Решил вопрос.
-------------------
Поставил GPMC SP1 - там удалось поправить дефолтную политику безопасности контроллера домена (убрать из Restricted Group группу Administrators и убрать "левые" GPO, которые не убирались через mmc-add snapin-GPOE-Brouse-All - не было прав (у Administrator !)).
Вся "соль" ситуации - что туда эту группу никто не добавлял. Более того, править политику безопасности домена не удавалось через административные шаблоны (и через добавление оснастки в mmc), как и политику безопасности контроллера домена (оттуда же), но через GPMC SP1 - пожалуйста.
Политики безопасности - часть соответствующих групповых политик.
Каким образом из группы Administrators исчезали пользователи, я уже не разбирался (были добавлены туда Domain Admins - и это работало полгода и вот исчезать стало).
Цитата:
|
И как совместить Цитата:Дефолтная политика домена правилась и Цитата:Править политики безопасности домена и контроллера домена не даёт.
|
Как это совместить я и сам не понимаю. Вроде и один и тотже объёкт, но способы доступа до него разные - через административные шаблоны в меню и через mmc-add snapin-GPOE.
Цитата:
|
База локальных пользователей на контроллере домена отключается. Остается только один пользователь - Администратор - для входа в режиме восстановления AD.
|
Наверное, я неправильно выразился, сам виноват. Имелись в виду встроенные учётки группы Administrators и Administrator в AD.
В группу Administrators была мной добавлена группа Domain Admins, которая исчезала оттуда (добавлялись и отдельно учётки других пользователей с тем же эффектом).
---
Всем спасибо, Ваши советы помогли бы, еслиб сам не успел сделать :-).
P.S. В Mixed Mode AD политики применяются тока целиком на домен, на отдельные OU невозможно применить политики - а я искал там в свойствах вкладку GroupPolicy, котора я есть только на контейнере домен контроллеров :-) - это так, ремарка.
