[решено] Локальный вход на контроллер домена Win2003 SP1

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

Локальный вход на контроллер домена Win2003 SP1

Из группы локальных админов (Administrators) на контроллере домена исчезают все пользователи, кроме Administrator после обновления политики безопасности домена (ну или сразу после gpupdate /force).
Дефолтная политика домена правилась (добавлялись пользователи в Allow Local ...) в надежде, как грится - бестолку. Править политики безопасности домена и контроллера домена не даёт.
AD находится в Mixed Mode. Закладки с политиками на объектах OU просто нет.
Прочитал похожую тему здесь, но ответа не получил...
---
До этого правилась ошибка Event ID 53258.
Использовался совет SkyF:

Цитата:

открыть regedit.exe перейти в ветку HKLM\Software\Microsoft\MSDTC, пр. (правой) кнопкой вызвать контекстное меню и выбрать Разрешения (Permission) в список безопасности добавить встроенную сиситемную запись Network Service поставить галочки Полный Доступ (а, чего мелочиться)

Единственное -

Цитата:

добавить встроенную сиситемную запись Network Service

- уже была.
и информация от EventID.Net:

Цитата:

David Grant (Last update 4/12/2005): I corrected the error by doing the following: 1. Click Start -> Administrative Tools -> Component Services. 2. Click the "+" next to Component services to expand it. 3. Right click "My Computer" in the right window pane and select Properties. 4. Click the MS DTC Tab. 5. Click the "Security Configuration" button, a dialog box appears. Click "OK". 6. Click "OK" on the "My Computer Properties" box; this will take you back to the console. 7. Right click "My Computer" and select "Stop MS DTC" (this stops the MSDTC service. 8. Again, right click "My Computer" and select "Start MS DTC". By following the above steps, it appears that this sets the MS DTC defaults resolving the error messages. Check the event log to verify that the problem is gone. You might also want to restart the server to verify this.

У вас случаем Restricted Groups не настроены?

Таки так должно быть, так как на контроллерах домена вообще не может быть локальных пользователей, и локальных админов тоже.

Igor533, немного не так

Цитата:

База локальных пользователей на контроллере домена отключается. Остается только один пользователь - Администратор - для входа в режиме восстановления AD.

WildNP
Да, я просмотрел немного. Поподробнее, что это за группа локальных админов на DC? Самосозданная, что ли? Для управления Групповыми политиками поставьте GPMC. И как совместить

Цитата:

Дефолтная политика домена правилась

Цитата:

Править политики безопасности домена и контроллера домена не даёт.

Решил вопрос.
-------------------
Поставил GPMC SP1 - там удалось поправить дефолтную политику безопасности контроллера домена (убрать из Restricted Group группу Administrators и убрать "левые" GPO, которые не убирались через mmc-add snapin-GPOE-Brouse-All - не было прав (у Administrator !)).
Вся "соль" ситуации - что туда эту группу никто не добавлял. Более того, править политику безопасности домена не удавалось через административные шаблоны (и через добавление оснастки в mmc), как и политику безопасности контроллера домена (оттуда же), но через GPMC SP1 - пожалуйста.
Политики безопасности - часть соответствующих групповых политик.
Каким образом из группы Administrators исчезали пользователи, я уже не разбирался (были добавлены туда Domain Admins - и это работало полгода и вот исчезать стало).

Цитата:

И как совместить Цитата:Дефолтная политика домена правилась и Цитата:Править политики безопасности домена и контроллера домена не даёт.

Как это совместить я и сам не понимаю. Вроде и один и тотже объёкт, но способы доступа до него разные - через административные шаблоны в меню и через mmc-add snapin-GPOE.

Цитата:

Наверное, я неправильно выразился, сам виноват. Имелись в виду встроенные учётки группы Administrators и Administrator в AD.
В группу Administrators была мной добавлена группа Domain Admins, которая исчезала оттуда (добавлялись и отдельно учётки других пользователей с тем же эффектом).
---
Всем спасибо, Ваши советы помогли бы, еслиб сам не успел сделать :-).

P.S. В Mixed Mode AD политики применяются тока целиком на домен, на отдельные OU невозможно применить политики - а я искал там в свойствах вкладку GroupPolicy, котора я есть только на контейнере домен контроллеров :-) - это так, ремарка.

Цитата:

на отдельные OU невозможно применить политики

Неправда Ваша ))) Изучайте логи на предмет ошибок в применении ГП. Через ту же GPMC проверьте применение политик на OU.

Цитата:

P.S. В Mixed Mode AD политики применяются тока целиком на домен, на отдельные OU невозможно применить политики - а я искал там в свойствах вкладку GroupPolicy, котора я есть только на контейнере домен контроллеров :-) - это так, ремарка.

Не припомню я что-то такого ограничения. В свойства каких OU искал вкладку "GroupPolicy".

xoxmodav

Цитата:

В свойства каких OU искал вкладку "GroupPolicy".

До установки GPMC SP1 - во всех, кроме сайта (AD users and computers).
Я проверю, конечно в GPMC SP1 - может, в "неапгрейженной" это было типа непредусмотрено (а скорее всего, просто глюк системы). Но вкладки GroupPolicy НЕ БЫЛО. Даже если она там и должна быть - не буду настаивать, просто видимо в поисках мельком видел такую информацию.
AD и сейчас находится в Mixed Mode, правда, установлен SP2 на винду.
2 monkkey
Всё проверю, тут уже принципиальный вопрос... :-)
Спасибо.
---------------
Почитал "зубров", видимо, я ошибался насчёт этого ограничения насчёт политик.
Что поделаешь, состояние аффекта, хроническая пивная недостаточность :-).
Тему можно прикрывать.