Доступ доменному пользователю? - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

- - Доступ доменному пользователю? (http://forum.oszone.net/showthread.php?t=264569)

Доступ доменному пользователю?

Караул господа, win 8 x64 в домене 2008R2, сижу под локальным пользователем, при этом в администраторах есть администратор домена.
Ранее запуск от его имени чего либо не вызывал проблем, сегодня заметил вот что: psexec не могу запустить ни от локального, ни от доменного админа - требует повышения, доступ запрещен О_О, запуск mmc от имени доменного админа (runas) если сижу под локальным - доступ запрешен, если зайти под ним - запускает, cd в папку c:\users\local_admin под доменным админом - доступ запрещен, хотя в безопасности разрешения у группы администраторы есть, а он в ней (но через проводник можно зайти), никаких манипуляций не проводил, обновлялся последний раз 25 марта, UAC в состоянии "не уведомлять" помогите кто чем может.

Цитата:

Цитата nokogerra

никаких манипуляций не проводил

Доменные политики накрутили.

нет, кроме меня некому, в rsop и gpresult нет ничего подозрительного, вернее на пользователя доменного вообще политик нет, на машину только дефолтная, которую не трогал ни разу, ах еще политика от систем центр эссеншиал - теперь пустая, т.к. самого центра нет 100 лет.
Так, проверил на других машинах домена - так же и с другими учетными данными доменного администратора, на них действуют разные политики, на мою машину только дефолт - думаю не в политиках дело, но недавно у меня была проблема которую я описывал в разделе 2008R2: часовые пояса на машинах стояли +7 (нск), настроенные через доменный реестр (не скриптом а именно ключи в gpo), но недавно время стало съезжать на час назад, несмотря на то что пояса оставались также +7, при чем если руками поставить +6 время не изменяется и вернуть на +7 то время становится правильным, но только до след перезагрузки, поправил политику, там ключем было задано "отменить переход на летнее время" и оставил только ключ с заданием временной зоны, на машинах вроде стало все нормально, на dc я ее не накручивал, там поясами вроде все нормально (заданы руками), больше ничего не приходит в голову, но это было дней 10 назад, уже все утряслось, а данная проблема появилась сегодня, максимум вчера.
p.s. у меня 2 dc - может в этом быть дело? как то можно проверить реплику sysvol или что-то еще?

пишут что обычно причина в dns, для dns на обоих dc в серверах пересылки указан внешний dns провайдера и для основного dc сервером пересылки указан dc2 (реплика), вот что говорит dcdiag на основном dc:

Вроде все впорядке, да и опытным путем не было замечено проблем с dns, правда если запустить просто из cmd, а не с повышенными правами будет так:

вот еще что интересно:
если запускать от залогиненого рядового пользователя домена оснастки с помощью ctrl+shift, например в поиск строке пишем compmgmt.msc, далее ctrl+shift+enter набираем логин/пароль - все запускается, но если сделать runas /noprofile /user:domain\user "mmc %windir%\system32\compmgmt.msc", то после ввода пароля скажет: ОШИБКА RUNAS: Не удается запустить - mmc C:\Windows\system32\compmgmt.msc
740: Запрошенная операция требует повышения.

так с помощью runas запускается только cmd, а psexec как я писал - вообще не запускается, прав не хватает о_О

repadmin /showrepl на обоих dc успешен, но только при повышенных правах, если просто из cmd то в конце 2 строки:

Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.
Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105):
Доступ к репликации отвергнут.

Цитата:

Цитата nokogerra

в rsop и gpresult нет ничего подозрительного

Вам так кажется :)
Выложите содержимое ветки
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

вот с моей машины, где также под локальным пользователем с помощью runas /user:domain\admin запускается cmd, не запускаются mmc. 1.txt

nokogerra, эти параметры по умолчанию отличаются:

Код:

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

"PromptOnSecureDesktop"=dword:00000001

"ConsentPromptBehaviorAdmin"=dword:00000005

PromptOnSecureDesktop я так понял, тут написано что при значении "1" все потуги uac`а будут происходить на безопасном рабочем столе,
по поводу ConsentPromptBehaviorAdmin - вообще не написано что дает значение "5", по таблице судя "0" - не требует повторного ввода креденшиалов от админа при необходимости повышения прав, "1" - требует повторного ввода при необходимости повышения.

Вот что нашел по поводу ConsentPromptBehaviorAdmin
Background information: the default value for ConsentPromptBehaviorAdmin is 5, which means that Windows prompts for consent for non-Windows binaries. Other possible values are:

0 = Elevate without prompting
1 = Prompt for credentials on the secure desktop
2 = Prompt for consent on the secure desktop
3 = Prompt for credentials
4 = Prompt for consent
так что это вроде дефолтное значение, при нем должен появляться запрос на согласие при использовании non-Windows binaries и вроде все.
PromptOnSecureDesktop попробовал значение 0 - ничего не изменилось.

nokogerra, вы не поняли.
В предыдущем сообщении приведены значения по умолчанию.
У вас они отличаются.

