可能的 GPO 错误及故障排除步骤

备份 GPO 及相关设置时可能发生以下几种错误。请参考下面的故障排除指南来解决这些错误。

注意： RecoveryManager Plus 通过使用 Windows 远程管理（WinRM）服务，从 RecoveryManager Plus 服务器远程执行 PowerShell 命令，备份组策略管理模板文件夹。备份的文件暂时存储在域控制器的 ADMINS 共享，然后被移动到 RecoveryManager Plus 服务器。

1. 远程目录创建失败
2. 会话状态中断 / 无有效会话 / PsSession 失败
3. 权限不足
4. 未找到命令
5. 未找到 GPO
6. 对象引用未设置为对象的实例
7. 系统无法打开指定的设备或文件
8. 从调用 COM 组件返回了错误 HRESULT E_FAIL
9. 库、驱动器或媒体池为空
10. 指定的目录服务属性或值不存在
11. 系统找不到指定的路径
12. 数据无效
13. 未知错误

1. 远程目录创建失败

当服务帐户无法访问 域控制器上的 ADMINS 共享时发生此错误。

解决此问题，请执行以下步骤：

1. 确保服务帐户是 AD 内置管理员组的成员。
2. 使用服务帐户登录 RecoveryManager Plus 服务器，并在文件资源管理器中检查 域控制器上的 ADMINS 共享访问权限：

   \\<dc-name>\ADMIN$\

3. 如果上述方法无效，请重启 RecoveryManager Plus 并再次触发备份。

2. 会话状态中断 / 无有效会话 / PsSession 失败

解决此问题，请重启 RecoveryManager Plus。

3. 权限不足

此错误可能由以下原因导致：

• 域控制器上的 WinRM 服务未运行：

  解决此问题，请使用 PowerShell 命令启动域控制器上的 WinRM 服务： Enable-PSRemoting -Force

• 域控制器无法被客户端信任：

  解决此问题，请在 RecoveryManager Plus 服务器上运行以下 PowerShell 命令：

  winrm s winrm/config/client '@{TrustedHosts="<dc1-name>,<dc2-name>"}'

  替换 <dc1-name> 和 <dc2-name> 为实际用于 RecoveryManager Plus 账号配置的域控制器名称。

• 可能阻塞了域控制器上 WinRM 监听器所需的端口：

  解决此问题，请确保域控制器的以下入站端口已开放：389、5985、5986 和 445。要测试从 RecoveryManager Plus 服务器到域控制器的连接，请运行以下 PowerShell 命令：

  tnc <DC-name> -port <port-number>

• 配置的服务帐户可能缺少必要权限：

  解决此问题，请将服务帐户添加到 AD 内置管理员组。

4. 未找到命令

当 DC 中缺少组策略模块时会发生此问题。 

注意：如果您使用的是 Windows Server 2008 DC，请联系 RecoveryManager Plus 支持 以解决您的问题。对于其他版本的 DC，请遵循以下步骤。 

检查 DC 是否已安装组策略模块。如未安装，请按以下步骤安装。

• 登录 DC 并启动 Server Manager.
• 在 Server Manager中，选择左侧窗格的 功能 ，然后点击 添加功能 。此操作会启动 功能 添加功能向导 。.
• 在 选择功能 页面，勾选 组策略管理，点击 下一步 ，然后点击安装。

5. 未找到 GPO

该问题发生在待备份的 GPO 在环境中未找到。这可能是因为环境中存在孤立的 GPO。

• 登录 DC 并打开 GPMC，检查特定的 GPO 是否存在，然后重试。

6. 对象引用未设置为对象的实例

如果某个用户或组名称与组策略对象中引用的内置组的缩写（由 安全描述符定义语言（SDDL） 格式定义）相同，则会出现此行为。例如，如果用户或组名为 "SA"，而 "SA" 缩写对应内置 Schema Admins 组的 SDDL 安全标识符（SID）字符串，则会发生此情况。

如果用户或组名称匹配内置组的 SDDL 缩写，组策略管理控制台调用的函数会将该名称识别为 SID，从而导致备份失败。

解决此问题， 

• 使用 Active Directory 用户和计算机 管理单元更改与 SDDL 缩写对应的用户或组名称。

7. 系统无法打开指定的设备或文件

当用于配置 RecoveryManager Plus 的账户无权访问 GPO 容器时，会发生此错误。

• 确保该账户具有访问 GPO 容器的足够权限。

8. 从调用 COM 组件返回了错误 HRESULT E_FAIL

当特定 GPO 损坏或无法复制或导入到 GPMC 时发生此错误。

联系 Microsoft 支持或删除并重新创建该 GPO。

9. 库、驱动器或媒体池为空

当为某个 GPO 设置了 文件夹重定向策略 时会发生此错误。此问题发生在运行 Windows Server 2003 或更高版本的机器中 SID 发生变化时。

此类问题是因为 Folder_Redirection .ini 文件部分超过了 32,767 字符限制。但所有文件夹 SID 列表的总字符数限制为 32,767。更多信息请点击这里。

解决该问题，

• 将策略拆分成更小的策略。确保每个策略文件的总大小不超过 32,767 字符限制。

10. 指定的目录服务属性或值不存在

如果服务帐户没有足够权限读取特定的组策略容器，可能会发生此错误。

解决此问题，请执行以下步骤：

1. 使用组策略管理控制台 (GPMC) 授予服务帐户必要权限后运行备份计划。
2. 如果备份再次失败，或 GPO 在 GPMC 中未找到，从备份中查找适当的容器 ID 或区分名称。



3. 要查找容器，请使用服务帐户登录域控制器。该容器将显示在 AD 服务接口编辑器 (ADSI Edit) 的 默认命名上下文 > DC=<domain-name>,DC=com > CN=System > CN=Policies



4. 下。 在 GPMC 中使该 GPO 可用。如果不需要该 GPO，请从此处删除，它将停止在 RecoveryManager Plus 的 GPO 备份报告
11. 弹出窗口中重新出现。

系统找不到指定路径。

当 GPO 容器不在 SYSVOL 文件夹中时发生此问题。

• 解决此问题，请尝试以下操作之一。
• 如果您的域中有多个 DC，可以从其他 DC 恢复 GPO 容器。

12. 重建缺失的 GPO 策略文件夹结构。

• 数据无效。

  被配置在 RecoveryManager Plus 的域控制器上安装了 Windows Server Core OS： 该版本不支持备份包含文件夹重定向策略的 GPO。更多信息请参考微软帮助文档： https://learn.microsoft.com/en-us/troubleshoot/windows-server/group-policy/error-0x8007000d-backup-gpo-cmdlet.

• 解决此问题，请配置安装桌面体验版的 Windows Server 的域控制器。 %ALLUSERSPROFILE%\Application Data\Microsoft\Group Policy\History

  包含 GPO 中首选项的副本：

  1. 如果复制过程失败，可能会在某个子目录留下无效的 XML 文件，引发此错误。解决此问题，请按以下步骤创建 GPO 的干净副本：
  2. 登录域控制器并打开文件资源管理器。 解决此问题，请配置安装桌面体验版的 Windows Server 的域控制器。.
  3. 导航至
  4. 删除所有子目录。 打开命令提示符并执行命令.
  5. gpupdate

     验证子目录是否出现在

13. %ALLUSERSPROFILE%\Application Data\Microsoft\Group Policy\History

下。 未知错误。 联系