none
Проблемы с политиками в домене на Win 2003 Server RRS feed

  • Общие обсуждения

  • Имеем лицензионный Windows 2003 Server на сервере HP.
    Пользователю Администратор запрещён интерактивный вход в систему. Логинов с паролями для других пользователей нет.

    Пароль сбрасывать для каких-либо пользователей бессмысленно, потому что доступ нужен именно администратору.

    Иными словами, имеем работающий, сервер но управлять им не можем. Подскажите, как сбросить локальную политику безопасности, без входа в Win 2003 Server ?

    Может быть можно загрузиться с другой ОС, которая видит разделы на локальном компьютере и где-нибудь изменить в конфигурационном файле или что-нибудь подобное ?

    Переустанавливать Windows 2003 Server не хочется, так как там ещё и контролер домена.

    P.S. Есть физический доступ к серверу, но на сервере нет CD/DVD привода (возможна загрузка с USB).
    P.P.S. Извините, если такая тема уже была, я к сожалению не нашёл ничего.

    Помогите, пожалуйста! Заранее благодарю!
    10 марта 2010 г. 6:21

Все ответы

  • Через консоль ADUC, в default domain controller policy предоставьте такое право учетке
    10 марта 2010 г. 6:25
    Отвечающий
  • Уважаемый Иван,

    благодарю Вас за ответ.

    Подскажите пожалуйста, можно ли воспользоваться консолью ADUC без входа в ОС Windows 2003 и если да, то как это сделать ? Или консоль с правами изменения локальной политики для администратора системы может быть доступна и другим пользователям?
    10 марта 2010 г. 6:31
  • Если у вас есть другие машины, включенные в домен - изменить политику можно с них
    На серверных ОС она уже есть - dsa.msc
    На клиентских нужно перед этим установить administrator tool pack

    10 марта 2010 г. 6:37
    Отвечающий
  • Иван,

    А как быть, если мы не имеем пользователей входящих в группу Администраторы в домене, кроме пользователя Администратор на сервере. А локально на сервере нет ни одного пользователя, логин/пароль которого нам был бы известен? Пользователь, администратор но с ним невозможно залогиниться. Предудущий администратор системы отключил свою собственную личную учётную запись.

    Admin Tool Pack позволяет пользователям из группы "Пользователи" удалённо менять локальную политику безопасности на сервере ? 8-O
    10 марта 2010 г. 6:56
  • Включите машину в домен, залогинитесь под администратором на этой машине и с его правами измените политику

    10 марта 2010 г. 7:04
    Отвечающий
  • Если к машине иммется доступ по сети и у "втроенного Администратора" есть право по сети регистрироваться на этой машине и на этой машине не заблокировано "удаленное управление", то подключитесь консолью управленифя компьютером к этой машине ("compmgmt.msc") и создайте/назначьте локального администратора. Также можно выполнить на этой машине задание либо воспользоваться "Security Configuration Wizard" и восстановить стандартный настройки безопасности: "setupsecurity.inf".
    10 марта 2010 г. 7:34
    Отвечающий
  • Уважаемые! Всем спасибо за советы.

    На удалённом компьютере WinXP , входящем в домен, вошёл под пользователем Administrator (которому как раз запрещён локальный вход и вход через службу терминалов, т.е. через RDP ). На Win XP поставил Admin Tools для WindowsServer2003.

    Выяснилось: Пользователь Administrator входит только в группу пользователи. Изменить его членство в группах (добавить другие группы) не могу, не хватает прав. Пароли пользователей и включение/отключение других пользователей выполнять не могу.

    Попытался разрешить пользователю Administrator интерактивный вход в систему и вход через службу терминалов, но безрезультатно. Интерактивный (локальный) вход в Win 2003 Server невозможен ("Запрещён локальной политикой"), удалённый доступ невозможен (длинное сообщение, сводящееся к тому, что пользователи входящие в группу подключения через службу терминалов по умолчанию имеют удалённый доступ, и если доступа нет - нужно поставить разрешение вручную).

    Итого: вопрос остаётся - как разрешить пользователю Administrator вход на сервер.

    Заранее благодарим всех откликнувшихся.

    10 марта 2010 г. 15:47
  • Есть ли какой-либо способ (для нашего случая) включить пользователя Administrator в группу "администраторы домена" или хотя бы просто "администраторы" ?
    11 марта 2010 г. 6:02
  • Так у Вас этот сервер является членом домена AD?..

    11 марта 2010 г. 8:21
    Отвечающий
  • На этом сервере и расположен контролер домена. Если Вы про компютер с Windows XP Pro - да он тоже входит в домен. Я на нём авторизовался как Administrator и с него пытался управлять правами пользователей в домене
    11 марта 2010 г. 8:34
  • Ааа... Все интереснее и инетеснее! :)

    А в DSRM можете загрузиться/зарегистрироваться?..
    http://technet.microsoft.com/en-us/library/cc816897(WS.10).aspx

    Возможно, что придется и так: Выключаать сервер и править на томе с "SYSVOL" и политику "Default Domain Policy" ("31B2F340-016D-11D2-945F-00C04FB984F9") или "Default Domain Controllers Policy" ("6AC1786C-016F-11D2-945F-00C04fB984F9")...

