none
DC w2k - запрет локального входа администратора в режиме DSRM RRS feed

  • Вопрос

  • Добрый день, уважаемые знатоки! Очень расчитываю на Вашу помощь.

    Имеем следующую ситуацию: есть домен, в нём два доменных контроллера на w2k SP4 RC4.27 (такая вот экзотика досталась по наследству). Планируем апргейдить домен и заменять DC сначала на w2k3, а потом и на w2k8. Перед проведением adprep /forestprep хотел обеспечить возможность отката в случае неудачного обновления схемы путём принудительного восстановления AD. Для этого нужна возможность войти в DC под администратором восстановления службы каталогов.

    Поскольку сервера ставились в незапамятные времена и с тех пор сменилось штук пять админов, админский пароль мне пришлось сбрасывать, в чём руководствовался следующими рекомендациями: http://support.microsoft.com/kb/239803/ru. Но этим дело не ограничилось. Когда я ради окончательной проверки попытался загрузить контроллеры в режиме DSRM и войти под администратором, в ответ оба контроллера мне выдали: "Интерактивный вход в систему на данном компьютере запрещён локальной политикой" (sic!).

    Ситуация осложняется двумя моментами. Во-первых, судя по всему, домен изначально поднимался на англоязычной версии Windows (нынешние DC русскоязычные). Есть опасение, что в связи с этим могут быть нестыковки в именованиях пользователей/групп. Во-вторых, на одном из DC когда-то был поднят терминальный сервер. Сейчас он уже не используется в рабочем режиме, терминалы перенесены на новые сервера, но если из-за этого вносились изменения в политики безопасности, они могло распространиться и на другой DC.

    31 марта 2010 г. 12:58

Ответы

  • а разве нельзя ввести произвольный текст в окне "Add User or Group", не нажимая на кнопку Browse и не заходя в окно "Select User, Computers, or Groups"?

    Ввести произвольный текст не получилось, там после ввода идёт проверка на соответствие содержимому записей AD. Я сделал иначе. Через mmc залез в оснастку "Шаблоны безопасности", выбрал Setup security.inf и в разделе "Параметры безопасности/Локальные политики/Назначение прав пользователя/Локальный вход в систему" уже можно было прописать вручную всё, что угодно. Я внёс "Администратор" и "Администраторы". После чего сохранил шаблон (предварительно сделав бэкап оригинального %systemroot%\security\templates\setup security.inf в другую папку) и через secpol.msc подгрузил изменённый шаблон (находясь в корне оснастки, "Действие\Импорт политики").

    Правда, "что угодно" прописать всё равно нельзя, похоже. Запись "Администратор" в локальных политиках появилась, поскольку такой пользователь в sam действительно был, а вот "Администраторы" при выгрузке изменилась на Administrators. Значит, там осуществляется дополнительный контроль.

    В общем, проблема решена. Огромное спасибо за помощь!

    • Помечено в качестве ответа me4huk 2 апреля 2010 г. 10:44
    2 апреля 2010 г. 10:41

Все ответы

  • как крайний вариант, создать при помощи srvany, сервис, который выполнит команду (secedit ...) сброса политики в дефолтное состояние (см. http://support.microsoft.com/kb/313222 ). Затем залогонится в DSRM, при этом стартанет созданый вами севис и сбросит настройки политик.

     

    PS да, точно не помню, но разве нельзя отредактировать локальную политику до захода в DSRM (загрузившись в режиме AD), просто запустив gpedit.msc ?

    31 марта 2010 г. 13:48
  • Переход с 2000 на 2008 R2 - Центр решений после прекращения поддержки для Windows 2000

    secpol.msc - Локальные политики безопасности - Local Policies\User Rights Assigment\

    смотрите параметры Alow log on locally, Deny logon locally 

    31 марта 2010 г. 20:26
  • secpol.msc - Локальные политики безопасности - Local Policies\User Rights Assigment\

    смотрите параметры Alow log on locally, Deny logon locally  

    Да, залезал туда. На обоих DC там предоставлен вход как по локальной, так и по действующей политикам группам Administrators и Backup Operators, кроме этого по действующей там есть право входа ряду доменных групп (в т.ч. группе Guests, вот как). Плюс по локальной есть право входа у Users и Power Users, но они перекрыты действующей. Плюс на одном из DC по локальной есть право входа у ряда каких-то удалённых учётных записей, которые тоже перекрыты действующей (видимо, когда-то были заданы ещё какие-то локальные пользователи). Всё.

    Кстати, меня смущает то, что на обоих DC запись локального админа называется "Администратор", тогда как группа, упомянутая в политике, носит название Administrators. Может, проблема в этом?

    Запрещён вход на обоих серверах только одному доменному юзеру (не группе) и только по действующей политике. Этим юзером и так никто не пользуется. Понятия не имею, зачем он когда-то был создан...

    1 апреля 2010 г. 6:11
  • >Кстати, меня смущает то, что на обоих DC запись локального админа называется "Администратор", тогда как группа, упомянутая в политике, носит название Administrators. Может, проблема в этом?

     

    Зачем сравнивать название группы и название пользователя?

    Отредактируйте политику, исходя из всех возможных названий/ Дайте необходимые разрешения, как для группы Администраторы, так и для Administrators.

    1 апреля 2010 г. 7:01
  • Отредактируйте политику, исходя из всех возможных названий/ Дайте необходимые разрешения, как для группы Администраторы, так и для Administrators.

    Эээ... виноват, но как? Я бы с радостью, но при попытке добавить разрешения из secpol.msc оно выдаёт типичный список учётных записей AD. Произвольные имена, не существующие в AD, там впечатать нельзя.
    2 апреля 2010 г. 7:53
  • а разве нельзя ввести произвольный текст в окне "Add User or Group", не нажимая на кнопку Browse и не заходя в окно "Select User, Computers, or Groups"?

     

    если все-таки не получится, то посмотрите вот эту тему http://209.85.135.132/search?q=cache:zHxB19P3JtcJ:www.tomshardware.com/forum/221569-46-resetting-local-policy-back-default+local+policy+file&cd=3&hl=ru&ct=clnk&gl=ru

    (в ней правда речь идет о сбросе политик в дефолт, а не о редактировании)

    2 апреля 2010 г. 8:39
  • а разве нельзя ввести произвольный текст в окне "Add User or Group", не нажимая на кнопку Browse и не заходя в окно "Select User, Computers, or Groups"?

    Ввести произвольный текст не получилось, там после ввода идёт проверка на соответствие содержимому записей AD. Я сделал иначе. Через mmc залез в оснастку "Шаблоны безопасности", выбрал Setup security.inf и в разделе "Параметры безопасности/Локальные политики/Назначение прав пользователя/Локальный вход в систему" уже можно было прописать вручную всё, что угодно. Я внёс "Администратор" и "Администраторы". После чего сохранил шаблон (предварительно сделав бэкап оригинального %systemroot%\security\templates\setup security.inf в другую папку) и через secpol.msc подгрузил изменённый шаблон (находясь в корне оснастки, "Действие\Импорт политики").

    Правда, "что угодно" прописать всё равно нельзя, похоже. Запись "Администратор" в локальных политиках появилась, поскольку такой пользователь в sam действительно был, а вот "Администраторы" при выгрузке изменилась на Administrators. Значит, там осуществляется дополнительный контроль.

    В общем, проблема решена. Огромное спасибо за помощь!

    • Помечено в качестве ответа me4huk 2 апреля 2010 г. 10:44
    2 апреля 2010 г. 10:41