|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » Доступ - Доступ доменному пользователю? |
|
||||
|
|
Доступ - Доступ доменному пользователю?
|
|
Старожил Сообщения: 498 |
Караул господа, win 8 x64 в домене 2008R2, сижу под локальным пользователем, при этом в администраторах есть администратор домена.
Ранее запуск от его имени чего либо не вызывал проблем, сегодня заметил вот что: psexec не могу запустить ни от локального, ни от доменного админа - требует повышения, доступ запрещен О_О, запуск mmc от имени доменного админа (runas) если сижу под локальным - доступ запрешен, если зайти под ним - запускает, cd в папку c:\users\local_admin под доменным админом - доступ запрещен, хотя в безопасности разрешения у группы администраторы есть, а он в ней (но через проводник можно зайти), никаких манипуляций не проводил, обновлялся последний раз 25 марта, UAC в состоянии "не уведомлять" помогите кто чем может. |
|
|
Отправлено: 05:52, 19-07-2013 |
|
Сообщения: 53170
|
Профиль | Отправить PM | Цитировать Цитата nokogerra:
|
|
|
Отправлено: 08:29, 19-07-2013 | #2 |
|
Старожил Сообщения: 498
|
Профиль | Сайт | Отправить PM | Цитировать нет, кроме меня некому, в rsop и gpresult нет ничего подозрительного, вернее на пользователя доменного вообще политик нет, на машину только дефолтная, которую не трогал ни разу, ах еще политика от систем центр эссеншиал - теперь пустая, т.к. самого центра нет 100 лет.
Так, проверил на других машинах домена - так же и с другими учетными данными доменного администратора, на них действуют разные политики, на мою машину только дефолт - думаю не в политиках дело, но недавно у меня была проблема которую я описывал в разделе 2008R2: часовые пояса на машинах стояли +7 (нск), настроенные через доменный реестр (не скриптом а именно ключи в gpo), но недавно время стало съезжать на час назад, несмотря на то что пояса оставались также +7, при чем если руками поставить +6 время не изменяется и вернуть на +7 то время становится правильным, но только до след перезагрузки, поправил политику, там ключем было задано "отменить переход на летнее время" и оставил только ключ с заданием временной зоны, на машинах вроде стало все нормально, на dc я ее не накручивал, там поясами вроде все нормально (заданы руками), больше ничего не приходит в голову, но это было дней 10 назад, уже все утряслось, а данная проблема появилась сегодня, максимум вчера. p.s. у меня 2 dc - может в этом быть дело? как то можно проверить реплику sysvol или что-то еще? пишут что обычно причина в dns, для dns на обоих dc в серверах пересылки указан внешний dns провайдера и для основного dc сервером пересылки указан dc2 (реплика), вот что говорит dcdiag на основном dc: Вроде все впорядке, да и опытным путем не было замечено проблем с dns, правда если запустить просто из cmd, а не с повышенными правами будет так: вот еще что интересно: если запускать от залогиненого рядового пользователя домена оснастки с помощью ctrl+shift, например в поиск строке пишем compmgmt.msc, далее ctrl+shift+enter набираем логин/пароль - все запускается, но если сделать runas /noprofile /user:domain\user "mmc %windir%\system32\compmgmt.msc", то после ввода пароля скажет: ОШИБКА RUNAS: Не удается запустить - mmc C:\Windows\system32\compmgmt.msc 740: Запрошенная операция требует повышения. так с помощью runas запускается только cmd, а psexec как я писал - вообще не запускается, прав не хватает о_О repadmin /showrepl на обоих dc успешен, но только при повышенных правах, если просто из cmd то в конце 2 строки: Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут. Процесс DsReplicaGetInfo() завершился ошибкой с кодом состояния 8453 (0x2105): Доступ к репликации отвергнут. |
