活动目录：创建和编辑新的策略文件等问题 

　　凡是没有安装SP4的Windows操作系统，都经常会出现SYSVOL权限和GPO的问题。详情请参见以下链接：（这里）

　　在这两篇文章中都介绍了一些比较实用的解决方案，你可以参照实施。为了杜绝此类问题的出现，最好的办法就是在构建一个域时，先确认客户端所使用的Windows 2000系统均为SP4版本。当然，如果是从Windows NT 4.0域升级为Windows 2000，恐怕会有点麻烦。

　　一般情况下，用户如果有足够的权限的话，可以调整对话框中的选项，然后点击OK按钮，就可以更改分配给SYSVOL文件夹的共享权限。在某些特殊的情况下，用户可能不得不手动修改。企业域控制器组也属于这一类情况――之所以出现“将不适当的组分配给‘跳过遍历检查用户权利指派’”的情况，也是因为目前域控制器所运行的Windows 2000系统并没有升级为SP4版本。

　　至于你所提到的最后一个问题，必须进入根域的PDC模拟器才能创建新策略，极有可能是因为其它域控制器无法正确定位PDC模拟器的位置而引起的，这属于DNS安全方面的问题。在DNS文件中单单只找到服务器的域名，是不够的，还必须有PDC模拟器的服务资源（SRV）记录和维修记录。请参照以下步骤进行检测：

　　1）确认域控制器指向同一台DNS服务器的IP地址（假设所有的域控制器都位于同一物理位置）；

　　2）调出“命令提示符”窗口，键入IPCONFIG /REGISTERDNS；或者重新启动NETLOGON服务，检查PDC模拟器是否能够正确地注册DNS目录。然后，查看事件日志记录，发现问题；

　　3）检查DNS记录，在“：/DNS正向搜索区/[你的域名]/ _msdcs/pdc/_tcp”目录下搜索PDC模拟器；

　　4）检查其它域控制器对PDC模拟器的角色识别。我选用的工具为NTDSUTIL.exe。调出“命令提示符”窗口，键入Ntdsutil（在执行这步操作之前，必须确认电脑上已经安装了Win2000系统盘中捆绑的Windows支持工具包）。回车，屏幕上将会显示“NTDSUTIL:”，参照下文键入相应的字符串（黑体字）：

　　Ntsdutil: roles fsmo maintenance: connections server connections: connect to server [servername of non-PDC emulator system]  Connected to [servername] using credentials of locally logged on user. server connections: quit fsmo maintenance: Select operation target select operation target: List roles for connected server

　　输出的结果应该为：

Server "myserver" knows about 5 roles Schema - CN=NTDS Settings,CN=MYSERVER2,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=mydomain,DC=com Domain - CN=NTDS Settings,CN=MYSERVER2,CN=Servers,CN=Default-First-Site-Name,CN= Sites,CN=Configuration,DC=mydomain,DC=com PDC - CN=NTDS Settings,CN=MYSERVER,CN=Servers,CN=Default-First-Site-Name,CN=Site s,CN=Configuration,DC=mydomain,DC=com RID - CN=NTDS Settings,CN=MYSERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sit es,CN=Configuration,DC=mydomain,DC=com Infrastructure - CN=NTDS Settings,CN=MYSERVER,CN=Servers,CN=Default-First-Site-N ame,CN=Sites,CN=Configuration,DC=mydomain,DC=com