none
Ввод в домен нового dc на 2008 R2 RRS feed

  • Вопрос

  • Домен с двумя dc на 2003 сервере. Ввожу новый на 2008 r2.

    Логи чистые, все нюансы исправлены.

    В консоли появился функционал проверить роль, проверяю роль AD появляется ошибка:

    Проблема:
    На контроллере домена dc1.local.ru пользовательское право "Доступ к компьютеру из сети" не предоставлено группам "BUILTIN\Administrators", "Контроллеры домена предприятия" или "Прошедшие проверку", либо какой-то из этих групп или группе "Все" назначено пользовательское право "Отказ в доступе к компьютеру из сети".

    Воздействие:
    Операции репликации, начатые другими контроллерами домена или администраторами, могут завершаться с ошибками. Пользователи и компьютеры также могут столкнуться с ошибками при применении объектов групповой политики.

    Разрешение:
    Убедитесь, что на контроллерах домена local.ru нужным участникам безопасности предоставлено это пользовательское право. С помощью управления групповой политикой и результатов групповой политики убедитесь, что побеждающая в отношении права "Доступ к компьютеру из сети" групповая политика предоставляет это право группам "BUILTIN\Administrators", "Контроллеры домена предприятия" и "Прошедшие проверку". Убедитесь, что в параметре политики "Отказать в доступе к этому компьютеру из сети" не определены группы "Все", "BUILTIN\Administrators", "Контроллеры домена предприятия" или "Прошедшие проверку".

    Изначально данное право было настроено по умолчанию, исправил на рекомендуемое, проблема сохранилось. Репликация идёт нормально, в чём может быть сложность?

    22 июня 2012 г. 8:17

Ответы

  • Доброго времени!

    Была соответствующая проблема. Решить так:

    1. На 2008R2 открываем диспетчер сервера и заходим в Компоненты - Управление групповой политикой - Лес: company.com - Домены - company.com - Domain Controllers.

    2. Выбираем Default domain controllers policy, правой кнопкой мыши - Изменить.

    3. Переходим по пунктам Конфигурация компьютера - Политики - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя

    4. Открываем политику Доступ к компьютеру из сети. В свойствах политики нажимаем Добавить пользователя или группу... - Обзор - Дополнительно.

    5. В окне указываем Размещение Весь каталог - company.com - ForeignSecurityPrincipals и нажимаем Поиск

    6. В появившемся списке выбираем КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ и добавляем их к политике.

    7. Итого в политике должно быть минимум 4 пункта COMPANY\Контроллеры домена, Администраторы, КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ и Прошедшие проверку

    После этого ждем репликации и применения группой политики на всех контроллерах домена и можно повторять проверку.

    27 июня 2012 г. 9:58

Все ответы

  • После этого вы перезагружались?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    27 июня 2012 г. 8:49
  • Доброго времени!

    Была соответствующая проблема. Решить так:

    1. На 2008R2 открываем диспетчер сервера и заходим в Компоненты - Управление групповой политикой - Лес: company.com - Домены - company.com - Domain Controllers.

    2. Выбираем Default domain controllers policy, правой кнопкой мыши - Изменить.

    3. Переходим по пунктам Конфигурация компьютера - Политики - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя

    4. Открываем политику Доступ к компьютеру из сети. В свойствах политики нажимаем Добавить пользователя или группу... - Обзор - Дополнительно.

    5. В окне указываем Размещение Весь каталог - company.com - ForeignSecurityPrincipals и нажимаем Поиск

    6. В появившемся списке выбираем КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ и добавляем их к политике.

    7. Итого в политике должно быть минимум 4 пункта COMPANY\Контроллеры домена, Администраторы, КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ и Прошедшие проверку

    После этого ждем репликации и применения группой политики на всех контроллерах домена и можно повторять проверку.

    27 июня 2012 г. 9:58
  • спасибо! всё верно, всё заработало.
    27 июня 2012 г. 17:47