Войти

Показать полную графическую версию : [решено] Запрет локального входа - интерактивный вход запрещен политикой безопасно

Страниц : 1 [2]
Fighter
03-10-2005, 11:48
переставить, поменять - понедельник тяжелый день ))
SkyF
04-10-2005, 12:50
грузишься с диска ERD Commander, меняешь пароль администратора, перегружаешься, заходишь в систему с новым паролем

не поможет. политика безопасности четко определяет кто может/запрещено регистрироваться локально. Если группы Администраторы (Administrators) или учетной записи самого пользователя в спиках нет - сбрасывай пароль не сбрасывай не поможет.

PRUHA
по конфигурированию политик посмотрите ресурс support.microsoft.com - Проблемы с совместимостью клиентов, программ и служб, которые могут возникнуть при изменении параметров безопасности и назначенных прав пользователей (http://support.microsoft.com/kb/823659)

и действительно право, именно право локального входа на консоль ОС (это тоже своего рода ресурс системы) определяется 2 политиками, как было узказано ранее:

Локальный вход в систему (Allow logon locally) - Администраторы, Пользователи, Опытные пользователи, Операторы Архива, Администратор, Гость
Отклонить локальный вход (Deny logon locally) - Support_388945a0, Гость

- и последняя имеет приоритет, как указал вам Fighter

Кроме того, если возминкают проблемы при отказе регистрации на консоли системы, входящей в состав домена - настройки ее безопасности можно переопределить через групповую политику домена - как вы верно заметили в этом случае ее локальные будут перекрыты:

создаем отдельное подразделение в домене AD;
перемещаем в него учетную запись проблемного компьютера;
через свойства подразделения создаем и сразу подключаем новый Объект групповой политики (ОГП);
редактируем его, используя режим который должен перекрыть локальные настройки (см сообщение от Dennis: Конфигурация компьютера/Настройки Windows/безоп/лок пол./назн.прав/);
переопределяем настройки обоих вышеуказанных параметров (не забывайте про локализацию или ее отсутствие на конечной клиенсткой ОС);
тестируем ее применение RSOP.msc ;
применяем настройки новой политики на клиента (gpupdate.exe или перезагрузка);
настройки должны примениться, после чего можно возвратить учетную запись компьютера на преженее место в домене;
проверяем что полученные настройки безопасности сохранились на клиентской системе.


примерно так, возможно пригодится кому-нибудь.



© OSzone.net 2001-2012