域环境排错指南:安全策略已传播但拒绝访问(0x5)的完整解决方案

最近朋友那边向笔者提到,说他公司内的电脑,在应用组策略的时候,在“事件查看器”里都会留下这一个记录:“安全策略已传播,但有警告信息。 0x5 : 拒绝访问。”,看起来像是组策略里面的某条策略的问题,但他又不知道应该如何找到准确的策略,因此向笔者请教。

域环境排错指南:安全策略已传播但拒绝访问(0x5)的完整解决方案-软件

由于朋友那边的环境是域环境,于是就到他公司,随机抽一台电脑看看,果真发现上述的事件记录。不过出现这种事件,要排查起来,也不算是什么难事,可以参考以下的方法。

第一步,在客户端的电脑,打开注册表编辑器,进入下面的路径:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions{827D319E-6EAC-11D2-A4EA-00C04F79F83A}

第二步,找到一个名为“ExtensionDebugLevel”的 DWORD (32位) 值,如果没有,就新建一个;

第三步,修改“ExtensionDebugLevel”值为“2”,并且“基数”选择“十六进制”;

域环境排错指南:安全策略已传播但拒绝访问(0x5)的完整解决方案-软件1

第四步,修改完毕后,进入命令提示符或者 PowerShell,执行以下命令刷新组策略:

gpupdate /force

第五步,刷新成功之后,系统会在 C:\Windows\Security\Logs 目录下生成一个名为“winlogon.log”的日志文件,可以使用“记事本”程序打开它;

域环境排错指南:安全策略已传播但拒绝访问(0x5)的完整解决方案-软件2

第六步,使用“查找”功能查找关键字“拒绝访问”(以朋友公司为例),随后就定位到相关的位置了。

域环境排错指南:安全策略已传播但拒绝访问(0x5)的完整解决方案-软件3

可以看到,朋友那边出现“0x5 : 拒绝访问”的事件日志,主要原因是因为他公司所应用的域组策略上,禁用了“WinDefend”(即“Microsoft Defender 防病毒服务”),但根据微软的设定,一般情况下,这个服务的启动类型是不能被调整的,哪怕管理员、甚至是通过域下发策略也不行,因此只要针对这条服务做了启动类型的修改设定,在下发组策略的时候,就会在 Windows 的事件中留下“拒绝访问”记录。

域环境排错指南:安全策略已传播但拒绝访问(0x5)的完整解决方案-软件4

后面帮朋友找出了对应的组策略设置,把“Microsoft Defender 防病毒服务” 属性中,取消“定义此策略设置”前面的勾取消掉,然后重新执行一次组策略刷新(“gpupdate /force”命令),随后再查看事件查看器中相关的日志,发现已经不再提示“拒绝访问”了。

域环境排错指南:安全策略已传播但拒绝访问(0x5)的完整解决方案-软件5
域环境排错指南:安全策略已传播但拒绝访问(0x5)的完整解决方案-软件6

确认问题解决后,建议把刚刚修改过的注册表键值数据,重新改回为“0”。

其实以现在的角度上来看,是没必要把 Microsoft Defender 防病毒服务关闭的,一来是基于安全角度考虑,二来是因为如果安装了第三方防病毒软件,Windows 系统都会主动地把这个服务调整为“手动”状态,一般情况下不会自动启动,不需要我们自己禁用。

本文来自「IT人的工作生活 —— 分享IT技术实战经验,欢迎访问首页获取更多内容。如需转载本站的文章,请先通过电子邮件的方式联系站长,站长确认后方可转载,并需要注明出处。

为您推荐