[решено] AD, Win 2003, GPO ошибки: 1202 SceCli и 1000 Userenv
 

Продолжу мысль, собственно чего полез то проверять утилитой.
В журнале ошибок выскакивает постоянно ошибки 1000
Клиентское расширение Security групповой политики передало флаги (17) и возвратило код ошибки (1332).
и 1202
Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.
Дополнительные сведения содержатся в разделе "Устранение неполадок" справки по безопасности.

Ошибка распространенная, долго пытаюсь с ней бороть, но что-то у меня ни как не выходит! Может кто сталкивался с таким, помогите, а то мне это уже поднадоело, сил нет!

продолжение темы
 

ответ, как всегда на Microsoft
http://support.microsoft.com/default.aspx?scid=kb;[LN];Q324383.

скорее всего просто названия групп/учетных записей в групповой политике не соответствуют существующим (например они уже удалены, либо имеют иное написание)

продолжение темы
 

SkyF я вчера там был и смотрел эту информацию (у меня ее кже целый архиф), я догадываюсь, что все гинеальное просто, но вот все равно не могу врубиться где что искать то!

вот выдержка из winlogon.log

-cut-


----Настройка прав пользователя...
Настройка S-1-5-32-544.
Настройка S-1-5-32-551.
Настройка S-1-5-11.
Настройка S-1-5-21-1757981266-861567501-725345543-1003.
Настройка Опытные пользователи.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
Не удалось найти Опытные пользователи.
Настройка S-1-5-32-545.
Настройка S-1-1-0.

Ошибка при настройке прав пользователя.
-cut-

проверил утилиткой из resource kit, и вот такая ошибка

============================================================
Policy {A94EBEF6-2328-4C29-A094-B1AFB66B632D}
Error: Cannot access \\server.ici-ukraine.kiev.ua\sysvol\ici-ukraine.kiev.ua\pol
icies\{A94EBEF6-2328-4C29-A094-B1AFB66B632D}, error 2
Details:
------------------------------------------------------------
что и где удалять то? ну правда не врублюсь, чне что все группу опытных пользователей удалить?

продолжение темы
 

вот и ошибка:
Настройка Опытные пользователи.
Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
это в групповых политиках указывается группа. скорее всего вы что-то химичили с ними.
у вас доменный контроллер скорее всего, а на нем нет Опытных..

используйте Администрирование\Локальная политика безопасности - и простмотрите содержимое "локальные политики"\"права пользователей" - в колонке Эффективная политика.

ищите вашу неправильную группу - потом в домене найдите политику, которая вам их задает (может это политика безопасноти домена или политика безопасности доменных контроллеров, смотря что вы изменяли).

продолжение темы
 

SkyF ты просто гений.
Огромное тебе спасибо!!!
Как я и предполагал все оказалось просто!
после удаления "опытные пользователи" ошибки исчезли.
хотя  gpotool /verbose

выдает следующее

============================================================
Policy {A94EBEF6-2328-4C29-A094-B1AFB66B632D}
Error: Cannot access \\server.ici-ukraine.kiev.ua\sysvol\ici-ukraine.kiev.ua\pol
icies\{A94EBEF6-2328-4C29-A094-B1AFB66B632D}, error 2
Details:
------------------------------------------------------------
ну да это ладно, хотя просто интересно!
еще раз спасибо!

Не работает редактирование GPO через стандартную оснастку AD users&computers. Однако если открыть mmc консоль и уже туда добавить нужный GPO, то можно делать все что угодно и эти политики применяются...

Эта беда наблюдается на обоих контроллерах домена.

На клиентских машинах в application log пишутся при каждом обновлении политик ошибки 1202 и 1085.

в %windows%\security\logs\winlogon.log пишется вот это:
-----------------------------
27 сентября 2004 г. 16:28:19
Copy undo values to the merged policy.
----Configuration engine was initialized successfully.----

----Reading Configuration Template info...


----Configure User Rights...
Configure S-1-5-21-2044410233-1301524519-1310246528-512.
Configure S-1-1-0.
Configure S-1-5-32-544.
Configure Администраторы.
Error 1332: No mapping between account names and security IDs was done.
Cannot find Администраторы.

User Rights configuration was completed with one or more errors.
-----------------------------

AD, WIn2003 server, GPO: проблемы с AD
 

salamandra

в винлогоне посмотрите выше чуть - доолжно будет указан ОГП, который и творит неверные дела, вроде того:
и так:

что нашлось на форуме:
Dmitry Sher советовал:

vasketsov


ilan
SkyF

SkyF

SkyF


линки
http://forum.oszone.net/topic.cgi?fo...&start=0#0
http://forum.oszone.net/topic.cgi?fo...&start=0#0
http://forum.oszone.net/topic.cgi?fo...&start=0#2
http://forum.oszone.net/topic.cgi?fo...amp;start=0#10
http://forum.oszone.net/topic.cgi?fo...&start=0#0


что у вас там с ГП роисходило, что вы настраивали?
какие ГП настраивали? создавали свои или ОГП по умолчанию изменяли (а это неправильно).

