Добрый день.

Помогите разобраться в ситуации. Есть две машины с Windows Server 2008 r2, только что установленные с образов MSDN, чистые. На одной добавляется роль Доменные Службы Active Directory, настраивается мастером установки доменных служб dcpromo.exe и создается новый пользователь. Пользователь состоит в тех же группах, что и Администратор, т.е. Администраторы, Администраторы домена, Администраторы предприятия, Администраторы схемы, Владельцы-создатели групповой политики, Пользователи домена.

Другая машина вводится в этот домен. После перезагрузки заходим новым (созданным выше) пользователем в систему, пытаемся запустить какую-нибудь программу с правами администратора. Например, открываем пуск, правой кнопкой по Internet Explorer, Запуск от имени администратора. Подтверждаем запуск нажатием кнопки "Да", получаем "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту". И точно так при запуске любой оснастки, например, управление компьютером и т.п. Если зайти на этом ПК под пользователем Администратор в том же домене, то все работает. На первой машине все работает под любым из двух пользователей.

Подскажите, что я делаю не так? При реализации подобной схемы на Windows Server 2003 никаких проблем не было.

Добрый день.
ipconfig /all с двух серверов покажите.
посмотрите настройку контроллера домена 2008 R2 (http://www.exonix.ru/?9pdi3vyrjkgv0ootds2uiv4.htm). Сравните со своей.

exo, прошу прощения, я ошибся темами.
Сожалею за спам и дезинформацию.

Настроил все заново по приведенной ссылке, единственное - не стал отключать запись Администратора. Не работает. От моей первоначальной настройки отличалось тем, что я не создавал обратную зону и не определял сети, которые обслуживает домен.

ipconfig /all на сервере:


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : WIN-SERVER
Основной DNS-суффикс . . . . . . : domain08r2.localnet
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нетинтересно
Порядок просмотра суффиксов DNS . : domain08r2.localnet

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер рабочего стола Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 08-00-27-4D-2C-B3
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::406d:2423:d99c:c10b%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 0.0.0.0
IAID DHCPv6 . . . . . . . . . . . : 235405351
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-19-A5-24-16-08-00-27-4D-2C-B3
DNS-серверы. . . . . . . . . . . : ::1
192.168.0.1
127.0.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{37A05AD0-0642-42A8-97E1-2D328F88CDE1}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети* 2:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да


ipconfig /all на клиенте


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : WIN-CLIENT
Основной DNS-суффикс . . . . . . : domain08r2.localnet
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : domain08r2.localnet

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер рабочего стола Intel(R) PRO/1000 MT
Физический адрес. . . . . . . . . : 08-00-27-8E-33-D7
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.0.2(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.0.1
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{37A05AD0-0642-42A8-97E1-2D328F88CDE1}:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Подключение по локальной сети* 2:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да


Еще примечательно, что при входе в систему созданным пользователем запускается Диспетчер сервера. Если его окно закрыть и запустить его самостоятельно - "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту".

Основной шлюз. . . . . . . . . : 0.0.0.0 »
?
WINS-прокси включен . . . . . . . : Нетинтересно »
?
на контроллере домена выполните фикс (http://support.microsoft.com/kb/929852/en): 50410

пользователь как создавался? копированием имеющегося или созданием с нуля и добавлением групп?

Основной шлюз не указан, так как в тестовой сети всего две машины. Попробовал указать контроллер в качестве шлюза - сбросил на 0.0.0.0. Фикс применил, он не помог. Пользователь создавался копированием пользователя Администратор. Если создаю нового с нуля и помещаю в те же группы, результат тот же.


Спасибо за желание помочь, уже и не знаю что делать, вроде ничего сложного быть не должно, а не работает.

Другая машина вводится в этот домен. »
На клиентской машине случаем Comodo не установлен?

На клиентской машине случаем Comodo не установлен? »
Вообще ничего не установлено, машины чистые, только после установки системы.

Фикс применил, он не помог. »
вы хотя бы прочитайте, для чего фикс нужен...
Пользователь создавался »
если создать простого пользователя и добавить его в группу лок админа на втором сервере?

вы хотя бы прочитайте, для чего фикс нужен... »
Про фикс читал, не знаю, чем он должен был помочь, но чем черт не шутит...
вы хотя бы прочитайте, для чего фикс нужен... »
Про фикс читал, не знаю, чем он должен был помочь, но чем черт не шутит...

Однако проблема решена, и оказалась она в неожиданном для меня месте. Для того, чтобы не эксперементировать на рабочей сети, я установил одну систему в виртуалке и склонировал вторую с первой. После на первой был настроен контроллер, вторую же я вводил в домен.

Оказывается, что "чуть ли не единственная вещь, которую категорически нельзя делать с клонированными машинами без дополнительных телодвижений - это делать одну из них контроллером домена. У вас в итоге SID машины совпадает c SID домена, и система не может правильно идентифицировать учетные записи".

Переставил "с нуля" вторую систему, и все заработало. В рабочей сети была та же проблема. Но там, в отличие от клонирования виртуальных машин, виной было то, что все системы ставились из одного образа Acronis.

Кстати, переставлять клонированную систему не обязательно, достаточно запустить на ней sysprep (%WINDIR%\System32\sysprep) с опцией Generalize. "И вообще возьмите за правило не делать клоны серверов без sysprep".

Всем спасибо за помощь!
Однако проблема решена, и оказалась она в неожиданном для меня месте. Для того, чтобы не эксперементировать на рабочей сети, я установил одну систему в виртуалке и склонировал вторую с первой. После на первой был настроен контроллер, вторую же я вводил в домен.

Оказывается, что "чуть ли не единственная вещь, которую категорически нельзя делать с клонированными машинами без дополнительных телодвижений - это делать одну из них контроллером домена. У вас в итоге SID машины совпадает c SID домена, и система не может правильно идентифицировать учетные записи".

Переставил "с нуля" вторую систему, и все заработало. В рабочей сети была та же проблема. Но там, в отличие от клонирования виртуальных машин, виной было то, что все системы ставились из одного образа Acronis.

Кстати, переставлять клонированную систему не обязательно, достаточно запустить на ней sysprep (%WINDIR%\System32\sysprep) с опцией Generalize. "И вообще возьмите за правило не делать клоны серверов без sysprep".

Всем спасибо за помощь!

Однако проблема решена, и оказалась она в неожиданном для меня месте »
на будущее теперь будет знать.