Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Автоматическая установка Windows 2000/XP/2003 (http://forum.oszone.net/forumdisplay.php?f=32)
-   -   Блокировка учетной записи (disable) локального Администратора (http://forum.oszone.net/showthread.php?t=55003)

CrashBash 11-10-2005 09:37 363223
Блокировка учетной записи (disable) локального Администратора
 
Уф, никак не могу определить правильное направление поисков. Ситуация следующая, есть XP SP2 Corp на RIS сервере, все было хорошо, автоматическая установка работала путем. После внесения очередной порции изменений имеем следующую проблему:

После установки Windows, не выполняется автологон, поскольку учетная запись локального админа оказывается заблокированной. Т.е. в системе вообще не остается рабочих локальных учетных записей, спасает только safe mode (он как оказалось пускает даже заблокированного админа). Вся установки и внесение изменений в реестр, должно было бы выполняться именно после автологона. Пароль везде использую один, он не менялся. В журналах системы подозрительных записей нет. После разблокирования учетной записи админа, и загрузки под ней, вся установка идет своим чередом без проблем. Понятно, что раз уж установка идет под правами админа, то в части безопасности случается нечто, что блокирует учетную запись. Но что может вызвать блокировку учетной записи локального админа? Где могут быть грабли? :search:

Timofeyster 16-10-2005 23:05 364783
CrashBash
Учётная запись локального администратора может блокироваться доменными групповыми политиками.
Крайте рекомендую посоветоваться с тем, кто у Вас администрирует Active Directory.
Если такая политика имеет место быть, как вариант решения - помещать компутер в организационное подразделение Active Directory, на которое не действует этиа груповая политика (см. свойства RIS-а).
А вообще, можно же осуществить Autologon под доменным аккаунтом или вообще не вводить компутер в домен до окончания установки.

CrashBash 17-10-2005 09:16 364856
Timofeyster
Спасибо, но дело тут оказалось в другом. RIS на Windows Server 2003 при создании Ristndrd.sif (аналог winnt.sif имеющий дополнительные ключи) автоматически вставляет строку DisableAdminAccountOnDomainJoin = 1. Ее действие и заключается в отключении учетной записи локального администратора, как я понимаю для обеспечения пущей безопасности. Оно вроде так и есть. Хотя... Если трезво подумать, то частенько в результате локального взлома, получают права учетной записи SYSTEM, а ее не отключишь (к великому горю MS) :)

Дополнительно почитать можно тут:
How to turn on the local administrator account on a remote computer during an RIS installation in Windows Server 2003
TechNet





Время: 00:49.

Время: 00:49.
© OSzone.net 2001-