» Общие вопросы про AD (Active Directory)

mozers

Цитата:

Так и держите в неприкосновенности туеву хучу никому не нужных групп безопасности? Если надо пользователя наделить какими то правами, то пихаете его сразу в несколько приблизительно подходящих групп?

Именно так и поступаю. Как правило стандартных групп безопасности на 90% хватает для четкого, структурированного и главное - понятного управления пользователями.
В случае необходимости - создать новую группу и добавить или ограничить права этой группы намного легче, чем пытаться восстановить параметры перенастроенной стандартной группы.

Цитата:

Мелкософт это называет "гибкость". Я же считаю что эта предустановленная структура взаимосвязанных и пересекающихся прав только вводит в ступор начинающего администратора.

Вот здесь буду спорить. Разобраться в правах стандартных групп "начинающему админу" на самом деле, не так уж и сложно. Зато когда приходишь на новое место работы (или просто проконсультировать) и видишь вместо стандартных групп - абсолютно непонятную тебе иерархию пользователей, притом нигде не документированную, в которой сам админ-то едва разбирается - вот тогда уже начинаются реальные проблемы.

Цитата:

В общем вопрос такой: Как правильно и максимально просто сделать такую 3х уровневую систему безопасности?

Стандартно - Администраторы, Опытные пользователи, Пользователи. Все. Правда с группой "Опытные пользователи" в домене могут возникнуть проблемы. MS её стандартной не считает. Либо скопировать группу "Пользователи" и расширить её права до необходимых.

ИМХО - Не удаляй стандартные группы. Искалечишь систему так, что потом не восстановишь. Они не не мешают. Вообще не мешают. Лучше почитай документацию на стандартные группы/встроенные учетные записи, разьерись и ознакомься с рекомендациями Microsoft. Если разберешься - тебе потом эта идея самому-же покажется дикой и смешной.

5555555

Цитата:

2-а lun

а можно узнать про луну чуть поболее а то гугл при задании lun в поиск всякую хрень выдает)))

RoDeZiya
СПАСИБО. Ответ достаточно убедительный. Но в реалии выясняется что многое работает совсем не так как описано в документации
Так, например, на старом домене, администратор включен во все группы подряд и тем не менее у него возникают проблемы с доступом. Я, как только столкнулся с этой ситуацией, удалил его из всех групп кроме, администраторов домена - в результате администратор уравнялся правами с обычным пользователем на всех клиентских машинах. В какой документации описан такой эффект?!
Или где описано то, что при понижении роли сервера с контроллера домена до обычного сервера администратор не сможет попасть на машину ни со старым ни с новым паролем?!
Вот поэтому и возникла мысль создать свои группы безопасности, права в которых будут работать железно, так как заложено мной, а не так как представляет себе безопасность воспаленный мозг Билла Гейтца
А то что другие админы (те, что придут после меня) будут в шоке - так это даже лучше

ali1977

Цитата:

узнать про луну чуть поболее

боюсь это отклонение от данной темы, коротко:
разбивать массив на "логические" (здесь-условное название) можно как средствами ос, так и рейд контроллера. И если ОС не выполняет отключение кэширования диска (а при установке в кач-ве контроллера, винда обязательно это делает), то вроде как без разницы (в некоторых случаях, имхо, предпочтительней даже средствами ОС). А если отключает, то однозначно контроллером формировать.
Луны видятся системой как отдельные физические диски и на них можно делать разную политику кэширования. Т.е. если рейд разбит на разделы, то при отключенном кэше "тормозить" (и довольно существенно) будет только раздел-диск с отключенным кэшем.

mozers

Цитата:

Так, например, на старом домене, администратор включен во все группы подряд и тем не менее у него возникают проблемы с доступом. Я, как только столкнулся с этой ситуацией, удалил его из всех групп кроме, администраторов домена - в результате администратор уравнялся правами с обычным пользователем на всех клиентских машинах. В какой документации описан такой эффект?!

Это следствие того, что права на указанные ресурсы были даны только определённым группам и не даны стандартной группе Администраторов! Проверяйте права на ресурсы (про права на NTFS тожэе не забудьте). Поэтому администратор и был добавлен во все группы.

Цитата:

Или где описано то, что при понижении роли сервера с контроллера домена до обычного сервера администратор не сможет попасть на машину ни со старым ни с новым паролем?!

Бред. Проверяйте настройки, такого быть не должно при стандартной настройке АД.

Цитата:

Вот поэтому и возникла мысль создать свои группы безопасности, права в которых будут работать железно, так как заложено мной, а не так как представляет себе безопасность воспаленный мозг Билла Гейтца

Это всё следствие "ручной" установки прав так как хотелось предыдущему админу. Вы сейчас сделаете точно такой же геморрой для следующего админа, которй долго будет вникать, что же Вы хотели этим сказать...

