Remove From My Forums

Windows 2003 и default domain policy

Вопрос
0

Нужно войти

Прошу совета. На моей новой работе по наследству достался домен, на Windows 2003 Server Enterprise Edition SP1. AD, DNS, файловый сервер. Есть некоторые странности в работе станций в домене (отключается при добавлении в домен локальная учетная запись "администратор", не могу изменить лицензионный ключ windows 8.1, и другие непонятные ошибки ). Есть подозрения что есть связь default domain policy. Пытаюсь разобраться, вот странности которые я обнаружил там:

1. В Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Файловая система

есть странные записи, приведу только некоторые из них:

c:\autoexec.bat
c:\boot.ini
c:\config.sys
c:\documents and settings
c:\inetpub\uddi\bin\bootstrap.exe
c:\inetpub\uddi\bin\resetkey.exe
c:\ntbootdd.sys
c:\ntdetect.com
c:\ntldr
c:\perflogs
c:\program files
c:\program files\common files\microsoft shared\speech
c:\program files\common files\microsoft shared\web server extensions\50\bin\owsadm.exe
c:\program files\common files\microsoft shared\web server extensions\50\bin\owsrmadm.exe
c:\program files\common files\speechengines\microsoft\tts
c:\program files\microsoft sql server\80\tools\binn\bcp.exe
c:\program files\microsoft sql server\80\tools\binn\dtsrun.exe
c:\program files\microsoft sql server\80\tools\binn\sqladhlp.exe
c:\program files\microsoft sql server\mssql$uddi
c:\program files\windowsupdate
c:\system volume information
c:\windows
c:\windows\application compatibility scripts\aciniupd.exe
c:\windows\application compatibility scripts\acregl.exe
c:\windows\application compatibility scripts\acsr.exe
c:\windows\apppatch
c:\windows\cluster\clussvc.exe
c:\windows\cluster\resrcmon.exe
c:\windows\csc
c:\windows\debug
c:\windows\debug\usermode
c:\windows\driver cache
c:\windows\ime\imjp8_1\imjpdadm.exe
c:\windows\installer
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_regiis.exe
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_state.exe
c:\windows\microsoft.net\framework\v1.1.4322\aspnet_wp.exe
c:\windows\microsoft.net\framework\v1.1.4322\caspol.exe
c:\windows\microsoft.net\framework\v1.1.4322\csc.exe
c:\windows\microsoft.net\framework\v1.1.4322\cvtres.exe
c:\windows\microsoft.net\framework\v1.1.4322\gacutil.exe
c:\windows\microsoft.net\framework\v1.1.4322\ilasm.exe
c:\windows\microsoft.net\framework\v1.1.4322\installutil.exe
c:\windows\microsoft.net\framework\v1.1.4322\jsc.exe
c:\windows\microsoft.net\framework\v1.1.4322\migpol.exe
c:\windows\microsoft.net\framework\v1.1.4322\ngen.exe
c:\windows\microsoft.net\framework\v1.1.4322\regasm.exe
c:\windows\microsoft.net\framework\v1.1.4322\regsvcs.exe
c:\windows\microsoft.net\framework\v1.1.4322\vbc.exe
c:\windows\mui
c:\windows\ntds
c:\windows\pchealth\helpctr
c:\windows\pchealth\helpctr\config
c:\windows\pchealth\helpctr\datacoll
c:\windows\pchealth\helpctr\packagestore
c:\windows\prefetch
c:\windows\registration
c:\windows\registration\crmlog
c:\windows\repair
c:\windows\repair\default
c:\windows\repair\ntuser.dat
c:\windows\repair\sam
c:\windows\repair\security
c:\windows\repair\software
c:\windows\repair\system
c:\windows\resources
c:\windows\security
c:\windows\security\templates
c:\windows\system32
c:\windows\system32\3com_dmi
c:\windows\system32\administration
c:\windows\system32\append.exe
c:\windows\system32\appmgmt

Как я понимаю по дефолту их там быть не должно?

5 февраля 2016 г. 10:16

Ответить

|

Цитировать

Все ответы

0

Нужно войти

По умолчанию этот раздел в политике домена по умолчанию пуст.

PS Политики домена и контроллеров домена по умолчанию можно сбросить в исходное (ну, почти в исходное) состояние утилитой dcgpofix
Слава России!

5 февраля 2016 г. 10:25

Ответить

|

Цитировать
0

Нужно войти

Т.е. вполне себе могут быть причиной ошибок которые я приводил?

5 февраля 2016 г. 10:46

Ответить

|

Цитировать
0

Нужно войти
не факт.

--

>>отключается при добавлении в домен локальная учетная запись "администратор"

довольно распространенная практика, если чо.

>>не могу изменить лицензионный ключ windows 8.1

смотреть надо

>>другие непонятные ошибки

если вы чегото не понимаете, почему вы решили что это ошибка?

