none
Problém s GPO - Default domain controller policy

    Dotaz

  • na serveru s operačním systémem Windows Server 2003 R2 se mi vždy po nějaké době změnila práva zabezpečení na jednotlivých adresářích, konkrétně na adresáři pro GPO politiky SYSVOL...

    Vytvořil jsem si GPO politiku, úspěšně ji aplikoval na OU a počítače. cca po určité době jsem zjistil, že se GPO politika neaplikuje. Na adresáři SYSVOL se změnila práva zabezpečení přístupu do adresářů. Tak jsem bádal a bádal a nakonec jsem zjistil, že pokud je zaplá GPO politika Default Domain Controller policy přímo na doménovém serveru, tak dochází k daným problémům. Nyní mám tuto politiku vypnutou a již týden bez sebemenších problémů.

    Když si ale prohlédnu celou GPO politiku tak nemůžu nikde najít, kde by to mohlo být nastavené. Tuto politiku upravoval můj předchůdce a popis změny nebo tak něco nemám ani k dispozici. Už fakt nevím kde hledat...

    Jak vypátrat co to způsobuje nebo lze Defatul domain controller policy nějak dát do původního / továrního nastavení ?

    Nevím zda ji můžu smazat nebo tak něco.... Jak z toho nejlépe ven ?

    Všem díky za odpověďi.

    16. dubna 2012 10:25

Odpovědi

  • na tu kartu zabezpečení se díváte přes lokální cestu C:\Windows\SYSVOL\xxx nebo přes tu síťovou cestu?

    obecně řečeno, DDCP vůbec nepotřebujete v běžném provozu. Prostě se podívejte co je v tom nastaveno a případně to okopírujte do nějakého jiného objektu. Jediný důvod, kdy ten objekt potřebujete, jsou různé upgrade a aktualizace, které by do toho mohly sahat - takže optimálně by bylo ten objekt "vyčistit" od všeho, co tam může způsobovat tyhle problémy.

    Můžete ho samozřejmě vyresetovat, ale to není doporučeno:

    http://support.microsoft.com/kb/267553

    o.

    16. dubna 2012 16:09

Všechny reakce

  • 1. Jak zjistujete, ze se politika neaplikuje?

    2. Mate nainstalovanou GPMC a udelal jste si analyzu a modelovani?

    3. Nikde jsem neslysel o postupu, ktery popisujete. Podle ceho jste postupoval pri manipulaci s domenovou politikou?

    4. Bylo by dobre dat vic informaci o strukture domeny.

    5. Zcela urcite se podivejte do protokolu udalosti a chyby a varonai uvedte zde.

    M.

    16. dubna 2012 10:34
    Moderátor
  • 1. politika se neaplikuje, protože na klientských počítačích je chybová zpráva z eventlogu, že se nemůže dostat na složku k serveru a nemá přístup do gpt.ini    Na serveru v SYSVOL\POLICIS\...... (je jenom práva SYSTEM a ADMINISTRATOR, DOMAIN ADMINS), práva pro Domain users mizí, stejně jak všechny ostatní, které dodám dodatečně. Když daná práva k danému adresáři vytvořím, tak to zase funguje doté doby než se něčím odstraní.

    2. GPMC mám nainstalované a analýzu jsem neprováděl

    3. Doménová politika /(Default domain controller policy) byla aplikovaná přímo na serveru, když jsem ji zakázal (DISABLE), tak bylo po problémech a vše fungovalo tak jak mělo. Už jsem se na tomto serveru setkal s jednou špatně fungující GPO politikou, proto mě po delší době zkoumání napadlo, zda není na serveru nějaká politika a ono ejhle...

    4. server - Windows Server 2003 R2, běží AD, DHCP a DNS server. 1 doména

    5. protokol událostí mlčí, žádné chyby co by se týkalo GPO

    Dle mého názoru to musí být někde ve složce Securitys, bohužel jsem všechno krok po korku přešel a na nic nepřišel, nebo bych jedině musel něco přehlédnout. Prostě na daném adresáři přidělám např. práva zabezpečení pro určitou skupinu a za určitý okamžik se zase vše vrátí tak jak bylo. Dokonce jsem zkoušel na adresáří SYSVOL smazat všechna práva a druhý den tam byla přesně ta která jsem smazal.

    Server jsem testoval na viry apod, ale vše je čisté. Pokud danou politiku nepoužím, tak vše funguje klidně i týdny..

    16. dubna 2012 10:49
  • - vemte si GPMC a rozbalte dole ten seznam Group Policy Objects. Najedte na ten objekt te politiky a proklikejte se temi zalozkami vpravo. Mozna to bude hlasit, ze musi neco opravit a pak to teda nechte opravit a zkuste na stanici GPUPDATE /Force

    - mate jedno, nebo vice DC?

    - kdyz na te stanici vezmete do schranky tu cestu \\domena\SYSVOL\... a zkusite se do ni podivat pod stavajicim uzivatelem, vidite tam?

    o.

    16. dubna 2012 12:47
  • přes GPMC jsem celý seznam rozbaloval již několikrát, objekt politiky jsem našel a několikrát krok za krokem procházel. žádnou opravu to nechtělo...

    mám jedno DC

    když se na té stanici podívám do \\domena\sysvol tak to funguje, ale jakmile zapnu GPO Default Domain Controller policy (dám gpupdate /force).... tak už se na to nepodívám a zahlásí to, že nelze získat přístup z \\domena\sysvol\policis.... Podívám se na kartu zabezpečení a všechna práva po aplikování DDCP zmizely.

    Lze tuto politiku nějak odstranit a poté ji nahrát znova ? Protože hledat chybu je jak hledat jehlu v kupce sena.....

    16. dubna 2012 15:49
  • na tu kartu zabezpečení se díváte přes lokální cestu C:\Windows\SYSVOL\xxx nebo přes tu síťovou cestu?

    obecně řečeno, DDCP vůbec nepotřebujete v běžném provozu. Prostě se podívejte co je v tom nastaveno a případně to okopírujte do nějakého jiného objektu. Jediný důvod, kdy ten objekt potřebujete, jsou různé upgrade a aktualizace, které by do toho mohly sahat - takže optimálně by bylo ten objekt "vyčistit" od všeho, co tam může způsobovat tyhle problémy.

    Můžete ho samozřejmě vyresetovat, ale to není doporučeno:

    http://support.microsoft.com/kb/267553

    o.

    16. dubna 2012 16:09
  • na lokální cestu se dívám lokálně, přímo na serveru

    DDCP jsem zakázal, okopíruju změny a nastavím na novou GPO.....

    Zkusím se zítra ještě podívat v čem by to mohlo být.

    16. dubna 2012 17:11