Цитата:

Вы сейчас сделаете точно такой же геморрой для следующего админа

ну так он честно и признался:

Цитата:

А то что другие админы (те, что придут после меня) будут в шоке - так это даже лучше

Цитата:

ну так он честно и признался:

Цитата:А то что другие админы (те, что придут после меня) будут в шоке - так это даже лучше

Ну да. Вот только он сейчас сам в положении этих других админов.

rastlin 5555555
Вы будете очень удивлены, когда узнаете, что тот, кто ставил эту систему вообще не специалист и о группах безопасности имеет весьма смутное представление. Т.е. он все ставил по умолчанию. А когда, натолкнулся на то, что по умолчанию ничего работать не хочет, начал кидать админов и некоторых пользователей во все группы подряд.
И система то - бесхитростная (клиенты - ХР и контролер на w2003) но по дефолтовым установкам ничего, по его словам, не заработало. На всех машинах файерволы отключил, везде гостя разрешил - только так постепенно начал жить... Это разве дело??? Моя воля - всю бы сеть переставил с нуля. Но нельзя - все практически круглосуточно в работе...
Цитата:

Цитата: Или где описано то, что при понижении роли сервера с контроллера домена до обычного сервера администратор не сможет попасть на машину ни со старым ни с новым паролем?!

Бред. Проверяйте настройки, такого быть не должно при стандартной настройке АД.

mozers

Цитата:

после перезагрузки зайти на него не могу

Т.е.? там пароль такой же, как был у администратора домена (учетная запись Администратор). Т.е. какая она была по повышения роли, такой она и останется.

FreemanRU
При понижении роли мастер предлагает ввести новый пароль для администратора этого сервера - я ввожу старый - он ругается на то, что старый не удовлетворяет требованиям безопасности - ладно, воожу новый. После перезагрузки ни старый ни новый не срабатывают. Причем не пускает ни в домен ни локально на машину. Помогает только переустановка системы
Очевидно правильно было бы сразу при установке системы задать новый пароль для администратора домена, удовлетворяющий этим требованиям безопасности, но я такого сделать не могу по субъективным причинам. (Планирую потом его поменять как в должности укреплюсь).

Цитата:

При понижении роли мастер предлагает ввести новый пароль для администратора этого сервера - я ввожу старый - он ругается на то, что старый не удовлетворяет требованиям безопасности - ладно, воожу новый. После перезагрузки ни старый ни новый не срабатывают. Причем не пускает ни в домен ни локально на машину. Помогает только переустановка системы

Переставлять не обязательно, есть и утилиты, не помню щас как называется, грузишся с диска и сбрасываешь пароль.
А по части пароля раз не ты все ставил, то и не известно как там у тебя политики настроены.
Были у меня глюки с паролем задал, а он потом не пускает под этим паролем, за это политика отвечает котрая включается по умолчанию при повышении роли на контроллере домена и распространяется на весь домен(требует чтоб пароль состоял из различных символов), я у себя ее сразу отключаю, считаю что она нафиг не нужна, о безопасности должен админ думать, давая минимальные права пользователям какие им только необходимы ну и т.д.

mozers

Цитата:

А когда, натолкнулся на то, что по умолчанию ничего работать не хочет

Нонсенс. Когда ничего не понимаешь в работе, то виноват всегда кто-то другой. У нас - дядя Билли.
ИМХО, прежде чем ругать что-то прочтите мануал. Вообщем - RTFM.

Цитата:

Причем не пускает ни в домен ни локально на машину. Помогает только переустановка системы

Интересно и как он в домен не пускает, под этим паролем или вообще не под каким, под этим и ястно это локальный админ и в домене совсем другие админы.

Щас идея пришла, если после понижения сервак остается в домене зачем его переустанавливать, можно зайти под аккаунтом администратора домена и насоздавать кучу локальных пользователей с любыми правами.

Lykym
Цитата:

есть и утилиты, не помню щас как называется, грузишся с диска и сбрасываешь пароль

Windows NT Change Password Utility. Да я что то про нее забыл

Цитата:

требует чтоб пароль состоял из различных символов), я у себя ее сразу отключаю

Тоже помню как то делал, а сейчас поискал и не нашел где Два года перерыва это знаете ли...

Цитата:

и как он в домен не пускает, под этим паролем или вообще не под каким

Ни под каким.

Цитата:

зачем его переустанавливать, можно зайти под аккаунтом администратора домена

Этот логин и пароль как раз и есть администратора домена.

Ладно. Это частный случай не отраженный в документации. Да мало ли таких!?
Надо просто учитывать что такое запросто может произойти и не напарываться, после того как вас предупредили. Я думаю что эту тему можно закрыть.

Что же касается групп безопасности, то в результате обсуждения я понял что нормальные пацаны делают так:Сохраняют в неприкосновенности все (даже ненужные) предустановленные и устанавливаемые некоторым ПО группы безопасности (типа Replicator, VS Developers,...) и отдельных пользователей (типа ASPNET, SQLDebugger,...). А потом делают вид что эти группы и пользователи просто не существуют.
Администраторов включают в группу "Администраторы домена" - так они имеют все права.
Я очень сомневаюсь что так они смогут зайти со своим логином/паролем на машину, отключенную от сети.
Всех юзеров кидают в "Users" и считают что там им будет хорошо.
Если каких то прав у пользователя не хватает, то добавляют его еще в одну(две, три, четыре,...) подходящих группы безопасности.
Если каким то пользователям надо дать обособленные права, которые с помощью вышеописанных махинаций получить не удается, то делают копию группы безопасности "Users" (которая, кстати, не Bultin) и начинают в этой группе вручную выставлять/удалять праваЯ правильно вас понял?

