|
При настройке политик в домене (на Active Directory) для всех пользователей был дан запрет на администрирование, ред. реестра и т.д., т.е. на запуск ВСЕХ консолей и т.д.
Все работало замечательно, но при внесении очередных изменений случайно политика была применена к Администратору (к той уч. записи, которая администратор ). После этого сам админ ничего уже сделать не может... Что подскажете? Так не хочется сносить контроллер..., Бэкапа нет... |
Guest
У меня на сайте глянь прогу LsaManag, ее через srvany запустить надо, только вот для того чтоб нужные политики правились советую msdn.microsoft.com на эту тему почитать, про LsaRemoveAccountRights. Это если в политике безопасности ковырялся с правами. Цитата:
Про второе - запрет распространяется только на regedit и regedt32, так что лекарство - использовать что-нибудь другое, что не будет проверять этот параметр в реестре. |
Спасибо. посмотрю.
Относительно запрета на администрирование. Скрыта Панель инстр-в, запрет на запуск ВСЕХ консолей...., т.е. вот так.... Добавлено: Цитата:
Вообще задача сводится к тому. чтобы либо удалить все политики, либо убрать Администратора (т.е. чтобы они к нему не применялись), причем все это происходит на уровне домена... Добавлено: А как удалить вообще все политики? Т.е. DefaultDomainPolicy и т.д., потому что я их правил и применил..., Добавлено: ...т.е. из всех инструментов администрирования осталась только командная строка....:(((( |
Общаемся только тут
Итак, srvany - это программа, входящая в Resource Kit для Windows 2000. Как ей пользоваться - написано в самом хелпе из этого самого ResKit-а. Про то чтоб удалить все политики. это решается применением secedit ... накатыванием secsetup.inf из дирректории winnt\repair... (secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose) |
vasketsov
Ты путаешь груповые политики с секъюрными (не знаю как правильно назвать, называю в лоб). Первые натягиваются через механизм GPO, имеют приоритет перед традиционными ключами реестра, ложаться в СПЕЦИАЛЬНУЮ ветвь реестра и потому легко откатываются. Вторые подобны системным политикам NT4 - ложаться на прямую в реестр (т.е. это всего лишь упрощение настройки Виндовс), не откатываются. Поэтому secedit тут не поможет:( Если не страшно развалить домен, то можешь ручками порыться в каталогах контроллера с ГПО и гикнуть ненужное. Не сноси все подряд. Редактировать ActiveDirectory на прямую сложнее чем реестр на два порядка.:biglaugh: Можно попробовать запретить самому себе чтение политик на контроллере, но я не уверен, что политики для юзера натягиваются от его имени. Можно отключить свою станцию от сети (шнурок сетевой отрубить), влезть в реестр (если сможешь :) ) и убить ветку, куда сливаются политики. Потом запускаешь консоли, втыкаешь шнурок и пытаешься спасти свою за..цу.:biggrin: |
Ну наконец-то заработал сайт :))
В общем. проблему решил следующим образом. В Sysvol удалил папки. в которых Gpt.ini имеет ту дату. когда я ваял настройки, потом зашел с другой машины. подключился (Ура!!!) к домену, отредактировал политики, вернул те папки. которые перенес, создал OU куда переместил уч.аписи администраторов и заблокировал наследование политик..., и все заработало. Но есть проблема. и не могу никак ее решить ... На контроллере домена каждые 5 минут выдаются последовательно 2 сообщения: Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных. Дополнительные сведения содержатся в разделе "Устранение неполадок" справки по безопасности. Клиентское расширение Security групповой политики передало флаги (17) и возвратило код ошибки (1332). Т.е. "устранения неполадок " я почитал, но что-то ничего не получилось..., может все политики как нибуди обрезетить ( я говорю про GPO)?... Есть мнения???? |
Ёпрст... Куда эти ошибки выдаются , кто их источник и самое главное, какой их ID????
Нет, у просто по описанию трудно что-то сказать... |
Ошибки выдаются в журнале приложений.
Тип события:Предупреждение Источник события:SceCli Категория события:Отсутствует Код события:1202 Дата:05.11.2002 Время:19:16:56 Пользователь:Нет данных Компьютер:ERISE Описание: Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных. Дополнительные сведения содержатся в разделе "Устранение неполадок" справки по безопасности. Тип события:Ошибка Источник события:Userenv Категория события:Отсутствует Код события:1000 Дата:05.11.2002 Время:19:16:56 Пользователь:NT AUTHORITY\SYSTEM Компьютер:ERISE Описание: Клиентское расширение Security групповой политики передало флаги (17) и возвратило код ошибки (1332). Тип события:Ошибка Источник события:NCRTRT Категория события:Отсутствует Код события:1 Дата:05.11.2002 Время:19:12:56 Пользователь:Нет данных Компьютер:ERISE Описание: Не найдено описание для события с кодом ( 1 ) в источнике ( NCRTRT ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. В записи события содержится следующая информация: Connect to service failed (rc 2, timeout 250) . Что скажете? |
Guest, поищи описания этих ошибок на www.eventid.net
|
Такой вопрос уже где-то был.
А происходит это из-за того что ты удалил пользователя для которого прописаны разрешения в политике безопасности домена либо контроллера домена. Перелопать политики и удали лишнее, скорее всего это пользователь с именем S-1-2331-23(некий набор цифр) у меня такое было после удаления лишних пользователей.:oszone: |
| Время: 05:46. |
Время: 05:46.
© OSzone.net 2001-