|
Ошибки групповой политики применяемые в домене
win2k3, AD, DNS. Была необходимость редактирования гп домена после применения настроек на клиентах начали появляться сообщения:
Тип события: Ошибка Источник события: Userenv Категория события: Отсутствует Код события: 1085 Дата: 02.11.2007 Время: 10:06:58 Пользователь: NT AUTHORITY\SYSTEM Компьютер: OKOP Описание: Клиентское расширение групповой политики Security не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения. Тип события: Предупреждение Источник события: SceCli Категория события: Отсутствует Код события: 1202 Дата: 02.11.2007 Время: 10:06:58 Пользователь: Н/Д Компьютер: OKOP Описание: Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных. Для диагностики этого события выполните вход с неадминистративной учетной записью и на http://support.microsoft.com выполните поиск раздела "Troubleshooting Event 1202's" ("Диагностика события 1202"). Не удалось разрешить в SID учетную запись или один из объектов групповой политики (GPO). Эта ошибка, скорее всего, вызвана неправильно введенной или удаленной учетной записью, на которую имеется ссылка в ветви "Права пользователя" или "Группы с ограниченным доступом" GPO. Для диагностики этого события администратору домена следует выполнить следующие действия: 1. Определить учетные записи, которые не могут быть разрешены в SID: В командной строке введите: FIND /I "Не удается найти" %SYSTEMROOT%\Security\Logs\winlogon.log Строка, следующая за "Не удалось найти" в результирующей информации FIND, определяет проблемные имена учетных записей. Пример: Не удается найти JohnDough. В этом случае, не удалось определить SID для имени пользователя "JohnDough". Вероятно, это вызвано тем, что учетная запись была удалена, переименована или просто пишется по-другому, (например, "JohnDoe"). 2. Используйте RSoP для определения специальных прав пользователя, групп ограничений и источника GPO, содержащих проблемные учетные записи: а. Пуск-> Выполнить-> MMC.Exe б. В меню "Файл" выберите команду "Добавить или удалить оснастку" в. В диалоговом окне "Добавить или удалить оснастку" выберите "Добавить..." г. В диалоговом окне "Добавить изолированную оснастку" выберите "Оснастка результирующей политики (RSoP)"и нажмите "Добавить" д. Выберите "Закрыть", затем "OK", чтобы вернуться в только что добавленную оснастку е. Щелкните правой кнопкой мыши "Оснастка результирующей политики (RSoP)"и выберите "Создать данные RSoP ..." ж. После перехода в мастер RSoP, выберите следующие параметры: I. Режим входа II. Данный компьютер (или другой компьютер, если операция выполняется удаленно). III. Не отображать политику пользователя (просмотр только политики компьютера) Затем нажмите кнопку "Готово", чтобы создать данные RSoP. з. Просмотрите результаты Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя и Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с ограниченным доступом на наличие ошибок, помеченных красным X. I. Для каждого помеченного красным Х ресурса из Прав пользователей или Групп с ограниченным доступом будет выведена соответствующая GPO, содержащая параметры проблемной политики, в столбце с названием "Источник GPO". Обратите внимание на специальные Права пользователей, Группы с ограниченным доступом и содержащие Источник GPO, которые создают ошибки. 3. Чтобы удалить неразрешенные учетные записи из групповой политики а. Пуск -> Выполнить -> MMC.Exe б. В меню "Файл" выберите команду "Добавить или удалить оснастку..." в. В диалоговом окне "Добавить или удалить оснастку" выберите "Добавить..." г. В диалоге "Добавить изолированную оснастку" выберите "Групповая политика" и нажмите "Добавить" д. В диалоговом окне "Выбрать объект групповой политики" нажмите кнопку "Обзор". е. В диалоговом окне "Поиск объекта групповой политики" выберите вкладку "Все" ж. Для каждого источника GPO, определенного в шаге 2, исправьте специальные права пользователя или группы ограничений, помеченные красным Х в шаге 2. Права пользователя или Группы ограничений можно исправить путем удаления или изменения любых ссылок на проблемные учетные записи, определенные в шаге 1. winlogon на локальном компе пишет: 2 ноября 2007 г. 10:06:57 Копирование восстановленных значений в объединенную политику. ----Модуль конфигурации инициализирован успешно.---- ----Чтение данных шаблона конфигурации... ----Настройка прав пользователя... Настройка S-1-5-21-329068152-1284227242-725345543-1003. Настройка S-1-5-32-544. Настройка Аминистраторы домена. Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных. Не удалось найти Аминистраторы домена. Настройка S-1-5-21-2037060317-4035115005-912863902-513. Настройка S-1-5-21-2037060317-4035115005-912863902-512. Настройка S-1-5-21-2037060317-4035115005-912863902-500. Настройка S-1-5-11. Настройка S-1-5-32-554. Настройка S-1-5-9. Настройка S-1-1-0. Ошибка при настройке прав пользователя. ----Настройка параметров общей службы... Настройка общей службы выполнена успешно. ----Настройка доступных модулей дополнений... Настройка модулей дополнений выполнена успешно. ----Настройка политики безопасности... Настройка параметров паролей. Настройка принудительного выхода из системы для учетных записей. Настройка системного доступа выполнена успешно. Настройка аудита/протоколирования выполнена успешно. Настройка machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylastusername. Настройка machine\software\microsoft\windows\currentversion\policies\system\dontdisplaylockeduserid. Настройка значений разделов реестра выполнена успешно. ----Настройка доступных модулей дополнений... Настройка модулей дополнений выполнена успешно. ----Деинициализация модуля настройки... это последний GPO. что за сид'ы Настройка S-1-5-21-2037060317-4035115005-912863902-513. Настройка S-1-5-21-2037060317-4035115005-912863902-512. Настройка S-1-5-21-2037060317-4035115005-912863902-500. разобрался. Проблема в том. что не вкурил что это за сиды: Настройка S-1-5-11. Настройка S-1-5-32-554. Настройка S-1-5-9. Настройка S-1-1-0. Цитата из эвента: "... з. Просмотрите результаты Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя и Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с ограниченным доступом на наличие ошибок, помеченных красным X..." так вот никаких красных крестиков у мну там нет. Изначально в гп менял только сервер обновления винды и автоматическое обновление. Причем явно что ошибки начали вылетать после редактирования мной гп, это я отследил! Перелопатил и eventid.net, microsoft, на sysadmins.ru ссылок достаточно но многие не доступны. Запутался немнога посоветуйте какие предпринять далнейшие шаги для исправления ошибок? |
Jack_xp,
Цитата:
|
продолжу тему, какимисредствами можно проверить групповые политики на присутствие ошибок? а тоиногда читаю ошибки что какие то проблемы с путями, и gpt.ini должен лежать в другом месте
ошибки стали появлятся после переноса контейнеров в актив директори |
при изменении в GPO надо в реестр параматры добавлять
|
Цитата:
|
Цитата:
Пример: WSUS на win2k3standart чтобы обновить клиентов на сервере обновлений либо в реестре на локальных машинах прописать путь к серверу, либо воспользоватсья ГПО! И все таки вернемся к началу темы! Поставил себе в результате задачу восстановить параметры и настройки ГПО домена по дефолту, какие есть варианты? |
Цитата:
п.с. м.б я снова не понял суть вопроса :) |
оставлял default domain policy нифига тож ошибки!
|
| Время: 06:51. |
Время: 06:51.
© OSzone.net 2001-