Караул господа, win 8 x64 в домене 2008R2, сижу под локальным пользователем, при этом в администраторах есть администратор домена.
Ранее запуск от его имени чего либо не вызывал проблем, сегодня заметил вот что: psexec не могу запустить ни от локального, ни от доменного админа - требует повышения, доступ запрещен О_О, запуск mmc от имени доменного админа (runas) если сижу под локальным - доступ запрешен, если зайти под ним - запускает, cd в папку c:\users\local_admin под доменным админом - доступ запрещен, хотя в безопасности разрешения у группы администраторы есть, а он в ней (но через проводник можно зайти), никаких манипуляций не проводил, обновлялся последний раз 25 марта, UAC в состоянии "не уведомлять" помогите кто чем может.

никаких манипуляций не проводил
Доменные политики накрутили.

нет, кроме меня некому, в rsop и gpresult нет ничего подозрительного, вернее на пользователя доменного вообще политик нет, на машину только дефолтная, которую не трогал ни разу, ах еще политика от систем центр эссеншиал - теперь пустая, т.к. самого центра нет 100 лет.
Так, проверил на других машинах домена - так же и с другими учетными данными доменного администратора, на них действуют разные политики, на мою машину только дефолт - думаю не в политиках дело, но недавно у меня была проблема которую я описывал в разделе 2008R2: часовые пояса на машинах стояли +7 (нск), настроенные через доменный реестр (не скриптом а именно ключи в gpo), но недавно время стало съезжать на час назад, несмотря на то что пояса оставались также +7, при чем если руками поставить +6 время не изменяется и вернуть на +7 то время становится правильным, но только до след перезагрузки, поправил политику, там ключем было задано "отменить переход на летнее время" и оставил только ключ с заданием временной зоны, на машинах вроде стало все нормально, на dc я ее не накручивал, там поясами вроде все нормально (заданы руками), больше ничего не приходит в голову, но это было дней 10 назад, уже все утряслось, а данная проблема появилась сегодня, максимум вчера.
p.s. у меня 2 dc - может в этом быть дело? как то можно проверить реплику sysvol или что-то еще?

пишут что обычно причина в dns, для dns на обоих dc в серверах пересылки указан внешний dns провайдера и для основного dc сервером пересылки указан dc2 (реплика), вот что говорит dcdiag на основном dc:


C:\Windows\system32>dcdiag /v /test:dns /dnsforwarders

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
* Проверка, является ли локальный компьютер dc сервером каталогов.
Основной сервер = dc
* Подключение к службе каталога на сервере dc.
* Идентифицирован лес AD.
Collecting AD specific global data
* Сбор сведений о сайте.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=mfk-22,DC=loca
l,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name
,CN=Sites,CN=Configuration,DC=mfk-22,DC=local
Getting ISTG and options for the site
* Выполнение идентификации всех серверов.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=mfk-22,DC=loca
l,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=DC,CN=Servers,CN=Defau
lt-First-Site-Name,CN=Sites,CN=Configuration,DC=mfk-22,DC=local
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
Getting information for the server CN=NTDS Settings,CN=DC2,CN=Servers,CN=Defa
ult-First-Site-Name,CN=Sites,CN=Configuration,DC=mfk-22,DC=local
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Идентификация всех перекрестных ссылок NC.
* Найдено 2 DC (контроллеров домена). Проверка 1 из них.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DC
Запуск проверки: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
* Active Directory RPC Services Check
......................... DC - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\DC
Проверка пропущена по запросу пользователя: Advertising
Проверка пропущена по запросу пользователя: CheckSecurityError
Проверка пропущена по запросу пользователя: CutoffServers
Проверка пропущена по запросу пользователя: FrsEvent
Проверка пропущена по запросу пользователя: DFSREvent
Проверка пропущена по запросу пользователя: SysVolCheck
Проверка пропущена по запросу пользователя: KccEvent
Проверка пропущена по запросу пользователя: KnowsOfRoleHolders
Проверка пропущена по запросу пользователя: MachineAccount
Проверка пропущена по запросу пользователя: NCSecDesc
Проверка пропущена по запросу пользователя: NetLogons
Проверка пропущена по запросу пользователя: ObjectsReplicated
Проверка пропущена по запросу пользователя: OutboundSecureChannels
Проверка пропущена по запросу пользователя: Replications
Проверка пропущена по запросу пользователя: RidManager
Проверка пропущена по запросу пользователя: Services
Проверка пропущена по запросу пользователя: SystemLog
Проверка пропущена по запросу пользователя: Topology
Проверка пропущена по запросу пользователя: VerifyEnterpriseReferences
Проверка пропущена по запросу пользователя: VerifyReferences
Проверка пропущена по запросу пользователя: VerifyReplicas

Запуск проверки: DNS

Проверки DNS выполняются без зависания. Подождите несколько минут...
See DNS test in enterprise tests section for results
......................... DC - пройдена проверка DNS

Выполнение проверок разделов на: ForestDnsZones
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок разделов на: Schema
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок разделов на: Configuration
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок разделов на: mfk-22
Проверка пропущена по запросу пользователя: CheckSDRefDom
Проверка пропущена по запросу пользователя: CrossRefValidation

