Проблемы с политиками безопасности в Windows 2000 Server

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

Проблемы с политиками безопасности в Windows 2000 Server

Здравствуйте, господа. Необходима ваша помощь. Сам пока решить не могу, хотя перепробовал много всего.
Есть домен, 2 сервера w2ks. Неизвестно по какой причине вдруг пропала возможность редактировать параметры безопасности GPO любого уровня - доменные, OU, контроллеров домена. При сохранении дважды вылетает окно "Не удалось сохранить Не удалось сохранить sysvol\{путь}\SecEdit\GptTmpl.inf". В результате не могу назначить права для доступа к одному из компьютеров из сети, ну и вообще ничего не могу. Учетка Enterprise Admin, права на редактирование sysvol проверил - учетке полный доступ. Руками править файлы GptTmpl.inf могу, через mmc не дает. Подскажите, куда посмотреть. Любую доп. инфу предоставлю.

Вывод gpresult /s, кусок касательно параметров безопасности:

Цитата:

The computer received "Security" settings from these GPOs:

Revision Number: 5 (Active Directory) 5 (Sysvol)
Unique Name: Domain Name:
Linked to: Local computer

Default Domain Controllers Policy
Revision Number: 3 (Active Directory) 3 (Sysvol)
Unique Name: {6AC1786C-016F-11D2-945F-00C04fB984F9}
Domain Name: MYDOMAIN.LOCAL
Linked to: Organizational Unit (OU=Domain Controllers,DC=mydomain,DC=local)

Default Domain Policy
Revision Number: 5 (Active Directory) 5 (Sysvol)
Unique Name: {31B2F340-016D-11D2-945F-00C04FB984F9}
Domain Name: MYDOMAIN.LOCAL
Linked to: Domain (DC=mydomain,DC=local)

Добавлено:
В логах вот такое наблюдаю, хотя раньше не было:

Цитата:

Не удалось создать используемый по умолчанию объект групповой политики. Ошибка 80070020 при сохранении объекта групповой политики (GPO) Доменная политика восстановления EFS.

При созданиии нового GPO шаблоны безопасности не сохраняются с ошибкой "Не удалось сохранить..."
Сломал голову уже, подтолкните мыслью...

Какие еще ошибки есть в логах?
Что устанавливалось незадолго до этого?

Цитата:

А какой код ошибки то собственно? По журналу?

Да, маловато информации. не Ваш случай?

Цитата:

Какие еще ошибки есть в логах?

Логи идеально чистые, кроме вот этой самой "ID 1002 SclgNtfy..." и далее по тексту. Больше ничего.
Ничего не устанавливалось и не удалялось, судя по логам.
Но. Есть практически уверенность, что недавно сбрасывалась Default Domain Policy со слов предыдущего коллеги (я приходящий админ), он сам не знал что творит, но по мануалу с microsoft.com пересоздал, похоже, политику домена по умолчанию. Вопрос фактически в следующем: как восстановить права на изменение политики по умолчанию? И почему руками я могу править файлы политик, а через оснастки сначала подвисает секунд на 10-20, потом выдаёт ошибку?

Цитата:

Да, маловато информации

Скажите, что необходимо уточнить. Понимаю, что сложновато диагностировать, просто не знаю, что еще выложить полезного в этом плане.

Цитата:

не Ваш случай?

Был, читал, с координатором транзакций у меня вроде проблем нет. На всякий случай сделал сброс. Не помогло.

Цитата:

"ID 1002 SclgNtfy..."

а все сообщение не судьба записать? здесь же не телепаты?
На www.eventid.net не заглядывали?

Цитата:

а все сообщение не судьба записать? здесь же не телепаты?

Да я вроде выше писал.
ID: 1002
Источник: SclgNtfy
Описание: Не удалось создать используемый по умолчанию объект групповой политики. Ошибка 80070020 при сохранении объекта групповой политики (GPO) Доменная политика восстановления EFS.

Цитата:

На www.eventid.net не заглядывали?

Заглядывал конечно, перерыл там всё, но у меня подписки нет, а касательно EFS там только одна ссылка, которую вроде нашел поиском на support.microsoft.com. Пока не помогло.

_Dzen_
Надо нажимать на ссылку Comments and links for event id 1002 from source SclgNtfy , и получим результат , также не забываем Microsoft

Цитата:

Надо нажимать на ссылку Comments and links for event id 1002 from source SclgNtfy , и получим результат

Спасибо, я знаю, как пользоваться eventid'ом.

