[vasketsov]

Guest
У меня на сайте глянь прогу LsaManag, ее через srvany запустить надо, только вот для того чтоб нужные политики правились советую msdn.microsoft.com на эту тему почитать, про LsaRemoveAccountRights.
Это если в политике безопасности ковырялся с правами.

Цитата:

запрет на администрирование, ред. реестра

Что есть первое?
Про второе - запрет распространяется только на regedit и regedt32, так что лекарство - использовать что-нибудь другое, что не будет проверять этот параметр в реестре.

[Guest]

Спасибо. посмотрю.
Относительно запрета на администрирование. Скрыта Панель инстр-в, запрет на запуск ВСЕХ консолей...., т.е.  вот так....

Добавлено:

Цитата:

ее через srvany запустить надо

Это как?

Вообще задача сводится к тому. чтобы либо удалить все политики, либо убрать Администратора (т.е. чтобы они к нему не применялись), причем все это происходит на уровне домена...

Добавлено:

А как удалить вообще все политики?
Т.е. DefaultDomainPolicy и т.д., потому что я их правил и применил...,

Добавлено:

...т.е. из всех инструментов администрирования осталась только командная строка....(((

[vasketsov]

Общаемся только тут

Итак, srvany - это программа, входящая в Resource Kit для Windows 2000. Как ей пользоваться - написано в самом хелпе из этого самого ResKit-а.

Про то чтоб удалить все политики.
это решается применением secedit ... накатыванием secsetup.inf из дирректории winnt\repair...
(secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose)

[Fidel]

vasketsov
Ты путаешь груповые политики с секъюрными (не знаю как правильно назвать, называю в лоб). Первые натягиваются через механизм GPO, имеют приоритет перед традиционными ключами реестра, ложаться в СПЕЦИАЛЬНУЮ ветвь реестра и потому легко откатываются. Вторые подобны системным политикам NT4 - ложаться на прямую в реестр (т.е. это всего лишь упрощение настройки Виндовс), не откатываются.

Поэтому secedit тут не поможет

Если не страшно развалить домен, то можешь ручками порыться в каталогах контроллера с ГПО и гикнуть ненужное. Не сноси все подряд. Редактировать ActiveDirectory на прямую сложнее чем реестр на два порядка.

Можно попробовать запретить самому себе чтение политик на контроллере, но я не уверен, что политики для юзера натягиваются от его имени.

Можно отключить свою станцию от сети (шнурок сетевой отрубить), влезть в реестр (если сможешь ) и убить ветку, куда сливаются политики. Потом запускаешь консоли, втыкаешь шнурок и пытаешься спасти свою за..цу.

[Guest]

Ну наконец-то заработал сайт )
В общем. проблему решил следующим образом.
В Sysvol удалил папки. в которых Gpt.ini имеет ту дату. когда я ваял настройки,
потом зашел с другой машины. подключился (Ура!!!) к домену, отредактировал политики, вернул те папки. которые перенес, создал OU куда переместил уч.аписи администраторов и заблокировал наследование политик..., и все заработало.

Но есть проблема. и не могу никак ее решить ...
На контроллере домена каждые 5 минут выдаются последовательно 2 сообщения:

Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.
Дополнительные сведения содержатся в разделе "Устранение неполадок" справки по безопасности.

Клиентское расширение Security групповой политики передало флаги (17) и возвратило код ошибки (1332).

Т.е. "устранения неполадок " я почитал, но что-то ничего не получилось..., может все политики как нибуди обрезетить ( я говорю про GPO)?...

Есть мнения????

[SkyF]

Ёпрст... Куда эти ошибки выдаются , кто их источник и самое главное, какой их ID????
Нет, у просто по описанию трудно что-то сказать...

[Guest]

Ошибки выдаются в журнале приложений.


Тип события:Предупреждение
Источник события:SceCli
Категория события:Отсутствует
Код события:1202
Дата:05.11.2002
Время:19:16:56
Пользователь:Нет данных
Компьютер:ERISE
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.
Дополнительные сведения содержатся в разделе "Устранение неполадок" справки по безопасности.

Тип события:Ошибка
Источник события:Userenv
Категория события:Отсутствует
Код события:1000
Дата:05.11.2002
Время:19:16:56
Пользователь:NT AUTHORITY\SYSTEM
Компьютер:ERISE
Описание:
Клиентское расширение Security групповой политики передало флаги (17) и возвратило код ошибки (1332).

Тип события:Ошибка
Источник события:NCRTRT
Категория события:Отсутствует
Код события:1
Дата:05.11.2002
Время:19:12:56
Пользователь:Нет данных
Компьютер:ERISE
Описание:
Не найдено описание для события с кодом ( 1 ) в источнике ( NCRTRT ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удаленного компьютера. В записи события содержится следующая информация: Connect to service failed (rc 2, timeout 250)
.

Что скажете?

[wolf]

Guest, поищи описания этих ошибок на www.eventid.net

[DimSher]

Такой вопрос уже где-то был.
А происходит это из-за того что ты удалил пользователя для которого прописаны разрешения в политике безопасности домена либо контроллера домена. Перелопать политики и удали лишнее, скорее всего это пользователь с именем S-1-2331-23(некий набор цифр) у меня такое было после удаления лишних пользователей.