они отличаются на моей машине, взял для пример другую - там такие же значения (дефолтные) и такая же беда с runas например:

c:\Users\localadmin\Desktop>runas /noprofile /user:domain\admin "mmc %windir%\s
ystem32\compmgmt.msc"
Введите пароль для domain\admin:
Попытка запуска mmc C:\Windows\system32\compmgmt.msc от имени пользователя "domain\admin" ...
ОШИБКА RUNAS: Не удается запустить - mmc C:\Windows\system32\compmgmt.msc
740: Запрошенная операция требует повышения.

1. http://swuve.com/?p=82 здесь было указано использовать runas с ключем /netonly, результат положительный, но не понятно как он помог, по статье на технете:
/netonly : Indicates that the user information specified is for remote access only.
что значит "обозначает что введенная пользовательская информация предназначена только для использования с удаленным доступом" - я запускал и локальные оснастки (services.msc) и dsa.msc, что он вообще делает?
К сожалению при добавлении в bat не работает, только руками из командной строки, странно (та же ошибка 740), также не помогает это и с psexec.

2. на технете помимо /netonly вот что советует:
Go to GPEDIT.msc
Select Computer Configuration - Windows Settings - Local Policies - Security Options

There are several here for "User Account Control" (Toward the bottom)

Choose the one with Behavior of the eleveation prompt for Administrators.....

Set it to Prompt for Credentials

но на мою машину действует только дефолтная политика, локальная отфильтровывается, и конфигурация uac никак в дефолтной политике не задавалась.

3. http://raykung12.wordpress.com/2011/...-740-messages/
RunAs /user:YourDomain\UserAccount “CMD /C start /B program.exe” работает и с bat, но с psexec также не помогает.

Спасибо, 1 и 3 варианты вполне могут использоваться как воркэраунд, но так и не понятно из-за чего это произошло, и с psexec осталась неясность.

хм, я создавал тему http://forum.oszone.net/thread-264187.html о том, что перестала применяться политика uac по запросу на повышение прав при установке приложений (т.е. запускай сам вручную от имени админа), т.е. у другой политики с заданными параметрами контроля учетных записей более высокий приоритет, но та которая сейчас не работает, работала же несколько дней. а товарищ мне подсказал что при задании параметра в gpo, а потом выставлении "не задано" значения реестров не возвращаются к дефолтным значениям, появилось подозрение что была правлена дефолтная политика, а потом выставлено значение "не задано", можно как то сделать ou, на который не будет действовать дефолтная доменная политика, "блокировать наследование" подойдет? хочу поместить туда машину и потестировать.

нашел время, вернулся к своим баранам:
Вынес машину в отдельный ou, закрыл на ou наследование default domain policy, естественно все осталось как есть (runas ошибка 740, т.к. значения реестра к дефолтным не вернулись), начал тестировать с Контролем учетных записей, результаты всех тестов приводить не буду, вот что касается конкретно запуска оснасток через runas:
1. при установке "все администраторы работают в режиме одобрения администратором" в "отключено" runas работает прекрасно (тут ничего удивительного).
2. включил "все администраторы работают в режиме одобрения администратором", далее экспериментировал с
"поведение запроса на повышение прав для администраторов в режиме одобрения администратором", и runas не работает ни в одном режиме, ни просто из cmd, ни из cmd "от имени администратора" (все та же ошибка 740), к тому же не понятно чем отличается например "запрос согласия" от "запрос согласия на безопасном рабочем столе" - чисто визуально никак, а что такое "безопасный рабочий стол" ясного определения не нашел.

НО решилась проблема с psexec - тут просто волшебство блин, даже когда был отключен "все администраторы работают в режиме одобрения администратором" psexec также выдавал "это не является приложением win" и ниже в терминале после отказа писалось "доступ запрещен", я в замешательстве качаю заново этот же пакет pstools, запускаю из него и о ЧУДО - работает, хотя также работал и этот проблемный нынче psexec.

Другие параметры блока "Контроль учетных записей" как я понял после изучения описаний врядли может относится к этой проблеме, но буду экспериментировать дальше, не хотелось вы отключать uac вообще, к тому же не понятно что все таки блокирует политику uac по отмене запроса на повышение прав при установке приложений (про которую я писал ранее), выше нее только 3 gpo (включая default domain policy) и ни в одном не сконфигурирован UAC.