Существовал себе спокойно домен на 2003 сервере. Группы, юзеры, админы; сервер RIS, Exchange, 3 DC (2 для корневого домена и 1 для дочернего), два терминальных сервера (цытрикс, объединены в ферму) и прочее. Короче, почти обычная офисная сетка.
Админ подправил права на некоторые ключи реестра (хотел чтоб юзеры не имели возможности расшаривать папки на своих тачках):

[HKEY_CLASSES_ROOT\CLSID\{1F2E5C40-9550-11CE-99D2-00AA006E086C}]
@="Security Shell Extension"

[HKEY_CLASSES_ROOT\CLSID\{1F2E5C40-9550-11CE-99D2-00AA006E086C}\InProcServer32]
@="rshx32.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}]
@="Shell extensions for sharing"

[HKEY_CLASSES_ROOT\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32]
@="ntshrui.dll"
"ThreadingModel"="Apartment"

В тот же день повылезали траблы (неизвестно, связаны ли они с с этими изменениями)

1) Перестали быть доступными шары для Domain Users. Если поставить разрешение Всем (Everyone) на работу с этими "вдругнедоступными" шарами, тогда опять всё пашет.
2) RIS-сервер перестал аутентифицировать группу, которой разрешено ставить венду с сервака. Если поставить Всем (дада, всё тот же Everyone) разрешение на RemoteInstall и на образы, то сервер всё равно посылает, говорит, что не может дать список опций, потому что не признал меня (собственно Enterprise Admin со всеми правами на инсталляцию).
3) Начались траблы с терминалом: юзеры не могли войти на сервер. Winlogon выдавал ошибку с кодом 1219: "Logon rejected for domainname\username. Unable to obtain Terminal Server User Configuration. Error: Access is denied". Пришлось временно для того чтоб работать людям дальше, внести их на терминальном серваке в группу Опытных пользователей.

P.S. Из логов серверов видно, что что все проблемы начались одновременно.
P.P.S. Ключам были возвращены оригинальные значения.
P.P.P.S.Да, в тот же день (то бишь, вчера) вечером были затушены все серверы. Затем включены в следующей последовательности:
1) PDC (дождались загрузки всех служб)
2) BDC
3) DC дочернего домена
4) Гейт (ISA)
5) Exchange
6) Terminal server #1
7) Terminal server #2... Все баги на месте.

А теперь, знатоки, внимание, вопрос.
Что делать-то?

Переставлять всё не предлагать, пожалуйста. На это уйдёт слишком много времени, которым мы не располагаем.

А если попробовать вернуть права на ключи реестра обратно?

Ах, да, извините, забыл сообщить.
Ключам вернули оригинальные значения.

DC рестартовали?

А вы точно уверены что вернули изначальные значения всем ключикам реестра?..может про какой ть забыли?
Можно еще попробовать удалить и заново создать тех же юЗверей...

DC рестартовали?
Да, в тот же день (то бишь, вчера) вечером были затушены все серверы. Затем включены в следующей последовательности:
1) PDC (дождались загрузки всех служб)
2) BDC
3) DC дочернего домена
4) Гейт (ISA)
5) Exchange
6) Terminal server #1
7) Terminal server #2

Баги на месте, есесно =\


А вы точно уверены что вернули изначальные значения всем ключикам реестра?..может про какой ть забыли?
Можно еще попробовать удалить и заново создать тех же юЗверей...
Да, уверены.
Создавать более 150 юзверей и распихивать их по двум дюжинам групп безопасности без отрыва от производства нереально, к сожалению.

Можно хотя бы на примере одного юзера попробовать - вдруг тут вообще в чем то другом дело?..
Потому что странно..если вы только меняли права на ключи а потом как говорите все в точности вернули назад то по идее проблемы должны были исчезнуть... может еще что нибудь меняли?

