|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] DC w2k - запрет локального входа администратору в режиме DSRM |
|
|
[решено] DC w2k - запрет локального входа администратору в режиме DSRM
|
|
Новый участник Сообщения: 13 |
Добрый день, уважаемые знатоки! Очень расчитываю на Вашу помощь.
Имею следующую ситуацию: есть домен, в нём два доменных контроллера на w2k SP4 RC4.27 (да-да, такой изврат). Стоит задача апргейдить схему AD до 31-й версии и ввести новые DC на w2k3 RC2 с последующим удалением старых DC и переводом домена в нативный режим. Перед проведением adprep /forestprep хотел обеспечить возможность отката в случае неудачного обновления схемы путём принудительного восстановления AD (через DSRM). Для этого нужна возможность войти в DC под администратором восстановления службы каталогов. Поскольку сервера ставились в незапамятные времена и с тех пор сменилось штук пять админов, админский пароль мне пришлось сбрасывать, в чём руководствовался статьёй Майкрософт: http://support.microsoft.com/kb/239803/ru. Но этим дело не ограничилось. Когда я ради окончательной проверки попытался загрузить контроллеры в режиме DSRM и войти под администратором, в ответ оба контроллера мне выдали: "Интерактивный вход в систему на данном компьютере запрещён локальной политикой" (sic!). Есть осложняющие обстоятельства, которые, как мне думается, могли служить причиной подобного глюка. Во-первых, судя по всему, изначально домен был поднят на англоязычной винде, а нынешние два DC - русскоязычные. Возможно, проблема из-за разницы в названиях локальных администраторов и групп безопасности, спущенных с домена. Во-вторых, на одном из DC когда-то был поднят сервер терминалов и установлен Citrix Metaframe 1.8. Раньше этот сервер использовался в качестве терминального, но теперь все активные задачи перенесены с него на новые сервера. Однако разрешения, заданные в доменной политике безопасности для контроллеров, всё равно распространились на оба DC. |
|
|
Отправлено: 11:32, 31-03-2010 |
|
Ветеран Сообщения: 4900
|
Профиль | Сайт | Отправить PM | Цитировать |
|
------- Отправлено: 12:59, 31-03-2010 | #2 |
|
Новый участник Сообщения: 13
|
Профиль | Отправить PM | Цитировать ntrights пробовал во всех, по-моему, возможных вариациях. И группе "Все" право запрета локального входа отзывал, и локальному админу пытался отозвать право запрета и дать право входа. Нулевой результат. Будучи загруженной в штатном режиме, система не видит локальных записей безопасности, поскольку подняты службы AD. Будучи загруженной в режиме DSRM, при котором AD отключается, система недоступна ни с консоли, ни удалённо (т.е., к примеру, попытка выполнить на ней те же самые ntrights с помощью psexec приводит к сообщению о невозможности разрешения имени компьютера).
|
|
Отправлено: 13:39, 31-03-2010 | #3 |
|
Новый участник Сообщения: 13
|
Профиль | Отправить PM | Цитировать Проблема решена.
Дело действительно было в локальных политиках и языковой разнице между именованиями в AD и в локальных профилях ОС серверов. Но проблема в том, что просто так в локальные политики DC включить разрешения для пользователей и групп, не перечисленных в AD, нельзя. Даже если запустить "Локальные политики безопасности" (secpol.msc) и попытаться внести изменения в пункт "Параметры безопасности/Локальные политики/Назначение прав пользователя/Локальный вход в систему", вводимые профили проходят проверку соответствия учётным записям AD. Поскольку локальных администраторов DC и тем более их локальных групп безопасности там нет, это бесполезно. Однако можно пойти обходным путём. Запускаем консоль управления (mmc.exe) и залезаем в оснастку "Шаблоны безопасности". Для этого лезем "Консоль\Добавить или удалить оснастку", на закладке "Изолированная оснастка" жмём кнопку "Добавить", в списке изолированных оснасток ищем "Шаблоны безопасности" (Security Templates), жмём "Добавить" и "Закрыть", затем "ОК". Раскрываем дерево шаблонов "Шаблоны безопасности", ищем setup security, раскрываем. В "Локальные политики/Назначение прав пользователя/Локальный вход в систему", добавляем тех, кого надо (В моём случае это был "Администратор"). Смотрим, чтобы в "Отклонить локальный вход" (там же) не было тех, кого не надо.  Закрываем mmc, на вопрос сохранения setup security.inf отвечаем положительно (перед этим лучше на всякий случай скопировать оригинальный файл %systemroot%\security\templates\setup security.inf в другую папку). Теперь уже запускаем secpol.msc и подгружаем изменённый шаблон локальных политик безопасности (находясь в корне оснастки, т.е. на пункте "Параметры безопасности", лезем в "Действие\Импорт политики", выбираем изменённый setup security.inf). Всё!После этого я спокойно загрузился в режиме DSRM и вошёл под администратором. |
|
Отправлено: 20:52, 02-04-2010 | #4 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Доступ - Запрет входа для пользователя | Geleoss | Microsoft Windows 2000/XP | 3 | 18-06-2008 12:50 | |
| Запуск GUI приложения при старте Windows 2003 без локального входа в систему | mvf | Microsoft Windows NT/2000/2003 | 6 | 14-01-2008 04:54 | |
| Запрет локального доступа | YDen | Microsoft Windows NT/2000/2003 | 3 | 09-02-2006 12:44 | |
| [решено] Запрет локального входа - интерактивный вход запрещен политикой безопасно | Guest | Microsoft Windows NT/2000/2003 | 21 | 04-10-2005 12:50 | |
| Запрет локального входа ??? | DSN | Microsoft Windows 2000/XP | 14 | 18-10-2002 14:03 | |
|
|
Время: 12:31. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
