none
Windows 2003 и default domain policy RRS feed

  • Вопрос

  • Прошу совета. На моей новой работе по наследству достался домен, на Windows 2003 Server Enterprise Edition SP1. AD, DNS, файловый сервер. Есть некоторые странности в работе станций в домене (отключается при добавлении в домен локальная учетная запись "администратор", не могу изменить лицензионный ключ windows 8.1, и другие непонятные ошибки ). Есть подозрения что есть связь default domain policy. Пытаюсь разобраться, вот странности которые я обнаружил там:

    1. В Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Файловая система

    есть странные записи, приведу только некоторые из них:

    c:\autoexec.bat
    c:\boot.ini
    c:\config.sys
    c:\documents and settings
    c:\inetpub\uddi\bin\bootstrap.exe
    c:\inetpub\uddi\bin\resetkey.exe
    c:\ntbootdd.sys
    c:\ntdetect.com
    c:\ntldr
    c:\perflogs
    c:\program files
    c:\program files\common files\microsoft shared\speech
    c:\program files\common files\microsoft shared\web server extensions\50\bin\owsadm.exe
    c:\program files\common files\microsoft shared\web server extensions\50\bin\owsrmadm.exe
    c:\program files\common files\speechengines\microsoft\tts
    c:\program files\microsoft sql server\80\tools\binn\bcp.exe
    c:\program files\microsoft sql server\80\tools\binn\dtsrun.exe
    c:\program files\microsoft sql server\80\tools\binn\sqladhlp.exe
    c:\program files\microsoft sql server\mssql$uddi
    c:\program files\windowsupdate
    c:\system volume information
    c:\windows
    c:\windows\application compatibility scripts\aciniupd.exe
    c:\windows\application compatibility scripts\acregl.exe
    c:\windows\application compatibility scripts\acsr.exe
    c:\windows\apppatch
    c:\windows\cluster\clussvc.exe
    c:\windows\cluster\resrcmon.exe
    c:\windows\csc
    c:\windows\debug
    c:\windows\debug\usermode
    c:\windows\driver cache
    c:\windows\ime\imjp8_1\imjpdadm.exe
    c:\windows\installer
    c:\windows\microsoft.net\framework\v1.1.4322\aspnet_regiis.exe
    c:\windows\microsoft.net\framework\v1.1.4322\aspnet_state.exe
    c:\windows\microsoft.net\framework\v1.1.4322\aspnet_wp.exe
    c:\windows\microsoft.net\framework\v1.1.4322\caspol.exe
    c:\windows\microsoft.net\framework\v1.1.4322\csc.exe
    c:\windows\microsoft.net\framework\v1.1.4322\cvtres.exe
    c:\windows\microsoft.net\framework\v1.1.4322\gacutil.exe
    c:\windows\microsoft.net\framework\v1.1.4322\ilasm.exe
    c:\windows\microsoft.net\framework\v1.1.4322\installutil.exe
    c:\windows\microsoft.net\framework\v1.1.4322\jsc.exe
    c:\windows\microsoft.net\framework\v1.1.4322\migpol.exe
    c:\windows\microsoft.net\framework\v1.1.4322\ngen.exe
    c:\windows\microsoft.net\framework\v1.1.4322\regasm.exe
    c:\windows\microsoft.net\framework\v1.1.4322\regsvcs.exe
    c:\windows\microsoft.net\framework\v1.1.4322\vbc.exe
    c:\windows\mui
    c:\windows\ntds
    c:\windows\pchealth\helpctr
    c:\windows\pchealth\helpctr\config
    c:\windows\pchealth\helpctr\datacoll
    c:\windows\pchealth\helpctr\packagestore
    c:\windows\prefetch
    c:\windows\registration
    c:\windows\registration\crmlog
    c:\windows\repair
    c:\windows\repair\default
    c:\windows\repair\ntuser.dat
    c:\windows\repair\sam
    c:\windows\repair\security
    c:\windows\repair\software
    c:\windows\repair\system
    c:\windows\resources
    c:\windows\security
    c:\windows\security\templates
    c:\windows\system32
    c:\windows\system32\3com_dmi
    c:\windows\system32\administration
    c:\windows\system32\append.exe
    c:\windows\system32\appmgmt

    Как я понимаю по дефолту их там быть не должно?



    5 февраля 2016 г. 10:16

Все ответы

  • По умолчанию этот раздел в политике домена по умолчанию пуст.

    PS Политики домена и контроллеров домена по умолчанию можно сбросить в исходное (ну, почти в исходное) состояние утилитой dcgpofix


    Слава России!

    5 февраля 2016 г. 10:25
  • Т.е. вполне себе могут быть причиной ошибок которые я приводил?
    5 февраля 2016 г. 10:46
  • не факт.

    --

    >>отключается при добавлении в домен локальная учетная запись "администратор"

    довольно распространенная практика, если чо.

