[babki]

Объясните пожалуйста в чем моя ошибка.
Создал файл сценария add.bat со следующим текстом:
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\ПОЛЬЗОВАТЕЛИ /ADD
Кодировка строки - DOS

Открываю на своем домене на сервере групповую политику, нажимаю изменить default Domain Policy . Вкладка Конфигурация компьютера -> конфигурация Windows-> Сценарии запуск, завершение-> Конфигурация компьютера -> автозагрузка . Двойной щелчок на автозагрузке открывает окошко. Нажимаю Кнопку добавить в поле Имя сценария добавляю путь к созданному файлу add.bat . Нажимаю кнопку «применить» - пишет сообщение :«Компоненту «Сценарии» не удалось сохранить изменения из- за ошибки 1385»

Пробовал данную строку добавлять в файл загрузки для профиля пользователя. Пишет что нет доступа ошибка №5.

Аналогичные проблемы и с этими строчками.
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\USERS /ADD

[Dennis]

Цитата:

Кодировка строки - DOS

Странно, должна быть windows.

Цитата:

изменить default Domain Policy

Ох, сколько раз на форуме про это писали. Не трогайте политики по умолчанию. Не надо проблемы себе плодить. Создается контейнер, к нему создаеться новая политика, туде кладутся пользователи и компьютеры. Ее и закручивайте.

Цитата:

онфигурация компьютера -> автозагрузка

Если посмотрите стандартный help в windows, то найдете что запускать сценарии можно whs, vbs, js... Про cmd или bat ничего не сказано.
Потом, где размещаеться сам файл сценария? Рекомендуется его разместит там же, где предлагает сама политика, что-то типа \\DOMAIN\SysVol\DOMAIN\Policies\{XXXXXXXXXX}\Machine\Scripts\Startup. Тогда и справами доступа к файлу проблем не будет.

Цитата:

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\ПОЛЬЗОВАТЕЛИ /ADD

Что вы имееете ввиду? Где вы увидели группу ПОЛЬЗОВАТЕЛИ в домене?
Я так понимаю вы хотите сделать пользователя домена локальным администратором? А смысл есть давать всем пользователям такие права?
Если уж приспичело - в политике домена (для вашего контейнера), конф.комп./конф.винд/пар.без./группы с ограниченым доступом. Там раздаются такие права.

Цитата:

NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD

Вообще-то если копьютер в домене, администратор домена всегда имеет права локального администратора, если конечно ручками кто-нибудь не покрутит.

[babki]

По поводу цитаты:
"Ох, сколько раз на форуме про это писали. Не трогайте политики по умолчанию. Не надо проблемы себе плодить. Создается контейнер, к нему создаеться новая политика, туде кладутся пользователи и компьютеры. Ее и закручивайте."
А можно эту запись расшифровать поподробнее : Как создать контейнер (ткнуть мышкой туда то и туда то), создать для него новую политику (ткнуть мышкой туда то и туда то) как поместить нужные компьютеры и пользователей в контейнер.
Здесь же на форуме не рекомендуют поступать таким образом, а настаивают как раз на добавлении в автозагрузку этих строк NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD
В принципе со строкой NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD я разобрался она работает у меня в бат файле, который запускается при входе пользователя в домен, НО-О-О проблема заключается в том что команда NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА /ADD воспринимает вместо двух операторов АДМИНИСТРАТОРЫ и DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА их как три оператора АДМИНИСТРАТОРЫ, DOMAIN\АДМИНИСТРАТОРЫ, ДОМЕНА . то есть этой команде как то надо сообщить что строка DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА единое целое. Как ни бился с этим ничего не получается. Делал так

NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОРЫ_ДОМЕНА /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ_ДОМЕНА" /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ 'DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА' /ADD

ничего не получается. Кто знает подскажите как решить эту проблему.

И еще где можно взять примеры сккриптов whs, vbs, js?

[SkyF]

babki

создавать нужно не контейнер, а подразделение (пр кнопкой на названии объекта в консоле "Active Directory Полльзователи и Компьютеры" (другом подразделении или на самом домене). На подразделение можно подключить (слинковать, связать) ОГП с вашими настройками.

И действительно, в ОГП, созданные системой, лучше не вносить изменений без особой необходимости.
А содавать новые объекты групповой политики (ОГП).

Вернуть доменной группе Domain\Администраторы домена - возможность управления локальной системой можно двумя вариантами:
а. через настройку режима Ограниченных групп в политике для компьютера - см сообщение 10
б. использовать сценарии (bat, whs, vbs - для современых клиентских ОС не важно, bat - более универсален, но сильно ограничен командами системы) - см сообщение 22

при этом - вар. А. - заменяет сущ список указанной грппы - своим, поэтому важно для начала просмотреть кто же уже входит в группы на действующих системах, прежде чем вносить изменения. А вар. Б - всегда добавляет, не влияя на сущ объекты в группе. Оба они завязаны на локализацию в названии встроенных групп.

у вашей ситуации, тк вы просто потеряли группу Администраторы домена во встроенной группе Администраторы на локальной системе.
удобнее попробовать вариант А (указав в ограничении группы Админитраторы имена объектов - Администратор и Domain\Администраторы домена

Но можно и закончить со сценариями.
рабочим вариантов должна быть строка (из того же 22го ообщения п.2):
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD

в соответвующей локальной кодировке DOS (можно попробовать использовать встроенный DOSовский редактор edit.com)

[babki]

По поводу сценариев:
строка
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD у меня не работает а
строка
NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОР" /ADD
и так
NET LOCALGROUP АДМИНИСТРАТОРЫ DOMAIN\АДМИНИСТРАТОР /ADD

без пробем выплоняется правильно.

[Dennis]

Цитата:

NET LOCALGROUP АДМИНИСТРАТОРЫ "DOMAIN\АДМИНИСТРАТОРЫ ДОМЕНА" /ADD у меня не работает

Посмотрите внимательно на объекты AD. Есть запись АДМИНИСТРАТОР, или Administrator, в зависимости от версии, а вот группы АДМИНИСТРАТОРЫ ДОМЕНА может и не быть. Попробуйте "Domain Admins".

SkyF спасибо, что поправили, действительно не контейнер, а подразделение.

[babki]

Создал новое подразделение «Ограниченные пользователи» Active Directory Пользователи и Компьютеры -> создать , подключил рабочую станцию к домену, далее из папки Computers перенес получившийся компьютер в подразделение «Ограниченные пользователи» учетную запись также из группы Users перенес в это же подразделение
Далее
Active Directory Пользователи и Компьютеры -> свойства -> групповая политика –> создать «Ограниченные пользователи»
подразделение «Ограниченные пользователи» -> свойства Групповая политика создать выбираю ранее созданную политику «Ограниченные пользователи».
Далее пытаюсь в групповой политике в ветке конф.комп./конф.винд/пар.без./группы с ограниченным доступом добавить группу Опытных пользователей пишет ошибку «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» Ошибка с такой же надписью появляется когда пытаюсь добавить параметр в локальную политику.

То есть у меня не получается выполнить по добавлению пользователей домена в локальную группу Опытных пользователей

[babki]

И еще один из "умных пользователей" внес на рабочей стации некие изменения. после этого пытаюсь подключиться к с доменной учетной записью к домену. Пишется ошибка "У вас нет прав на интерактивный вход в систему". С локальной учетной записью этого копмьютера со входом с вистему проблем нет. Подскажите пожалуйста где рыть ответ на этот вопрос?

[SkyF]

Цитата:

ошибка "У вас нет прав на интерактивный вход в систему".

всегда почти помогает поиск по форуму:

fix! Запрет локального входа, ошибка- интерактивный вход запрещен политикой безопасности

Цитата:

«Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» Ошибка с такой же надписью появляется когда пытаюсь добавить параметр в локальную политику.

может это поможет:
Не удалось открыть базу данных локальной политики

ЗЫ а что там со сценариями для администраторов домена (domain admins)?

[babki]

В локальной политике контроллера домена я отключил удаленный вход в систему администраторам.
Может быть при изменении групповой политики идет обращение через сеть с записью администратора и система не может изменить файл «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf» Кто что может сказать по этомк поводу? Когда меняю удаляю из группы "удаленный вход в систему" группу администраторов идет та же ошибка «Ошибка расширенного типа. Не удалось сохранить ………GptTmppl.inf». Короче не записываются в нужный файл груповой политики сделанные мной изменения. Как решить эту проблему?

Цитата:

ЗЫ а что там со сценариями для администраторов домена (domain admins)?

Пока не пробовал не знаю. Но все записи групп на сервере и локальных машинах написаны по русски.