    11 марта 2010 г. 8:56
    Отвечающий
  • Можете попродробнее рассказать, как это сделать?
    11 марта 2010 г. 9:36
  • Перезагружаете сервер. Интенсивно жмете F8, пока не появится список вариантов загрузки (начинаем нажимать сразу е после перезагрузки, чтобы момент не упустить. Не успели - повторяем процедуру) Выбираем "Загрузка в режиме восстановления службы каталога" и загружаемся в нем. О результатах сообщаем. :)

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    12 марта 2010 г. 9:42
    Модератор
  • Как успехи?
    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    16 марта 2010 г. 9:16
    Модератор
  • На стенде оснастка Active Directory Users and Computers не дала мне удалить пользователя Administrator из группы Administrators и Group Policy Object Editor не дал мне внести пользователя Administrator в Deny log on locally. Возможно исходный пользователь Administrator был переименован? Или он изначально был Администратор?

    16 марта 2010 г. 13:43
  • Загрузиться в режим восстановления контролера домена получилось. Но, К сожалению, войти под локальным пользователем не получается. Локальным пользователям запрещён интерактивный вход в систему.

    Ума не приложу, что можно ещё сделать.
    18 марта 2010 г. 17:00
  • А разве у Вас в домене нет ни одного пользователя, входящего в группу Администраторы домена? Обычно, по-умолчанию, это DOMAIN\Администратор. Зачем Вам сдался именно локальный администратор?
    Жил был спамер... Сам виноват...
    19 марта 2010 г. 13:44
  • Тут однозначно нужен загрузочный USB-диск с тулзами по подборам\смене паролей. Доменные никогда таким спомобом не менял. А если еще и включено обратное шифрование - вообще труба. Так что отправляйтесь на поиски утилит. И про бэкап не забудьте.

    Еще как вариант, если есть бэкапы сервера ДО того, как прошлый админ залочил свою учётку - то может с него восстановиться? Или поднять бэкап в виртуале, изменить там default domain controller policy а потом поверх её накатить методом перезаписи файлов на работающий КД (опять же бутнуться с флешки и перезаписать поверх sysvol - БЭКАП не забудьте)?


    Не забывайте отмечать поcты как ответы, а также помечать полезные сообщения!
    20 марта 2010 г. 0:54
  • Тут однозначно нужен загрузочный USB-диск с тулзами по подборам\смене паролей. Доменные никогда таким спомобом не менял.

    боюсь, что тут нужно будет всё-таки знать логины потенциальных администраторов - если это известно, то остальное решается внимательным прохождением по шагам одной из многочисленных статей, описывающих манипуляции с logon.scr

    а то, что пользователю Administrator запрещён интерактивный вход на DC - это же абсолютно нормально... основная причина - отсутствие у пользователя членства в группе Domain Admins и вытекающего из этого отсутствия привилегии Allow log on locally, а не Deny log on locally... даже если удастся разрешить интерактивный вход - толку с этого не будет...

    20 марта 2010 г. 13:23
    Отвечающий
  • Имеем лицензионный Windows 2003 Server на сервере HP.
    Пользователю Администратор запрещён интерактивный вход в систему. Логинов с паролями для других пользователей нет.

    Пароль сбрасывать для каких-либо пользователей бессмысленно, потому что доступ нужен именно администратору.

    Иными словами, имеем работающий, сервер но управлять им не можем. Подскажите, как сбросить локальную политику безопасности, без входа в Win 2003 Server ?

    Может быть можно загрузиться с другой ОС, которая видит разделы на локальном компьютере и где-нибудь изменить в конфигурационном файле или что-нибудь подобное ?

    Переустанавливать Windows 2003 Server не хочется, так как там ещё и контролер домена.

    P.S. Есть физический доступ к серверу, но на сервере нет CD/DVD привода (возможна загрузка с USB).
    P.P.S. Извините, если такая тема уже была, я к сожалению не нашёл ничего.

    Помогите, пожалуйста! Заранее благодарю!


    Если мне память не изменяет, то интерактивный вход запрещается в групповых политиках. конфигурационные файлы\шаблоны лежат на сервере с настройками. имеют расширение *.adm (common.adm, conf.adm, eventforwarding.adm, inetcorp.adm, inetres.adm, inetset.adm, system.adm, windows.adm, windowsremotemanagement.adm, windowsremoteshell.adm, winnt.adm, wmplayer.adm, wuau.adm). Проблема в другом - не помню в каком точно находятся настройки касающиеся интерактивный входа, но могу предполажить что в system.adm.

