Проблемы с применением доменных политик в контексте компьютера

Все ответы

• 

  

  0

  Нужно войти

  SID-ы не дублируются?
  

  8 августа 2008 г. 12:31

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  dmirk написано:

  SID-ы не дублируются?

  На самом деле, в домене это не имеет значения, ибо SID'ы у всех компьютеров будут доменные.

   

  По вопросу: слишком мало информации для ответа. Что конкретно выдаётся, что в логах?

   

  P. S. Я же правильно понимаю, что машины в домене?

  9 августа 2008 г. 15:31

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Stаnky написано:

  dmirk написано: SID-ы не дублируются? На самом деле, в домене это не имеет значения, ибо SID'ы у всех компьютеров будут доменные.

   

  Согласен. Прочитал вопрос по диагонали

  "SID" - это уже рефлекс на слова "образ" и "не работает"

  10 августа 2008 г. 7:59

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Сиды не дублируются, так как призапуске sysprep не выбрана опция "не генерировать SID"

  Машины доменные, в логах пишет вот что:

  *****************************************************************************************************************************************

  Тип события: Предупреждение
  Источник события: SceCli
  Категория события: Отсутствует
  Код события: 1202
  Дата:  01.08.2008
  Время:  12:13:44
  Пользователь:  Н/Д
  Компьютер: PSCPK-1150002
  Описание:
  Выполнено распространение политики безопасности с предупреждением. 0x4b8 : Ошибка расширенного типа.

  Для диагностики этого события выполните вход с неадминистративной учетной записью и на http://support.microsoft.com выполните поиск раздела "Troubleshooting Event 1202's" ("Диагностика события 1202").
  0x4b8: Ошибка расширенного типа.
  ******************************************************************************************************************************************

  А вот то что я нарыл на сайте Microsoft

  Ошибка с кодом 0x4b8 может возникнуть по ряду причин. Чтобы устранить такую проблему, выполните следующие действия. 1. Включите регистрацию в журнале отладки для клиентского расширения Security Configuration. a.  Запустите редактор реестра. 
  b.  Найдите следующий раздел:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F7 9F83A}
  c.  В меню Правка выберите команду Создать параметр для создания параметра со следующими характеристиками.
  Название параметра: ExtensionDebugLevel
  Тип данных: DWORD
  Значение: 2
  d.  Закройте редактор реестра.
   
  2. Чтобы воспроизвести ошибку, обновите параметры политики. Для обновления параметров политики введите следующую команду и нажмите клавишу ВВОД:
  secedit /refreshpolicy machine_policy /enforce
  В папкe %SYSTEMROOT%\Security\Logs будет создан файл Winlogon.log.
  3. Обратитесь к указанным ниже статьям Microsoft Knowledge Base, в которых рассмотрены известные причины возникновения ошибки с кодом 0x4b8.
  260715 (http://support.microsoft.com/kb/260715/RU/) После настройки политик появляются записи о событиях с кодами 1000 и 1202
  278316 (http://support.microsoft.com/kb/278316/) События с кодом 1000, 1202, 412 и 454 несколько раз регистрируются в журнале событий приложений

   

  Но что то не понятное!!!
  

  11 августа 2008 г. 5:20

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Кажется я понял почему не отрабатываются политики в контексте компьютера, в рестре в \HKEY  LOCAL  MACHINE\SECURITY пусто, вот в чём дело, только вот как восстановить!?

  28 августа 2008 г. 14:03

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  volkovvs написано:

  в рестре в \HKEY  LOCAL  MACHINE\SECURITY пусто

  Там не пусто. Просто это защищённая ветка реестра, куда даже админ не имеет доступа. Запустите Regedit с правами SYSTEM и сами убедитесь.

  volkovvs написано:

  вот в чём дело

  Нет - вы идёте в неверном направлении.

  28 августа 2008 г. 14:54

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Вполне возможно, что в групповой политике осталась ссылка на удаленного пользователя, и на нем все спотыкается. Вы же сами привели статью. Включите debug и посмотрите какие ошибки записаны в winlogon.log.

  Или покажите его здесь.

  28 августа 2008 г. 20:25

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  Лог счас выложу, вот такой вопрос в \HKEY  LOCAL  MACHINE\SYSTEM\WPA\PnP есть параметр seed, так на всех проблемных образах он одинаков, так и должно быть!?

  Также в HKEY  LOCAL  MACHINE\SYSTEM\WPA есть несколько разделов key-***** ***** ***** ******, так тоже должно быть?