ОГП , что по умолчанию идут можно перенастроить нормалоьно на 2003м - утилитка стандартная dcgpofix есть.
она поможет, но сбросит остальные параметры, которые вы указывали в стандартных ГП..

ЗЫ резервные копии состояния системы делать не забывайте сейчас, а то важные параметры изменяете.. потом будет трудно вернуть без копии..

AD, WIn2003 server, GPO: проблемы с AD
 

так... попробовал все...
сброс настроек тоже не дает результата

---------------------------
The Default Domain Policy was restored successfully
Note: Only the contents of the Default Domain Policy was restored.
Group Policy links to this Group Policy Object were not altered.
By default, The Default Domain Policy is linked to the Domain.

The Default Domain Controller Policy was restored successfully
Note: Only the contents of the Default Domain Controller Policy was restored.
Group Policy links to this Group Policy Object were not altered.
By default, The Default Domain Controller Policy is linked to the Domain Controllers OU.
---------------------------

сдается мне надо сделать именно эти пункты... руками... вопрос - как?

AD, WIn2003 server, GPO: проблемы с AD
 

так что по этим пунктам?

AD, WIn2003 server, GPO: проблемы с AD
 

1)

Make a local copy of \\pnsk.ru\sysvol\pnsk.ru\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
GPLinkDomain GPO_INFO_FLAG_BACKGROUND )

Process GP template gpt00000.dom.
-------------------------------------------
27 сентября 2004 г. 17:30:40
Copy undo values to the merged policy.
----Configuration engine was initialized successfully.----

----Reading Configuration Template info...


----Configure User Rights...
Configure S-1-5-21-2044410233-1301524519-1310246528-512.
Configure S-1-1-0.
Configure S-1-5-32-544.
Configure Администраторы.
Error 1332: No mapping between account names and security IDs was done.
Cannot find Администраторы.

User Rights configuration was completed with one or more errors.

2)
мне кажется что это произошло тогда, когда я убрал trusts между этим доменом и старым. А потом вернул trusts обратно... Кажется тогда это и началось... Но точно установить уже сложно. Потому что замечено было недавно, а ничего серьезного с тех пор не делалось с доменом.

GP менялись стандартные, но не сильно. Длинну пассворда менял и что то еще... А так - дефолтные.


[s]Исправлено: salamandra, 18:30 27-09-2004[/s]

AD, WIn2003 server, GPO: проблемы с AD
 

кажется "все гениальное -  просто"

система у вас аглицкая.. следовательно группа у вас локальных правителей у системы зовется administrators, а не Администраторы!
админы может как раз в старом домене и были?

найдите и переопределите их на английский вариант в настройках безопасности, скорее всего в ОГП Default Domain Policy (тк GUID ее - {31B2...).

AD, WIn2003 server, GPO: проблемы с AD
 

понимаю что вопрос дурацкий... но где в Default Domain Policy есть Администраторы? Или их по всем веткам искать?

Так.. Вопрос с ошибками в application log'e на клиентских машинах снят. Все заработало... сейчас сижу настраиваю полиси...

ОДНАКО.. все еще не получается работать с полисями через оснастку AD users&computers (пишет не хватает прав). Причем даже со свеже созданными полисями...

[s]Исправлено: salamandra, 13:15 28-09-2004[/s]

AD, WIn2003 server, GPO: проблемы с AD
 

вообще не открывает ОГП для изменения?
параметры позволяет менять (Перекрывать, отключена и тп)?

или совсем ниччего нельзя для линка настроить?

проверьте. в какие группы входит ваша учетная запись administrator? а также какие группы указаны в списке безопасности ОГП (через его свойства посмотрите).


Добавлено:

в нескольких:
конфигурация компьютера - конфигурация Windows - далее
либо
параметры безопасности - локальные политики - назначение прав пользователя
либо
раздел "группы с ограниченным доступом.."

AD, WIn2003 server, GPO: проблемы с AD
 

отключать/перекрывать дает. Не дает редактировать. Можно создать/удалить - тоже не вопрос...

локальный администратор, он же администратор домена, он же enterprise admin, он же - просто administrators. Все эти группы могут менять полиси (судя по security)... но не получается =(