Лучший отвечающий
Userenv 1100

Вопрос
-
Срочно нужна помощь!
На одном из сайтов домена перестали применяться политики домена.
При попытке произвести моделирование политики выдается ошибка:
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1100
Date: 03.04.2009
Time: 12:39:43
User: NT AUTHORITY\SYSTEM
Computer: DC04-OREL
Description:
Windows has detected that the user/computer will be denied access on the object OU=OREL-S02,OU=Sites,DC=ad,DC=pg,DC=mair,DC=ru. Group Policy processing aborted.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Просьба подсказать любым посильным советом
jabber: molkov@xmpp.ru3 апреля 2009 г. 9:23
Ответы
-
Компьютерные групповые политики (Computer Configuration) отрабатываются в контексте NT AUTHORITY\SYSTEM. Этот контекст на локальном компьютере имеет административные полномочия, а в домене он представлен учетной записью компьютера (типа domain\computer$). Эта учетная запись входит в группы Domain Computers, Authenticated Users, но не в Everyone (!).
Так вот, следует любым способом проверить, что объект групповой политики в AD и папка GPO в Sysvol доступны под учетной записью компьютера. Прежде всего, проверьте разрешения на объект AD и на папку. Для просмотра разрешений на объект AD следует использовать консоль Active Directory Users and Computers в режиме View - Advanced или ldp.exe.- Помечено в качестве ответа MAVr 3 апреля 2009 г. 15:31
3 апреля 2009 г. 13:29Модератор
Все ответы
-
ну так посмотрите что там с доступом ...там же всё указано в самой ошибке.
Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".3 апреля 2009 г. 9:42 -
Судя по доступам - все нормально... аутентифицированные пользователи имеют право чтение и применение политики
jabber: molkov@xmpp.ru3 апреля 2009 г. 9:44 -
Доступ может отсутствовать в контексте компьютера. Проверить это можно, запуская тестовый скрипт в назначенном задании под учетной записью Local System или, используя для этой цели утилиту psexec. Кроме того, проверьте на клиентском компьютере доступ к папкам внутри SYSVOL по вашему доменному имени, типа \\dc.domain.msft\sysvol
3 апреля 2009 г. 12:18Модератор -
доступ к SYSVOL есть... про остальное не очень понял
никогда не пробовал запускать таски от имени ЛокалСистем... может научите? ...без psexec(хотя и с ней никогда не пробовал)
jabber: molkov@xmpp.ru3 апреля 2009 г. 13:00 -
Компьютерные групповые политики (Computer Configuration) отрабатываются в контексте NT AUTHORITY\SYSTEM. Этот контекст на локальном компьютере имеет административные полномочия, а в домене он представлен учетной записью компьютера (типа domain\computer$). Эта учетная запись входит в группы Domain Computers, Authenticated Users, но не в Everyone (!).
Так вот, следует любым способом проверить, что объект групповой политики в AD и папка GPO в Sysvol доступны под учетной записью компьютера. Прежде всего, проверьте разрешения на объект AD и на папку. Для просмотра разрешений на объект AD следует использовать консоль Active Directory Users and Computers в режиме View - Advanced или ldp.exe.- Помечено в качестве ответа MAVr 3 апреля 2009 г. 15:31
3 апреля 2009 г. 13:29Модератор -
запуск от локальной системы...
at.exe <time> /interactive "mmc.exe rsop.msc"
или с помощью Планировщика задания (указать в качестве учетной записи SYSTEM или SYSTEM\Authority чота типа таво)..
или с помощью утилиты Schtasks.exe
mcp, mcdba, mcsa, mcse, ccna3 апреля 2009 г. 13:33 -
Итак... уважаемый коллега, большое спасибо за наводку
Путем включения продвинутого режима(о котором я уже давным давно забыл) я смог добраться до прав на контейнер сайта... открывались права ну очень долго... после открытия все было вроде как нормально, но я категорично: снес все права под 0, включил заново наследование, добавил группу админов текущего сайта и прочее по вкусу... буквально через считаные минуты после прохождения реплики в эвентах у клиентов появились записи о успешном применении политик.
Всем огромное спасибо за участие!
jabber: molkov@xmpp.ru3 апреля 2009 г. 15:35