  А вот и лог:

  **********************************************************************************************************************************

  Создать локальную копию \\ifdk.lan\SysVol\ifdk.lan\Policies\{8373F48F-6FEF-4C6C-B299-C6B1743FD936}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
  GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

  Создать локальную копию \\ifdk.lan\SysVol\ifdk.lan\Policies\{7FE178DF-D8A3-4D91-9562-BD322D4DE97C}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
  GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

  Создать локальную копию \\ifdk.lan\SysVol\ifdk.lan\Policies\{3FE77CF2-1820-408A-A2E1-22572DE4342F}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
  GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

  Создать локальную копию \\ifdk.lan\SysVol\ifdk.lan\Policies\{FEFF5CF0-E522-497B-8793-9A48E1B8AD6A}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
  GPLinkOrganizationUnit GPO_INFO_FLAG_BACKGROUND )

  Создать локальную копию \\ifdk.lan\sysvol\ifdk.lan\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\Microsoft\Windows NT\SecEdit\GptTmpl.inf.
  GPLinkDomain GPO_INFO_FLAG_BACKGROUND )

  Обработать шаблон gpt00000.inf групповой политики.

  Это не последний GPO.
  -------------------------------------------
  29 августа 2008 г. 13:47:58
   Копирование восстановленных значений в объединенную политику.

  
  ----Деинициализация модуля настройки...

  Обработать шаблон gpt00001.inf групповой политики.

  Это не последний GPO.
  -------------------------------------------
  29 августа 2008 г. 13:47:58

  
  ----Деинициализация модуля настройки...

  Обработать шаблон gpt00002.inf групповой политики.

  Это не последний GPO.
  -------------------------------------------
  29 августа 2008 г. 13:47:58

  
  ----Деинициализация модуля настройки...

  Обработать шаблон gpt00003.inf групповой политики.

  Это не последний GPO.
  -------------------------------------------
  29 августа 2008 г. 13:47:59

  
  ----Деинициализация модуля настройки...

  Обработать шаблон gpt00004.dom групповой политики.
  -------------------------------------------
  29 августа 2008 г. 13:47:59
  ----Модуль конфигурации инициализирован успешно.----

  ----Чтение данных шаблона конфигурации...

  
  ----Настройка прав пользователя...
   Настройка S-1-5-32-545.
    добавление SeLoadDriverPrivilege.
   Настройка S-1-5-32-544.
   Настройка S-1-5-21-2362704903-635623646-1968327655-2345.
    добавление SeMachineAccountPrivilege.

   Настройка прав пользователя выполнена успешно.

  
  ----Настройка членства в группах...
   Настройка administrators.
  Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
    Не обнаружено системное сопоставление для administrators.

   Настройка членства в группах выполнена успешно.

  
  ----Настройка разделов реестра...
   Настройка users.
   Настройка machine.
  Предупреждение 2: Не удается найти указанный файл.
    Ошибка при открытии machine\SECURITY\Policy\Secrets\SAI.
  Предупреждение 2: Не удается найти указанный файл.
    Ошибка при установке параметров безопасности на machine\SECURITY\Policy\Secrets\SAI.
  Предупреждение 2: Не удается найти указанный файл.
    Ошибка при открытии machine\SECURITY\Policy\Secrets\SAC.
  Предупреждение 2: Не удается найти указанный файл.
    Ошибка при установке параметров безопасности на machine\SECURITY\Policy\Secrets\SAC.
   Настройка machine\software.
  Предупреждение 6: Неверный дескриптор.
    Ошибка при установке параметров безопасности на machine\software\Microsoft\Windows NT\CurrentVersion\Perflib\019.
  Предупреждение 6: Неверный дескриптор.
    Ошибка при установке параметров безопасности на machine\software\Microsoft\Windows NT\CurrentVersion\Perflib\009.
   Настройка classes_root.

   Настройка разделов реестра выполнена успешно.

  
  ----Настройка параметров общей службы...
   Настройка SharedAccess.
  Не соответствует   - SharedAccess.
    Значение отмены для параметра групповой политики <SharedAccess> было сохранено.
   Настройка Multi-user Cleanup Service.
  Не соответствует   - Multi-user Cleanup Service.
    Значение отмены для параметра групповой политики <Multi-user Cleanup Service> было сохранено.
   Настройка Messenger.
  Не соответствует   - Messenger.
    Значение отмены для параметра групповой политики <Messenger> было сохранено.
   Настройка Lotus Notes Single Logon.
  Не соответствует   - Lotus Notes Single Logon.
    Значение отмены для параметра групповой политики <Lotus Notes Single Logon> было сохранено.
   Настройка Browser.
  Не соответствует   - Browser.
    Значение отмены для параметра групповой политики <Browser> было сохранено.

   Настройка общей службы выполнена успешно.

  
  ----Настройка доступных модулей дополнений...

   Настройка модулей дополнений выполнена успешно.

