Привет всем!
Пытаюсь открыть "Domain security policy" или "Domain controller security policy" и получаю одну и ту же ошибку на обоих контролерах.
Вот эту:

Оснастка открывается так:

Свойства оснастки:

C:\WINDOWS\system32\dcpol.msc /gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=Atropatena,DC=Com"

Учетная запись с полными правами алминистратора.

ЗЫ. Вчера все работало зашибись. Единственная проблема обнаруженная мною с утра, это зависший второй контролер домена с сервером 1С. После перезагрузки вот такая байда.
Что делать? В логах ничего конкретного нет.

БИМ-БОМ! Часики стучат...

rrrrrrrrrrА если Пуск-Выполнить-mmc.exe-File-Add/Remove Snap-In-Add... - получается?первым моим действием было это, но ничего не вышло.

Assasin rrrrrrrrrrА если Пуск-Выполнить-mmc.exe-File-Add/Remove Snap-In-Add... - получается?первым моим действием было это, но ничего не вышло.точнее, получилось с локальным компом, то есть как при запуске gpedit.msc, но стоит указать путь к контроллеру домена сразу ругается на неизвестный путь.
Подозреваю LDAP, но что за проблема, не пойму.

Обнаружил проблему с глобальным каталогом. Точнее с полным отсутствием такового. Проверял принадлежность учетных записей в группах Schema Admins, Enterprise Admins и Group Policy Owners. Открывал вкладки, при этом выпадала ошибка о невозможности отображать иконки учетных записей в связи с отсутствием связи с глобальным каталогом. Назначил один из контроллеров глобальным, дождался конца репликаций, учетки стали доступными, а вот доступа к политикам безопасности все еще нет.

Вот что пишут по этому поводу мелкомягкие:

The Domain Administrators Group Has Been Denied Access to the GPO

Думаю, что эту траблу можно разместить в ФАК.

Впрочем, фигня вышла.
dcdiag тоже матюгнулся на проблему с GPO. Когда начал решать проблему по шагам, как рекомендует Microsoft, наткнулся на:
1. M$ утверждают, что эта проблема может быть связана с эмулятором PDC, по каким-то причинам вышедшим из строя или с запретом административной группе иметь доступ к GPO. С моим мастером проблем нет, но на всякий роль мастера перевел на на второй контролер.
2. adsiedit.msc должна была помочь определить GUID не имеющий доступа к GPO. Этот GUID от прочих отличается тем, что вместо значка папки, он отображается со значком блокнота. Я не смог его определить по этому признаку, все GUID отображаются со значками папок. Определил проблемную через свойства ярлыка GPO.
3. dsacls должен был снять запрет с группы админов, он же последующей командой должен был вернуть разрешение на группу. Command completed succesfully.
4. После этого нужно было изменить разрешения на папке %systemroot%\sysvol\sysvol\domain.name\policies. Ха, очень остроумно, но этой папки у меня нет!

В общем, проблема еще держится.

Голь на выдумки хитра.
Поднял на виртуалке домен, благо иерархия гуидов стандартная. Скатал содержимое сисвол на основной контроллер. Оттуда они благополучно среплицировались на другие контроллеры.
Правда, я потерял настройки политики, ну да фигня, настраивать их недолго.