Цитата:

перерыл там всё

Цитата:

касательно EFS там только одна ссылка

Цитата:

is a more appropriate article than M257705 since it deals with "domain" EFS. However this article may have a typo in stating that you do not need CA to add EFS Recovery Agents.

Вобщем, если у кого вдруг появятся соображения - любые - буду признателен. Коллективный разум дал понять, что надо уходить в глубокую отладку =(

2 _Dzen_

а если попробовать (при условии что у вас не "крутятся" "критичные" для вашей организации политики ) восстановить Default Domain Policy по умолчанию??????
(утилита dcgpofix.exe)

RaZZoRRo
Применительно к w2ks этот инструмент называется RecreateDefPol.exe
С помощью него и попали в эту ситуацию, как я понял из объяснений. Сбрасывал политику повторно, не помогает.
В данный момент интересует механизм применения шаблонов безопасности. Почему руками можно править файлы политик, а через оснастку GPO нельзя? Мне кажется, в этом суть решения и есть. Кто бы прояснил...

Есть в политике параметр, кому можно редактировать GP, посмотрите его. А также интересно, кто имеет доступ на запись к файлам SYSVOLа (SYSTEM, кто из администраторов)
{путь} - проверили? может одна буковка не сходится? Предыдущий админ переименовал?

Цитата:

руками я могу править файлы политик

- пробовали исправить и сохранить?
А предыдущий делал dcgpofix.exe или в том мануале с microsoft.com как-то по-другому? Тогда точно стоит прислушаться к раЗЗорро...

Все еще бьюсь, решил на характер одолеть непокорную софтину ;)
Инструмента dcgpofix.exe нет для w2k. А есть RecreateDefPol.exe, которая не помогает.

Gpotool выдает такое:

Цитата:

Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Error: GPO on DC2.domain.local contains user data but version is 0
Error: GPO on DC1.domain.local contains user data but version is 0
Policy OK

Расшифруйте, плз, как поменять версию. По мануалам она не может быть равной 0. А вот как изменить, нигде не нашел...

Еще вот чего есть:

Цитата:

Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch

{7F636AA6-03E0-4278-BA73-87EDC1AAF101}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch

О чем говорят эти ошибки? Я подозреваю, что на двух контроллерах различные версии GPO, т.е. не реплицируются изменения в GPO. Тогда почему в логах чисто и dcdiag не выдает предупреждений? А если тупо синхронизировать папки sysvol на обоих контроллерах? Не обвалится ничего, интересно..?
Есть ли у кого способ побороть эту ошибку?

2 _Dzen_

а можно результат выполнения gptool /verbose

Цитата:

Domain: domain.local
Validating DCs...
DC2.domain.local: OK
DC1.domain.local: OK
Available DCs:
DC2.domain.local
DC1.domain.local
Searching for policies...
Found 7 policies
============================================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Error: GPO on DC2.domain.local contains user data but version is 0
Error: GPO on DC1.domain.local contains user data but version is 0
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:16:58
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:14:55
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {4C834C6B-C760-4E4E-9C39-373D49F87D6D}
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: New Domain Policy
Created: 09.03.2006 11:11:37
Changed: 04.04.2006 4:32:28
DS version: 1(user) 1(machine)
Sysvol version: 1(user) 1(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: New Domain Policy
Created: 09.03.2006 11:11:37
Changed: 04.04.2006 4:27:28
DS version: 1(user) 1(machine)
Sysvol version: 1(user) 1(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {5AD04355-9E21-43DA-ABF2-77FE69CC4966}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: powerusers
Created: 26.05.2004 8:28:41
Changed: 26.05.2004 8:31:10
DS version: 1(user) 0(machine)
Sysvol version: 1(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: powerusers
Created: 26.05.2004 8:28:41
Changed: 13.07.2005 9:42:17
DS version: 1(user) 0(machine)
Sysvol version: 1(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Default Domain Controllers Policy
Created: 13.06.2002 15:11:42
Changed: 03.04.2006 12:27:46
DS version: 0(user) 3(machine)
Sysvol version: 0(user) 3(machine)
Flags: 0
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Domain Controllers Policy
Created: 13.06.2002 15:11:42
Changed: 03.04.2006 12:25:20
DS version: 0(user) 3(machine)
Sysvol version: 0(user) 3(machine)
Flags: 0
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {7F636AA6-03E0-4278-BA73-87EDC1AAF101}
Error: DC2.domain.local - DC1.domain.local sysvol mismatch
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Default Site Policy
Created: 04.04.2006 6:13:25
Changed: 04.04.2006 10:46:58
DS version: 0(user) 0(machine)
Sysvol version: 0(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Site Policy
Created: 04.04.2006 6:13:25
Changed: 04.04.2006 10:42:43
DS version: 0(user) 0(machine)
Sysvol version: 0(user) 0(machine)
Flags: 0
User extensions: not found
Machine extensions: not found
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {AD717D2A-156C-4151-A6D1-7FD1B2BA5AA5}
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: Test policy
Created: 11.11.2005 10:47:21
Changed: 11.11.2005 11:06:07
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: not found
Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Test policy
Created: 11.11.2005 10:47:21
Changed: 11.11.2005 11:09:50
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: not found
Machine extensions: [{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}]
Functionality version: 2
------------------------------------------------------------
============================================================
Policy {F5308753-CAB2-4957-BDB4-547995CEF7E0}
Policy OK
Details:
------------------------------------------------------------
DC: DC2.domain.local
Friendly name: DameWare
Created: 30.01.2006 15:34:54
Changed: 09.02.2006 7:10:22
DS version: 6(user) 11(machine)
Sysvol version: 6(user) 11(machine)
Flags: 0
User extensions:
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: DameWare
Created: 30.01.2006 15:34:54
Changed: 09.02.2006 7:15:21
DS version: 6(user) 11(machine)
Sysvol version: 6(user) 11(machine)
Flags: 0
User extensions:
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------