  
  ----Настройка политики безопасности...
  0
    Значение отмены для параметра групповой политики <MinimumPasswordLength> было сохранено.
  0
    Значение отмены для параметра групповой политики <PasswordHistorySize> было сохранено.
  42
    Значение отмены для параметра групповой политики <MaximumPasswordAge> было сохранено.
  0
    Значение отмены для параметра групповой политики <MinimumPasswordAge> было сохранено.
  0
    Значение отмены для параметра групповой политики <PasswordComplexity> было сохранено.
  0
    Значение отмены для параметра групповой политики <RequireLogonToChangePassword> было сохранено.
  0
    Значение отмены для параметра групповой политики <ClearTextPassword> было сохранено.
   Настройка параметров паролей.
  0
    Значение отмены для параметра групповой политики <LockoutBadCount> было сохранено.
  30
    Значение отмены для параметра групповой политики <ResetLockoutCount> было сохранено.
  30
    Значение отмены для параметра групповой политики <LockoutDuration> было сохранено.
   Настройка параметров блокировки учетных записей.
  Administrator
    Значение отмены для параметра групповой политики <NewAdministratorName> было сохранено.
   Переименование учетной записи администратора в Administrator.
  1
    Значение отмены для параметра групповой политики <EnableAdminAccount> было сохранено.
   Учетная запись администратора включена.

   Настройка системного доступа выполнена успешно.
  512
    Значение отмены для параметра групповой политики <MaximumLogSize> было сохранено.
  7
    Значение отмены для параметра групповой политики <RetentionDays> было сохранено.
  1
    Значение отмены для параметра групповой политики <AuditLogRetentionPeriod> было сохранено.
  512
    Значение отмены для параметра групповой политики <MaximumLogSize> было сохранено.
  7
    Значение отмены для параметра групповой политики <RetentionDays> было сохранено.
  1
    Значение отмены для параметра групповой политики <AuditLogRetentionPeriod> было сохранено.
  512
    Значение отмены для параметра групповой политики <MaximumLogSize> было сохранено.
  7
    Значение отмены для параметра групповой политики <RetentionDays> было сохранено.
  1
    Значение отмены для параметра групповой политики <AuditLogRetentionPeriod> было сохранено.
   Настройка параметров протоколирования.
   Настройка параметров аудита событий.
  0
    Значение отмены для параметра групповой политики <AuditSystemEvents> было сохранено.
  0
    Значение отмены для параметра групповой политики <AuditLogonEvents> было сохранено.
  0
    Значение отмены для параметра групповой политики <AuditObjectAccess> было сохранено.
  0
    Значение отмены для параметра групповой политики <AuditPrivilegeUse> было сохранено.
  0
    Значение отмены для параметра групповой политики <AuditPolicyChange> было сохранено.
  0
    Значение отмены для параметра групповой политики <AuditAccountManage> было сохранено.
  0
    Значение отмены для параметра групповой политики <AuditDSAccess> было сохранено.
  0
    Значение отмены для параметра групповой политики <AuditAccountLogon> было сохранено.

   Настройка аудита/протоколирования выполнена успешно.
   Настройка machine\system\currentcontrolset\control\lsa\forceguest.
  Не соответствует   - machine\system\currentcontrolset\control\lsa\forceguest.
    Значение отмены для параметра групповой политики <machine\system\currentcontrolset\control\lsa\forceguest> было сохранено.

   Настройка значений разделов реестра выполнена успешно.

  
  ----Настройка доступных модулей дополнений...

   Настройка модулей дополнений выполнена успешно.

  
  ----Деинициализация модуля настройки...

  это последний GPO.
  **************************************************************************************************************************************

  29 августа 2008 г. 10:05

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

   

  ----Настройка членства в группах...
   Настройка administrators.
  Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
    Не обнаружено системное сопоставление для administrators.

   

   

  Написано же, что за ошибка

  Вы в политике restricted groups добавляете что-то в локальную группу "Administrators", а ее на локальном компьютере нет - XP русская.

  Поправьте политику и обновите ее на локальном компьютере

  gpupdate /force

  1 сентября 2008 г. 18:02

  Ответить

  |

  Цитировать
• 

  

  0

  Нужно войти

  avmak написано:

  ----Настройка членства в группах...  Настройка administrators. Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.   Не обнаружено системное сопоставление для administrators.     Написано же, что за ошибка Вы в политике restricted groups добавляете что-то в локальную группу "Administrators", а ее на локальном компьютере нет - XP русская. Поправьте политику и обновите ее на локальном компьютере gpupdate /force

   

  Эта ошибка другим параметрам применяться не мешает.

  2 сентября 2008 г. 5:32

  Ответить

  |

  Цитировать