Data>
<Data Name=»CSEExtensionId»>{3610EDA5-77EF-11D2-8DC5-00C04FA31A66}</Data>
</EventData>
</Event>
Где код 2147942402 означает, что объект, который пытается применится не найден. В XML версии события 1085 вы по поводу кода 2147942402 увидите открытым текстом.
<EventData>
<Data Name=»SupportInfo1″>1</Data>
<Data Name=»SupportInfo2″>4950</Data>
<Data Name=»ProcessingMode»>0</Data>
<Data Name=»ProcessingTimeInMilliseconds»>657</Data>
<Data Name=»ErrorCode»>2147942402</Data>
<Data Name=»ErrorDescription»>Не удается найти указанный файл.</Data>
<Data Name=»DCName»>\имя контроллера домена</Data>
<Data Name=»ExtensionName»>Microsoft Disk Quota</Data>
<Data Name=»ExtensionId»>{3610eda5-77ef-11d2-8dc5-00c04fa31a66}</Data>
</EventData>
</Event>
Как я и писал выше нам из параметра gPCMachineExtensionNames в политике нужно удалить значение {3610eda5-77ef-11d2-8dc5-00c04fa31a66}, которое относится к Microsoft Disk Quota.
- gPCMachineExtensionNames — в этом атрибуте перечисляются клиентские расширения GPO (CSE), необходимые клиенту для обработки параметров групповой политики компьютера
- gPCUserExtensionNames — в этом атрибуте перечисляются клиентские расширения GPO (CSE), необходимые клиенту для обработки определенных параметров групповой политики пользователя.
Что мы делаем, открываем с вами редактор атрибутов ADSIEdit. Далее вы переходите в контекст именования по умолчанию DC=Domain DN, далее CN=System, далее CN=Policies. Тут будут описаны все ваши объекты групповой политики, есть одно но, у всех имя состоит из GUID записи. Как узнать GUID политики GPO я уже рассказывал, советую посмотреть.
В скриншоте ниже у меня указана тестовая среда и нужного GUID на скриншоте нет, правильное GUID значение 31B2F340-016D-11D2-945F-00C04FB984F — https://docs.microsoft.com/ru-ru/archive/blogs/core/event-id-1085-source-grouppolicy-windows-failed-to-apply-the-microsoft-disk-quota-settings-resolved
Заходим в свойства объекта GPO и находим атрибут gPCMachineExtensionNames. Щелкаем по нему и копируем себе в текстовый редактор его содержимое, для резервной копии. Так же советую сделать копию политики средствами оснастки управления групповыми политиками.
Напоминаю, что удаляем кусок [{3610EDA5-77EF-11D2-8DC5-00C04FA31A66}……{D02B1F72-3407-48AE-BA88-E8213C6761F1}]. После чего новый текст копируем в атрибут gPCMachineExtensionNames и сохраняем его. Где первый набор квадратных скобок — это тот особый «нулевой GUID», за которым следуют привязные GUID MMC для любых предпочтений GP, настроенных в GPO, затем каждая последующая GUID область политики объединяется в свои квадратные скобки.
[{00000000-0000-0000-0000-000000000000}{BEE07A6A-EC9F-4659-B8C9-0B1937907C83}][{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{0F6B957D-509E-11D1-A7CC-0000F87571E3}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}{62C1845D-C4A6-4ACB-BBB0-C895FD090385}{D02B1F72-3407-48AE-BA88-E8213C6761F1}][{3610EDA5-77EF-11D2-8DC5-00C04FA31A66}{D02B1F72-3407-48AE-BA88-E8213C6761F1}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B087BE9D-ED37-454F-AF9C-04291E351182}{BEE07A6A-EC9F-4659-B8C9-0B1937907C83}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1D-2488-11D1-A28C-00C04FB94F17}]
В этом примере выше предполагается, что никакие другие области политики не были реализованы в этом локальном объекте групповой политики. Если они есть, то каждая пара GUID CSE / MMC с разделителями в квадратных скобках должна быть отсортирована в списке в алфавитном порядке, чтобы все это работало. Если эти другие области политики являются настройками GP, то GUID оснастки MMC для каждой из них должен быть включен в квадратные скобки в начале после GUID {00000000-0000-0000-0000-000000000000}. Очевидно, что Microsoft не хотела, чтобы это было взломано вручную, но, тем не менее, это возможно!
Теперь вам осталось перезагрузить сервер или обновить групповую политику в принудительном варианте, через gpupdate /force в командной строке Windows.
Дополнительные ссылки:
- https://sdmsoftware.com/group-policy-blog/tips-tricks/group-policy-preferences-in-the-local-gpo-yes/
- https://blogs.technet.microsoft.com/core/2015/01/08/event-id-1085-source-grouppolicy-windows-failed-to-apply-the-microsoft-disk-quota-settings-resolved/
С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org. Надеюсь, что вы победили свои сообщение с ошибкой «Применение политики Microsoft Disk Quota».
- This topic has 0 replies, 1 voice, and was last updated 7 years, 1 month ago by
Webmaster.
-
Author
Posts
-
-
April 29, 2016 at 11:45 am
#1821
If you get the following error in the event log:
Source: Microsoft-Windows-GroupPolicy
Event ID: 7016
Completed Security Extension Processing in 265 millisecondsThis is caused by the computer not being able to apply a group policy setting due to the fact that the group policy setting that is being applied, not existing on the computer.
An example of this might be a group policy applying something involving an environmental variable that doesn’t exist on the computer.
In my case, it was a group policy trying to apply a predefined firewall rule that exists on Windows Server 2012 R2 servers, but was called something different on the Windows 7 PC that the policy applied to.
To my knowledge, there is no log to find out which policy contains the setting that causes event 7016 (Completed Security Extension Processing…).
-
-
Author
Posts
- You must be logged in to reply to this topic.