DL группа в AD окружении WS 2012 R2
 

(пишу в ветку сервера 2012, т.к. выражаю бОльшую надежду на качественный ответ именно в этой ветке, а не в WinXP)

Вчера-сегодня наткнулся на странную ситуацию, и пытаюсь понять причины подобного поведения Windows XP.
Я понимаю, что Win XP снята с поддержки, но тем не менее в качестве мембера домена в WS 2012 R2 поддерживается.

Если кратко:
Мембер доменной локальной группы безопасности, при том что эта DL группа включена в локальных администраторов на клиенте WinXP не получает прав локального администратора.

Если подробно:
Исходные условия:

Домен на базе ADDS, уровень домена и леса 2012 R2.
DC и клиентская машина практически в дефолтном состоянии.
На целевой OU, в котором располагается клиент Win XP действует только дефолтная GP.
Windows Server 2012 R2 редакции Standard, EN
Windows XP SP3 Pro VL (Пробовал как на EN так и на RU)
В домене присутствует доменная локальная группа безопасности под именем DLSG-LocalAdmins-Membership
Также присутствует учетная запись admUser, которая является членом группы DLSG-LocalAdmins-Membership
Группа DLSG-LocalAdmins-Membership автоматически или вручную включается в локальную группу администраторов на рабочих станциях или серверах, с целью получения соответствующего доступа для всех членов данной группы.
Ограничения членства в группе администраторов нет.
Время на клиенте и сервере синхронизируется, правильное.
Windows XP SP3 Pro пробовал использовать как с полным апдейтом после установки, так и не устанавливая обновления

Процесс:

Свежеустановленный клиент Win XP вводится в домен.

В Bult-in группу локальных администраторов на клиенте вручную добавляется группа DLSG-LocalAdmins-Membership

Для верности применяю gpupdate, перезагружаюсь.

После перезагрузки первый логин под admUser, УЗ успешно получает права локального администратора.

Для верности можно открыть gpresult и убедиться в этом. Также можно увидеть, что пользователь является членом группы DLSG-LocalAdmins-Membership, что предсказуемо и логично.

Делаем logoff

Дальше то самое нестандартное поведение, которое вызывает вопросы:

Сразу же следом пытаемся залогиниться под admUser повторно, и обнаруживаем, что прав локального администратора НЕТ!

gpresult сообщает о том, что "current user" является членом очень малого кол-ва стандартных групп, среди которых DLSG-LocalAdmins-Membership не значится.

При этом:

1. Если добавить в локальных администраторов группу Domain Users - любой пользователь получает права, вне зависимости от кол-ва логинов и логофов

2. Если добавить admUser в локальных администраторов - пользователь получает права, вне зависимости от кол-ва логинов и логофов



Коллеги, если есть предположения, почему подобная ситуация возникает именно при связке WinXP-WS2012R2 - поделитесь опытом.
Если есть возможность смоделировать описанную мной ситуацию и подтвердить указанные мной симптомы - прошу высказаться об этом, буду признателен.

ipconfig /all рабочей станции
сколько контроллеров? их тоже ipconfig /all

Правильно ли я понял что после выполнения logoff пользователя его выкидывает из группы DLSG-LocalAdmins-Membership ?
В этот момент выполните команду gpreslut /V и вывод покажите.

именно так! но я бы сказал что не "выкидывает", а отказывается продолжать видеть его членство в группе.

в первый логин ДО момента ПЕРВОГО логофа - gpresult /z показывает, что admUser является мембером нескольких групп, в т.ч. DLSG-LocalAdmins-Membership.
После первого логофа и всех последующих - gpresult /z показывает, что admUser больше НЕ является мембером DLSG-LocalAdmins-Membership.

Нет возможности сейчас снять с них ipconfig копипастом, но конфиг там такой:

2 домен контроллера.
1 - мастер всех ролей
2 - репликатор

Станция
STATIC
IP 10.0.0.10/24
GW 10.0.0.1
DNS1 10.0.0.3
DNS2 10.0.0.20

DC1
STATIC
IP 10.0.0.3/24
GW 10.0.0.1
DNS1 127.0.0.1
DNS2 10.0.0.20

DC2
STATIC
IP 10.0.0.20/24
GW 10.0.0.1
DNS1 127.0.0.1
DNS2 10.0.0.3

Господа, акцентирую ваше внимание на том, что в данной сети есть станции и Win7 и 8/8.1. Все работает замечательно.
Проблема именно с WinXP в том же самом окружении, и обнаружилось совершенно случайно при реализации одного пилотного проекта.

Ситуация довольно легко моделируется, чистый домен уровня W2012R2, чистая станция WinXP SP3 Pro, DL группа и 1 мембер этой группы.

Так Вы покажите вывод команды gpresult /V или нет?

Telepuzik, да, пожалуйста, в аттаче

gpresult (но в момент ПОСЛЕ первого logoff)
ipconfig /all с станции WinXP
при необходимости - предоставлю ipconfig /all с серверов, но сейчас нет возможности забрать конфиг, да и в целом сетевые реквизиты указал выше

DEL, задублировалось

Такой ощущение что пользователь пропадает из всех доменных групп.
А этот пользователь входит в группу Domain Users? Если его включить в эту группу, а затем сделать logon затем logoff пользователь остается в данной группе?

да, это выглядит именно так.
Но, повторюсь - скорее это "winxp станция по какой то причине перестает видеть, что данный пользователь - мембер соответствующих групп".
Почему? Незнаю.

Да, т.к. настройки в доменном окружении по дефолту - пользователь конечно входит в Domain Users.
Если на станции добавить в локальных администраторов доменную группу Domain Users - права администратора будут выданы, и можно сколько угодно раз делать login/logoff, права будут сохраняться.

Если же сделать Domain Local Security Group скажем "TEST2", в нее включить admUsers, а саму группу TEST2 включить в локальных администраторов на станции - эффект будет такой же как и с DLSG-LocalAdmins-Membership, то бишь "до первого логофа".

Такие дела.

Т.е. если открыть свойства группы DLSG-LocalAdmins-Membership и посмотреть кто является членами этой группы, то пользователь admUser будет там присутствовать правильно?

Да, именно так! И более того, будет соответствующим образом работать на всем оконечном ПО, за исключением Windows XP
(поправка - могу сказать лишь за себя, перепробовал несколько комбинаций различных версий и прочих параметров,
окончательно буду убежден в этом лишь если кто-либо сэмулирует у себя данную ситуацию и будет иметь тот же непонятный эффект на станции)