none
אין הרשאות ל-domain admins על DC RRS feed

  • שאלה

  • שלום,

    יש לי דומיין מבוסס server 2003.

    עשיתי ניסוי קטן על ה-Restricted Groups של ה-GPO, הוספתי אליו את קבוצת Administrators, ואז צירפתי שלושה יוזרים רנדומאליים לקבוצה. שלושת היוזרים אכן קיבלו הרשאות אדמיניסטרציה.

    לאחר מכן הסרתי את כל היוזרים מהקבוצה ב-Restricted Groups, אך לצערי שכחתי למחוק את הקבוצה עצמה משם.
    מה שקרה זה שלמחרת, לאחר הפסקת חשמל שהפילה את כלל השרתים ומחשבי הקצה, כל המכונות נותרו עם קבוצת Administrators ריקה.
    בכדי לתקן את הבעיה, התחברתי לוקאלית לאחד ה-DC, הסרתי את קבוצת ה-Administrators מה-Restricted Groups, והפעלתי מחדש את כלל המחשבים והשרתים.
    ההרשאות חזרו לקודמן ובעיית ההרשאות נפתרה, מלבד ב-Domain Controllers.
    Domain Admins איבדו את הרשאות האדמיניסטרציה מה-DC.

    אשמח לעזרה.

    תודה רבה


    יום שני 03 ספטמבר 2012 12:31

תשובות

  • שלום

    כנס עם המשתמש ADMINISTRATOR של הדומיין.

    תפתח ACTIVE DIRECTORY USERS AND COMPUTERS

    כנס ל BUILTIN

    לחץ פעמיים על ADMINISTRATORS

    תוסיף את קבוצת DOMAIN ADMINS.

    ממליץ לך:

    1. לבדוק למה קרה שהשרתים כובו לאחר הפסקת חשמל, האם אין UPS שמחזיק אותם? האם אין גנרטור מאחורי  השדה של ה UPS  שנכנס לפעולה בעת הפסקת חשמל ?

    2. על כל בדיקה ונסיון אנא פתח OU נפרד, הכנס לשם מחשבי קליינט (לא על שרתים) ובצע את הבדיקות על לא יותר מ 3 מחשבים בארגון, לאחר הבדיקה שהכל עובד, תוכל להחיל את ה GPO על יתר המחשבים, לא ממליץ לך כלל להחיל GPO של RESTRICTED GROUPS על שרתים, אלא אם כן אתה לא סומך על מי שמנהל את הרשת אצלך, מה שלא אמור לקרות.

    בהצלחה !!!


    Haim Lazarovitch - MVP (Microsoft Most Valuable pofessional) MCTS, MCITP : server & Enterprise Administrator, MCP, MCSA, MCSE + Messaging, VCP, e-mail & Messenger: haim_laz@hotmail.com, blog: http://blogs.microsoft.co.il/blogs/HaimL


    • נערך על-ידי HAIM LModerator יום שני 03 ספטמבר 2012 17:49
    • סומן כתשובה על-ידי מ.א יום שלישי 04 ספטמבר 2012 07:14
    יום שני 03 ספטמבר 2012 17:47
    מנחה דיון

כל התגובות

  • שלום

    כנס עם המשתמש ADMINISTRATOR של הדומיין.

    תפתח ACTIVE DIRECTORY USERS AND COMPUTERS

    כנס ל BUILTIN

    לחץ פעמיים על ADMINISTRATORS

    תוסיף את קבוצת DOMAIN ADMINS.

    ממליץ לך:

    1. לבדוק למה קרה שהשרתים כובו לאחר הפסקת חשמל, האם אין UPS שמחזיק אותם? האם אין גנרטור מאחורי  השדה של ה UPS  שנכנס לפעולה בעת הפסקת חשמל ?

    2. על כל בדיקה ונסיון אנא פתח OU נפרד, הכנס לשם מחשבי קליינט (לא על שרתים) ובצע את הבדיקות על לא יותר מ 3 מחשבים בארגון, לאחר הבדיקה שהכל עובד, תוכל להחיל את ה GPO על יתר המחשבים, לא ממליץ לך כלל להחיל GPO של RESTRICTED GROUPS על שרתים, אלא אם כן אתה לא סומך על מי שמנהל את הרשת אצלך, מה שלא אמור לקרות.

    בהצלחה !!!


    Haim Lazarovitch - MVP (Microsoft Most Valuable pofessional) MCTS, MCITP : server & Enterprise Administrator, MCP, MCSA, MCSE + Messaging, VCP, e-mail & Messenger: haim_laz@hotmail.com, blog: http://blogs.microsoft.co.il/blogs/HaimL


    • נערך על-ידי HAIM LModerator יום שני 03 ספטמבר 2012 17:49
    • סומן כתשובה על-ידי מ.א יום שלישי 04 ספטמבר 2012 07:14
    יום שני 03 ספטמבר 2012 17:47
    מנחה דיון
  • שלום.

    1. אני מניח שלמדת להיות זהיר יותר בהגדרות gpo ברמת ה domain כולו.

    להבא תעשה gpo שמופעל רק על ou מסויים של מחשבים או תחנות כדי להימנע מסיכון לבעיות כאלו.

    2. לגבי התקלה - האם ניסית לעשות אתחול נוסף לאחד משרתי ה dc ? אולי זה יחזיר את המצב לקדמותו?

    האם יש לך בכלל אפשרות להתחבר כרגע באופן מקומי או מרחוק לאחד משרתי dc ?

    האם יש לך כרגע אפשרות לעשות שינויים ב gpo ?

    3. אם עדיין יש בעיה - תפרט בבקשה גרסאות מערכת הפעלה של שרתי dc השונים, ותשובות לשאלות שרשמתי.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום שני 03 ספטמבר 2012 20:16
  • תודה רבה!!! זה הפתרון.

    1. בדר"כ קיים UPS, אנחנו עכשיו לקראת מעבר מבנה כך שאחת הפעולות היא ניתוק ה-UPS, בהתאם לאילוצים

    2. אין ספק שאתה צודק, בהחלט למדתי את הלקח. 

    יזהר, תודה,
    אכן ניסיתי לעשות אאתחול ל-DC, מה שלא עזר. הייתה לי אפשרות להתחבר באופן מקומי, אך לא מרוחק.
    בנוסף, היו לי הרשאות לעשות שינויים ב-GPO, כמו שאמרתי הבעיה הייתה בהרשאות לוקאליות על ה-DC בלבד.

    תודה רבה על העזרה!
    יום טוב

    יום שלישי 04 ספטמבר 2012 07:18
  • קח בחשבון שאכן ה Restricted Groups מחליפים את המצב הקיים בתחנות/שרתים, אם אתה רוצה דרך יותר נוחה להתעסק עם ניהול משתמשים/קבוצות

    יש את ה Group Policy Preferences או ברמת מחשב או ברמת משתמש שאפשר להשתמש בו, ואפשר לעדכן דרכו משתמשים, להוסיף, להסיר וכו'

    יש לך אפשרות להחליף מה שקיים או להוסיף, ועוד אפשרויות. אני בעבר השתמשתי ב Restricted Groups אבל אך ורק בתחנות בגלל שהוא מחליף הרשאות קיימות.

    היום אני בתהליך ליישם על OU של שרתים הוספת קבוצה חזקה דרך ה Group Policy Preferences בתוספת WMI Filter ליתר ביטחון.

    יום שלישי 04 ספטמבר 2012 18:42