https://pastein.ru/t/ToB
Загрузка данных
Это не вирус и не случайность — это **GPO в рассогласованном состоянии между AD и SYSVOL**, и то, что он «возвращается после удаления», — почти всегда признак **проблемы с репликацией между вашими контроллерами домена**. Разберём по частям.
## Что на экране
- Домен реальный — **`Prof.local`** (в санитизированном пакете он был `DOMAIN02.LOCAL`).
- Ошибка **другая, не та `0x80070005`, что раньше.** Тут:
> «Попытка чтения файла `\\Prof.local\SysVol\Prof.local\Policies\{AB3D7F30-41A4-43CC-9880-DEC165A168E1}\gpt.ini` с контроллера домена была неудачной»
Это классическая **ошибка Event 1058** — компьютер **не смог прочитать `gpt.ini`** этого GPO из SYSVOL. Вы при этом открыли файл в Блокноте (от админа, возможно с другого DC) — поэтому он «есть», но **в контексте компьютера через DFS чтение падает**.
- `displayName=Новый объект групповой политики` в `gpt.ini` — это **устаревшее имя по умолчанию**, с которым GPO создавали. Оно не авторитетное и не обновляется при переименовании. По моему аудиту GUID **`{AB3D7F30}` = ваш GPO «[ # 24.03.2025 ] отключить автономные файлы»** (OU_137, реально залинкован). То есть это **не мусор, а живая политика**, которую компьютер сейчас не может прочитать — поэтому её сбой важен.
## Почему «фантом» возвращается после удаления (главный сигнал)
Если вы удаляете, а оно появляется снова — это **whack-a-mole из-за сломанной репликации**. У вас два DC. Сценарий:
- Вы удаляете GPO/папку на DC1 → на DC2 он ещё есть → **DFSR (SYSVOL) или AD реплицирует его обратно**.
- Либо SYSVOL «разъехался» между DC (DFSR в состоянии journal wrap / не реплицирует), и одна папка есть на одном DC и нет на другом → `\\Prof.local\SysVol` отдаёт то один DC, то другой → то ошибка, то нет.
Рассинхрон AD↔SYSVOL + «возвращается» = **здоровье репликации контроллеров**, а не свойство конкретного GPO. Это, скорее всего, и есть более глубокая причина части ваших проблем с групповыми политиками (важная поправка к моему отчёту: до этого скрина я подозревал блокировку Secret Net — **теперь приоритетная версия — здоровье SYSVOL/репликации DC**).
## Что проверить (по порядку)
**1. Кто это на самом деле**
```powershell
Get-GPO -Guid AB3D7F30-41A4-43CC-9880-DEC165A168E1
```
Покажет настоящее имя и статус в AD (ожидаю «…отключить автономные файлы»).
**2. Сравнить SYSVOL на ОБОИХ контроллерах** (узнать имена DC: `nltest /dclist:Prof.local`)
```powershell
Get-Item "\\DC1\SYSVOL\Prof.local\Policies\{AB3D7F30-41A4-43CC-9880-DEC165A168E1}\gpt.ini" | Get-Content
Get-Item "\\DC2\SYSVOL\Prof.local\Policies\{AB3D7F30-41A4-43CC-9880-DEC165A168E1}\gpt.ini" | Get-Content
```
Папка должна быть на обоих, и `Version=` совпадать. Нет папки на одном / разные версии = **SYSVOL разъехался**.
**3. Здоровье SYSVOL-репликации (DFSR)** — на каждом DC:
```
dfsrmig /getmigrationstate
dcdiag /test:sysvolcheck /test:netlogons
```
И в журнале **DFS Replication** на DC ищите события **2213** (journal wrap), **4012, 5002, 5008, 5014** — это и есть «реплика встала».
**4. Репликация AD:**
```
repadmin /replsummary
repadmin /showrepl
```
Ошибки тут объясняют «возвращается после удаления».
**5. Поиск осиротевших GPO (AD vs SYSVOL):**
```powershell
$ad = (Get-GPO -All).Id.Guid
$sv = (Get-ChildItem '\\Prof.local\SYSVOL\Prof.local\Policies' -Directory).Name -replace '[{}]'
"SYSVOL без AD:"; $sv | ? { $_ -notin $ad -and $_ -ne 'PolicyDefinitions' }
"AD без SYSVOL:"; $ad | ? { $_ -notin $sv }
```
(В моём аудите SYSVOL-скан уже находил GUID'ы, которых нет в списке GPO, — `{9568FC0C…}`, `{29FF5C43…}`, `{E6C46055…}`, `{D46427CC…}` — это кандидаты в осиротевшие.)
**6. ACL папки GPO** (если права слетели — компьютер не читает gpt.ini):
```
icacls "\\Prof.local\SYSVOL\Prof.local\Policies\{AB3D7F30-41A4-43CC-9880-DEC165A168E1}"
```
Должны быть **Authenticated Users (чтение)**, SYSTEM, ENTERPRISE DOMAIN CONTROLLERS. В GPMC у этого GPO на вкладке **Delegation** может висеть предупреждение «права AD и SYSVOL рассинхронизированы» — там есть кнопка починить.
## Что НЕ делать
- **Перестаньте удалять его вслепую.** Пока репликация сломана, удаление — это whack-a-mole: на одном DC снёс, с другого вернулось, а SYSVOL разъезжается ещё сильнее. **Сначала чините репликацию (DFSR/AD), потом — осиротевшие объекты.**
- Не путайте это с принтерной задачей — это **отдельная и более глубокая** проблема (здоровье контроллеров), и она может объяснять, почему GP вообще криво применяется.
Скиньте вывод пунктов **1, 3 (`dcdiag /test:sysvolcheck`) и 4 (`repadmin /replsummary`)** — по ним сразу скажу, разъехался ли у вас SYSVOL/репликация и что чинить в первую очередь. Это, похоже, корень, который тянет за собой и остальные ошибки групповой политики.