none
Userenv 1100 RRS feed

  • Вопрос

  • Срочно нужна помощь!
    На одном из сайтов домена перестали применяться политики домена.
    При попытке произвести моделирование политики выдается ошибка:
    Event Type:    Error
    Event Source:    Userenv
    Event Category:    None
    Event ID:    1100
    Date:        03.04.2009
    Time:        12:39:43
    User:        NT AUTHORITY\SYSTEM
    Computer:    DC04-OREL
    Description:
    Windows has detected that the user/computer will be denied access on the object OU=OREL-S02,OU=Sites,DC=ad,DC=pg,DC=mair,DC=ru. Group Policy processing aborted.

    For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

    Просьба подсказать любым посильным советом
    jabber: molkov@xmpp.ru
    3 апреля 2009 г. 9:23

Ответы

  • Компьютерные групповые политики (Computer Configuration) отрабатываются в контексте NT AUTHORITY\SYSTEM. Этот контекст на локальном компьютере имеет административные полномочия, а в домене он представлен учетной записью компьютера (типа domain\computer$). Эта учетная запись входит в группы Domain Computers, Authenticated Users, но не в Everyone (!).

    Так вот, следует любым способом проверить, что объект групповой политики в AD и папка GPO в Sysvol доступны под учетной записью компьютера. Прежде всего, проверьте разрешения на объект AD и на папку. Для просмотра разрешений на объект AD следует использовать консоль Active Directory Users and Computers в режиме View - Advanced или ldp.exe.
    • Помечено в качестве ответа MAVr 3 апреля 2009 г. 15:31
    3 апреля 2009 г. 13:29
    Модератор

Все ответы

  • ну так посмотрите что там с доступом ...там же всё указано в самой ошибке.


    Если сообщение полезно, нажмите "Сообщение было информативным". Если сообщение является ответом или частью ответа на Ваш вопрос, нажмите "Пометить как ответ".
    3 апреля 2009 г. 9:42
  • Судя по доступам - все нормально... аутентифицированные пользователи имеют право чтение и применение политики
    jabber: molkov@xmpp.ru
    3 апреля 2009 г. 9:44
  • Доступ может отсутствовать в контексте компьютера. Проверить это можно, запуская тестовый скрипт в назначенном задании под учетной записью Local System или, используя для этой цели утилиту psexec. Кроме того, проверьте на клиентском компьютере доступ к папкам внутри SYSVOL по вашему доменному имени, типа \\dc.domain.msft\sysvol

    3 апреля 2009 г. 12:18
    Модератор
  • доступ к SYSVOL есть... про остальное не очень понял
    никогда не пробовал запускать таски от имени ЛокалСистем... может научите? ...без psexec(хотя и с ней никогда не пробовал)
    jabber: molkov@xmpp.ru
    3 апреля 2009 г. 13:00
  • Компьютерные групповые политики (Computer Configuration) отрабатываются в контексте NT AUTHORITY\SYSTEM. Этот контекст на локальном компьютере имеет административные полномочия, а в домене он представлен учетной записью компьютера (типа domain\computer$). Эта учетная запись входит в группы Domain Computers, Authenticated Users, но не в Everyone (!).

    Так вот, следует любым способом проверить, что объект групповой политики в AD и папка GPO в Sysvol доступны под учетной записью компьютера. Прежде всего, проверьте разрешения на объект AD и на папку. Для просмотра разрешений на объект AD следует использовать консоль Active Directory Users and Computers в режиме View - Advanced или ldp.exe.
    • Помечено в качестве ответа MAVr 3 апреля 2009 г. 15:31
    3 апреля 2009 г. 13:29
    Модератор
  • запуск от локальной системы...


    at.exe <time> /interactive "mmc.exe rsop.msc"

    или с помощью Планировщика задания (указать в качестве учетной записи SYSTEM или SYSTEM\Authority чота типа таво)..
    или с помощью утилиты Schtasks.exe
    mcp, mcdba, mcsa, mcse, ccna
    3 апреля 2009 г. 13:33
  • Итак... уважаемый коллега, большое спасибо за наводку
    Путем включения продвинутого режима(о котором я уже давным давно забыл) я смог добраться до прав на контейнер сайта... открывались права ну очень долго... после открытия все было вроде как нормально, но я категорично: снес все права под 0, включил заново наследование, добавил группу админов текущего сайта и прочее по вкусу... буквально через считаные минуты после прохождения реплики в эвентах у клиентов появились записи о успешном применении политик.

    Всем огромное спасибо за участие!
    jabber: molkov@xmpp.ru
    3 апреля 2009 г. 15:35