Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   2008 SP2, GPO и скрипты на включение/выключение компа - отказано в доступе (http://forum.oszone.net/showthread.php?t=253915)

Vladskiy 13-02-2013 13:13 2089426
2008 SP2, GPO и скрипты на включение/выключение компа - отказано в доступе
 
Имеется следущая проблема.
Создана политика которая применяется только на определенную группу (в которую входят только компьютеры)

В политике прописано следующее:
политика компьютера - конфигурация windows - сценарии - автозагрузка
указан скрипт \\192.168.7.40\netlogon\Startup.bat

политика компьютера - конфигурация windows - сценарии - завершение работы
указан скрипт \\192.168.7.40\netlogon\ShutDown.bat

политика компьютера - Административные шаблоны - система/вход в систему
всегда ждать сеть при запуске и входе в систему - включено


Но эти политики не отрбатывают на компьютерах под XP SP3 !!!
Даже скрипты на выключение.
Под Win7 все работает без проблем.

Под XP в журнале приложений появляется следущее:
Код:
Тип события:        Ошибка
Источник события:        UserInit
Категория события:        Отсутствует
Код события:        1000
Дата:                12.02.2013
Время:                9:04:49
Пользователь:                Н/Д
Компьютер:        compname
Описание:
Не удалось выполнить следующий сценарий: \\192.168.7.40\netlogon\StartUp.bat. Отказано в доступе.
.
Код:
Тип события:        Ошибка
Источник события:        UserInit
Категория события:        Отсутствует
Код события:        1000
Дата:                11.02.2013
Время:                18:01:51
Пользователь:                Н/Д
Компьютер:        compname
Описание:
Не удалось выполнить следующий сценарий: \\192.168.7.40\netlogon\ShutDown.bat. Отказано в доступе.
.

При этом если зайти в ту папку после логона и запустить скрипт руками - все работает.
Скрипты на логон/логоф пользователя, котоыре лежат там же - отрабатывают без проблем под любой ОС.


Update: проблема была замечена после того, как размернули контроллер домена из бекапа (прошлый изъяли).


Update: дали совет. поробовал - сработало.
Удалил все файлы скриптов и создал новые с такими же именами.
Плюс пути измнил с IP на hostname для красоты
Видать, сменился какой то системный SID который не очень хорошо отреагировал на XP

brass_net 13-02-2013 13:17 2089429
Похоже сетка не успевает специализироваться, но вообще странно, с поздней инициализацией как раз у семерок проблема иногда бывает, а с ХРюшаим не случалось... imho

Vladskiy 13-02-2013 13:21 2089431
Цитата:
Цитата brass_net
Похоже сетка не успевает специализироваться »
Очень смущает то, что на выключение такой же косяк происходит...

stolyar 13-02-2013 13:33 2089439
Цитата:
Цитата Vladskiy
Очень смущает то, что на выключение такой же косяк происходит... »
В политиках посмотрите, чтобы пользователь, из-под которого запускается задание, содержался там:
"Computer configuration - windows settings - Security settings - Local policies - User rights assignment - Log on as batch job"
Возможно из-за этого...

Vladskiy 13-02-2013 14:34 2089484
Цитата:
Цитата stolyar
В политиках посмотрите, чтобы пользователь, из-под которого запускается задание, содержался там:
"Computer configuration - windows settings - Security settings - Local policies - User rights assignment - Log on as batch job"
Возможно из-за этого... »
Не отрабатывают скрипты применяемые на компьютер (на ползователя без проблем)
Не отрабатывают скрипты ТОЛЬКО на WinXP
Вход в качестве пакетного задания: пользователи домена, компьютеры домена

PS: уже более недели пытаюсь понять в чем дело

brass_net 13-02-2013 14:44 2089492
А если эти скрипты перевесить на пользака?
IMHO политика на комп выполняется от имени системной учетки, которая не имеет доступа к сети.

