[monkkey]

У вас случаем Restricted Groups не настроены?

[Igor533]

Таки так должно быть, так как на контроллерах домена вообще не может быть локальных пользователей, и локальных админов тоже.

[dimich22]

Igor533, немного не так

Цитата:

База локальных пользователей на контроллере домена отключается. Остается только один пользователь - Администратор - для входа в режиме восстановления AD.

[monkkey]

WildNP
Да, я просмотрел немного. Поподробнее, что это за группа локальных админов на DC? Самосозданная, что ли? Для управления Групповыми политиками поставьте GPMC. И как совместить

Цитата:

Дефолтная политика домена правилась

и

Цитата:

Править политики безопасности домена и контроллера домена не даёт.

[WildNP]

Решил вопрос.
-------------------
Поставил GPMC SP1 - там удалось поправить дефолтную политику безопасности контроллера домена (убрать из Restricted Group группу Administrators и убрать "левые" GPO, которые не убирались через mmc-add snapin-GPOE-Brouse-All - не было прав (у Administrator !)).
Вся "соль" ситуации - что туда эту группу никто не добавлял. Более того, править политику безопасности домена не удавалось через административные шаблоны (и через добавление оснастки в mmc), как и политику безопасности контроллера домена (оттуда же), но через GPMC SP1 - пожалуйста.
Политики безопасности - часть соответствующих групповых политик.
Каким образом из группы Administrators исчезали пользователи, я уже не разбирался (были добавлены туда Domain Admins - и это работало полгода и вот исчезать стало).

Цитата:

И как совместить Цитата:Дефолтная политика домена правилась и Цитата:Править политики безопасности домена и контроллера домена не даёт.

Как это совместить я и сам не понимаю. Вроде и один и тотже объёкт, но способы доступа до него разные - через административные шаблоны в меню и через mmc-add snapin-GPOE.

Цитата:

База локальных пользователей на контроллере домена отключается. Остается только один пользователь - Администратор - для входа в режиме восстановления AD.

Наверное, я неправильно выразился, сам виноват. Имелись в виду встроенные учётки группы Administrators и Administrator в AD.
В группу Administrators была мной добавлена группа Domain Admins, которая исчезала оттуда (добавлялись и отдельно учётки других пользователей с тем же эффектом).
---
Всем спасибо, Ваши советы помогли бы, еслиб сам не успел сделать :-).

P.S. В Mixed Mode AD политики применяются тока целиком на домен, на отдельные OU невозможно применить политики - а я искал там в свойствах вкладку GroupPolicy, котора я есть только на контейнере домен контроллеров :-) - это так, ремарка.

[monkkey]

Цитата:

на отдельные OU невозможно применить политики

Неправда Ваша ))) Изучайте логи на предмет ошибок в применении ГП. Через ту же GPMC проверьте применение политик на OU.

[xoxmodav]

Цитата:

P.S. В Mixed Mode AD политики применяются тока целиком на домен, на отдельные OU невозможно применить политики - а я искал там в свойствах вкладку GroupPolicy, котора я есть только на контейнере домен контроллеров :-) - это так, ремарка.

Не припомню я что-то такого ограничения. В свойства каких OU искал вкладку "GroupPolicy".

[WildNP]

xoxmodav

Цитата:

В свойства каких OU искал вкладку "GroupPolicy".

До установки GPMC SP1 - во всех, кроме сайта (AD users and computers).
Я проверю, конечно в GPMC SP1 - может, в "неапгрейженной" это было типа непредусмотрено (а скорее всего, просто глюк системы). Но вкладки GroupPolicy НЕ БЫЛО. Даже если она там и должна быть - не буду настаивать, просто видимо в поисках мельком видел такую информацию.
AD и сейчас находится в Mixed Mode, правда, установлен SP2 на винду.
2 monkkey
Всё проверю, тут уже принципиальный вопрос... :-)
Спасибо.
---------------
Почитал "зубров", видимо, я ошибался насчёт этого ограничения насчёт политик.
Что поделаешь, состояние аффекта, хроническая пивная недостаточность :-).
Тему можно прикрывать.