none
Проблемы с применением доменных политик в контексте компьютера RRS feed

  • Общие обсуждения

  • Добрый день друзья, собрал тут недавно образ для заливки, с лицензионной виндой XpProSp2, так на эти компы не применяется политика в контексте компьютера, смотрел РСОПом, пишет ошибку расширенного типа, а какого, не понятно!

    Может кто сталкивался!!!

    8 августа 2008 г. 12:05

Все ответы

  • SID-ы не дублируются?
    8 августа 2008 г. 12:31
  •  dmirk написано:
    SID-ы не дублируются?
    На самом деле, в домене это не имеет значения, ибо SID'ы у всех компьютеров будут доменные.

     

    По вопросу: слишком мало информации для ответа. Что конкретно выдаётся, что в логах?

     

    P. S. Я же правильно понимаю, что машины в домене?

    9 августа 2008 г. 15:31
  •  Stаnky написано:

     dmirk написано:
    SID-ы не дублируются?
    На самом деле, в домене это не имеет значения, ибо SID'ы у всех компьютеров будут доменные.

     

    Согласен. Прочитал вопрос по диагонали Sad

    "SID" - это уже рефлекс на слова "образ" и "не работает" Smile

    10 августа 2008 г. 7:59
  • Сиды не дублируются, так как призапуске sysprep не выбрана опция "не генерировать SID"

    Машины доменные, в логах пишет вот что:

    *****************************************************************************************************************************************

    Тип события: Предупреждение
    Источник события: SceCli
    Категория события: Отсутствует
    Код события: 1202
    Дата:  01.08.2008
    Время:  12:13:44
    Пользователь:  Н/Д
    Компьютер: PSCPK-1150002
    Описание:
    Выполнено распространение политики безопасности с предупреждением. 0x4b8 : Ошибка расширенного типа.

    Для диагностики этого события выполните вход с неадминистративной учетной записью и на http://support.microsoft.com выполните поиск раздела "Troubleshooting Event 1202's" ("Диагностика события 1202").
    0x4b8: Ошибка расширенного типа.
    ******************************************************************************************************************************************

    А вот то что я нарыл на сайте Microsoft

    Ошибка с кодом 0x4b8 может возникнуть по ряду причин. Чтобы устранить такую проблему, выполните следующие действия. 1. Включите регистрацию в журнале отладки для клиентского расширения Security Configuration. a.  Запустите редактор реестра. 
    b.  Найдите следующий раздел:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
    c.  В меню Правка выберите команду Создать параметр для создания параметра со следующими характеристиками.
    Название параметра: ExtensionDebugLevel
    Тип данных: DWORD
    Значение: 2
    d.  Закройте редактор реестра.
     
    2. Чтобы воспроизвести ошибку, обновите параметры политики. Для обновления параметров политики введите следующую команду и нажмите клавишу ВВОД:
    secedit /refreshpolicy machine_policy /enforce
    В папкe %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
    3. Обратитесь к указанным ниже статьям Microsoft Knowledge Base, в которых рассмотрены известные причины возникновения ошибки с кодом 0x4b8.
    260715 (http://support.microsoft.com/kb/260715/RU/) После настройки политик появляются записи о событиях с кодами 1000 и 1202
    278316 (http://support.microsoft.com/kb/278316/) События с кодом 1000, 1202, 412 и 454 несколько раз регистрируются в журнале событий приложений

     

    Но что то не понятное!!!

    11 августа 2008 г. 5:20
  • Кажется я понял почему не отрабатываются политики в контексте компьютера, в рестре в \HKEY  LOCAL  MACHINE\SECURITY пусто, вот в чём дело, только вот как восстановить!?

    28 августа 2008 г. 14:03
  •  volkovvs написано:
    в рестре в \HKEY  LOCAL  MACHINE\SECURITY пусто
    Там не пусто. Просто это защищённая ветка реестра, куда даже админ не имеет доступа. Запустите Regedit с правами SYSTEM и сами убедитесь.

     volkovvs написано:
    вот в чём дело
    Нет - вы идёте в неверном направлении.
    28 августа 2008 г. 14:54
  • Вполне возможно, что в групповой политике осталась ссылка на удаленного пользователя, и на нем все спотыкается. Вы же сами привели статью. Включите debug и посмотрите какие ошибки записаны в winlogon.log.

    Или покажите его здесь.

    28 августа 2008 г. 20:25
  • Лог счас выложу, вот такой вопрос в \HKEY  LOCAL  MACHINE\SYSTEM\WPA\PnP есть параметр seed, так на всех проблемных образах он одинаков, так и должно быть!?

    Также в HKEY  LOCAL  MACHINE\SYSTEM\WPA есть несколько разделов key-***** ***** ***** ******, так тоже должно быть?