>>есть странные записи, приведу только некоторые из них:

скорее всего пермишены вешаются
- Изменено Svolotch 5 февраля 2016 г. 11:07
5 февраля 2016 г. 11:06

Ответить

|

Цитировать
0

Нужно войти

В догонку,в статусе настроено и отключено стоят следующие службы:

ssdpsrv
upnphost
Оповещатель
Обозреватель компьютеров
Сервер папки обмена
Распределенная файловая система DFS
Диспетчер логических дисков
DNS-клиент
Журнал событий
Система событий COM+
Сервер
Рабочая станция
Учет лицензий
Модуль поддержки NetBIOS через TCP/IP
Служба сообщений
Координатор распределенных транзакций
Служба сетевого DDE
Диспетчер сетевого DDE
Сетевой вход в систему
Съемные ЗУ
Plug and Play
Службы IPSEC
Защищенное хранилище
Удаленный реестр
Удаленный вызов процедур (RPC)
Диспетчер учетных записей безопасности
Планировщик заданий
Вторичный вход в систему
Уведомление о системных событиях
Диспетчер очереди печати
Журналы и оповещения производительности
Сервер отслеживания изменившихся связей
Клиент отслеживания изменившихся связей

Но по факту службы работают, получается по каким то причинам не применяются данные политики?

5 февраля 2016 г. 11:16

Ответить

|

Цитировать
0

Нужно войти

В вашей ситуации, может быть, действительно лучше сбросить политики к состоянию по умолчанию, предварительно собрав информацию обо все GPO. Удалите или отключите объекты групповых политик, за исключением Default Domain Policy и Default Domain Controllers Policy. Последние следует сбросить к исходному состоянию. Если отключить перечисленные выше службы, то групповые политики скорее всего вообще не будут применяться. Однако ни одна из перечисленных вами настроек не отвечает за отключение локального пользователя Администратор. Это действие выполняется либо политиками Restricted Groups, либо в Group Policy Preferences - Computer Configuration - Control Panel Settings - Local Users and Groups

5 февраля 2016 г. 11:35

Ответить

|

Цитировать

Модератор
0

Нужно войти

Поясните пожалуйста, какие именно политики сбросить на дефолт? И Default Domain Policy и Default Domain Controllers Policy? Или только Default Domain Controllers Policy (вот кстати в ней все по дефолту стоит, ничего подозрительного нет)

5 февраля 2016 г. 11:37

Ответить

|

Цитировать
0

Нужно войти

А разве вы сами не ответили на свой вопрос? Если ненужные настройки находятся только в Default Domain Policy - то и сбрасывать надо именно её.
Слава России!

5 февраля 2016 г. 11:42

Ответить

|

Цитировать
0

Нужно войти

Эти GPO нельзя удалять. Если Default Domain Controllers Policy не изменялась, оставьте ее как есть. Напомню, что массированно исправлять групповые политики лучше в нерабочее время, чтобы изменения настроек серверов/рабочих станций не оказали негативное влияние на бизнес.

5 февраля 2016 г. 11:44

Ответить

|

Цитировать

Модератор
0

Нужно войти

Group Policy Preferences - Computer Configuration - Control Panel Settings - Local Users and Groups -такого вообще нет.

5 февраля 2016 г. 12:02

Ответить

|

Цитировать
0

Нужно войти

Group Policy Preferences поддерживаются в домене на базе Windows Server 2003, но вот редактировать (и видеть в консоли) их можно только на более поздних операционных системах. Здесь проще всего было бы спросить у предыдущего администратора, не настраивал ли он Group Policy Preferences. Либо установите на вашей административной рабочей станции (Windows Vista и выше) Remote Server Addministration Tools, в них нужен компонент Group Policy Management, и там вы сможете редактировать Preferemnces.

5 февраля 2016 г. 12:17

Ответить

|

Цитировать

Модератор
0

Нужно войти
Однако ни одна из перечисленных вами настроек не отвечает за отключение локального пользователя Администратор. Это действие выполняется либо политиками Restricted Groups, либо в Group Policy Preferences - Computer Configuration - Control Panel Settings - Local Users and Groups
Это действие выполняется в Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, параметр "Учётные записи: Состояние учётной записи Администратор". (для GPO в Win2K8 и выше после узла Конфигурация компьютера нужно выбрать узел Политики) Эта политика в Win2K3 существует, отлично редактируется и никакого отношения к GP Preferences не имеет.

Слава России!
- Изменено M.V.V. _ 5 февраля 2016 г. 15:09
5 февраля 2016 г. 15:06

Ответить

|

Цитировать
0

Нужно войти
Да, прошу прощения, не в Restricted Groups, а в указанной вами политике. Повторюсь для автора вопроса, никакая из перечисленных выше политик, которые у вас настроены, не влияет на отключение локального пользователя Администратор.

И разумеется, политика Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, параметр "Учётные записи: Состояние учётной записи Администратор в W2K3 существует и не относится к Preferences, я же не утверждаю обратное. :)
- Изменено osr_MVP, Moderator 5 февраля 2016 г. 15:27
5 февраля 2016 г. 15:26

Ответить

|

Цитировать

Модератор