none
Problemas en privilegios de usuarios RRS feed

  • Pregunta

  • hola buenos dias, tengo el siguiente problema, tengo servidores bajo win 2003 server, algunos con R2 y el DC principal esta bajo Win server 2008, desde hace algunos días para aca nose porque razón los usuarios estan presentando problemas para acceder a sus equipos, se desconectan las impresoras, no carga el wallpaper que se envía vía política, cuando intenta cargar el perfil en su pc el mismo se tarda muchisimo, estuve verificando y estos usuarios en su perfil de Active Directory en la pestaña seguridad estan apareciendo como miembros del grupo RAS and IAS servers y tambien como Domains Admins, sin embargo cuando me voy al grupos RAS, solo aparecen PC y en Domain Admins no aparecen ninguno de estos usuarios.

    Por favor necesito ayuda urgente nose que hacer, y me preocupa que los usuarios tengan privilegios de administradores de dominio.

    de antemano muchas Gracias.

    martes, 8 de diciembre de 2009 15:28

Respuestas

  • Hay problemas de todo tipo en esa estructura, aunque seguramente como te dije son debidos a mala configuración de DNS

    La ficha Seguridad del usuario *no* significa que sea miembro de esos grupos, sino qué grupos tienen permisos sobre la cuenta de usuario

    Si hay otros administradores, lo que debes hacer es hablar con los otros administradores para ver qué cambios han hecho.

    La configuración correcta de DNS en ambiente de dominio es:
    - Cada DC que sea DNS debe usar como DNS *únicamente* a él mismo si es DNS y a otro DC que sea DNS
    - Cada cliente de AD debe usar como DNS *únicamente* a DNSs que resuelvan AD (normalmente los DCs)

    -Salvo que en el DNS estén configurados Reenviadores, en ningún otro lado deben aparecer los DNSs del ISP para resolver Internet.

    Te reitero, habla con los otros administradores para ver qué cambios han hecho.

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    jueves, 10 de diciembre de 2009 16:10
    Moderador

Todas las respuestas

  • Por Favor alguien que me ayude.

    Gracias
    miércoles, 9 de diciembre de 2009 19:18
  • Maira, es difícil ayudarte con los datos que das.

    Para saber por qué "desde hace algunos días" se están produciendo esos problemas habría que saber qué se modificó "hace unos días".

    Habría que ver qué eventos relacionados se producen en el Visor de Sucesos de servidor y clientes.

    Cuando dices que están en los grupos "RAS and IAS, etc." seguramente es porque estás mirando la ficha Seguridad, y no la ficha Miembro De

    Por los síntomas que nombras todo da para pensar que hay problemas en la configuración DNS de clientes y/o servidor

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    jueves, 10 de diciembre de 2009 11:13
    Moderador
  • buenos días Guillermo, te comento que no hemos realizado ningún cambio en los ultimos días, sin embargo no descarto la posibilidad de que algunos de los administradores de red de las otras ciudades pudiesen haber realizado alguno cambio a nivel de politicas o algo asi ya que ellos tambien tienen privilegios como administradores del dominio. Te pregunto existe la posibilidad de que a nivel de politicas de dominio hayan activado algo para que los usuarios se coloquen automaticamente como domain admins y como RAS and IAS servers? Efectivamente fue en la pestaña seguridad donde vi estos privilegios, y si comparo con otros usuarios no tienen estos privilegios en la pestaña seguridad.

    En el server que es DC principal ya que tiene todos los roles y esta bajo 2008, aparecen los siguientes eventos:

    Event ID 1311    ActiveDirectory_DomainService

    The Knowledge Consistency Checker (KCC) has detected problems with the following directory partition.

    Event ID 1566   ActiveDirectory_DomainService

    All directory servers in the following site that can replicate the directory partition over this transport are currently unavailable.

    Event ID 1865   ActiveDirectory_DomainService

    The Knowledge Consistency Checker (KCC) was unable to form a complete spanning tree network topology. As a result, the following list of sites cannot be reached from the local site.

    Event ID 77  CertificationAuthority

    The "Windows default" Policy Module logged the following warning: The Active Directory connection to SERCCSDC.net-uno.net.ve has been reestablished to SERCCSDC.net-uno.net.ve.

    Event ID 53  CertificationAuthority

    Active Directory Certificate Services denied request 49 because The permissions on the certificate template do not allow the current user to enroll for this type of certificate. 0x80094012 (-2146877422). The request was for CN=NU1017E06. Additional information: Denied by Policy Module

    Agradezco si me puedes ayudar o necesitas alguna otra información.


    GRACIAS!!

    jueves, 10 de diciembre de 2009 15:24
  • Hay problemas de todo tipo en esa estructura, aunque seguramente como te dije son debidos a mala configuración de DNS

    La ficha Seguridad del usuario *no* significa que sea miembro de esos grupos, sino qué grupos tienen permisos sobre la cuenta de usuario

    Si hay otros administradores, lo que debes hacer es hablar con los otros administradores para ver qué cambios han hecho.

    La configuración correcta de DNS en ambiente de dominio es:
    - Cada DC que sea DNS debe usar como DNS *únicamente* a él mismo si es DNS y a otro DC que sea DNS
    - Cada cliente de AD debe usar como DNS *únicamente* a DNSs que resuelvan AD (normalmente los DCs)

    -Salvo que en el DNS estén configurados Reenviadores, en ningún otro lado deben aparecer los DNSs del ISP para resolver Internet.

    Te reitero, habla con los otros administradores para ver qué cambios han hecho.

    Guillermo Delprato - MVP-MCT-MCITP-MCTS-MCSE MCITP: Server Administration MCTS:Active Directory/Network Infrastructure Buenos Aires, Argentina
    jueves, 10 de diciembre de 2009 16:10
    Moderador
  • Hola,
    Probaste de revisar en el Regedit???
    Fijate lo siguiente.
    Busca la Clave
    Mi PC\Hkey_Local_Machine\System\CurrentControlSet\Services
    Dentro de esta veras varias carpetas
    busca la que dice
    NtFrs
    Hacele Click Derecho PErmisos y fijate si en los permisos tenes el Usuario
    Network Service o su equivalente en Español.
    Si no esta agregalo a mano y reinicia el servicio.
    Fijate como reacciona en el visor de sucesos y avisanos
    Saludos
    Todo se puede, que no sepa como es otro tema
    lunes, 18 de enero de 2010 19:58