Выполнение проверок предприятия на: mfk-22.local
Запуск проверки: DNS
Результаты проверки контроллеров домена:

Контроллер домена: dc.mfk-22.local
Домен: mfk-22.local


TEST: Authentication (Auth)
Тест проверки подлинности: завершен успешно

TEST: Basic (Basc)
ОС
Microsoft Windows Server 2008 R2 Enterprise (Service Pack lev
el: 1.0)
поддерживается.
NETLOGON служба запущена.
kdc служба запущена.
DNSCACHE служба запущена.
DNS служба запущена.
DC является DNS-сервером
Сведения о сетевых адаптерах:
Адаптер [00000007] Сетевое подключение Intel(R) PRO/1000 MT:
MAC address is 00:50:56:A8:00:00
IP-адрес является статическим
IP address: 10.0.2.2
DNS-серверы:
10.0.2.6 (DC2) [Valid]
127.0.0.1 (DC) [Valid]
The A host record(s) for this DC was found
The SOA record for the Active Directory zone was found
The Active Directory zone on this DC/DNS server was found prim
ary
Root zone on this DC/DNS server was not found

TEST: Forwarders/Root hints (Forw)
Recursion is enabled
Forwarders Information:
10.0.2.6 (DC2) [Valid]
80.89.128.5 (<name unavailable>) [Valid]

Отчет о результатах проверки DNS-серверов, используемых приведенными
выше контроллерами домена:

DNS-сервер: 10.0.2.2 (DC)
Все проверки для данного DNS-сервера пройдены
Name resolution is functional._ldap._tcp SRV record for the fores
t root domain is registered

DNS-сервер: 10.0.2.6 (DC2)
Все проверки для данного DNS-сервера пройдены
Name resolution is functional._ldap._tcp SRV record for the fores
t root domain is registered

DNS-сервер: 80.89.128.5 (<name unavailable>)
Все проверки для данного DNS-сервера пройдены

Отчет по результатам проверки DNS:

Auth Basc Forw Del Dyn RReg Ext
_________________________________________________________________
Домен: mfk-22.local
dc PASS PASS PASS n/a n/a n/a n/a

......................... mfk-22.local - пройдена проверка DNS
Проверка пропущена по запросу пользователя: LocatorCheck
Проверка пропущена по запросу пользователя: Intersite

Вроде все впорядке, да и опытным путем не было замечено проблем с dns, правда если запустить просто из cmd, а не с повышенными правами будет так:

dcdiag /test:dns
...........
TEST: Basic (Basc)
Warning: no DNS RPC connectivity (error or non Microsoft DNS s
erver is running)

dc PASS WARN n/a n/a n/a n/a n/a
......................... mfk-22.local - пройдена проверка DNS

вот еще что интересно:
если запускать от залогиненого рядового пользователя домена оснастки с помощью ctrl+shift, например в поиск строке пишем compmgmt.msc, далее ctrl+shift+enter набираем логин/пароль - все запускается, но если сделать runas /noprofile /user:domain\user "mmc %windir%\system32\compmgmt.msc", то после ввода пароля скажет: ОШИБКА RUNAS: Не удается запустить - mmc C:\Windows\system32\compmgmt.msc
740: Запрошенная операция требует повышения.

так с помощью runas запускается только cmd, а psexec как я писал - вообще не запускается, прав не хватает о_О

repadmin /showrepl на обоих dc успешен, но только при повышенных правах, если просто из cmd то в конце 2 строки:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.

в rsop и gpresult нет ничего подозрительного
Вам так кажется :)
Выложите содержимое ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

вот с моей машины, где также под локальным пользователем с помощью runas /user:domain\admin запускается cmd, не запускаются mmc. 1.txt

nokogerra, эти параметры по умолчанию отличаются:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"PromptOnSecureDesktop"=dword:00000001
"ConsentPromptBehaviorAdmin"=dword:00000005

PromptOnSecureDesktop (http://msdn.microsoft.com/en-us/library/cc232766.aspx) я так понял, тут написано что при значении "1" все потуги uac`а будут происходить на безопасном рабочем столе,
по поводу ConsentPromptBehaviorAdmin (http://msdn.microsoft.com/en-us/library/cc232766.aspx) - вообще не написано что дает значение "5", по таблице судя "0" - не требует повторного ввода креденшиалов от админа при необходимости повышения прав, "1" - требует повторного ввода при необходимости повышения.

Вот что нашел по поводу ConsentPromptBehaviorAdmin
Background information: the default value for ConsentPromptBehaviorAdmin is 5, which means that Windows prompts for consent for non-Windows binaries. Other possible values are:

0 = Elevate without prompting
1 = Prompt for credentials on the secure desktop
2 = Prompt for consent on the secure desktop
3 = Prompt for credentials
4 = Prompt for consent
так что это вроде дефолтное значение, при нем должен появляться запрос на согласие при использовании non-Windows binaries и вроде все.
PromptOnSecureDesktop попробовал значение 0 - ничего не изменилось.

nokogerra, вы не поняли.
В предыдущем сообщении приведены значения по умолчанию.
У вас они отличаются.