Errors found

Политики New Domain Policy, Test Policy и DameWare были удалены, но GUIDы их (и собственно они сами) остались почему-то в sysvol.

_Dzen_

хммм ........
интересные у вас вещи происходят :

Цитата:

DC: DC2.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:16:58
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2
------------------------------------------------------------
------------------------------------------------------------
DC: DC1.domain.local
Friendly name: Default Domain Policy
Created: 13.06.2002 15:11:42
Changed: 04.04.2006 11:14:55
DS version: 0(user) 5(machine)
Sysvol version: 0(user) 5(machine)
Flags: 0
User extensions: [{3060E8D0-7020-11D2-842D-00C04FA372D4}{3060E8CE-7020-11D2-842D-00C04FA372D4}]
Machine extensions: [{35378EAC-683F-11D2-A89A-00C04FBBCFA2}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}][{42B5FAAE-6536-11D2-AE5A-0000F87571E3}{40B6664F-4972-11D1-A7CA-0000F87571E3}][{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A0D0-00A0C90F574B}][{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}{53D6AB1B-2488-11D1-A28C-00C04FB94F17}]
Functionality version: 2

Flags: 0 - здесь все хорошо
Functionality version: 2 - тоже нормально (главное что бы не меньше 2)
репликация между контроллерами домена проходит , репликация с AD тоже проходит .....

но, что вызывает опасения : DS version: 0(user) , то соответственно и User extensions: "должен быть " not found

у вас к "user ам " применяется какие либо сценарии??????

Цитата:

у вас к "user ам " применяется какие либо сценарии??????

Да собственно один скрипт, прицеплен в Default Domain Policy как logon-скрипт, применяется к машинам, Конф. Компьютера - Конф. Windows - Сценарии - Автозагрузка. А можно поподробнее про 0(user)? В политике {31B2F340-016D-11D2-945F-00C04FB984F9} посмотрел GPT.ini, там версия 5. А версию user-ветки где смотреть?
Где про этот механизм оперативно почитать? У Зубанова в книге про AD вроде было, но сейчас не найду что-то...

2 _Dzen_

Ф.Зубанова можно взять здесь :
http://rapidshare.de/files/7028926/Z...s.ru_.rar.html

у него да действительно было и есть ....;)

Цитата:

у вас к "user ам " применяется какие либо сценарии?

Пока Зубанова листаю, поясните этот вопрос вкратце, плз
;)

http://www.oreilly.com/catalog/mwin2...pter/ch07.html
куда уж более кратко чем oreily ......

я бы проверил : на клиентской машине ветку реестра

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

что там ..???

Там ничего, кроме двух положенных быть подразделов - ActiveDesktop и Explorer.

Спасибо за участие всем, порешил-таки. И вот какие для этого пришлось совершить потуги:

- воссоздал политику по умолчанию с помощью recreatedefpol.exe для w2k
- восстановил права доступа на sysvol на всех контроллерах
- восстановил членство в группах с администраторскими правами, получаемое при создании учетной записи
- синхронизировал номера версий GPO и GPT с помощью ADSI Edit
- перезагрузился раз сто сорок и выкурил три блока никотина (необязательно;)

Проблема решилась, благодарю еще раз всех форумчан за помощь.