    А вот и лог:

    **********************************************************************************************************************************

    Создать локальную копию \\ifdk.lan\SysVol\ifdk.lan\Policies\{8373F48F-6FEF-4C6C-B299-C6B1743FD936}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
    GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

    Создать локальную копию \\ifdk.lan\SysVol\ifdk.lan\Policies\{7FE178DF-D8A3-4D91-9562-BD322D4DE97C}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
    GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

    Создать локальную копию \\ifdk.lan\SysVol\ifdk.lan\Policies\{3FE77CF2-1820-408A-A2E1-22572DE4342F}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
    GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

    Создать локальную копию \\ifdk.lan\SysVol\ifdk.lan\Policies\{FEFF5CF0-E522-497B-8793-9A48E1B8AD6A}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
    GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

    Создать локальную копию \\ifdk.lan\sysvol\ifdk.lan\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
    GPLinkDomain GPO_INFO_FLAG_BACKGROUND )

    Обработать шаблон gpt00000.inf групповой политики.

    Это не последний GPO.
    -------------------------------------------
    29 августа 2008 г. 13:47:58
     Копирование восстановленных значений в объединенную политику.


    ----Деинициализация модуля настройки...

    Обработать шаблон gpt00001.inf групповой политики.

    Это не последний GPO.
    -------------------------------------------
    29 августа 2008 г. 13:47:58


    ----Деинициализация модуля настройки...

    Обработать шаблон gpt00002.inf групповой политики.

    Это не последний GPO.
    -------------------------------------------
    29 августа 2008 г. 13:47:58


    ----Деинициализация модуля настройки...

    Обработать шаблон gpt00003.inf групповой политики.

    Это не последний GPO.
    -------------------------------------------
    29 августа 2008 г. 13:47:59


    ----Деинициализация модуля настройки...

    Обработать шаблон gpt00004.dom групповой политики.
    -------------------------------------------
    29 августа 2008 г. 13:47:59
    ----Модуль конфигурации инициализирован успешно.----

    ----Чтение данных шаблона конфигурации...


    ----Настройка прав пользователя...
     Настройка S-1-5-32-545.
      добавление SeLoadDriverPrivilege.
     Настройка S-1-5-32-544.
     Настройка S-1-5-21-2362704903-635623646-1968327655-2345.
      добавление SeMachineAccountPrivilege.

     Настройка прав пользователя выполнена успешно.


    ----Настройка членства в группах...
     Настройка administrators.
    Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
      Не обнаружено системное сопоставление для administrators.

     Настройка членства в группах выполнена успешно.


    ----Настройка разделов реестра...
     Настройка users.
     Настройка machine.
    Предупреждение 2: Не удается найти указанный файл.
      Ошибка при открытии machine\SECURITY\Policy\Secrets\SAI.
    Предупреждение 2: Не удается найти указанный файл.
      Ошибка при установке параметров безопасности на machine\SECURITY\Policy\Secrets\SAI.
    Предупреждение 2: Не удается найти указанный файл.
      Ошибка при открытии machine\SECURITY\Policy\Secrets\SAC.
    Предупреждение 2: Не удается найти указанный файл.
      Ошибка при установке параметров безопасности на machine\SECURITY\Policy\Secrets\SAC.
     Настройка machine\software.
    Предупреждение 6: Неверный дескриптор.
      Ошибка при установке параметров безопасности на machine\software\Microsoft\Windows NT\CurrentVersion\Perflib\019.
    Предупреждение 6: Неверный дескриптор.
      Ошибка при установке параметров безопасности на machine\software\Microsoft\Windows NT\CurrentVersion\Perflib\009.
     Настройка classes_root.

     Настройка разделов реестра выполнена успешно.


    ----Настройка параметров общей службы...
     Настройка SharedAccess.
    Не соответствует   - SharedAccess.
      Значение отмены для параметра групповой политики <SharedAccess> было сохранено.
     Настройка Multi-user Cleanup Service.
    Не соответствует   - Multi-user Cleanup Service.
      Значение отмены для параметра групповой политики <Multi-user Cleanup Service> было сохранено.
     Настройка Messenger.
    Не соответствует   - Messenger.
      Значение отмены для параметра групповой политики <Messenger> было сохранено.
     Настройка Lotus Notes Single Logon.
    Не соответствует   - Lotus Notes Single Logon.
      Значение отмены для параметра групповой политики <Lotus Notes Single Logon> было сохранено.
     Настройка Browser.
    Не соответствует   - Browser.
      Значение отмены для параметра групповой политики <Browser> было сохранено.

     Настройка общей службы выполнена успешно.


