[решено] Запрет локального входа - интерактивный вход запрещен политикой безопасно
 

Не могу зайти на комп ни под одним именем, даже в safe mode ... и при загрузке последней удачной конфигурации тоже зайти не могу
Говорит: локальная политика не позволяет заходить интерактивно.
Единственно что могу - это подключиться к реестру с другого компа.

Поэтому кто знает, подскажите плиз, где в реестре хранятся данные локальной политики?
А точнее в консоли локальной политики: "Параметры безопасности\Локальные политики\Назначение прав пользователя\Локальный вход в систему"
вот этот самый параметр "Локальный вход в систему" где в реестре запрятан?

ЗЫ: Делал поиск по слову logon - безрезультатно ...

Проблемы с локальной политикой!
 

запускаешь mmc, добавляешь оснастку, выбираешь групповая политика, выбираешь нужный компьютер - и делаешь всё что тебе надо.

Проблемы с локальной политикой!
 

2 esalmin
попробовал, но делать "все что мне надо" не получается, по крайней мере через mmc

если я делаю то что ты написал на локальном компьютере - все нормально, но когда я на этот же компьютер захожу с другого компа через mmc, то внутри раздела "Параметры безопасности" ничего нет!!! А на локальном компьютере в этом разделе есть все что мне надо: "Политики учетных записей", "Локальные политики".

Может прав каких нет?

Проблемы с локальной политикой!
 

вот это:
Err Msg: The Local Policy of This System Does Not Permit You to Logon Interactively
http://support.microsoft.com/default...b;en-us;152478

и в вашем случае, особенно это

How to Set Logon User Rights with the Ntrights.exe Utility
- windows 2000
http://support.microsoft.com/default...b;EN-US;279664

- windows XP
http://support.microsoft.com/?kbid=315276



[s]Исправлено: SkyF, 15:16 14-11-2003[/s]

Проблемы с локальной политикой!
 

2 SkyF
спасибо большое за помощь, все так и сделал
НО!!!
когда я запускаю эту самую утилиту ntrights, она выдает следующее: ***Error*** OpenPolicy -1073741790

ПОМОГИТЕ!!! * что делать??

ЗЫ: запускаю следующим образом: ntrights +r SeInteractiveLogonRight CENTER\Sanya -m \\mars

я так понял, что утилита выставит мне права в домене, чтобы я на комп mars мог заходить
но мне то нужно вообще хоть как то на комп попасть, хоть с доменом, хоть без
если при загрузке выбираю не домен, а локальный компьютер, то также не разрешает заходить

если кто сталкивался с такой проблемой, ПОМОГИТЕ плиз!!!
сегодня еще 2 компа с такой же проблемой!!!

Добавлено:

ВСЕ ПОЛУЧИЛОСЬ!!! * Спасибо большое SkyF'у!!!
Просто не под тем юзером заходил :)

НО!!!
Получается, если я запускаю эту утилиту с компьютера mars и хочу применить эти права, например, к компьютеру space, то на mars я должен зайти под тем пользователем, который на space является админом. А можно ли быть залогиненным на mars под одним пользователем, а утилиту запускать от имени другого?
Так было бы намного удобнее. Посоветуйте, как можно сделать.

Проблемы с локальной политикой!
 

После перезагрузки опять все по старому!!!
Не получается зайти на компьютер, необходимо после каждой перезагрузки заново назначать права!! Причем это только на двух компах. На остальных все нормально. Может в домене что-то не так прописано??
Подскажите, что и где надо поправить, чтобы все загружалось нормально?

Проблемы с локальной политикой!
 

можно попробовать перед запуском ntrights
подключиться к удаленному компьютеру примерно так:
net use \\remoteserver\ipc$ /user:<remotenameuser> <passwordremoteuser>

установится соудинение - система должна запомнить что с локального на удаленный сервер подключена именно та запись, которую использовали.
после чего уже попробовать саму ntrights
..
я не пробовал это сам, кстати.
может и не сработать.
тогда просто создаем временно локального пользователя с именем - логином совпадающим с удаленным пользователем.
причем его даже не нужно давать какие-либо права на локальном сервере - просто пользователь.
например можно также командой создать и удалить:
net user <username> <password> /add
...
net user <username> <password> /delete

Добавлено:

а что, после того как зарегистрировались - проверьте локальну. политику безопасности
причем, посмотрите эффективные разрешения какие выставлены, если они пустые - это означает что на уровне домена действительно режутся права (можно попробовать выключить станции из домена и посмотреть что с ними будет твориться), а если эффективные разрешения совпадают, то я уже и не знаю.
настройте аудит изменения групповых политик во все тех же локальных политиках и изучайте журнал безопасности.

