none
Распостранение политики безопасности RRS feed

  • Общие обсуждения

  • В настоящий момент групповая политика  не корректно применяется к контроллерам домена.

    Это скорее всего связано с тем, что сервера-форпосты имеют англоязычную версию операционной системы Microsoft Windows Server Enterprise Edition SP1, в то время как все дополнительные контроллеры домена  имеют русскоязычную версию Microsoft Windows Server Standard Edition SP1.

    После попытки применения политик в системном журнале отображается событие с кодом 1202, источник SceCli, описание :

     

    Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.

     

    Справка по данному вопросу размещена на веб-узле http://support.microsoft.com. Запросите "troubleshooting 1202 events".

     

    Ошибка 0x534 происходит, когда учетная запись пользователя в одном или нескольких объектах групповой политики (GPOs) не может быть разрешена в SID.  Данная ошибка могла возникнуть в результате опечатки или удаления учетной записи из раздела объектов групповой политики.  Чтобы разрешить данное событие, обратитесь к администратору домена для выполнения следующего:

     

    1.             Определить учетные записи, которые не могут быть разрешены в SID:

     

    В командной строке введите: FIND /I "Не удается найти"  %SYSTEMROOT%\Security\Logs\winlogon.log

     

    Строка, следующая за "Не удается найти" в результирующей информации FIND определяет проблемные имена учетных записей.

     

    Пример: Не удается найти JohnDough.

     

    In this case, the SID for username "JohnDough" could not be determined. This most likely occurs because the account was deleted, renamed, or is spelled differently (e.g. "JohnDoe").

     

    2.             Используйте RSoP для определения специальных прав пользователя, групп ограничений и источника GPO, содержащих проблемные учетные записи:

     

    a.             Пуск -> Выполнить -> RSoP.msc

    b.             Просмотрите результаты Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя и Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Группы с ограниченным доступом на наличие ошибок. помеченных красным X.

    c.             Для каждого помеченного красным Х ресурса из Прав пользователей или Групп с ограниченным доступом будет выведена соответствующая GPO, содержащая параметры проблемной политики, в столбце с названием "Источник GPO". Обратите внимание на специальные Права пользователей, Группы с ограниченным доступом и содержащие and Источник GPO, которые создают ошибки.

     

    3.             Чтобы удалить неразрешенные учетные записи из групповой политики

     

    a.             Пуск -> Выполнить -> MMC.Exe

    b.             В меню Файл выберите команду "Добавить или удалить оснастку..."

    c.             В диалоге "Добавить или удалить оснастку" выберите "Добавить..."

    d.             В диалоге "Добавить изолированную оснастку" выберите "Групповая политика (RSoP)"и нажмите "Добавить"

    d.             В диалоге "Выбрать объект групповой политики" нажмите кнопку "Обзор".

    d.             В диалоге "Поиск объекта групповой политики" выберите вкладку "Все"

    g.             Для каждого исходного объекта GPO, определенного в шаге 2, исправьте Права пользователей или Группы с ограниченным доступом, отмеченные красным Х. Данные Права пользователя или Группы с ограниченным доступом можно исправить, удалив или исправив проблемные учетные записи, обнаруженные в шаге 1.

     

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

     

    «удалив или исправив проблемные учетные записи, обнаруженные в шаге 1.» -  это не представляется возможным т.к. во первых это группы, а во вторых это встроенные группы и участники безопасности.

    Ставить эксперименты и поправлять эту ошибку в «боевых» условиях на рабочей системе не представляется возможным, так как ошибки допущены интеграторами еще при стадии проектировании и разворачивании инфраструктуры.

    В результате объекты в оснастке  «результирующая политика»  имеют следующий зачеркнуты красным крестом.Ошибки проявляются в тех объектах, в свойствах которых определены русскоязычные названия встроенных групп и участников безопасности.

    Выявлено "что воду мутят" 2 группы : Гости, Операторы Архива, Администраторы.

    13 марта 2008 г. 12:04

Все ответы

  • Была такая ошибка - исправил добавлением англоязычных названий (проблема была с Restricted Groups) Здесь, полагаю подобное.

    13 марта 2008 г. 12:21
    Отвечающий
  • В Restricted Groups добавлено  две групы "Администраторы" и "Administrators" и вних включены группы из АД, вобщем все те кого я хочу видеть локальными админамина рабочих станциях,тобишь, персонал отдела поддержки. Это определено другой политикой, которая применяется и работает.

    Здесь же служба не может разрешить имена групп "гости" и "операторы архива"и "администраторы", именно в политике для контроллеров домена.

    Пробовал в политиках изменить "гости" на "Guests" и другие группы по аналогии. Ошиби пропадают. Но....

    Если в объекте "доступ к компьютеру из сети" поменять "гости" и "Прошедшие проверку" на их англоязычные названия , то пользователи перестают ходить на сетевые шары, печатать через принт сервер, короче у них пропадает "доступ к компьютеру из сети" .

    Самое странное то что у меня во всем лесу и в одном домене нет групп "гости , "операторы архива" "администраторы" и тд. Есть только англоязычные их названия....но SID же у них один и тот же?!

    Запутался я уже...незнаю куда копать...

     

    Вот кусок из лог файла: (winlogon.log)

    ----Настройка прав пользователя...
      SeInteractiveLogonRight необходимо назначить учетной записи администраторов. Этот параметр настроен.
     Настройка S-1-5-21-3881642236-1769550874-3900973804-1123.
     Настройка S-1-5-20.
     Настройка S-1-5-19.
     Настройка Администраторы.
    Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
      Не удалось найти Администраторы.
     Настройка Операторы архива.
    Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
      Не удалось найти Операторы архива.
     Настройка S-1-5-21-3881642236-1769550874-3900973804-512.
     Настройка S-1-5-21-3881642236-1769550874-3900973804-1122.
     Настройка S-1-5-21-3881642236-1769550874-3900973804-1001.
     Настройка S-1-5-21-3881642236-1769550874-3900973804-1124.
     Настройка S-1-5-32-554.
     Настройка S-1-5-11.
     Настройка S-1-1-0.
     Настройка Гости.
    Ошибка 1332: Именам пользователей не сопоставлены коды защиты данных.
      Не удалось найти Гости.
     Настройка S-1-5-7.

    13 марта 2008 г. 12:56