    Попробуйте по сети через шары, если они не закрыты перезаписать (предварительно сохранив) эти файлы на стандарные без настроек в \windows\inf\

     

    21 марта 2010 г. 19:30
  • Тут однозначно нужен загрузочный USB-диск с тулзами по подборам\смене паролей. Доменные никогда таким спомобом не менял.

    боюсь, что тут нужно будет всё-таки знать логины потенциальных администраторов - если это известно, то остальное решается внимательным прохождением по шагам одной из многочисленных статей, описывающих манипуляции с logon.scr

     

    Доменные и не получится, т.к. манипулировать базой AD в offline'е пока никто не умеет. Загрузочные тулзы просто переписывают кусок данных (хеш пароля) в файле SAM - а это только для локальных пользователей.

    Так же - начиная c WinXP и выше "манипуляции" с logon.scr вам ничем не помогут. Надо либо создавать новый сервис, либо заменять исполняемый файл существующего.

    22 марта 2010 г. 0:43
  • Если мне память не изменяет, то интерактивный вход запрещается в групповых политиках. конфигурационные файлы\шаблоны лежат на сервере с настройками. имеют расширение *.adm (common.adm, conf.adm, eventforwarding.adm, inetcorp.adm, inetres.adm, inetset.adm, system.adm, windows.adm, windowsremotemanagement.adm, windowsremoteshell.adm, winnt.adm, wmplayer.adm, wuau.adm). Проблема в другом - не помню в каком точно находятся настройки касающиеся интерактивный входа, но могу предполажить что в system.adm.

    Попробуйте по сети через шары, если они не закрыты перезаписать (предварительно сохранив) эти файлы на стандарные без настроек в \windows\inf\


    Не совсем так. Указанные файлы шаблонов как раз обычно никогда не меняются.

    Нужно поправить файл \\<DC>\SYSVOL\<FQDN>\Policies\{6AC1786C-016F-11D2-945F-00C04fB984F9}\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf для Default Domain Controllers Policy, либо заменить GUID на {31B2F340-016D-11D2-945F-00C04FB984F9} для Default Domain Policy. В нём в разделе [Privilege Rights] нужно добавить SID администратора (а лучше - встроенной группы Administrators) в строку SeInteractiveLogonRight =

    По умолчанию в политике контроллеров домена (на англоязычной системе) эта строка выглядит так SeInteractiveLogonRight = Account Operators,*S-1-5-32-544,*S-1-5-32-551,*S-1-5-32-550,Server Operators

    544 - это как раз Administrators.

    22 марта 2010 г. 1:00
  • Так же - начиная c WinXP и выше "манипуляции" с logon.scr вам ничем не помогут. Надо либо создавать новый сервис, либо заменять исполняемый файл существующего.
    Именно. И всё это прекрасно описано. Успешно проходит и в Windows Server 2003 и в 2008 - с небольшими и непринципиальными отличиями.
    22 марта 2010 г. 8:10
    Отвечающий
  • ЛЮЮЮЮЮДИИИИ

    Чего вы привязались к несчастному локальному админу?

    Покажите мне хоть один DC на котором есть локальные пользователи (Я не беру во внимание режим востановления АД)

    IT-Христианин Запустите ADUC и выдайте сюда список пользователей которые у вас есть в группах

    Domain Admins и Domain Users особенно интересует что находится в первой группе.


    KYI
    22 марта 2010 г. 12:39
  • В Domain Admin входят только отключённые пользователи (бывшие администраторы). В Domain Users входит большое количество различных пользователей (больше 2 десятков), в т.ч. Administrator. Administrator не входит в группу Domain admins.

    Локально подключиться к серверу не получается ни под каким локальным пользователем (меняли пароли в SAM файлах при помощи утилит), Интерактивный вход запрещён локальной политикой.

    Таким образом, залогиниться на сервер с контроллером домена невозможно. Несмотря на то, что пользователь Administrator может залониться на удалённых машинах в домене и там мы можем посмотреть политики домена и список пользователей (посредством ADUC), но как либо добавить пользователя Administrator в группу Domain Admins не получается. Также не получается разблокировать заблокированных пользователей из группы Domain admins.

    Замкнутый круг.

    Подробности см. в теме выше.

    24 марта 2010 г. 7:30
  • В Domain Admin входят только отключённые пользователи (бывшие администраторы). В Domain Users входит большое количество различных пользователей (больше 2 десятков), в т.ч. Administrator. Administrator не входит в группу Domain admins.

    т.е. все доменные администраторы у вас заблокированы...? в Enterprise Admins тоже никого активного нет? в принципе опять же - как и писал выше, выход есть, но конкретно с enable нужно проверять - скорее всего, отработает...

    "dsmod user <user's distinguished name (DN)> -disabled no", где указываете <user's distinguished name (DN)> отключённого администратора домена, затем вторым шагом меняете ему пароль (опять же - в гугл)

    24 марта 2010 г. 8:32
    Отвечающий