Не могу зайти на комп ни под одним именем, даже в safe mode ... и при загрузке последней удачной конфигурации тоже зайти не могу
Говорит: локальная политика не позволяет заходить интерактивно.
Единственно что могу - это подключиться к реестру с другого компа.

Поэтому кто знает, подскажите плиз, где в реестре хранятся данные локальной политики?
А точнее в консоли локальной политики: "Параметры безопасности\Локальные политики\Назначение прав пользователя\Локальный вход в систему"
вот этот самый параметр "Локальный вход в систему" где в реестре запрятан?

ЗЫ: Делал поиск по слову logon - безрезультатно ...

запускаешь mmc, добавляешь оснастку, выбираешь групповая политика, выбираешь нужный компьютер - и делаешь всё что тебе надо.

2 esalmin
попробовал, но делать "все что мне надо" не получается, по крайней мере через mmc

если я делаю то что ты написал на локальном компьютере - все нормально, но когда я на этот же компьютер захожу с другого компа через mmc, то внутри раздела "Параметры безопасности" ничего нет!!! А на локальном компьютере в этом разделе есть все что мне надо: "Политики учетных записей", "Локальные политики".

Может прав каких нет?

вот это:
Err Msg: The Local Policy of This System Does Not Permit You to Logon Interactively
http://support.microsoft.com/default.aspx?scid=kb;en-us;152478

и в вашем случае, особенно это

How to Set Logon User Rights with the Ntrights.exe Utility
- windows 2000
http://support.microsoft.com/default.aspx?scid=kb;EN-US;279664

- windows XP
http://support.microsoft.com/?kbid=315276



Исправлено: SkyF, 15:16 14-11-2003

2 SkyF
спасибо большое за помощь, все так и сделал
НО!!!
когда я запускаю эту самую утилиту ntrights, она выдает следующее: ***Error*** OpenPolicy -1073741790

ПОМОГИТЕ!!! * что делать??

ЗЫ: запускаю следующим образом: ntrights +r SeInteractiveLogonRight CENTER\Sanya -m \\mars

я так понял, что утилита выставит мне права в домене, чтобы я на комп mars мог заходить
но мне то нужно вообще хоть как то на комп попасть, хоть с доменом, хоть без
если при загрузке выбираю не домен, а локальный компьютер, то также не разрешает заходить

если кто сталкивался с такой проблемой, ПОМОГИТЕ плиз!!!
сегодня еще 2 компа с такой же проблемой!!!

Добавлено:

ВСЕ ПОЛУЧИЛОСЬ!!! * Спасибо большое SkyF'у!!!
Просто не под тем юзером заходил :)

НО!!!
Получается, если я запускаю эту утилиту с компьютера mars и хочу применить эти права, например, к компьютеру space, то на mars я должен зайти под тем пользователем, который на space является админом. А можно ли быть залогиненным на mars под одним пользователем, а утилиту запускать от имени другого?
Так было бы намного удобнее. Посоветуйте, как можно сделать.

После перезагрузки опять все по старому!!!
Не получается зайти на компьютер, необходимо после каждой перезагрузки заново назначать права!! Причем это только на двух компах. На остальных все нормально. Может в домене что-то не так прописано??
Подскажите, что и где надо поправить, чтобы все загружалось нормально?

можно попробовать перед запуском ntrights
подключиться к удаленному компьютеру примерно так:
net use \\remoteserver\ipc$ /user:<remotenameuser> <passwordremoteuser>

установится соудинение - система должна запомнить что с локального на удаленный сервер подключена именно та запись, которую использовали.
после чего уже попробовать саму ntrights
..
я не пробовал это сам, кстати.
может и не сработать.
тогда просто создаем временно локального пользователя с именем - логином совпадающим с удаленным пользователем.
причем его даже не нужно давать какие-либо права на локальном сервере - просто пользователь.
например можно также командой создать и удалить:
net user <username> <password> /add
...
net user <username> <password> /delete

Добавлено:

