Início > Active Directory, GPO > Erro 1085 ao aplicar GPO – Error: Windows failed to apply the Scripts settings.

Erro 1085 ao aplicar GPO – Error: Windows failed to apply the Scripts settings.

Problema
======================================

  • Ao aplicar as GPOs o evento 1085 é gerado no Event Viewer.

Log Name: System
Source: Microsoft-Windows-GroupPolicy
Date: 19/01/2012 13:08:07
Event ID: 1085
Task Category: None
Level: Warning
User: SYSTEM
Computer: xxxxxxxx
Description:
Windows failed to apply the Scripts settings. Scripts settings might have its own log file.

Resolução
========================================

  • Nesse chamado, o cliente tinha dezenas de GPOs sendo aplicadas.
  • Segundo o cliente, todos os scripts das GPOs aparentemente estavam sendo aplicados com sucesso. Eles não haviam notado nenhum script que não estivesse sendo aplicado.

–     O primeiro passo foi habilitar o log de GPO conforme abaixo:

http://blogs.technet.com/b/mempson/archive/2010/01/10/userenvlog-for-windows-vista-2008-win7.aspx

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

New key: Diagnostics

Inside this key:

Value Name: GPSvcDebugLevel

Value Type: REG_DWORD

Value Data: 30002 (hex)

Output: %windir%\debug\usermode\gpsvc.log

– Após algumas pesquisas, encontrei documentos dizendo que esse erro pode ser gerado no caso de a GPO ter a extensão de scripts nos parâmetros da GPO mas não ter nenhum script configurado.

– Toda vez que adicionamos um script de logon ou de startup em uma GPO, é adicionado uma extensão nessa GPO para informar ao Sistema Operacional que essa GPO tem um script para ser executado.

– No log GPSVC.log, localizamos todas as GPOs que tinham a “extensão de scripts” que é representado pela GUID {42B5FAAE-6536-11D2-AE5A-0000F87571E3}

Identifying Group Policy Client-Side Extensions

http://support.microsoft.com/kb/216357/en-us

– Foram encontradas 4 GPOs com essa extensão. Isso significa que essas 4 GPOs deveriam ter um script anexado. Segue abaixo o exemplo de uma dessas GPOs e como localizar a extensão:

GPSVC(440.574) 10:30:47:454 ProcessGPO: ==============================
GPSVC(440.574) 10:30:47:454 ProcessGPO: Searching <cn={E0622561-6CA5-4E18-98B6-C97A4168D8D4},cn=policies,cn=system,DC=Domain,DC=local>
GPSVC(440.574) 10:30:47:454 ProcessGPO: Machine has access to this GPO.
GPSVC(440.574) 10:30:47:454 ProcessGPO: GPO passes the filter check.
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found functionality version of: 2
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found file system path of: \\Domain.local\SysVol\bc\Policies\{E0622561-6CA5-4E18-98B6-C97A4168D8D4}
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found common name of: <{E0622561-6CA5-4E18-98B6-C97A4168D8D4}>
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found display name of: <Nome_da_GPO>
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found machine version of: GPC is 12, GPT is 12
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found flags of: 1
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F72-3407-48AE-BA88-E8213C6761F1}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
GPSVC(440.574) 10:30:47:454 ProcessGPO: ==============================

– Após encontrar essas 4 GPOs que continham a Extensão para Scripts, rodei o comando GPResult /Z para verificar quais scripts estavam sendo executados e em qual das GPOs estavam vinculados.

– No Gpresult, somente 3 GPOs tinham scripts configurados:

Startup Scripts
—————
GPO: GPO1
Name: Script1.bat

GPO: GPO2
Name: Script2.bat

Logon Scripts
————-
GPO: GPO3
Name: Script3.bat

– Isso significa que uma das GPOs tem a “extensão para scripts” {42B5FAAE-6536-11D2-AE5A-0000F87571E3}, mas atualmente, não tem um script configurado.

– Localizamos essa GPO e abrimos o GPMC. E essa GPO realmente não tinha um Script. Nem Startup Script nem Logon Script.

– Acessamos o AdsiEdit.msc e acessamos Domain NC -> CN=System -> CN=Policies, localizamos o ID da GPOs e clicamos para editar.

– Removemos a GUID [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}] do atributo gPCMachineExtensionNames.

– Forçamos a replicação dos DCs com o comando: Repadmin /syncall /eAPDq

– Após isso, rodamos o comando Gpupdate /force e o erro 1085 não foi mais gerado.

Artigos relacionados
====================

Identifying Group Policy Client-Side Extensions
http://support.microsoft.com/kb/216357/en-us

Userenvlog for Windows Vista/2008/Win7
http://blogs.technet.com/b/mempson/archive/2010/01/10/userenvlog-for-windows-vista-2008-win7.aspx

Anúncios
Categorias:Active Directory, GPO Tags:, , ,
  1. Raphael
    4 de março de 2012 às 15:25

    Renato,

    Excelente artigo!
    Haveria algum porque do AD atribuir esta extensão à uma Policy que não possui script atrelado?
    Aqui, no meu caso, a Default Domain Policy apresentou este erro após a elevação do nível funcional do domínio para Windows 2008 R2.
    Este procedimento foi muito útil, obrigado.

    Abraço!
    Raphael

    • 4 de março de 2012 às 17:06

      Oi Raphael. Que bom que o post foi útil.
      Ele atribui essa extensão sempre que um script é adicionado na GPO. Quando removemos o script pelo console da GPO, essa extensão deveria ser removida.
      Em alguma época voce ja teve scripts configurados nessa GPO?

      Abraços

  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: