none
Интерактивный вход в систему невозможен для всех пользователей - что делать?

    Question

  • Эксперименты с групповвыми политиками на сервере (настраивали терминал) привели к невозможности интерактивного входа на сервер даже администратора (!). Через терминал логинюсь - все ОК. Помогите, плиз!.. Спасибо.
    Thursday, November 02, 2006 10:05 AM

Answers

  •  Dr.Zet написано:
    Как в таком случае отследить изменения и бэкапы делать?

    Запустите mmc. Подключите оснастку Security Configuration & Analysis. Открываете новую базу данных. Загружаете в нее шаблон Setup Security и выбираете Analize. Внимательно смотрите на расхождения между текущей политикой безопасности и политикой из шаблона.

    Thursday, November 02, 2006 4:15 PM

All replies

  • В групповой политике домена или OU, в котором находится проблемный сервер,

    "Конфигурация компьютера-Конфигурация Windows-Параметры безопасности-Назначение прав пользователя"

    "Локальный вход в систему " установите - "Пользователи, Администраторы"

    Thursday, November 02, 2006 10:25 AM
  • групповая политика домена - это, как я понимаю, Администрирование - Политика безопасности домена?
    Thursday, November 02, 2006 11:35 AM
  • gpedit.msc
    Thursday, November 02, 2006 11:56 AM
  • там нельзя ни добавить ни удалить группы пользователей
    Thursday, November 02, 2006 12:22 PM
  •  Dr.Zet написано:
    групповая политика домена - это, как я понимаю, Администрирование - Политика безопасности домена?

    Запустите Active Directory Users and Computers. Щелкните правой мышкой по имени вашего домена, выберите пункт свойства. Закладка Групповая политика. Выбираете Default Domain Policy, кнопка Изменить.

    Thursday, November 02, 2006 12:37 PM
  •  Michael Gotch написано:

     Dr.Zet написано:
    групповая политика домена - это, как я понимаю, Администрирование - Политика безопасности домена?

    Запустите Active Directory Users and Computers. Щелкните правой мышкой по имени вашего домена, выберите пункт свойства. Закладка Групповая политика. Выбираете Default Domain Policy, кнопка Изменить.

    сделал. не помогло. а, кстати, как в таком случае перезагружать сервер корректно? т. к. вход в систему невозможен, то и выход - тоже...

    Thursday, November 02, 2006 1:52 PM
  •  Dr.Zet написано:
    Эксперименты с групповвыми политиками на сервере (настраивали терминал) привели к невозможности интерактивного входа на сервер даже администратора (!). Через терминал логинюсь - все ОК. Помогите, плиз!.. Спасибо.

      Посмотри мой ответ в http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=883325&SiteID=40. Очень похожие симптомы. "Не поменялись ли дефолтные русские названия групп и аккаунтов на их английские аналоги?"

     

     

     

    Thursday, November 02, 2006 2:06 PM
  • Русские названия групп остались. А нельзя как-нибудь отследить внесенные изменения в настройки и откатить на дату, кода все работало в привычном режиме?
    Thursday, November 02, 2006 2:28 PM
  • ...пока гром не грянет... Конечно можно но надо было бы сначала сделать бекап политик.
    Thursday, November 02, 2006 2:41 PM
  • Как в таком случае отследить изменения и бэкапы делать?
    Thursday, November 02, 2006 2:49 PM
  •  Cookie_Monster написано:

     Посмотри мой ответ в http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=883325&SiteID=40. Очень похожие симптомы. "Не поменялись ли дефолтные русские названия групп и аккаунтов на их английские аналоги?"

     

    Интересная это вещь, имена групп в групповой политике. Припоминаю, как однажды потерял доступ к серверу после перехода с Windows 2000 domain controllers (русские) на Windows 2003 DC (английские).

    Если не изменяет память, помогло мне лишь то, что на одном из DC был уже залогинен пользователь. С него все и исправил, переименовав группы.

    А то ни сетевого доступа, ни интерактивного входа.

    Thursday, November 02, 2006 3:09 PM
  • Отследить - аудит включить в политиках. Не шибко он мне понравился - срабатывает на изменения

    пришедшие при репликации с другого AD. Я  что бы словить жулика открывавшего английские политики с русской XP включал аудит папок в которых эти политики хранятся.

     

    Бекапы, восстановления, хранение разных версий - наиполезнейшая  функция оснастки Group Policy Management.

     

    Thursday, November 02, 2006 3:12 PM
  • "Накатить" стандартный шаблон политик.
    Thursday, November 02, 2006 3:41 PM
  •  Dr.Zet написано:
    Как в таком случае отследить изменения и бэкапы делать?

    Запустите mmc. Подключите оснастку Security Configuration & Analysis. Открываете новую базу данных. Загружаете в нее шаблон Setup Security и выбираете Analize. Внимательно смотрите на расхождения между текущей политикой безопасности и политикой из шаблона.

    Thursday, November 02, 2006 4:10 PM
  •  Dr.Zet написано:
    Как в таком случае отследить изменения и бэкапы делать?

    Запустите mmc. Подключите оснастку Security Configuration & Analysis. Открываете новую базу данных. Загружаете в нее шаблон Setup Security и выбираете Analize. Внимательно смотрите на расхождения между текущей политикой безопасности и политикой из шаблона.

    Thursday, November 02, 2006 4:15 PM
  •  Michael Gotch написано:

     Dr.Zet написано:
    Как в таком случае отследить изменения и бэкапы делать?

    Запустите mmc. Подключите оснастку Security Configuration & Analysis. Открываете новую базу данных. Загружаете в нее шаблон Setup Security и выбираете Analize. Внимательно смотрите на расхождения между текущей политикой безопасности и политикой из шаблона.

    Расхождений море. На какие обращать внимание?

    Friday, November 03, 2006 12:01 PM
  • Сброс политик для windows 2003 http://support.microsoft.com/kb/324800
    Для 2000 http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en
    http://support.microsoft.com/kb/226243
    Saturday, November 04, 2006 7:56 AM
  • На те, которые в "Назначение прав пользователя"

    PS: Кстати русские или английские названия групп винде пофигу - она работает с SID'ами групп

    Saturday, November 04, 2006 9:16 AM