2012 R2 - DL группа в AD окружении WS 2012 R2

2012 R2 - DL группа в AD окружении WS 2012 R2

alseg

Новый участник

Сообщения: 7
Благодарности: 0

Изменения

Автор: alseg
Дата: 08-12-2015
Описание: Добавление

(пишу в ветку сервера 2012, т.к. выражаю бОльшую надежду на качественный ответ именно в этой ветке, а не в WinXP)

Вчера-сегодня наткнулся на странную ситуацию, и пытаюсь понять причины подобного поведения Windows XP.
Я понимаю, что Win XP снята с поддержки, но тем не менее в качестве мембера домена в WS 2012 R2 поддерживается.

Если кратко:
Мембер доменной локальной группы безопасности, при том что эта DL группа включена в локальных администраторов на клиенте WinXP не получает прав локального администратора.

Если подробно:
Исходные условия:

Домен на базе ADDS, уровень домена и леса 2012 R2.
DC и клиентская машина практически в дефолтном состоянии.
На целевой OU, в котором располагается клиент Win XP действует только дефолтная GP.
Windows Server 2012 R2 редакции Standard, EN
Windows XP SP3 Pro VL (Пробовал как на EN так и на RU)
В домене присутствует доменная локальная группа безопасности под именем DLSG-LocalAdmins-Membership
Также присутствует учетная запись admUser, которая является членом группы DLSG-LocalAdmins-Membership
Группа DLSG-LocalAdmins-Membership автоматически или вручную включается в локальную группу администраторов на рабочих станциях или серверах, с целью получения соответствующего доступа для всех членов данной группы.
Ограничения членства в группе администраторов нет.
Время на клиенте и сервере синхронизируется, правильное.
Windows XP SP3 Pro пробовал использовать как с полным апдейтом после установки, так и не устанавливая обновления

Процесс:

Свежеустановленный клиент Win XP вводится в домен.

В Bult-in группу локальных администраторов на клиенте вручную добавляется группа DLSG-LocalAdmins-Membership

Для верности применяю gpupdate, перезагружаюсь.

После перезагрузки первый логин под admUser, УЗ успешно получает права локального администратора.

Для верности можно открыть gpresult и убедиться в этом. Также можно увидеть, что пользователь является членом группы DLSG-LocalAdmins-Membership, что предсказуемо и логично.

Делаем logoff

Дальше то самое нестандартное поведение, которое вызывает вопросы:

Сразу же следом пытаемся залогиниться под admUser повторно, и обнаруживаем, что прав локального администратора НЕТ!

gpresult сообщает о том, что "current user" является членом очень малого кол-ва стандартных групп, среди которых DLSG-LocalAdmins-Membership не значится.

При этом:

1. Если добавить в локальных администраторов группу Domain Users - любой пользователь получает права, вне зависимости от кол-ва логинов и логофов

2. Если добавить admUser в локальных администраторов - пользователь получает права, вне зависимости от кол-ва логинов и логофов

Коллеги, если есть предположения, почему подобная ситуация возникает именно при связке WinXP-WS2012R2 - поделитесь опытом.
Если есть возможность смоделировать описанную мной ситуацию и подтвердить указанные мной симптомы - прошу высказаться об этом, буду признателен.

Отправлено: 19:26, 08-12-2015

alseg

Новый участник

Сообщения: 7
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата Telepuzik:

Т.е. если открыть свойства группы DLSG-LocalAdmins-Membership и посмотреть кто является членами этой группы, то пользователь admUser будет там присутствовать правильно? »

Да, именно так! И более того, будет соответствующим образом работать на всем оконечном ПО, за исключением Windows XP
(поправка - могу сказать лишь за себя, перепробовал несколько комбинаций различных версий и прочих параметров,
окончательно буду убежден в этом лишь если кто-либо сэмулирует у себя данную ситуацию и будет иметь тот же непонятный эффект на станции)

Последний раз редактировалось alseg, 09-12-2015 в 19:43. Причина: Орф ошибка

Отправлено: 19:42, 09-12-2015 | #11