Проблемы с локальной политикой!
 

1)СНЕСИ все ветки security  в реестре
2) Проверь secedit.sdb - наверное полетел, как восстановить : Knowlege Base

Проблемы с локальной политикой!
 

ВсЁ!!! *Со всем разобрался!!! :)
Оказывается, проблема была в том, что на компьютерах стояли разные версии виндоса - русско-язычные и англо-язычные. Соответственно группа администраторов называлась либо "Администраторы", либо "Administrators". А в домене права давались только группе "Администраторы". Поэтому на все компы, где пользователи входили в англо-язычные группы, нельзя было зайти.
Стоило только переименовать группу "Administrators" в "Администраторы", как всё стало нормально!!!

Если бы SkyF не посоветовал посмотреть на еффективные разрешения, я бы не догодался.
Всем спасибо за помощь и за советы.

После установки Active Directory был создан домен с одним контроллером домена Win2000Server. На всех рабочих станциях установлена XP Pro rus. Рабочие станции были включены в домен. С правами администратора домена вход с р/с в домен возможен. Но при входе в домен для пользователей не администраторов выдается сообщение: Интерактивный вход в систему на данном компьютере запрещен локальной политикой. Смотрю на р/с Локальные политики. Назначение прав пользователей. Локальный вход в систему. Параметр безопасности имеет значение Администратор и не доступен для изменения (даже если зайти локально на р/с с правами администратора). Если же р/с вывести из домена, то этот параметр  соответствует умолчаниям, т.е. локальный вход разрешен для:
IUSR_WXP1
Администраторы
Гость
Операторы архива
Опытные пользователи
Пользователи
Такая ситуация со всеми рабочими станциями. Что происходит с разрешениями локального входа при включении компьютера в домен?

при подключении компьютеров в домен на них начинают применяться политики безопасности, существующие на уровне домена.

параметры безопасности по названиям точно такие же, однако при конфликтных ситуациях (те локальный указывает одно значение, а доменный другое) - приоритет будет будет выше у доменного.

По умолчанию в домене существуют 2 политики - групповая политика для домена и групповая политика для контроллеров домена.

Таким образом, на обычные компьютеры доействует только групповая политика для домена.

Если компьютеры являются доменными контроллерами (они в этом случае располагаются в Организационном Подразделении Domain Controllers, то на них дополнительно применяется групповая политика для контроллеров домена.

На вашем доменном контроллере происходит именно так, потому что в политике для доменных контроллеров стоит ограничение на запрет локальной регистрации обычных пользователей. И настраивается это тоже там же.

Проблемы с локальной политикой!
 

При использовании утилиты ntrights:
ntrights +r SeInteractiveLogonRight -u APPROACHD\Evgeniy -m \\Scanner2000 *

возникает ошибка:
***Error*** OpenPolicy -1073610729

имя пользователя/домена правильное (в локальных группе Администраторы имеется), данный комьпютер в
домен включен. Или может все-таки еще, что-нибудь надо посмотреть?

Проблемы с локальной политикой!
 

И у меня ошибка :( Пытаюсь назначить право доступа из сети к компьютеру в домене (comp2) пользователю (remotenameuser) с компьютера (comp1), который не входит в домен:

C:\>net use \\<comp2>\ipc$ /user:<comp1>\<remotenameuser> <passwordremoteuser>

Команда выполнена успешно.


C:\>ntrights +r SeNetworkLogonRight -u <comp1>\<remotenameuser> -m \\<comp2>

Granting SeNetworkLogonRight to <comp1>\<remotenameuser> on \\<comp2>... failed (GetAccountSid(<comp1>\<remotenameuser>)=1332

В чем может быть проблема, подскажите, пожалуйста?

отказ входа локальной политикой
 

нельзя давать права на локальных пользователей с удаленных систем.
права можно давать только локальным учетным записям, или из домена в который входит ОС.

