[WindowsNT]

ipconfig /all рабочей станции
сколько контроллеров? их тоже ipconfig /all

[Telepuzik]

Цитата alseg:

DLSG-LocalAdmins-Membership не значится. »

Правильно ли я понял что после выполнения logoff пользователя его выкидывает из группы DLSG-LocalAdmins-Membership ?

Цитата alseg:

Свежеустановленный клиент Win XP вводится в домен. В Bult-in группу локальных администраторов на клиенте вручную добавляется группа DLSG-LocalAdmins-Membership Для верности применяю gpupdate, перезагружаюсь. После перезагрузки первый логин под admUser, УЗ успешно получает права локального администратора. »

В этот момент выполните команду gpreslut /V и вывод покажите.

[alseg]

Цитата Telepuzik:

Правильно ли я понял что после выполнения logoff пользователя его выкидывает из группы DLSG-LocalAdmins-Membership ? »

именно так! но я бы сказал что не "выкидывает", а отказывается продолжать видеть его членство в группе.

Цитата Telepuzik:

В этот момент выполните команду gpreslut /V и вывод покажите. »

в первый логин ДО момента ПЕРВОГО логофа - gpresult /z показывает, что admUser является мембером нескольких групп, в т.ч. DLSG-LocalAdmins-Membership.
После первого логофа и всех последующих - gpresult /z показывает, что admUser больше НЕ является мембером DLSG-LocalAdmins-Membership.

Цитата WindowsNT:

ipconfig /all рабочей станции сколько контроллеров? их тоже ipconfig /all »

Нет возможности сейчас снять с них ipconfig копипастом, но конфиг там такой:

2 домен контроллера.
1 - мастер всех ролей
2 - репликатор

Станция
STATIC
IP 10.0.0.10/24
GW 10.0.0.1
DNS1 10.0.0.3
DNS2 10.0.0.20

DC1
STATIC
IP 10.0.0.3/24
GW 10.0.0.1
DNS1 127.0.0.1
DNS2 10.0.0.20

DC2
STATIC
IP 10.0.0.20/24
GW 10.0.0.1
DNS1 127.0.0.1
DNS2 10.0.0.3

Господа, акцентирую ваше внимание на том, что в данной сети есть станции и Win7 и 8/8.1. Все работает замечательно.
Проблема именно с WinXP в том же самом окружении, и обнаружилось совершенно случайно при реализации одного пилотного проекта.

Ситуация довольно легко моделируется, чистый домен уровня W2012R2, чистая станция WinXP SP3 Pro, DL группа и 1 мембер этой группы.

[Telepuzik]

Цитата alseg:

в первый логин ДО момента ПЕРВОГО логофа - gpresult /z показывает »

Так Вы покажите вывод команды gpresult /V или нет?

[alseg]

Telepuzik, да, пожалуйста, в аттаче

gpresult (но в момент ПОСЛЕ первого logoff)
ipconfig /all с станции WinXP
при необходимости - предоставлю ipconfig /all с серверов, но сейчас нет возможности забрать конфиг, да и в целом сетевые реквизиты указал выше

[alseg]

DEL, задублировалось

[Telepuzik]

Цитата alseg:

Пользователь является членом следующих групп безопасности: ---------------------------------------------------------- Все Пользователи ИНТЕРАКТИВНЫЕ Прошедшие проверку ЛОКАЛЬНЫЕ »

Такой ощущение что пользователь пропадает из всех доменных групп.

Цитата alseg:

admUser больше НЕ является мембером DLSG-LocalAdmins-Membership »

А этот пользователь входит в группу Domain Users? Если его включить в эту группу, а затем сделать logon затем logoff пользователь остается в данной группе?

[alseg]

Цитата Telepuzik:

Такой ощущение что пользователь пропадает из всех доменных групп. »

да, это выглядит именно так.
Но, повторюсь - скорее это "winxp станция по какой то причине перестает видеть, что данный пользователь - мембер соответствующих групп".
Почему? Незнаю.

Цитата Telepuzik:

А этот пользователь входит в группу Domain Users? Если его включить в эту группу, а затем сделать logon затем logoff пользователь остается в данной группе? »

Да, т.к. настройки в доменном окружении по дефолту - пользователь конечно входит в Domain Users.
Если на станции добавить в локальных администраторов доменную группу Domain Users - права администратора будут выданы, и можно сколько угодно раз делать login/logoff, права будут сохраняться.

Если же сделать Domain Local Security Group скажем "TEST2", в нее включить admUsers, а саму группу TEST2 включить в локальных администраторов на станции - эффект будет такой же как и с DLSG-LocalAdmins-Membership, то бишь "до первого логофа".

Такие дела.

[Telepuzik]

Цитата alseg:

скорее это "winxp станция по какой то причине перестает видеть, что данный пользователь - мембер соответствующих групп". »

Т.е. если открыть свойства группы DLSG-LocalAdmins-Membership и посмотреть кто является членами этой группы, то пользователь admUser будет там присутствовать правильно?