[решено] Запуск программ от администратора в домене Windows 2008 r2

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

Запуск программ от администратора в домене Windows 2008 r2

Добрый день.

Помогите разобраться в ситуации. Есть две машины с Windows Server 2008 r2, только что установленные с образов MSDN, чистые. На одной добавляется роль Доменные Службы Active Directory, настраивается мастером установки доменных служб dcpromo.exe и создается новый пользователь. Пользователь состоит в тех же группах, что и Администратор, т.е. Администраторы, Администраторы домена, Администраторы предприятия, Администраторы схемы, Владельцы-создатели групповой политики, Пользователи домена.

Другая машина вводится в этот домен. После перезагрузки заходим новым (созданным выше) пользователем в систему, пытаемся запустить какую-нибудь программу с правами администратора. Например, открываем пуск, правой кнопкой по Internet Explorer, Запуск от имени администратора. Подтверждаем запуск нажатием кнопки "Да", получаем "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту". И точно так при запуске любой оснастки, например, управление компьютером и т.п. Если зайти на этом ПК под пользователем Администратор в том же домене, то все работает. На первой машине все работает под любым из двух пользователей.

Подскажите, что я делаю не так? При реализации подобной схемы на Windows Server 2003 никаких проблем не было.

Добрый день.
ipconfig /all с двух серверов покажите.
посмотрите настройку контроллера домена 2008 R2. Сравните со своей.

exo, прошу прощения, я ошибся темами.
Сожалею за спам и дезинформацию.

Настроил все заново по приведенной ссылке, единственное - не стал отключать запись Администратора. Не работает. От моей первоначальной настройки отличалось тем, что я не создавал обратную зону и не определял сети, которые обслуживает домен.

ipconfig /all на сервере:

Код:



Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : WIN-SERVER

   Основной DNS-суффикс  . . . . . . : domain08r2.localnet

   Тип узла. . . . . . . . . . . . . : Гибридный

   IP-маршрутизация включена . . . . : Нет

   WINS-прокси включен . . . . . . . : Нетинтересно

   Порядок просмотра суффиксов DNS . : domain08r2.localnet



Ethernet adapter Подключение по локальной сети:



   DNS-суффикс подключения . . . . . : 

   Описание. . . . . . . . . . . . . : Адаптер рабочего стола Intel(R) PRO/1000 MT

   Физический адрес. . . . . . . . . : 08-00-27-4D-2C-B3

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   Локальный IPv6-адрес канала . . . : fe80::406d:2423:d99c:c10b%11(Основной) 

   IPv4-адрес. . . . . . . . . . . . : 192.168.0.1(Основной) 

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз. . . . . . . . . : 0.0.0.0

   IAID DHCPv6 . . . . . . . . . . . : 235405351

   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-19-A5-24-16-08-00-27-4D-2C-B3

   DNS-серверы. . . . . . . . . . . : ::1

                                       192.168.0.1

                                       127.0.0.1

   NetBios через TCP/IP. . . . . . . . : Включен



Туннельный адаптер isatap.{37A05AD0-0642-42A8-97E1-2D328F88CDE1}:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . : 

   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да



Туннельный адаптер Подключение по локальной сети* 2:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . : 

   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

ipconfig /all на клиенте

Код:



Настройка протокола IP для Windows



   Имя компьютера  . . . . . . . . . : WIN-CLIENT

   Основной DNS-суффикс  . . . . . . : domain08r2.localnet

   Тип узла. . . . . . . . . . . . . : Гибридный

   IP-маршрутизация включена . . . . : Нет

   WINS-прокси включен . . . . . . . : Нет

   Порядок просмотра суффиксов DNS . : domain08r2.localnet



Ethernet adapter Подключение по локальной сети:



   DNS-суффикс подключения . . . . . : 

   Описание. . . . . . . . . . . . . : Адаптер рабочего стола Intel(R) PRO/1000 MT

   Физический адрес. . . . . . . . . : 08-00-27-8E-33-D7

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

   IPv4-адрес. . . . . . . . . . . . : 192.168.0.2(Основной) 

   Маска подсети . . . . . . . . . . : 255.255.255.0

   Основной шлюз. . . . . . . . . : 

   DNS-серверы. . . . . . . . . . . : 192.168.0.1

   NetBios через TCP/IP. . . . . . . . : Включен



Туннельный адаптер isatap.{37A05AD0-0642-42A8-97E1-2D328F88CDE1}:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . : 

   Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да



Туннельный адаптер Подключение по локальной сети* 2:



   Состояние среды. . . . . . . . : Среда передачи недоступна.

