Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] DC w2k - запрет локального входа администратору в режиме DSRM

Ответить
Настройки темы
[решено] DC w2k - запрет локального входа администратору в режиме DSRM

Новый участник


Сообщения: 13
Благодарности: 1

Профиль | Отправить PM | Цитировать


Добрый день, уважаемые знатоки! Очень расчитываю на Вашу помощь.

Имею следующую ситуацию: есть домен, в нём два доменных контроллера на w2k SP4 RC4.27 (да-да, такой изврат). Стоит задача апргейдить схему AD до 31-й версии и ввести новые DC на w2k3 RC2 с последующим удалением старых DC и переводом домена в нативный режим. Перед проведением adprep /forestprep хотел обеспечить возможность отката в случае неудачного обновления схемы путём принудительного восстановления AD (через DSRM). Для этого нужна возможность войти в DC под администратором восстановления службы каталогов.

Поскольку сервера ставились в незапамятные времена и с тех пор сменилось штук пять админов, админский пароль мне пришлось сбрасывать, в чём руководствовался статьёй Майкрософт: http://support.microsoft.com/kb/239803/ru. Но этим дело не ограничилось. Когда я ради окончательной проверки попытался загрузить контроллеры в режиме DSRM и войти под администратором, в ответ оба контроллера мне выдали: "Интерактивный вход в систему на данном компьютере запрещён локальной политикой" (sic!).

Есть осложняющие обстоятельства, которые, как мне думается, могли служить причиной подобного глюка. Во-первых, судя по всему, изначально домен был поднят на англоязычной винде, а нынешние два DC - русскоязычные. Возможно, проблема из-за разницы в названиях локальных администраторов и групп безопасности, спущенных с домена. Во-вторых, на одном из DC когда-то был поднят сервер терминалов и установлен Citrix Metaframe 1.8. Раньше этот сервер использовался в качестве терминального, но теперь все активные задачи перенесены с него на новые сервера. Однако разрешения, заданные в доменной политике безопасности для контроллеров, всё равно распространились на оба DC.

Отправлено: 11:32, 31-03-2010

 

Ветеран


Сообщения: 4900
Благодарности: 496

Профиль | Сайт | Отправить PM | Цитировать


http://support.microsoft.com/kb/276590/ru
http://forum.oszone.net/thread-147942.html

-------
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.


Отправлено: 12:59, 31-03-2010 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 13
Благодарности: 1

Профиль | Отправить PM | Цитировать


ntrights пробовал во всех, по-моему, возможных вариациях. И группе "Все" право запрета локального входа отзывал, и локальному админу пытался отозвать право запрета и дать право входа. Нулевой результат. Будучи загруженной в штатном режиме, система не видит локальных записей безопасности, поскольку подняты службы AD. Будучи загруженной в режиме DSRM, при котором AD отключается, система недоступна ни с консоли, ни удалённо (т.е., к примеру, попытка выполнить на ней те же самые ntrights с помощью psexec приводит к сообщению о невозможности разрешения имени компьютера).

Отправлено: 13:39, 31-03-2010 | #3


Новый участник


Сообщения: 13
Благодарности: 1

Профиль | Отправить PM | Цитировать


Проблема решена.

Дело действительно было в локальных политиках и языковой разнице между именованиями в AD и в локальных профилях ОС серверов. Но проблема в том, что просто так в локальные политики DC включить разрешения для пользователей и групп, не перечисленных в AD, нельзя. Даже если запустить "Локальные политики безопасности" (secpol.msc) и попытаться внести изменения в пункт "Параметры безопасности/Локальные политики/Назначение прав пользователя/Локальный вход в систему", вводимые профили проходят проверку соответствия учётным записям AD. Поскольку локальных администраторов DC и тем более их локальных групп безопасности там нет, это бесполезно.

Однако можно пойти обходным путём. Запускаем консоль управления (mmc.exe) и залезаем в оснастку "Шаблоны безопасности". Для этого лезем "Консоль\Добавить или удалить оснастку", на закладке "Изолированная оснастка" жмём кнопку "Добавить", в списке изолированных оснасток ищем "Шаблоны безопасности" (Security Templates), жмём "Добавить" и "Закрыть", затем "ОК". Раскрываем дерево шаблонов "Шаблоны безопасности", ищем setup security, раскрываем. В "Локальные политики/Назначение прав пользователя/Локальный вход в систему", добавляем тех, кого надо (В моём случае это был "Администратор"). Смотрим, чтобы в "Отклонить локальный вход" (там же) не было тех, кого не надо. Закрываем mmc, на вопрос сохранения setup security.inf отвечаем положительно (перед этим лучше на всякий случай скопировать оригинальный файл %systemroot%\security\templates\setup security.inf в другую папку). Теперь уже запускаем secpol.msc и подгружаем изменённый шаблон локальных политик безопасности (находясь в корне оснастки, т.е. на пункте "Параметры безопасности", лезем в "Действие\Импорт политики", выбираем изменённый setup security.inf). Всё!

После этого я спокойно загрузился в режиме DSRM и вошёл под администратором.
Это сообщение посчитали полезным следующие участники:

Отправлено: 20:52, 02-04-2010 | #4



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Windows NT/2000/2003 » [решено] DC w2k - запрет локального входа администратору в режиме DSRM

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Доступ - Запрет входа для пользователя Geleoss Microsoft Windows 2000/XP 3 18-06-2008 12:50
Запуск GUI приложения при старте Windows 2003 без локального входа в систему mvf Microsoft Windows NT/2000/2003 6 14-01-2008 04:54
Запрет локального доступа YDen Microsoft Windows NT/2000/2003 3 09-02-2006 12:44
[решено] Запрет локального входа - интерактивный вход запрещен политикой безопасно Guest Microsoft Windows NT/2000/2003 21 04-10-2005 12:50
Запрет локального входа ??? DSN Microsoft Windows 2000/XP 14 18-10-2002 14:03




 
Переход