они отличаются на моей машине, взял для пример другую - там такие же значения (дефолтные) и такая же беда с runas например:

c:\Users\localadmin\Desktop>runas /noprofile /user:domain\admin "mmc %windir%\s
ystem32\compmgmt.msc"
Введите пароль для domain\admin:
Попытка запуска mmc C:\Windows\system32\compmgmt.msc от имени пользователя "domain\admin" ...
ОШИБКА RUNAS: Не удается запустить - mmc C:\Windows\system32\compmgmt.msc
740: Запрошенная операция требует повышения.

Error 740 when using runas (http://swuve.com/?p=82)
RUNAS functionality (http://social.technet.microsoft.com/Forums/windows/en-US/afb2a94a-fa9a-4d15-b43d-e492b44cf1e6/runas-functionality)
How To Prevent Error 740 Messages (http://raykung12.wordpress.com/2011/07/22/hpw-to-prevent-error-740-messages/)
[решено] Runas выполняется с ошибкой 740 (http://forum.oszone.net/thread-249500.html)

1. http://swuve.com/?p=82 здесь было указано использовать runas с ключем /netonly, результат положительный, но не понятно как он помог, по статье на технете (http://technet.microsoft.com/en-us/library/bb490994.aspx):
/netonly : Indicates that the user information specified is for remote access only.
что значит "обозначает что введенная пользовательская информация предназначена только для использования с удаленным доступом" - я запускал и локальные оснастки (services.msc) и dsa.msc, что он вообще делает?
К сожалению при добавлении в bat не работает, только руками из командной строки, странно (та же ошибка 740), также не помогает это и с psexec.

2. на технете (http://social.technet.microsoft.com/Forums/windows/en-US/afb2a94a-fa9a-4d15-b43d-e492b44cf1e6/runas-functionality) помимо /netonly вот что советует:
Go to GPEDIT.msc
Select Computer Configuration - Windows Settings - Local Policies - Security Options

There are several here for "User Account Control" (Toward the bottom)

Choose the one with Behavior of the eleveation prompt for Administrators.....

Set it to Prompt for Credentials

но на мою машину действует только дефолтная политика, локальная отфильтровывается, и конфигурация uac никак в дефолтной политике не задавалась.

3. http://raykung12.wordpress.com/2011/07/22/hpw-to-prevent-error-740-messages/
RunAs /user:YourDomain\UserAccount “CMD /C start /B program.exe” работает и с bat, но с psexec также не помогает.

Спасибо, 1 и 3 варианты вполне могут использоваться как воркэраунд, но так и не понятно из-за чего это произошло, и с psexec осталась неясность.

хм, я создавал тему http://forum.oszone.net/thread-264187.html о том, что перестала применяться политика uac по запросу на повышение прав при установке приложений (т.е. запускай сам вручную от имени админа), т.е. у другой политики с заданными параметрами контроля учетных записей более высокий приоритет, но та которая сейчас не работает, работала же несколько дней. а товарищ мне подсказал что при задании параметра в gpo, а потом выставлении "не задано" значения реестров не возвращаются к дефолтным значениям, появилось подозрение что была правлена дефолтная политика, а потом выставлено значение "не задано", можно как то сделать ou, на который не будет действовать дефолтная доменная политика, "блокировать наследование" подойдет? хочу поместить туда машину и потестировать.

нашел время, вернулся к своим баранам:
Вынес машину в отдельный ou, закрыл на ou наследование default domain policy, естественно все осталось как есть (runas ошибка 740, т.к. значения реестра к дефолтным не вернулись), начал тестировать с Контролем учетных записей, результаты всех тестов приводить не буду, вот что касается конкретно запуска оснасток через runas:
1. при установке "все администраторы работают в режиме одобрения администратором" в "отключено" runas работает прекрасно (тут ничего удивительного).
2. включил "все администраторы работают в режиме одобрения администратором", далее экспериментировал с
"поведение запроса на повышение прав для администраторов в режиме одобрения администратором", и runas не работает ни в одном режиме, ни просто из cmd, ни из cmd "от имени администратора" (все та же ошибка 740), к тому же не понятно чем отличается например "запрос согласия" от "запрос согласия на безопасном рабочем столе" - чисто визуально никак, а что такое "безопасный рабочий стол" ясного определения не нашел.

НО решилась проблема с psexec - тут просто волшебство блин, даже когда был отключен "все администраторы работают в режиме одобрения администратором" psexec также выдавал "это не является приложением win" и ниже в терминале после отказа писалось "доступ запрещен", я в замешательстве качаю заново этот же пакет pstools, запускаю из него и о ЧУДО - работает, хотя также работал и этот проблемный нынче psexec.

Другие параметры блока "Контроль учетных записей" как я понял после изучения описаний врядли может относится к этой проблеме, но буду экспериментировать дальше, не хотелось вы отключать uac вообще, к тому же не понятно что все таки блокирует политику uac по отмене запроса на повышение прав при установке приложений (про которую я писал ранее), выше нее только 3 gpo (включая default domain policy) и ни в одном не сконфигурирован UAC.