[SkyF]

ответ, как всегда на Microsoft
http://support.microsoft.com/default.aspx?scid=kb;[LN];Q324383.

скорее всего просто названия групп/учетных записей в групповой политике не соответствуют существующим (например они уже удалены, либо имеют иное написание)

[Wolf3D]

SkyF я вчера там был и смотрел эту информацию (у меня ее кже целый архиф), я догадываюсь, что все гинеальное просто, но вот все равно не могу врубиться где что искать то!

вот выдержка из winlogon.log

-cut-


----Настройка прав пользователя...
Настройка S-1-5-32-544.
Настройка S-1-5-32-551.
Настройка S-1-5-11.
Настройка S-1-5-21-1757981266-861567501-725345543-1003.
Настройка Опытные пользователи.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
Не удалось найти Опытные пользователи.
Настройка S-1-5-32-545.
Настройка S-1-1-0.

Ошибка при настройке прав пользователя.
-cut-

проверил утилиткой из resource kit, и вот такая ошибка

============================================================
Policy {A94EBEF6-2328-4C29-A094-B1AFB66B632D}
Error: Cannot access \\server.ici-ukraine.kiev.ua\sysvol\ici-ukraine.kiev.ua\pol
icies\{A94EBEF6-2328-4C29-A094-B1AFB66B632D}, error 2
Details:
------------------------------------------------------------
что и где удалять то? ну правда не врублюсь, чне что все группу опытных пользователей удалить?

[SkyF]

вот и ошибка:
Настройка Опытные пользователи.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
это в групповых политиках указывается группа. скорее всего вы что-то химичили с ними.
у вас доменный контроллер скорее всего, а на нем нет Опытных..

используйте Администрирование\Локальная политика безопасности - и простмотрите содержимое "локальные политики"\"права пользователей" - в колонке Эффективная политика.

ищите вашу неправильную группу - потом в домене найдите политику, которая вам их задает (может это политика безопасноти домена или политика безопасности доменных контроллеров, смотря что вы изменяли).

[Wolf3D]

SkyF ты просто гений.
Огромное тебе спасибо!!!
Как я и предполагал все оказалось просто!
после удаления "опытные пользователи" ошибки исчезли.
хотя  gpotool /verbose

выдает следующее

============================================================
Policy {A94EBEF6-2328-4C29-A094-B1AFB66B632D}
Error: Cannot access \\server.ici-ukraine.kiev.ua\sysvol\ici-ukraine.kiev.ua\pol
icies\{A94EBEF6-2328-4C29-A094-B1AFB66B632D}, error 2
Details:
------------------------------------------------------------
ну да это ладно, хотя просто интересно!
еще раз спасибо!

[salamandra]

Не работает редактирование GPO через стандартную оснастку AD users&computers. Однако если открыть mmc консоль и уже туда добавить нужный GPO, то можно делать все что угодно и эти политики применяются...

Эта беда наблюдается на обоих контроллерах домена.

На клиентских машинах в application log пишутся при каждом обновлении политик ошибки 1202 и 1085.

в %windows%\security\logs\winlogon.log пишется вот это:
-----------------------------
27 сентября 2004 г. 16:28:19
Copy undo values to the merged policy.
----Configuration engine was initialized successfully.----

----Reading Configuration Template info...


----Configure User Rights...
Configure S-1-5-21-2044410233-1301524519-1310246528-512.
Configure S-1-1-0.
Configure S-1-5-32-544.
Configure Администраторы.
Error 1332: No mapping between account names and security IDs was done.
Cannot find Администраторы.

User Rights configuration was completed with one or more errors.
-----------------------------

[SkyF]

salamandra

в винлогоне посмотрите выше чуть - доолжно будет указан ОГП, который и творит неверные дела, вроде того:

Цитата:

[Сопоставление] gpt00001.inf = Default Domain Controllers Policy ------------------------------------------- 08/29/2004 14:35:48 ----Деинициализация модуля настройки... ------------------------------------------- 08/29/2004 14:35:50 ----Модуль конфигурации инициализирован успешно.---- ----Чтение данных шаблона конфигурации... ----Настройка прав пользователя... Настройка S-1-5-32-549. Настройка S-1-5-32-551. Настройка S-1-5-32-544. Настройка S-1-5-11. Настройка S-1-1-0. Настройка S-1-5-6. Настройка S-1-5-32-550. Настройка S-1-5-32-548. Настройка S-1-5-21-436374069-1957994488-725345543-1000. Настройка прав пользователя выполнена успешно. ----Настройка членства в группах... Настройка членства в группах выполнена успешно.