   DNS-суффикс подключения . . . . . : 

   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0

   DHCP включен. . . . . . . . . . . : Нет

   Автонастройка включена. . . . . . : Да

Еще примечательно, что при входе в систему созданным пользователем запускается Диспетчер сервера. Если его окно закрыть и запустить его самостоятельно - "Отказано в доступе к указанному устройству, пути или файлу. Возможно, у вас нет нужных прав доступа к этому объекту".

Цитата:

Цитата avenger321

Основной шлюз. . . . . . . . . : 0.0.0.0 »

Цитата:

Цитата avenger321

WINS-прокси включен . . . . . . . : Нетинтересно »

?
на контроллере домена выполните фикс: 50410

пользователь как создавался? копированием имеющегося или созданием с нуля и добавлением групп?

Основной шлюз не указан, так как в тестовой сети всего две машины. Попробовал указать контроллер в качестве шлюза - сбросил на 0.0.0.0. Фикс применил, он не помог. Пользователь создавался копированием пользователя Администратор. Если создаю нового с нуля и помещаю в те же группы, результат тот же.

Спасибо за желание помочь, уже и не знаю что делать, вроде ничего сложного быть не должно, а не работает.

Цитата:

Цитата avenger321

Другая машина вводится в этот домен. »

На клиентской машине случаем Comodo не установлен?

Цитата:

Цитата Telepuzik

На клиентской машине случаем Comodo не установлен? »

Вообще ничего не установлено, машины чистые, только после установки системы.

Цитата:

Цитата avenger321

Фикс применил, он не помог. »

вы хотя бы прочитайте, для чего фикс нужен...

Цитата:

Цитата avenger321

Пользователь создавался »

если создать простого пользователя и добавить его в группу лок админа на втором сервере?

Цитата:

Цитата exo

вы хотя бы прочитайте, для чего фикс нужен... »

Про фикс читал, не знаю, чем он должен был помочь, но чем черт не шутит...

Цитата:

Цитата exo

вы хотя бы прочитайте, для чего фикс нужен... »

Про фикс читал, не знаю, чем он должен был помочь, но чем черт не шутит...

Однако проблема решена, и оказалась она в неожиданном для меня месте. Для того, чтобы не эксперементировать на рабочей сети, я установил одну систему в виртуалке и склонировал вторую с первой. После на первой был настроен контроллер, вторую же я вводил в домен.

Оказывается, что "чуть ли не единственная вещь, которую категорически нельзя делать с клонированными машинами без дополнительных телодвижений - это делать одну из них контроллером домена. У вас в итоге SID машины совпадает c SID домена, и система не может правильно идентифицировать учетные записи".

Переставил "с нуля" вторую систему, и все заработало. В рабочей сети была та же проблема. Но там, в отличие от клонирования виртуальных машин, виной было то, что все системы ставились из одного образа Acronis.

Кстати, переставлять клонированную систему не обязательно, достаточно запустить на ней sysprep (%WINDIR%\System32\sysprep) с опцией Generalize. "И вообще возьмите за правило не делать клоны серверов без sysprep".

Всем спасибо за помощь!
Однако проблема решена, и оказалась она в неожиданном для меня месте. Для того, чтобы не эксперементировать на рабочей сети, я установил одну систему в виртуалке и склонировал вторую с первой. После на первой был настроен контроллер, вторую же я вводил в домен.

Оказывается, что "чуть ли не единственная вещь, которую категорически нельзя делать с клонированными машинами без дополнительных телодвижений - это делать одну из них контроллером домена. У вас в итоге SID машины совпадает c SID домена, и система не может правильно идентифицировать учетные записи".

Переставил "с нуля" вторую систему, и все заработало. В рабочей сети была та же проблема. Но там, в отличие от клонирования виртуальных машин, виной было то, что все системы ставились из одного образа Acronis.

Кстати, переставлять клонированную систему не обязательно, достаточно запустить на ней sysprep (%WINDIR%\System32\sysprep) с опцией Generalize. "И вообще возьмите за правило не делать клоны серверов без sysprep".

Всем спасибо за помощь!

Цитата:

Цитата avenger321

Однако проблема решена, и оказалась она в неожиданном для меня месте »

на будущее теперь будет знать.