[SkyF]

Цитата:

Что происходит с разрешениями локального входа при включении компьютера в домен?

при подключении компьютеров в домен на них начинают применяться политики безопасности, существующие на уровне домена.

параметры безопасности по названиям точно такие же, однако при конфликтных ситуациях (те локальный указывает одно значение, а доменный другое) - приоритет будет будет выше у доменного.

По умолчанию в домене существуют 2 политики - групповая политика для домена и групповая политика для контроллеров домена.

Таким образом, на обычные компьютеры доействует только групповая политика для домена.

Если компьютеры являются доменными контроллерами (они в этом случае располагаются в Организационном Подразделении Domain Controllers, то на них дополнительно применяется групповая политика для контроллеров домена.

На вашем доменном контроллере происходит именно так, потому что в политике для доменных контроллеров стоит ограничение на запрет локальной регистрации обычных пользователей. И настраивается это тоже там же.

[Guest]

При использовании утилиты ntrights:
ntrights +r SeInteractiveLogonRight -u APPROACHD\Evgeniy -m \\Scanner2000 *

возникает ошибка:
***Error*** OpenPolicy -1073610729

имя пользователя/домена правильное (в локальных группе Администраторы имеется), данный комьпютер в
домен включен. Или может все-таки еще, что-нибудь надо посмотреть?

[ae]

И у меня ошибка Пытаюсь назначить право доступа из сети к компьютеру в домене (comp2) пользователю (remotenameuser) с компьютера (comp1), который не входит в домен:

C:\>net use \\<comp2>\ipc$ /user:<comp1>\<remotenameuser> <passwordremoteuser>

Команда выполнена успешно.


C:\>ntrights +r SeNetworkLogonRight -u <comp1>\<remotenameuser> -m \\<comp2>

Granting SeNetworkLogonRight to <comp1>\<remotenameuser> on \\<comp2>... failed (GetAccountSid(<comp1>\<remotenameuser>=1332

В чем может быть проблема, подскажите, пожалуйста?

[SkyF]

Цитата:

ntrights +r SeNetworkLogonRight -u <comp1>\<remotenameuser> -m \\<comp2>

нельзя давать права на локальных пользователей с удаленных систем.
права можно давать только локальным учетным записям, или из домена в который входит ОС.

те в вашем случае на comp2 должен быть локальный пользователь remotenameuser (с таким же паролем, что и у такого же локального пользователя на comp1).
и тогда команда должна будет выглядеть примерно так:
ntrights +r SeNetworkLogonRight -u <comp2>\<remotenameuser> -m \\<comp2> *

PS Guest c 194.84.36.* если не получатеся, то дайте право локального входа пользователю Scanner2000\administrator ( или для локализованной ОС: Scanner2000\Администраторы). а как им зайдете, так все через локальную политику безопасности и назначите (и пользователю APPROACHD\Evgeniy и кому угодно:
ntrights +r SeInteractiveLogonRight -u Scanner2000\administrator -m \\Scanner2000 *

[ae]

Спасибо, SkyF, все растолковали.
И теперь я размышляю, как бы мне добавить свой компьютер в домен НО чтобы доменные политики безопасности на него не действовали. Не подскажете, возможно ли такое?

[s]Исправлено: ae, 15:00 30-09-2004[/s]

[Fighter]

ae

Цитата:

Не подскажете, возможно ли такое?

если очень осторожно...
не применять политику на этот компьютер,
напр. компьютеры пользователей поместить в группу "Компьютеры обычные" а этот в "Компьютеры административные"
Соответственно применение "пользовательской" политики распространить на "Компьютеры обычные" ну а на "Компьютеры административные" - все что захочется

[PRUHA]

Админ уехал, клоуны остались... AD 2003, станция W2000.
Проблема в следующем , предыдущий админ собственной программой корректировал AD в плане управления полномочиями пользователей.
На станции где он работал , можно войти только под его учетной записью.
Как это отменить , пересмотрел локальные (вижу что они перекрываются доменными) , доменные политики , настройки учетной записи. Нет таких ограничений.
При логине под другой учетной записью , даже администратора домена
выдает - Запрещено локальной политикой.
Такое ощущение , что запрещено реестром или Tweek-ом каким-то.
Где искать посоветуйте.

[Dennis]

Цитата:

Запрещено локальной политикой.

думаю ответ здесь. локально gpedit.msc, комп./винд./безоп/лок пол./назн.прав/локальный вход в систему. Точно проверили?
доменной можно перекрыть, добавить в аналогичный параметр группу Domain Admins или себя. И проверьте, в каком OI лижит ваша закрученная станция. Тогда и там нужно глянуть.
И еще вопрос, а есть смысл биться? Не проще переставить?

[Fighter]

Цитата:

вижу что они перекрываются доменными

ну раз так:
выполняем результирующую политику, далее фильтруем

Цитата:

Чтобы просмотреть список всех объектов групповой политики, связанных с запросом RSoP Откройте запрос RSoP В дереве консоли разверните узел учетная_запись_пользователя на учетная_запись_компьютера — результирующая политика. В дереве консоли правой кнопкой мыши щелкните узел Конфигурация компьютера или Конфигурация пользователя, а затем выберите команду Свойства На вкладке Общие установите флажок Отображать все GPO и состояние фильтрации. В области сведений список объектов групповой политики отображается в столбце Объект групповой политики, а состояние фильтрации — в столбце Фильтрация и принимает значение либо Применено, либо Не применяется (пусто).

смотрим неперекрываемые значения:
Разрешение локального входа в систему
&
Запрещение локального входа в систему
не забывая, что

Цитата:

Эта настройка безопасности определяет, каким пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику Локальный вход в систему, если учетная запись пользователя контролируется обеими политиками

[noble]

грузишься с диска ERD Commander, меняешь пароль администратора, перегружаешься, заходишь в систему с новым паролем