Vladskiy 13-02-2013 14:57 2089505
Цитата:
Цитата brass_net
А если эти скрипты перевесить на пользака? »
там отрабатывала остановка отключение ненужных служб, на которые у юзера нет прав.
плюс создание заданий под системной учеткой

Цитата:
Цитата brass_net
IMHO политика на комп выполняется от имени системной учетки, которая не имеет доступа к сети. »
Под Win7 все работает...

van1985 13-02-2013 15:04 2089513
протестируйте доступ к вашему файлу из-под системной учетки. например командой AT

Что на сервере в логах , во время попытки доступа к файлу?

brass_net 13-02-2013 15:44 2089541
Цитата:
Цитата Vladskiy
Под Win7 все работает... »
Там несколько изменилось, появились новые системные учетки, например трастед инсталлер...

Vladskiy 13-02-2013 16:45 2089588
Цитата:
Цитата van1985
протестируйте доступ к вашему файлу из-под системной учетки. например командой AT »
Создал задание в планировщике, которое стартует от имени NT AUTHORITY\SYSTEM
задание отработало без проблем

При это ни в журнале сервера, ни рабочей станции ничего нет


При ошибке же за 3-6 секунды до того как это возникает, на сервере в журнале безопасности появляется следующая запись
Код:
Имя журнала:  Security
Подача:        Microsoft-Windows-Security-Auditing
Дата:          13.02.2013 15:49:53
Код события:  4624
Категория задачи:Вход в систему
Уровень:      Сведения
Ключевые слова:Аудит выполнен успешно
Пользователь:  Н/Д
Компьютер:    DC.domain.local
Описание:
Вход с учетной записью выполнен успешно.

Субъект:
        ИД безопасности:                NULL SID
        Имя учетной записи:                -
        Домен учетной записи:                -
        Код входа:                0x0

Тип входа:                        3

Новый вход:
        ИД безопасности:                АНОНИМНЫЙ ВХОД
        Имя учетной записи:                АНОНИМНЫЙ ВХОД
        Домен учетной записи:                NT AUTHORITY
        Код входа:                0x1ba48b7
        GUID входа:                {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
        Идентификатор процесса:                0x0
        Имя процесса:                -

Сведения о сети:
        Имя рабочей станции:        TEST
        Сетевой адрес источника:        192.168.7.73
        Порт источника:                1044

Сведения о проверке подлинности:
        Процесс входа:                NtLmSsp
        Пакет проверки подлинности:        NTLM
        Промежуточные службы:        -
        Имя пакета (только NTLM):        NTLM V1
        Длина ключа:                128

Данное событие возникает при создании сеанса входа. Оно создается в системе, вход в которую выполнен.

Поля "Субъект" указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба "Сервер", или локальный процесс, такой как Winlogon.exe или Services.exe.

В поле "Тип входа" указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).

Поля "Новый вход" указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, с которой выполнен вход.

В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.

Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
        - GUID входа - это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
        - В поле "Промежуточные службы" указано, какие промежуточные службы участвовали в данном запросе на вход.
        - Поле "Имя пакета" указывает на подпротокол, использованный с протоколами NTLM.
        - Поле "Длина ключа" содержит длину созданного ключа сеанса. Это поле может иметь значение "0", если ключ сеанса не запрашивался.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" />
    <EventID>4624</EventID>
    <Version>0</Version>
    <Level>0</Level>
    <Task>12544</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8020000000000000</Keywords>
    <TimeCreated SystemTime="2013-02-13T11:49:53.063Z" />
    <EventRecordID>1757250</EventRecordID>
    <Correlation />
    <Execution ProcessID="676" ThreadID="776" />
    <Channel>Security</Channel>
    <Computer>DC.domain.local</Computer>
    <Security />
  </System>
  <EventData>
    <Data Name="SubjectUserSid">S-1-0-0</Data>
    <Data Name="SubjectUserName">-</Data>
    <Data Name="SubjectDomainName">-</Data>
    <Data Name="SubjectLogonId">0x0</Data>
    <Data Name="TargetUserSid">S-1-5-7</Data>
    <Data Name="TargetUserName">АНОНИМНЫЙ ВХОД</Data>
    <Data Name="TargetDomainName">NT AUTHORITY</Data>
    <Data Name="TargetLogonId">0x1ba48b7</Data>
    <Data Name="LogonType">3</Data>
    <Data Name="LogonProcessName">NtLmSsp </Data>
    <Data Name="AuthenticationPackageName">NTLM</Data>
    <Data Name="WorkstationName">TEST</Data>
    <Data Name="LogonGuid">{00000000-0000-0000-0000-000000000000}</Data>
    <Data Name="TransmittedServices">-</Data>
    <Data Name="LmPackageName">NTLM V1</Data>
    <Data Name="KeyLength">128</Data>
    <Data Name="ProcessId">0x0</Data>
    <Data Name="ProcessName">-</Data>
    <Data Name="IpAddress">192.168.7.73</Data>
    <Data Name="IpPort">1044</Data>
  </EventData>
</Event>

cameron 13-02-2013 21:16 2089835
сеть проводная или беспроводная?
на WinXP какие сетевые адаптеры? не юконы или азеросы, случаем?
компьютеры с winXP входят в группу "компьютеры домена"?
если вместо IP адреса использовать FQDN проблема сохранится?

Vladskiy 14-02-2013 09:36 2090126
Цитата:
Цитата cameron
сеть проводная или беспроводная? »
Провода. Адреса статика.

Цитата:
Цитата cameron
на WinXP какие сетевые адаптеры? не юконы или азеросы, случаем? »
Встроенные realtek

Цитата:
Цитата cameron
компьютеры с winXP входят в группу "компьютеры домена"? »
Да. Плюс вынесены в отдельную группу Only_Workstation к которой и применяются параметры GPO

Цитата:
Цитата cameron
если вместо IP адреса использовать FQDN проблема сохранится? »
Да, из-за этого и думал по IP попробовать/потестировать.

Вчера не отработал еще и logoff скрипт - файл не найден
Попробовал указать путь к сприптам просто в шару с доступом для всех - проблема так же оставалась.

Update: проблема была замечена после того, как размернули контроллер домена из бекапа (прошлый изъяли).

cameron 14-02-2013 10:14 2090146
Цитата:
Цитата Vladskiy
Update: проблема была замечена после того, как размернули контроллер домена из бекапа (прошлый изъяли). »
о, как интересно.
а что в логах КД?
похоже что было неверное восстановление службы каталогов.
сколько КД? какой давности бэкап, как восстанавливали?

Vladskiy 14-02-2013 10:19 2090150
логи КД приведены выше - ошибок не выдает
архив был месячной давности
восстановление с помощью "восстановление системы" (архив был сделан стандартными средствами)

van1985 14-02-2013 11:24 2090198
Перезавести машину в домен пробовали ?

что говорит команда PowerShell на клиенте.
Код:
Test-ComputerSecureChannel

Vladskiy 14-02-2013 11:58 2090232
van1985,
Тестовый компьютер был выведен из домена, изменено имя на test и под ним введен в домен
(на нем сча и эксперементирую с gpupdate и перезагурзками)

PowerShell 2 для Xp пока не могу найти.
а та команда только со второй версии работает

UPDATE: обновил PowerShell
на команду
Код:
Test-ComputerSecureChannel
выдал ответ
True

Vladskiy 14-02-2013 14:32 2090318
дали совет. поробовал - сработало.

Удалил все файлы скриптов и создал новые с такими же именами.
Плюс пути измнил с IP на hostname для красоты
Видать, сменился какой то системный SID который не очень хорошо отреагировал на XP


Время: 06:54.

Время: 06:54.
© OSzone.net 2001-