После перезагрузки опять все по старому
а что, после того как зарегистрировались - проверьте локальну. политику безопасности
А точнее в консоли локальной политики: "Параметры безопасности\Локальные политики\Назначение прав пользователя\Локальный вход в систему"
причем, посмотрите эффективные разрешения какие выставлены, если они пустые - это означает что на уровне домена действительно режутся права (можно попробовать выключить станции из домена и посмотреть что с ними будет твориться), а если эффективные разрешения совпадают, то я уже и не знаю.
настройте аудит изменения групповых политик во все тех же локальных политиках и изучайте журнал безопасности.

1)СНЕСИ все ветки security  в реестре
2) Проверь secedit.sdb - наверное полетел, как восстановить : Knowlege Base

ВсЁ!!! *Со всем разобрался!!! :)
Оказывается, проблема была в том, что на компьютерах стояли разные версии виндоса - русско-язычные и англо-язычные. Соответственно группа администраторов называлась либо "Администраторы", либо "Administrators". А в домене права давались только группе "Администраторы". Поэтому на все компы, где пользователи входили в англо-язычные группы, нельзя было зайти.
Стоило только переименовать группу "Administrators" в "Администраторы", как всё стало нормально!!!

Если бы SkyF не посоветовал посмотреть на еффективные разрешения, я бы не догодался.
Всем спасибо за помощь и за советы.

После установки Active Directory был создан домен с одним контроллером домена Win2000Server. На всех рабочих станциях установлена XP Pro rus. Рабочие станции были включены в домен. С правами администратора домена вход с р/с в домен возможен. Но при входе в домен для пользователей не администраторов выдается сообщение: Интерактивный вход в систему на данном компьютере запрещен локальной политикой. Смотрю на р/с Локальные политики. Назначение прав пользователей. Локальный вход в систему. Параметр безопасности имеет значение Администратор и не доступен для изменения (даже если зайти локально на р/с с правами администратора). Если же р/с вывести из домена, то этот параметр  соответствует умолчаниям, т.е. локальный вход разрешен для:
IUSR_WXP1
Администраторы
Гость
Операторы архива
Опытные пользователи
Пользователи
Такая ситуация со всеми рабочими станциями. Что происходит с разрешениями локального входа при включении компьютера в домен?

Что происходит с разрешениями локального входа при включении компьютера в домен?

при подключении компьютеров в домен на них начинают применяться политики безопасности, существующие на уровне домена.

параметры безопасности по названиям точно такие же, однако при конфликтных ситуациях (те локальный указывает одно значение, а доменный другое) - приоритет будет будет выше у доменного.

По умолчанию в домене существуют 2 политики - групповая политика для домена и групповая политика для контроллеров домена.

Таким образом, на обычные компьютеры доействует только групповая политика для домена.

Если компьютеры являются доменными контроллерами (они в этом случае располагаются в Организационном Подразделении Domain Controllers, то на них дополнительно применяется групповая политика для контроллеров домена.

На вашем доменном контроллере происходит именно так, потому что в политике для доменных контроллеров стоит ограничение на запрет локальной регистрации обычных пользователей. И настраивается это тоже там же.

При использовании утилиты ntrights:
ntrights +r SeInteractiveLogonRight -u APPROACHD\Evgeniy -m \\Scanner2000 *

возникает ошибка:
***Error*** OpenPolicy -1073610729

имя пользователя/домена правильное (в локальных группе Администраторы имеется), данный комьпютер в
домен включен. Или может все-таки еще, что-нибудь надо посмотреть?

И у меня ошибка :( Пытаюсь назначить право доступа из сети к компьютеру в домене (comp2) пользователю (remotenameuser) с компьютера (comp1), который не входит в домен:

C:\>net use \\<comp2>\ipc$ /user:<comp1>\<remotenameuser> <passwordremoteuser>

Команда выполнена успешно.