|
Последний раз редактировалось okshef, 19-07-2013 в 11:23. Отправлено: 10:14, 19-07-2013 | #3 |
|
Сообщения: 53170
|
Профиль | Отправить PM | Цитировать Цитата nokogerra:
Выложите содержимое ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System |
|
|
Отправлено: 11:24, 19-07-2013 | #4 |
|
Старожил Сообщения: 498
|
Профиль | Сайт | Отправить PM | Цитировать вот с моей машины, где также под локальным пользователем с помощью runas /user:domain\admin запускается cmd, не запускаются mmc. 1.txt
|
|
|
Отправлено: 11:33, 19-07-2013 | #5 |
|
Сообщения: 53170
|
Профиль | Отправить PM | Цитировать nokogerra, эти параметры по умолчанию отличаются:
Код:
 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "PromptOnSecureDesktop"=dword:00000001 "ConsentPromptBehaviorAdmin"=dword:00000005 |
|
Отправлено: 13:28, 19-07-2013 | #6 |
|
Старожил Сообщения: 498
|
Профиль | Сайт | Отправить PM | Цитировать PromptOnSecureDesktop я так понял, тут написано что при значении "1" все потуги uac`а будут происходить на безопасном рабочем столе,
по поводу ConsentPromptBehaviorAdmin - вообще не написано что дает значение "5", по таблице судя "0" - не требует повторного ввода креденшиалов от админа при необходимости повышения прав, "1" - требует повторного ввода при необходимости повышения. Вот что нашел по поводу ConsentPromptBehaviorAdmin Background information: the default value for ConsentPromptBehaviorAdmin is 5, which means that Windows prompts for consent for non-Windows binaries. Other possible values are: 0 = Elevate without prompting 1 = Prompt for credentials on the secure desktop 2 = Prompt for consent on the secure desktop 3 = Prompt for credentials 4 = Prompt for consent так что это вроде дефолтное значение, при нем должен появляться запрос на согласие при использовании non-Windows binaries и вроде все. PromptOnSecureDesktop попробовал значение 0 - ничего не изменилось. |
|
Отправлено: 07:24, 23-07-2013 | #7 |
|
Сообщения: 53170
|
Профиль | Отправить PM | Цитировать nokogerra, вы не поняли.
В предыдущем сообщении приведены значения по умолчанию. У вас они отличаются. |
|
Отправлено: 07:32, 23-07-2013 | #8 |
|
Старожил Сообщения: 498
|
Профиль | Сайт | Отправить PM | Цитировать они отличаются на моей машине, взял для пример другую - там такие же значения (дефолтные) и такая же беда с runas например:
c:\Users\localadmin\Desktop>runas /noprofile /user:domain\admin "mmc %windir%\s ystem32\compmgmt.msc" Введите пароль для domain\admin: Попытка запуска mmc C:\Windows\system32\compmgmt.msc от имени пользователя "domain\admin" ... ОШИБКА RUNAS: Не удается запустить - mmc C:\Windows\system32\compmgmt.msc 740: Запрошенная операция требует повышения. |
|
Отправлено: 07:45, 23-07-2013 | #9 |
|
Сообщения: 53170
|
Профиль | Отправить PM | Цитировать |
|
Отправлено: 09:31, 23-07-2013 | #10 |
|
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| 2008 R2 - Запретить доменному админу1 изменять учетную запись доменному админу2 | nokogerra | Windows Server 2008/2008 R2 | 2 | 17-05-2012 13:50 | |
| Debian/Ubuntu - Запретить доступ пользователю | ~user~ | Общий по Linux | 9 | 08-02-2012 12:28 | |
| 2008 R2 - Доступ к планировщику заданий пользователю | Craager | Windows Server 2008/2008 R2 | 9 | 28-06-2011 18:03 | |
| Не проходит авторизацию по доменному пользователю в TMG 2010 | Diesel315 | ISA Server / Microsoft Forefront TMG | 9 | 19-04-2011 09:24 | |
| Как запретить доменному пользователю логиниться на определенном компе. | voler | Microsoft Windows NT/2000/2003 | 4 | 25-06-2007 14:58 | |
|
|
Время: 11:38. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
