Срочно нужна помощь! На одном из сайтов домена перестали применяться политики домена. При попытке произвести моделирование политики выдается ошибка: Event Type: Error Event Source: Userenv Event Category: None Event ID: 1100 Date: 03.04.2009 Time: 12:39:43 User: NT AUTHORITY\SYSTEM Computer: DC04-OREL Description: Windows has detected that the user/computer will be denied access on the object OU=OREL-S02,OU=Sites,DC=ad,DC=pg,DC=mair,DC=ru. Group Policy processing aborted.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Компьютерные групповые политики (Computer Configuration) отрабатываются в контексте NT AUTHORITY\SYSTEM. Этот контекст на локальном компьютере имеет административные полномочия, а в домене он представлен учетной записью компьютера (типа domain\computer$). Эта учетная запись входит в группы Domain Computers, Authenticated Users, но не в Everyone (!).
Так вот, следует любым способом проверить, что объект групповой политики в AD и папка GPO в Sysvol доступны под учетной записью компьютера. Прежде всего, проверьте разрешения на объект AD и на папку. Для просмотра разрешений на объект AD следует использовать консоль Active Directory Users and Computers в режиме View - Advanced или ldp.exe.
Помечено в качестве ответаMAVr3 апреля 2009 г. 15:31
ну так посмотрите что там с доступом ...там же всё указано в самой ошибке.
Если сообщение полезно, нажмите "Сообщение было информативным".
Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
Доступ может отсутствовать в контексте компьютера. Проверить это можно, запуская тестовый скрипт в назначенном задании под учетной записью Local System или, используя для этой цели утилиту psexec. Кроме того, проверьте на клиентском компьютере доступ к папкам внутри SYSVOL по вашему доменному имени, типа \\dc.domain.msft\sysvol
доступ к SYSVOL есть... про остальное не очень понял никогда не пробовал запускать таски от имени ЛокалСистем... может научите? ...без psexec(хотя и с ней никогда не пробовал)jabber: molkov@xmpp.ru
Компьютерные групповые политики (Computer Configuration) отрабатываются в контексте NT AUTHORITY\SYSTEM. Этот контекст на локальном компьютере имеет административные полномочия, а в домене он представлен учетной записью компьютера (типа domain\computer$). Эта учетная запись входит в группы Domain Computers, Authenticated Users, но не в Everyone (!).
Так вот, следует любым способом проверить, что объект групповой политики в AD и папка GPO в Sysvol доступны под учетной записью компьютера. Прежде всего, проверьте разрешения на объект AD и на папку. Для просмотра разрешений на объект AD следует использовать консоль Active Directory Users and Computers в режиме View - Advanced или ldp.exe.
Помечено в качестве ответаMAVr3 апреля 2009 г. 15:31
или с помощью Планировщика задания (указать в качестве учетной записи SYSTEM или SYSTEM\Authority чота типа таво).. или с помощью утилиты Schtasks.exe
mcp, mcdba, mcsa, mcse, ccna
Итак... уважаемый коллега, большое спасибо за наводку Путем включения продвинутого режима(о котором я уже давным давно забыл) я смог добраться до прав на контейнер сайта... открывались права ну очень долго... после открытия все было вроде как нормально, но я категорично: снес все права под 0, включил заново наследование, добавил группу админов текущего сайта и прочее по вкусу... буквально через считаные минуты после прохождения реплики в эвентах у клиентов появились записи о успешном применении политик.
Всем огромное спасибо за участие!jabber: molkov@xmpp.ru
