locked
При добавлении доменного пользователя в локальную группу безопасности виден только его SID, а не имя RRS feed

  • Вопрос

  • В связи с планируемым переходом на сервера под управлением Windows 2008 R2 тестируем будущую информационную инфраструктуру организации на виртуальных машинах (Hyper-V). Все сервера в тестовой среде - Windows 2008 R2 со всеми установленными обновлениями. В том числе на них установлен KB976494.

    Если в локальную группу безопасности (например в Remote Desktop Users) на любом из серверов (кроме контроллеров домена) добавить доменного пользователя - то после нажатия на кнопочку Apply в списке членов этой группы от пользователя остаётся только его SID. Символьное имя пропадает Никаких ошибок в Event Viewer-е ни на контроллерах домена ни на серверах не фиксируется.

    Все права, применимые к этой локальной группе безопасности пользователь получает, с этим проблем нет.  Но всё-таки хотелось бы при просмотре группы видеть её членов не по SIDам, а по символьным именам.

    Буду признателен за любую помощь по существу проблемы. В какую сторону хотя бы рыть?


    MCSA
    17 июня 2011 г. 5:53

Ответы

  • Тема закрывается.
    Косяк был в том, что виртуальные машины были некорректно скопированы с эталонного образа. Создавал эти виртуальные машины не я, поэтому как именно они не правильно были скопированы я сказать не могу, т.к. подключился к проблеме на этапе когда уже стали проявляться глюки. После того как создали новую виртуальную машину "с нуля" (без копирования из имеющихся) - проблемы решились.

    Всем кто принимал участие в обсуждение - признателен за советы и поддержку!


    MCSA
    • Помечено в качестве ответа ЙоЖыГ 22 июня 2011 г. 19:05
    22 июня 2011 г. 19:05

Все ответы

  • Похоже, что роль Infrastructure Master работает не правильно.

    Какая конфигурация серверов: в каких доменах располагаются, какие отношения, где роли FSMO и кто держит глобальный каталог?


    Best Regards, Ilya
    17 июня 2011 г. 8:17
  • Всё просто. Отдельно стоящий домен. Есть один контроллер домена, на нём же Глобальный каталог. Пока в домене кроме DC развёрнуто на вирутальных машинах Hyper-V три сервера которые являются членами группы Domain Computers с установленными на них ролями в соответствии с их предназначением (файловый сервер, почтовый сервер, терминальный сервер). Кроме учётной записи администратора домена есть два тестовых доменных пользователя, которые являются членами доменной группы безопасности Domain Users. При попытке добавления их в локальную группу при выборе пользователя его символьное имя появляется в списке членов локальной группы безопасности, но после нажатия на Apply или OK остаётся только SID.
    Ошибок в Просмотре событий или сбоев в работе нет. Только вот эта проблема с отображением имён вводит в ступор.


    MCSA
    17 июня 2011 г. 11:01
  • Этот домен не имеет ни родительских, ни подчиненных доменов?
    Best Regards, Ilya
    17 июня 2011 г. 11:48
  • Этот домен не имеет ни родительских, ни подчиненных доменов?
    Best Regards, Ilya

    Нет. Ничего подобного нет и не планируется.
    MCSA
    17 июня 2011 г. 12:21
  • Ради интереса - залогиньтесь этим пользователем на сервер, где от него видно только SID и посмотрите, изменится ли ситуация в списке членов группы
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    20 июня 2011 г. 7:32
  • Ради интереса - залогиньтесь этим пользователем на сервер, где от него видно только SID и посмотрите, изменится ли ситуация в списке членов группы

    Сделал. Получил неожиданный результат. Залогиненный пользователь вообще не видит никого (в том числе себя) в этой локальной группе. Теряюсь в догадках.


    MCSA
    20 июня 2011 г. 8:42
  • Нда... дела. Администратор домена, если логинится на сервер локально, кстати, тоже никого не "видит" в нужной группе. В связи с этим, наверное, надо уточнить, что пользователи добавлялись в локальную группу с контроллера домена, используя оснастку Active Directory Users and Computers -> правой кнопкой мыши на нужном сервере -> Manage


    MCSA
    • Изменено ЙоЖыГ 20 июня 2011 г. 8:50 очепятка
    20 июня 2011 г. 8:49
  • может человеческий фактор?

    1. пока не нажмешь кнопку "окей" или "применить" даже если пользователь графически уже в списке группы, в группу он не запрыгнет.

    2. попробовать добавить с сервера напямую, а не по удаленке.

