none
Пропал доступ на все DC RRS feed

  • Вопрос

  • Добрый день, у одного моего товарища возникла такая ситуация, копался все воскресенье чтобы решить вопрос, у меня варианты исякли, надеюсь на вашу помощь. Думаю может вирусы, может кривая gpo, но очищено уже все

    Имеется 5 DC, на одном локально разрешено удаленное подключение к этому компьютеру, и конкретно прописана фамилия админа, сюда доступ имеется, на всех остальных доступа нету

    Доступ по RDP

    Локальный вход на PDC

    понятно что на контроллерах домена локальные учетные записи отключены, пытался их включить через режим восстановления командой в cmd, но это не привело к успеху. Даже вытался создать нового локального пользователя, но после перезагрузке странное поведение пользователь пропадает

    net user

    На одном единственном DC где имеется доступ, я просмотрел все политики,  результат никакой, я даже уже сбросил GPO по умолчанию Default Domain Controllers Policy и Default Domain Policy 

    ссылка на статью

    отключил все GPO в принципе, результата нет.

    Изменил одну политику так как я не могу создать новую gp на dc, нет прав, создавать можно только на PDC, завязал на PDC исключительно, не помогло

    Учетная запись админа имеет все права какие только есть

    Вопрос как попасть на PDC





    2 октября 2017 г. 8:51

Ответы

  • Сообщения о том, что не удаётся сохранить политику совершенно неинформативны - непонятно, к какому контроллеру домена идёт обращение.

    Проверьте в "AD пользователи и компьютеры", что группа Domain Admins действительно включена в группу Администраторы.


    Слава России!

    • Помечено в качестве ответа Vladimir Sizasko 2 октября 2017 г. 15:47
    2 октября 2017 г. 12:51

Все ответы

  • Для начала: доступ по сети к этим контроллерам домена у учётной записи админа есть ли: что показывает команда net view \\имя_dc для них?

    PS Чисто для информации: локальных учётных записей на контроллерах домена в нормальном режиме работы (не одном из безопасных и не при остановленной AD)  нет.

    Далее, посмотрите во всех GPO в иерархии для КД (OU Domain Controllers), в разделе Computer configuration\Policies\Windows Setings\Security Settings\Local Policies\User Rightsкому дано право Allow logon through Remote Desktop services (по умолчанию эта политика в GPO нигде не установлена, а право даётся в локальной политике, которая доступна через gpedit.msc, и на КД оно дано только группе Administrators).


    Слава России!

    2 октября 2017 г. 10:22
  • Нет это я проверял, зашел в систему через recovery mode, но этот режим не видит учетные данные домена

    Каким то образом я смог пройти аутентификацию, но при любом действии требуется ввод пароля на повышение, а при каких то доступ напрочь запрещен




    2 октября 2017 г. 11:11
  • Сообщения о том, что не удаётся сохранить политику совершенно неинформативны - непонятно, к какому контроллеру домена идёт обращение.

    Проверьте в "AD пользователи и компьютеры", что группа Domain Admins действительно включена в группу Администраторы.


    Слава России!

    • Помечено в качестве ответа Vladimir Sizasko 2 октября 2017 г. 15:47
    2 октября 2017 г. 12:51