    ----Настройка доступных модулей дополнений...

     Настройка модулей дополнений выполнена успешно.


    ----Настройка политики безопасности...
    0
      Значение отмены для параметра групповой политики <MinimumPasswordLength> было сохранено.
    0
      Значение отмены для параметра групповой политики <PasswordHistorySize> было сохранено.
    42
      Значение отмены для параметра групповой политики <MaximumPasswordAge> было сохранено.
    0
      Значение отмены для параметра групповой политики <MinimumPasswordAge> было сохранено.
    0
      Значение отмены для параметра групповой политики <PasswordComplexity> было сохранено.
    0
      Значение отмены для параметра групповой политики <RequireLogonToChangePassword> было сохранено.
    0
      Значение отмены для параметра групповой политики <ClearTextPassword> было сохранено.
     Настройка параметров паролей.
    0
      Значение отмены для параметра групповой политики <LockoutBadCount> было сохранено.
    30
      Значение отмены для параметра групповой политики <ResetLockoutCount> было сохранено.
    30
      Значение отмены для параметра групповой политики <LockoutDuration> было сохранено.
     Настройка параметров блокировки учетных записей.
    Administrator
      Значение отмены для параметра групповой политики <NewAdministratorName> было сохранено.
     Переименование учетной записи администратора в Administrator.
    1
      Значение отмены для параметра групповой политики <EnableAdminAccount> было сохранено.
     Учетная запись администратора включена.

     Настройка системного доступа выполнена успешно.
    512
      Значение отмены для параметра групповой политики <MaximumLogSize> было сохранено.
    7
      Значение отмены для параметра групповой политики <RetentionDays> было сохранено.
    1
      Значение отмены для параметра групповой политики <AuditLogRetentionPeriod> было сохранено.
    512
      Значение отмены для параметра групповой политики <MaximumLogSize> было сохранено.
    7
      Значение отмены для параметра групповой политики <RetentionDays> было сохранено.
    1
      Значение отмены для параметра групповой политики <AuditLogRetentionPeriod> было сохранено.
    512
      Значение отмены для параметра групповой политики <MaximumLogSize> было сохранено.
    7
      Значение отмены для параметра групповой политики <RetentionDays> было сохранено.
    1
      Значение отмены для параметра групповой политики <AuditLogRetentionPeriod> было сохранено.
     Настройка параметров протоколирования.
     Настройка параметров аудита событий.
    0
      Значение отмены для параметра групповой политики <AuditSystemEvents> было сохранено.
    0
      Значение отмены для параметра групповой политики <AuditLogonEvents> было сохранено.
    0
      Значение отмены для параметра групповой политики <AuditObjectAccess> было сохранено.
    0
      Значение отмены для параметра групповой политики <AuditPrivilegeUse> было сохранено.
    0
      Значение отмены для параметра групповой политики <AuditPolicyChange> было сохранено.
    0
      Значение отмены для параметра групповой политики <AuditAccountManage> было сохранено.
    0
      Значение отмены для параметра групповой политики <AuditDSAccess> было сохранено.
    0
      Значение отмены для параметра групповой политики <AuditAccountLogon> было сохранено.

     Настройка аудита/протоколирования выполнена успешно.
     Настройка machine\system\currentcontrolset\control\lsa\forceguest.
    Не соответствует   - machine\system\currentcontrolset\control\lsa\forceguest.
      Значение отмены для параметра групповой политики <machine\system\currentcontrolset\control\lsa\forceguest> было сохранено.

     Настройка значений разделов реестра выполнена успешно.


    ----Настройка доступных модулей дополнений...

     Настройка модулей дополнений выполнена успешно.


    ----Деинициализация модуля настройки...

    это последний GPO.
    **************************************************************************************************************************************

    29 августа 2008 г. 10:05
  •  

    ----Настройка членства в группах...
     Настройка administrators.
    Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
      Не обнаружено системное сопоставление для administrators.

     

     

    Написано же, что за ошибка Smile

    Вы в политике restricted groups добавляете что-то в локальную группу "Administrators", а ее на локальном компьютере нет - XP русская.

    Поправьте политику и обновите ее на локальном компьютере

    gpupdate /force

    1 сентября 2008 г. 18:02
  •  avmak написано:

     

    ----Настройка членства в группах...
     Настройка administrators.
    Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
      Не обнаружено системное сопоставление для administrators.

     

     

    Написано же, что за ошибка

    Вы в политике restricted groups добавляете что-то в локальную группу "Administrators", а ее на локальном компьютере нет - XP русская.

    Поправьте политику и обновите ее на локальном компьютере

    gpupdate /force

     

    Эта ошибка другим параметрам применяться не мешает.

    2 сентября 2008 г. 5:32