none
Problemas en la directiva "Iniciar sesión como servicio" RRS feed

  • Pregunta

  • Buenos días,

    Nos encontramos en una situación un poco rara y no sabemos que puede estar pasando. Tenemos un W2k8 (entre otros servers) que paraba servicios y no dejaba iniciarlos. Nos dimos cuenta de que era porqué teníamos que modificar la directiva de "Iniciar sesión como servicio". Y ahí radica el problema. Cuando añadimos / quitamos usuarios dentro de la directiva, no nos deja, ya que los botones aparecen como deshabilitados. Entonces pensamos que la política del dominio mandaba y que había que modificarla ahí, pero tenemos el mismo problema en el DC (un 2k3). Se ha reiniciado los servers y no sabemos si es que hay otra directiva que capa esta o que realmente sea un fallo del sistema.

    Hemos seguido la KB de microsoft para solucionar algunos problemas con el inicio de sesión en un 2k3, pero sin éxito en el 2k8.

    Alguna sugerencia?

    Muchas gracias de antemano.

    viernes, 4 de junio de 2010 7:15

Respuestas

  • Disculpa, pero algunos datos no me quedan claros.

    Si el servidor es un DC, entonces el cambio hay que hacerlo en la Default Domain Policy, no en la Local Policy

    Si en cambio el servido es miembro, no es DC, entonces sí hay que hacerlo en la Local Policy

    Los servidores miembros, aplican las configuraciones puestas en la Default Domain Policy (por herencia) pero entiendo que en esta última no tienes configurado eso, pues lo aplicarías a todas las máquinas del dominio.

    Importante: no confundir "Default Domain Policy" con "Default Domain Controllers Policy". Ni Local Policy (GPEDIT.MSC) con la rama Local Policy.
    Si, ya sé que es confuso, pero es así :-)

    Descarto que lo estás haciendo con un usuario que pertences al grupo local Administradores del servidor, o por lo menos un Domain Admin ¿si?

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 7 de junio de 2010 12:02
    Moderador
  • Para configurar directivas de dominio, hay que iniciar sesión como administrador de dominio, un administrador local no puede.

    Para ver la ficha Seguridad, en Usuarios y Equipos de AD hay que previamente entrar al menú Ver y marcar Opciones Avanzadas.

    Las directivas no puedes manejarlas desde Usuarios y Equipos de AD, hay una herramienta específica en Herramientas Administrativas que se llama Group Policy Management (lo tengo en inglés)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 8 de junio de 2010 11:26
    Moderador

Todas las respuestas

  • apiquer ¿te refieres a servicios de Windows? ¿o a servicios de otras aplicaciones?

    También habría que conocer a cuál te refieres cuando dices "modificar la directiva" ¿GPO recibida del dominio o local?

    En un DC se modifica desde la Default Domain Controllers Policy, y aplica a todos los DCs

    Si dieras más datos se podría ayudar mejor :-)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    sábado, 5 de junio de 2010 12:32
    Moderador
  • Buenos días Guillermo,

    NO son servicios de Windows propiamente. Son servicios de aplicaciones externas como Data Protector, SQL, etc...

    En la directiva "Configuración de Equipo" -> "Configuración de Windows" -> "Configuración de seguridad" -> "Directivas locales" -> "Asignación de derechos de usuarios" -> "Iniciar sesión como servicio" en cuanto la abres aparecen los usuarios con dicho permiso y el típico botón de Añadir/quitar usuario. Pues bien, estos dos botones están deshabilitados, es decir, NO se pueden clicar para añadir/quitar.

    Por otra parte hay un procedimiento en las KB de Microsoft que aplicamos a un 2003 y funcionó. Hemos revisado otra vez el servidor, y hemos vuelto al estado anterior. Hemos mirado otros y están igual. Mi sospecha es que el DC principal (que también está así) está replicando las políticas a todos los servers y hasta que no se solucione en ese, no habrá nada que hacer en los demás. Vamos a aplicar el procedimiento a éste a ver que resultados nos dá.

    Esta es la info: http://technet.microsoft.com/es-es/library/cc739424%28WS.10%29.aspx

    Un saludo,

    lunes, 7 de junio de 2010 6:52
  • Disculpa, pero algunos datos no me quedan claros.

    Si el servidor es un DC, entonces el cambio hay que hacerlo en la Default Domain Policy, no en la Local Policy

    Si en cambio el servido es miembro, no es DC, entonces sí hay que hacerlo en la Local Policy

    Los servidores miembros, aplican las configuraciones puestas en la Default Domain Policy (por herencia) pero entiendo que en esta última no tienes configurado eso, pues lo aplicarías a todas las máquinas del dominio.

    Importante: no confundir "Default Domain Policy" con "Default Domain Controllers Policy". Ni Local Policy (GPEDIT.MSC) con la rama Local Policy.
    Si, ya sé que es confuso, pero es así :-)

    Descarto que lo estás haciendo con un usuario que pertences al grupo local Administradores del servidor, o por lo menos un Domain Admin ¿si?

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    lunes, 7 de junio de 2010 12:02
    Moderador
  • Buenos días Guillermo,

    Te comento. Hemos entrado como Administrador de Dominio y como Administrador local para ir a "Usuarios y equipos de AD" y al hacer clic al botón derecho en el dominio y darle a propiedades NO aparece la pestaña de Seguridad, ni la de Objeto ni la de Politicas de Dominio para editarla. Seguramente haya un problema de instalación, porque en herramientas administrativas NO aparece tampoco la "Directiva de seguridad del controlador de dominio". Se ve que no quiso aparecer o no se quiso instalar...

    Hay alguna forma de forzarlo o hay que hacer un "reparar equipo". Los DC los cambiamos hace una semana, son todos 2k8.

    Un saludo.

    martes, 8 de junio de 2010 8:57
  • Para configurar directivas de dominio, hay que iniciar sesión como administrador de dominio, un administrador local no puede.

    Para ver la ficha Seguridad, en Usuarios y Equipos de AD hay que previamente entrar al menú Ver y marcar Opciones Avanzadas.

    Las directivas no puedes manejarlas desde Usuarios y Equipos de AD, hay una herramienta específica en Herramientas Administrativas que se llama Group Policy Management (lo tengo en inglés)

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    martes, 8 de junio de 2010 11:26
    Moderador