те в вашем случае на comp2 должен быть локальный пользователь remotenameuser (с таким же паролем, что и у такого же локального пользователя на comp1).
и тогда команда должна будет выглядеть примерно так:
ntrights +r SeNetworkLogonRight -u <comp2>\<remotenameuser> -m \\<comp2> *

PS Guest c 194.84.36.* если не получатеся, то дайте право локального входа пользователю Scanner2000\administrator ( или для локализованной ОС: Scanner2000\Администраторы). а как им зайдете, так все через локальную политику безопасности и назначите (и пользователю APPROACHD\Evgeniy и кому угодно:
ntrights +r SeInteractiveLogonRight -u Scanner2000\administrator -m \\Scanner2000 *

отказ входа локальной политикой
 

Спасибо, SkyF, все растолковали.
И теперь я размышляю, как бы мне добавить свой компьютер в домен НО чтобы доменные политики безопасности на него не действовали. Не подскажете, возможно ли такое?

[s]Исправлено: ae, 15:00 30-09-2004[/s]

отказ входа локальной политикой
 

ae
если очень осторожно... :biggrin:
не применять политику на этот компьютер,
напр. компьютеры пользователей поместить в группу "Компьютеры обычные" а этот в "Компьютеры административные"
Соответственно применение "пользовательской" политики распространить на "Компьютеры обычные" ну а на "Компьютеры административные" - все что захочется :)

Невозможно войти на консоль клиента домена-ошибка: Запрещено локальной политикой
 

Админ уехал, клоуны остались... AD 2003, станция W2000.
Проблема в следующем , предыдущий админ собственной программой корректировал AD в плане управления полномочиями пользователей.
На станции где он работал , можно войти только под его учетной записью.
Как это отменить , пересмотрел локальные (вижу что они перекрываются доменными) , доменные политики , настройки учетной записи. Нет таких ограничений.
При логине под другой учетной записью , даже администратора домена
выдает - Запрещено локальной политикой.
Такое ощущение , что запрещено реестром или Tweek-ом каким-то.
Где искать посоветуйте.

думаю ответ здесь. локально gpedit.msc, комп./винд./безоп/лок пол./назн.прав/локальный вход в систему. Точно проверили?
доменной можно перекрыть, добавить в аналогичный параметр группу Domain Admins или себя. И проверьте, в каком OI лижит ваша закрученная станция. Тогда и там нужно глянуть.
И еще вопрос, а есть смысл биться? Не проще переставить?

ну раз так:
выполняем результирующую политику, далее фильтруем
смотрим неперекрываемые значения:
Разрешение локального входа в систему
&
Запрещение локального входа в систему
не забывая, что

грузишься с диска ERD Commander, меняешь пароль администратора, перегружаешься, заходишь в систему с новым паролем

не поможет. политика безопасности четко определяет кто может/запрещено регистрироваться локально. Если группы Администраторы (Administrators) или учетной записи самого пользователя в спиках нет - сбрасывай пароль не сбрасывай не поможет.

PRUHA
по конфигурированию политик посмотрите ресурс support.microsoft.com - Проблемы с совместимостью клиентов, программ и служб, которые могут возникнуть при изменении параметров безопасности и назначенных прав пользователей

и действительно право, именно право локального входа на консоль ОС (это тоже своего рода ресурс системы) определяется 2 политиками, как было узказано ранее:

Локальный вход в систему (Allow logon locally) - Администраторы, Пользователи, Опытные пользователи, Операторы Архива, Администратор, Гость
Отклонить локальный вход (Deny logon locally) - Support_388945a0, Гость

- и последняя имеет приоритет, как указал вам Fighter

Кроме того, если возминкают проблемы при отказе регистрации на консоли системы, входящей в состав домена - настройки ее безопасности можно переопределить через групповую политику домена - как вы верно заметили в этом случае ее локальные будут перекрыты:

создаем отдельное подразделение в домене AD;
перемещаем в него учетную запись проблемного компьютера;
через свойства подразделения создаем и сразу подключаем новый Объект групповой политики (ОГП);
редактируем его, используя режим который должен перекрыть локальные настройки (см сообщение от Dennis: Конфигурация компьютера/Настройки Windows/безоп/лок пол./назн.прав/);
переопределяем настройки обоих вышеуказанных параметров (не забывайте про локализацию или ее отсутствие на конечной клиенсткой ОС);
тестируем ее применение RSOP.msc ;
применяем настройки новой политики на клиента (gpupdate.exe или перезагрузка);
настройки должны примениться, после чего можно возвратить учетную запись компьютера на преженее место в домене;
проверяем что полученные настройки безопасности сохранились на клиентской системе.


примерно так, возможно пригодится кому-нибудь.