    >>не могу изменить лицензионный ключ windows 8.1

    смотреть надо

    >>другие непонятные ошибки

    если вы чегото не понимаете, почему вы решили что это ошибка?

    >>есть странные записи, приведу только некоторые из них:

    скорее всего пермишены вешаются

    • Изменено Svolotch 5 февраля 2016 г. 11:07
    5 февраля 2016 г. 11:06
  • В догонку,в статусе настроено и отключено стоят следующие службы:

    ssdpsrv        
    upnphost        
    Оповещатель        
    Обозреватель компьютеров        
    Сервер папки обмена        
    Распределенная файловая система DFS        
    Диспетчер логических дисков        
    DNS-клиент        
    Журнал событий        
    Система событий COM+        
    Сервер        
    Рабочая станция        
    Учет лицензий        
    Модуль поддержки NetBIOS через TCP/IP        
    Служба сообщений        
    Координатор распределенных транзакций        
    Служба сетевого DDE        
    Диспетчер сетевого DDE        
    Сетевой вход в систему        
    Съемные ЗУ        
    Plug and Play        
    Службы IPSEC        
    Защищенное хранилище        
    Удаленный реестр        
    Удаленный вызов процедур (RPC)        
    Диспетчер учетных записей безопасности        
    Планировщик заданий        
    Вторичный вход в систему        
    Уведомление о системных событиях        
    Диспетчер очереди печати        
    Журналы и оповещения производительности        
    Сервер отслеживания изменившихся связей        
    Клиент отслеживания изменившихся связей     

    Но по факту службы работают, получается по каким то причинам не применяются данные политики?

    5 февраля 2016 г. 11:16
  • В вашей ситуации, может быть, действительно лучше сбросить политики к состоянию по умолчанию, предварительно собрав информацию обо все GPO. Удалите или отключите объекты групповых политик, за исключением Default Domain Policy и Default Domain Controllers Policy. Последние следует сбросить к исходному состоянию. Если отключить перечисленные выше службы, то групповые политики скорее всего вообще не будут применяться. Однако ни одна из перечисленных вами настроек не отвечает за отключение локального пользователя Администратор. Это действие выполняется либо политиками Restricted Groups, либо в Group Policy Preferences - Computer Configuration - Control Panel Settings - Local Users and Groups
    5 февраля 2016 г. 11:35
    Модератор
  • Поясните пожалуйста, какие именно политики сбросить на дефолт? И Default Domain Policy и Default Domain Controllers Policy? Или только Default Domain Controllers Policy (вот кстати в ней все по дефолту стоит, ничего подозрительного нет)
    5 февраля 2016 г. 11:37
  • А разве вы сами не ответили на свой вопрос? Если ненужные настройки находятся только в Default Domain Policy - то и сбрасывать надо именно её.


    Слава России!

    5 февраля 2016 г. 11:42
  • Эти GPO нельзя удалять. Если Default Domain Controllers Policy не изменялась, оставьте ее как есть. Напомню, что массированно исправлять групповые политики лучше в нерабочее время, чтобы изменения настроек серверов/рабочих станций не оказали негативное влияние на бизнес.
    5 февраля 2016 г. 11:44
    Модератор
  • Group Policy Preferences - Computer Configuration - Control Panel Settings - Local Users and Groups -такого вообще нет.
    5 февраля 2016 г. 12:02
  • Group Policy Preferences поддерживаются в домене на базе Windows Server 2003, но вот редактировать (и видеть в консоли) их можно только на более поздних операционных системах. Здесь проще всего было бы спросить у предыдущего администратора, не настраивал ли он Group Policy Preferences. Либо установите на вашей административной рабочей станции (Windows Vista и выше) Remote Server Addministration Tools, в них нужен компонент Group Policy Management, и там вы сможете редактировать Preferemnces.
    5 февраля 2016 г. 12:17
    Модератор
  •  Однако ни одна из перечисленных вами настроек не отвечает за отключение локального пользователя Администратор. Это действие выполняется либо политиками Restricted Groups, либо в Group Policy Preferences - Computer Configuration - Control Panel Settings - Local Users and Groups
    Это действие выполняется в Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, параметр "Учётные записи: Состояние учётной записи Администратор". (для GPO в Win2K8 и выше  после узла Конфигурация компьютера нужно выбрать узел Политики) Эта политика в Win2K3 существует, отлично редактируется и никакого отношения к GP Preferences не имеет.

    Слава России!




    • Изменено M.V.V. _ 5 февраля 2016 г. 15:09
    5 февраля 2016 г. 15:06
  • Да, прошу прощения, не в Restricted Groups, а в указанной вами политике. Повторюсь для автора вопроса, никакая из перечисленных выше политик, которые у вас настроены, не влияет на отключение локального пользователя Администратор.

    И разумеется, политика Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Параметры безопасности, параметр "Учётные записи: Состояние учётной записи Администратор в W2K3 существует и не относится к Preferences, я же не утверждаю обратное. :)

      
    5 февраля 2016 г. 15:26
    Модератор