none
проблема с NAP RRS feed

  • Вопрос

  • добрый день.
    было сделано следующее
    -связку из двух DHCP настроил,
    -NPS настроил (проверка критичных апдейтов)
    -групповую политику создал NAP-Client-Settings, она распространяется на группу NAP-Client-Computers (включает на клиенте NAP агент,
    активирует карантин в DHCP)

    проблема:
    на XP SP3 политика применяется но агент стартовать не хочет (по крайней мере на моем компе)

    в ивентах:

    ID:7023

    The Network Access Protection Agent service terminated with the following error:

    The class is configured to run as a security id different from the caller

    подскажите можно как то это решить если кто то сталкивался с этим.


    Averin_Eugene
    5 февраля 2010 г. 15:52

Ответы

  • c NAP проблема решена, в политике нужно было задать пермишен аналогичный следующему 
    (Startup Mode: Automatic)
    Permissions
    BUILTIN\Administrators – Full Control
    NT AUTHORITY\Authenticated Users – Read as well as Start, Stop, Pause and continue
    NT AUTHORITY\INTERACTIVE – Read
    NT AUTHORITY\SYSTEM Full – Control

    Averin_Eugene
    • Помечено в качестве ответа doc76 11 марта 2010 г. 7:49
    11 марта 2010 г. 7:03

Все ответы

  • Попробуйте пройтись по этим рекоммендациям.

    http://support.microsoft.com/kb/892199/

    сила в справедливости
    5 февраля 2010 г. 17:02
  • Цель - использовать NPS совместно с DHCP

    Исходные данные -  домен 2008R2, клиенты XP

    DHCP скопы настроены (default user class, default NAP class),
    NPS сервер настраивал при помощи NAP wizard,
     в SHVs для XP/7/Vista задал ограничение
    -Restrict access for clients that do not have all available security updates installed
    (апдейты забирать с WSUS)

    Для клиентов создал GPO, по настройке NAP, в политике настраиваю следующее:
    - The Group Policy Management Editor -->Computer Configuration/Policies/Windows Settings/Security Settings/System Services -->Network Access Protection Agent-->Automatic
    - The Group Policy Management Editor -->Computer Configuration/Policies/Windows Settings/Security Settings/Network Access Protection/NAP Client Configuration/Enforcement Clients-->DHCP Quarantine Enforcement Client-->Enable.
    - The Group Policy Management Editor -->Computer Configuration/Policies/Administrative Templates/Windows Components/Security Center-->Turn on Security Center (Domain PCs only)--->Enabled

    Проблема:
    Политика применяется, но на клиенте NAP Агент стартовать отказывается, Error 0x80004015,


    Event ID:7023
    The Network Access Protection Agent service terminated with the following error:
    The class is configured to run as a security id different from the caller

    заставить стартовать NAP Agent  можно только выполнив на клиенте:
    SC sdset napagent D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;AU)(A;;CCLCSWRPWPDTLOCRRC;;;PU)



    Averin_Eugene
    2 марта 2010 г. 17:47
  • может есть какойто сценарий развертывания?
    не работает NAP на XP
    Averin_Eugene
    5 марта 2010 г. 14:03
  • c NAP проблема решена, в политике нужно было задать пермишен аналогичный следующему 
    (Startup Mode: Automatic)
    Permissions
    BUILTIN\Administrators – Full Control
    NT AUTHORITY\Authenticated Users – Read as well as Start, Stop, Pause and continue
    NT AUTHORITY\INTERACTIVE – Read
    NT AUTHORITY\SYSTEM Full – Control

    Averin_Eugene
    • Помечено в качестве ответа doc76 11 марта 2010 г. 7:49
    11 марта 2010 г. 7:03