Можно хотя бы на примере одного юзера попробовать - вдруг тут вообще в чем то другом дело?..
Потому что странно..если вы только меняли права на ключи а потом как говорите все в точности вернули назад то по идее проблемы должны были исчезнуть... может еще что нибудь меняли?

Делали нового юзера. Пробовали ставить с RIS систему -- та же история, посылает.
Шары опять же не доступны.
В общем, полный сипец.

Налицо глючная работа системы аутентификации. Как бы её проверить на вшивость?

P.S. Ещё одна замеченная странность.
На моё корп. мыло приходят отчёты антивируса о неудачной попытке обновления. Время создания письма отличается от времени получения на час вперёд. На серваке почтовом сервере время корректно.

Проблемы 1, 3 как-то всплывали в практике. Вылечить удалось бубном, сделали людей локальными админами на своих компьютерах.
Происхождение заболевание не понятно мне до сих пор.

Проблемы 1, 3 как-то всплывали в практике. Вылечить удалось бубном, сделали людей локальными админами на своих компьютерах.

Такое решение не катит, слишком много долбоё##ов-манагеров работает в организации. Венду придёца переставлять каждый день. С RIS, конечно, это не так ужасно, но всё равно, это не решение, ибо начнут играть в хацкеров: Languard воткнут и начнут сеть засирать.

Это конечно танцы с бубном, но..
Предлагаю попробовать на 1й машине.
-Делаешь пользователя локальным админом (или Domain)
-Login в систему, проверка всех операций. Logout
- В случае положительного результата - понижение в правах.
-Снова попробовать Login и проверку операций

Непонятно, к чему эти действия, но интересен результат.
Хотя, я думаю, это проблемы не решит..
Завтра попробую. Спасибо за участие :)

Итак, вести с полей :)
Пришла вечером в голову идея поднять новый PDC. Пришёл на работу, сделали DCPROMO серверу RIS, передали все роли ему.
А теперь новости: что, мол, изменилось. Сначала хорошие, потом плохие, как в анекдотах.

+ Юзеры стали нормально ходить по шарам (без Everyone) и сидеть в терминале (без участия в локальной группе Power users терминального сервера).
+ Антивирус (работает с правами LOCAL SYSTEM) стал обновляться.

- Антивирусы, работающие на серваках и в соседнем домене ПЕРЕСТАЛИ обновляца с учёткой LOCAL SYSTEM.
- Всё так же не работает RIS. Переустановка службы не помогла. Кроме того был поднят старый RIS, но он опять же посылает с той же ошибкой аутентификации.

Куда дальше копать -- неясно вообще.

Может я ошибаюсь, но по моему проблемы со схемой AD.
В данном вопросе я не специалист, однако натыкался на информацию, что в сложных AD-структурах (с существующими суб и над-доменами) для избежания таких граблей разносят контроллеры домена и контроллеры схемы домена.

Антивирусы, работающие на серваках
На старых контролерах или просто серверах?
Если на старых, то боюсь придется их понижать и делать контроллерами заново.
Если на обыкновенных серверах - можно попробовать вывести их из домена, а затем снова ввести (но для гарантии я бы таки понизил старые DC)

На старых контролерах или просто серверах?
На старых контроллерах.
Если на старых, то боюсь придется их понижать и делать контроллерами заново.
Если на обыкновенных серверах - можно попробовать вывести их из домена, а затем снова ввести (но для гарантии я бы таки понизил старые DC)
Да, видимо, придётся.
Спасибо, что утвердили моё желание сделать это. Теперь уж точно после рабочего дня казним и помилуем остальные DC :)

Действия:
- Понизили все контроллеры, отобрали роли, передали всё новой машине W2k3.
- В дочернем домене то же самое сотворили.
- Переустановили RIS, авторизировали заново сервер DHCP.

to do:
Вернуть всё назад и проверить доступность шар/установки ОС через RIS. Но это в понедельник.
Всем спасибо за участие в решении :D