и так:

что нашлось на форуме:
Dmitry Sher советовал:

Цитата:

Такое может быть если вы удалили пользователей, не удалив предварительно их права в Политиках безопасности. Проверь их если есть в разрешениях пользователи с именем *S-11-31-31(набор цифр), то убивай их.

vasketsov

Цитата:

лови (и запомни ссылку): http://www.eventid.net/display.asp?e...source=Userenv http://www.eventid.net/display.asp?e...;source=SceCli спасибо мне можешь не писать.

ilan

Цитата:

http://eventid.net/display.asp?eventid=1202&source=SceCli http://support.microsoft.com/default...b;en-us;260715 http://support.microsoft.com/default...b;en-us;260715

SkyF

Цитата:

http://support.microsoft.com/default...b;en-us;324383 проверьте журналы, о которых говорится в статье. можно и вручную просмотреть %SYSTEMROOT%\security\logs\winlogon.log проанализируйте, на что они ругаются. скажите, а политики безопасности Вы настраивали/изменяли дополнительно сами?

SkyF

Цитата:

просмотрите все групповые политики, которые действуют у вас на этот компьютер. проанализируйте настройки в которых указаны группы или учетные записи (например вместо имени учетной записи стоит что-то типа {s-1-5...} или например стоит указание администраторы, а клиентская ОС - не локализована.. и поэтому не знает никаких Администраторы, а только *Administrators *и тп..

SkyF

Цитата:

ооо... в общем вот эту статью прочти на Microsoft: KB 324383 Проблема в политике. это однозначно. во-первых: посмотри журнал обработки политик: C:\WINNT\security\logs\winlogon.log во-вторых: проверь все политики. Начни с локальной (там интересуют эффективные политики), потом доменные и затем политики безопасности КД. Что нужно искать? То, о чем ругается журнал winlogon, во-вторых учетные записи(группы) - обозначаемые в политиках не названиями, а SIDами - их удаляй, никак уже невосстановить. Скорее всего проблема в том, что в политике упоминаются не существующие пользователи и группы.

линки
http://forum.oszone.net/topic.cgi?fo...&start=0#0
http://forum.oszone.net/topic.cgi?fo...&start=0#0
http://forum.oszone.net/topic.cgi?fo...&start=0#2
http://forum.oszone.net/topic.cgi?fo...amp;start=0#10
http://forum.oszone.net/topic.cgi?fo...&start=0#0


что у вас там с ГП роисходило, что вы настраивали?
какие ГП настраивали? создавали свои или ОГП по умолчанию изменяли (а это неправильно).

ОГП , что по умолчанию идут можно перенастроить нормалоьно на 2003м - утилитка стандартная dcgpofix есть.
она поможет, но сбросит остальные параметры, которые вы указывали в стандартных ГП..

ЗЫ резервные копии состояния системы делать не забывайте сейчас, а то важные параметры изменяете.. потом будет трудно вернуть без копии..

[salamandra]

так... попробовал все...
сброс настроек тоже не дает результата

---------------------------
The Default Domain Policy was restored successfully
Note: Only the contents of the Default Domain Policy was restored.
Group Policy links to this Group Policy Object were not altered.
By default, The Default Domain Policy is linked to the Domain.

The Default Domain Controller Policy was restored successfully
Note: Only the contents of the Default Domain Controller Policy was restored.
Group Policy links to this Group Policy Object were not altered.
By default, The Default Domain Controller Policy is linked to the Domain Controllers OU.
---------------------------

сдается мне надо сделать именно эти пункты... руками... вопрос - как?

[SkyF]

Цитата:

в винлогоне посмотрите выше чуть - доолжно будет указан ОГП, который и творит неверные дела, вроде того: Цитата: [Сопоставление] gpt00001.inf = Default Domain Controllers Policy ------------------------------------------- 08/29/2004 14:35:48 ----Деинициализация модуля настройки...

Цитата:

что у вас там с ГП роисходило, что вы настраивали? какие ГП настраивали? создавали свои или ОГП по умолчанию изменяли (а это неправильно).

так что по этим пунктам?

[salamandra]

1)

Make a local copy of \\pnsk.ru\sysvol\pnsk.ru\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
GPLinkDomain GPO_INFO_FLAG_BACKGROUND )

Process GP template gpt00000.dom.
-------------------------------------------
27 сентября 2004 г. 17:30:40
Copy undo values to the merged policy.
----Configuration engine was initialized successfully.----

----Reading Configuration Template info...


----Configure User Rights...
Configure S-1-5-21-2044410233-1301524519-1310246528-512.
Configure S-1-1-0.
Configure S-1-5-32-544.
Configure Администраторы.
Error 1332: No mapping between account names and security IDs was done.
Cannot find Администраторы.

User Rights configuration was completed with one or more errors.

2)
мне кажется что это произошло тогда, когда я убрал trusts между этим доменом и старым. А потом вернул trusts обратно... Кажется тогда это и началось... Но точно установить уже сложно. Потому что замечено было недавно, а ничего серьезного с тех пор не делалось с доменом.

GP менялись стандартные, но не сильно. Длинну пассворда менял и что то еще... А так - дефолтные.


[s]Исправлено: salamandra, 18:30 27-09-2004[/s]