C:\>ntrights +r SeNetworkLogonRight -u <comp1>\<remotenameuser> -m \\<comp2>

Granting SeNetworkLogonRight to <comp1>\<remotenameuser> on \\<comp2>... failed (GetAccountSid(<comp1>\<remotenameuser>)=1332

В чем может быть проблема, подскажите, пожалуйста?

ntrights +r SeNetworkLogonRight -u <comp1>\<remotenameuser> -m \\<comp2>

нельзя давать права на локальных пользователей с удаленных систем.
права можно давать только локальным учетным записям, или из домена в который входит ОС.

те в вашем случае на comp2 должен быть локальный пользователь remotenameuser (с таким же паролем, что и у такого же локального пользователя на comp1).
и тогда команда должна будет выглядеть примерно так:
ntrights +r SeNetworkLogonRight -u <comp2>\<remotenameuser> -m \\<comp2> *

PS Guest c 194.84.36.* если не получатеся, то дайте право локального входа пользователю Scanner2000\administrator ( или для локализованной ОС: Scanner2000\Администраторы). а как им зайдете, так все через локальную политику безопасности и назначите (и пользователю APPROACHD\Evgeniy и кому угодно:
ntrights +r SeInteractiveLogonRight -u Scanner2000\administrator -m \\Scanner2000 *

Спасибо, SkyF, все растолковали.
И теперь я размышляю, как бы мне добавить свой компьютер в домен НО чтобы доменные политики безопасности на него не действовали. Не подскажете, возможно ли такое?

Исправлено: ae, 15:00 30-09-2004

ae
Не подскажете, возможно ли такое?
если очень осторожно... :biggrin:
не применять политику на этот компьютер,
напр. компьютеры пользователей поместить в группу "Компьютеры обычные" а этот в "Компьютеры административные"
Соответственно применение "пользовательской" политики распространить на "Компьютеры обычные" ну а на "Компьютеры административные" - все что захочется :)

Админ уехал, клоуны остались... AD 2003, станция W2000.
Проблема в следующем , предыдущий админ собственной программой корректировал AD в плане управления полномочиями пользователей.
На станции где он работал , можно войти только под его учетной записью.
Как это отменить , пересмотрел локальные (вижу что они перекрываются доменными) , доменные политики , настройки учетной записи. Нет таких ограничений.
При логине под другой учетной записью , даже администратора домена
выдает - Запрещено локальной политикой.
Такое ощущение , что запрещено реестром или Tweek-ом каким-то.
Где искать посоветуйте.

Запрещено локальной политикой.
думаю ответ здесь. локально gpedit.msc, комп./винд./безоп/лок пол./назн.прав/локальный вход в систему. Точно проверили?
доменной можно перекрыть, добавить в аналогичный параметр группу Domain Admins или себя. И проверьте, в каком OI лижит ваша закрученная станция. Тогда и там нужно глянуть.
И еще вопрос, а есть смысл биться? Не проще переставить?

вижу что они перекрываются доменными
ну раз так:
выполняем результирующую политику, далее фильтруем
Чтобы просмотреть список всех объектов групповой политики, связанных с запросом RSoP

Откройте запрос RSoP
В дереве консоли разверните узел учетная_запись_пользователя на учетная_запись_компьютера — результирующая политика.
В дереве консоли правой кнопкой мыши щелкните узел Конфигурация компьютера или Конфигурация пользователя, а затем выберите команду Свойства
На вкладке Общие установите флажок Отображать все GPO и состояние фильтрации.
В области сведений список объектов групповой политики отображается в столбце Объект групповой политики, а состояние фильтрации — в столбце Фильтрация и принимает значение либо Применено, либо Не применяется (пусто).

смотрим неперекрываемые значения:
Разрешение локального входа в систему
&
Запрещение локального входа в систему
не забывая, что
Эта настройка безопасности определяет, каким пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику Локальный вход в систему, если учетная запись пользователя контролируется обеими политиками

грузишься с диска ERD Commander, меняешь пароль администратора, перегружаешься, заходишь в систему с новым паролем