    а вобще имя не будет отображаться. елси у пользователя, под которыйм просматриваешь группу, нет доступа к службе каталогов. Он какбы просто видет ID, а сопоставить не может его с АД учеткой. так бывает если локальным админом смотришь на учетки из АД.

    20 июня 2011 г. 9:58
  • может человеческий фактор?

    Может. Разобраться бы в чём именно он проявляется?

    ...попробовать добавить с сервера напямую, а не по удаленке

    А вот тут вообще интересная пестня началась. Попробовал залогинисться Администратором домена на интересующем сервере. Добавляю пользователя в члены локальной группы Remote Desktop Users этого сервера. Нигде не ругается (ни визуально, ни в Просмотре событий), но в списке ни пользователь ни его SID не видны! Пробую ещё раз. Ругается на то, что такой пользователь уже есть в этой группе. И до того как нажать ОК - он виден в этой группе! Но только на момент появления всплывающего предупреждающего окна о том, что "...user is already member...". А если нажать ОК - опять список пустой становится.



    MCSA


    • Изменено ЙоЖыГ 20 июня 2011 г. 12:32 добавление скриншота
    20 июня 2011 г. 12:06
  • В реальной (не тестовой среде) есть домен с таким же как и в тестовой среде Windows 2003 режимом домена. Разница только в том, что в реальной среде контроллеры домена крутятся на базе операционной системы Windows 2003 R2 Server. В реальной среде есть два таких же рабочих Windows 2008 R2 Server-а с абсолютно такими же ролями, что и в рассматриваемой тестовой среде. Но в реальной среде таких проблем с добавлением пользователей и отсутствием их в списке локальной группы не наблюдается.


    MCSA
    20 июня 2011 г. 12:24
  • То есть собака порылась в самом сервере :)  Давайте пойдем по пути замены запчастей - возьмем с заведомо рабочего сервера файлик C:\Windows\System32\lusrmgr.msc, вставим его на наш проблемный сервер. перезагрузимся и посмотрим, что да как.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    20 июня 2011 г. 14:15
  • То есть собака порылась в самом сервере :)  Давайте пойдем по пути замены запчастей - возьмем с заведомо рабочего сервера файлик C:\Windows\System32\lusrmgr.msc, вставим его на наш проблемный сервер. перезагрузимся и посмотрим, что да как.


    Завтра попробую и отпишу результаты. Но прежде хотелось кое что уяснить:

    1. На рабочем сервере Windows 2008 R2 Stardart Edition русская. На "проблемных" серверах Windows 208 R2 Etreprise Edition English. Можно ли заменять указанный файлик? Конечно, я бэкап обязательно сделаю, но что-то мне кажется, что этого делать не стоит, раз и языковая версия разная и, к тому же редакция (Standart - Enterprise) тоже отличается.
    2. Данный глюк проявляется не на одном сервере в тестовой среде, а на всех. Хотя, если учесть, что они устанавливались из одного дистрибутива (скаченного официально с MSDN) - то исключать ошибку дистрибутива, конечно нельзя.
    3. Я слабо знаком с особенностями организации домена в Hyper-V виртуальной среде. У нас работающие серваки на VMware ESX Server крутятся. Может быть в Hyper-V есть какие-то особенности? Может синтетический драйвер сетевой карты криво отрабатывает запросы? Бред конечно, но я уже не знаю в какую сторону рыть.

    Вобщем, всем спасибо. О результатах отпишусь чуть позже.


    MCSA
    21 июня 2011 г. 14:36
  • ...возьмем с заведомо рабочего сервера файлик C:\Windows\System32\lusrmgr.msc...
    Нипамагло. :(
    MCSA
    22 июня 2011 г. 7:30
  • Hyper-V никаких таких особенностей не имеет - множество раз я выполнял операции по добавлению пользователей в локальные группы аналогичным способом и никогда не наблюдалось проблем. Хотя можно попробовать поработать с различными типами подключений в настройках сети Hyper-V


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    • Изменено Vinokurov Yuriy 22 июня 2011 г. 7:44 Актуализировал :)
    22 июня 2011 г. 7:38
  • Тема закрывается.
    Косяк был в том, что виртуальные машины были некорректно скопированы с эталонного образа. Создавал эти виртуальные машины не я, поэтому как именно они не правильно были скопированы я сказать не могу, т.к. подключился к проблеме на этапе когда уже стали проявляться глюки. После того как создали новую виртуальную машину "с нуля" (без копирования из имеющихся) - проблемы решились.

    Всем кто принимал участие в обсуждение - признателен за советы и поддержку!


    MCSA
    • Помечено в качестве ответа ЙоЖыГ 22 июня 2011 г. 19:05
    22 июня 2011 г. 19:05