Arquivo

Posts Tagged ‘GPO’

Erro 1085 ao aplicar GPO – Error: Windows failed to apply the Scripts settings.

11 de fevereiro de 2012 2 comentários

Problema
======================================

  • Ao aplicar as GPOs o evento 1085 é gerado no Event Viewer.

Log Name: System
Source: Microsoft-Windows-GroupPolicy
Date: 19/01/2012 13:08:07
Event ID: 1085
Task Category: None
Level: Warning
User: SYSTEM
Computer: xxxxxxxx
Description:
Windows failed to apply the Scripts settings. Scripts settings might have its own log file.

Resolução
========================================

  • Nesse chamado, o cliente tinha dezenas de GPOs sendo aplicadas.
  • Segundo o cliente, todos os scripts das GPOs aparentemente estavam sendo aplicados com sucesso. Eles não haviam notado nenhum script que não estivesse sendo aplicado.

–     O primeiro passo foi habilitar o log de GPO conforme abaixo:

http://blogs.technet.com/b/mempson/archive/2010/01/10/userenvlog-for-windows-vista-2008-win7.aspx

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

New key: Diagnostics

Inside this key:

Value Name: GPSvcDebugLevel

Value Type: REG_DWORD

Value Data: 30002 (hex)

Output: %windir%\debug\usermode\gpsvc.log

– Após algumas pesquisas, encontrei documentos dizendo que esse erro pode ser gerado no caso de a GPO ter a extensão de scripts nos parâmetros da GPO mas não ter nenhum script configurado.

– Toda vez que adicionamos um script de logon ou de startup em uma GPO, é adicionado uma extensão nessa GPO para informar ao Sistema Operacional que essa GPO tem um script para ser executado.

– No log GPSVC.log, localizamos todas as GPOs que tinham a “extensão de scripts” que é representado pela GUID {42B5FAAE-6536-11D2-AE5A-0000F87571E3}

Identifying Group Policy Client-Side Extensions

http://support.microsoft.com/kb/216357/en-us

– Foram encontradas 4 GPOs com essa extensão. Isso significa que essas 4 GPOs deveriam ter um script anexado. Segue abaixo o exemplo de uma dessas GPOs e como localizar a extensão:

GPSVC(440.574) 10:30:47:454 ProcessGPO: ==============================
GPSVC(440.574) 10:30:47:454 ProcessGPO: Searching <cn={E0622561-6CA5-4E18-98B6-C97A4168D8D4},cn=policies,cn=system,DC=Domain,DC=local>
GPSVC(440.574) 10:30:47:454 ProcessGPO: Machine has access to this GPO.
GPSVC(440.574) 10:30:47:454 ProcessGPO: GPO passes the filter check.
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found functionality version of: 2
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found file system path of: \\Domain.local\SysVol\bc\Policies\{E0622561-6CA5-4E18-98B6-C97A4168D8D4}
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found common name of: <{E0622561-6CA5-4E18-98B6-C97A4168D8D4}>
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found display name of: <Nome_da_GPO>
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found machine version of: GPC is 12, GPT is 12
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found flags of: 1
GPSVC(440.574) 10:30:47:454 ProcessGPO: Found extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{D02B1F72-3407-48AE-BA88-E8213C6761F1}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
GPSVC(440.574) 10:30:47:454 ProcessGPO: ==============================

– Após encontrar essas 4 GPOs que continham a Extensão para Scripts, rodei o comando GPResult /Z para verificar quais scripts estavam sendo executados e em qual das GPOs estavam vinculados.

– No Gpresult, somente 3 GPOs tinham scripts configurados:

Startup Scripts
—————
GPO: GPO1
Name: Script1.bat

GPO: GPO2
Name: Script2.bat

Logon Scripts
————-
GPO: GPO3
Name: Script3.bat

– Isso significa que uma das GPOs tem a “extensão para scripts” {42B5FAAE-6536-11D2-AE5A-0000F87571E3}, mas atualmente, não tem um script configurado.

– Localizamos essa GPO e abrimos o GPMC. E essa GPO realmente não tinha um Script. Nem Startup Script nem Logon Script.

– Acessamos o AdsiEdit.msc e acessamos Domain NC -> CN=System -> CN=Policies, localizamos o ID da GPOs e clicamos para editar.

– Removemos a GUID [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}] do atributo gPCMachineExtensionNames.

– Forçamos a replicação dos DCs com o comando: Repadmin /syncall /eAPDq

– Após isso, rodamos o comando Gpupdate /force e o erro 1085 não foi mais gerado.

Artigos relacionados
====================

Identifying Group Policy Client-Side Extensions
http://support.microsoft.com/kb/216357/en-us

Userenvlog for Windows Vista/2008/Win7
http://blogs.technet.com/b/mempson/archive/2010/01/10/userenvlog-for-windows-vista-2008-win7.aspx

Categorias:Active Directory, GPO Tags:, , ,