to All
Если я не ошибаюсь то пароли пользователей хранятся в базе SAM DC’ра, так?Так вот где же сама база SAM хранится и как можно его содержание просматривать?
+ если включен параметр криптоват пароли хранимые в базе.

mozers
Вообще делается так (вернее рекомендуется вендором) - для каждого объекта общего доступа, требующего своего ACL, создается группа базопасности. Под "каждым объектом" понимается действительно каждый - каждая общая папка, каждая папка с уникальными NTFS-разрешениями, каждый общий принтер, каждый сервер и роль на сервере, разрешения на уровне AD и т.д. На первый вглдя это кажется страшным и не нужным, но когда через годик тебе надо будет понять, а где у кого какие права - такая схема покажется тебе просто волшебной и прозрачной. Тем более, что поменять ACL на NTFS-папку размером 3-4 Gb задача не из приятных.
Для статистики - у нас на ~500 "живых" пользователей домена 347 групп.
Н-р группа "sg_fileserver_distrib_write" говорит сама за себя - группа безопасности, разрешения для сервера fileserver, общая папка distrib, уровень доступа - запись и чтения.

rkhodjaev
На сколько мне известно пароли на Dc хранятся не в сам файлах, а в самой ntds.dit.
По первой части точно, а вот по второй не уверен , но с одной стороны где ж еще им храниться, тем более их еще и реплицировать надо. А вот как посмотреть могу только догадываться, хотя есть предположения что файл ntds.dit можно так же редактировать как и sam файлы, например при загрузки с диска типа Windows NT Change Password Utility.

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1053
Дата: 17.12.2007
Время: 12:12:11
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SRV1
Описание:
Не удалось определить имя пользователя или компьютера. (Неправильный контекст безопасности. ). Обработка групповой политики прекращена.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Как быть с этим?
ибо даже не могу залезть в "Active Directory - пользователи и компьютеры" и "Active Directory - домены и доверие"

выскакивают вот такие ошибки при загрузке МСС:
http://www.4ii.ru/viewer.php?id=1698561.JPG
http://www.4ii.ru/viewer.php?id=883291.JPG


помогает перезагрузка, однако чуть попозжа сново начинает лихорадить, не могу разобраться в чём дело, началось это сравнительно недавно. может пару месяцева назад, не обращал внимания. не знаю даже что и сказать...

dcdiag вот что выдаёт:
C:\Program Files\Windows Resource Kits\Tools>C:\WINDOWS\ServicePackFiles\i386\dc
diag.exe

Domain Controller Diagnosis

Performing initial setup:
[srv1] LDAP bind failed with error 1323,
Не удается обновить пароль. Текущий пароль был задан неверно..
***Error: The machine could not attach to the DC because the credentials
were incorrect. Check your credentials or specify credentials with
/u:<domain>\<user> & /p:[<password>|*|""]

на сосднем сервере, всё работает отлично. хотя он как резервный, и не использовался вообще всё нормально, не падает ничего:

C:\Documents and Settings\Администратор>C:\WINDOWS\ServicePackFiles\i386\dcdiag.
exe

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site\SRV2
Starting test: Connectivity
The host f8946cef-9339-432d-a74c-9e845a967b37._msdcs.org.local could no
t be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(f8946cef-9339-432d-a74c-9e845a967b37._msdcs.org.local) couldn't be
resolved, the server name (srv2.org.local) resolved to the IP address
(192.168.1.102) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... SRV2 failed test Connectivity

Doing primary tests

Testing server: Default-First-Site\SRV2
Skipping all tests, because server SRV2 is
not responding to directory service requests

Running partition tests on : TAPI3Directory
Starting test: CrossRefValidation
......................... TAPI3Directory passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... TAPI3Directory passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : org
Starting test: CrossRefValidation
......................... org passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... org passed test CheckSDRefDom

Running enterprise tests on : org.local
Starting test: Intersite
......................... org.local passed test Intersite
Starting test: FsmoCheck
......................... org.local passed test FsmoCheck

mozers

Цитата:

Если каким то пользователям надо дать обособленные права, которые с помощью вышеописанных махинаций получить не удается, то делают копию группы безопасности "Users" (которая, кстати, не Bultin) и начинают в этой группе вручную выставлять/удалять права

Вот по этому пунктику. Лучше делать так: добавляешь пользователей в одну стандартную группу, потом, в случае необходимости, создаешь еще одну группу, которой расширяешь права. И необходимую часть пользователей входящих в первую группу помещаешь еще и во вторую.

Цитата:

mozers
Вообще делается так (вернее рекомендуется вендором) - для каждого объекта общего доступа, требующего своего ACL, создается группа базопасности.

Именно так и делается, а я бы добавил, что для общих папок в идеале нужно делать 3 группы: одну с полным доступом, другую - только чтение (явный запрет на создание и изменение) и третью с запретом на все (опять же явный запрет не только на создание и изменение но и на чтение).
Тогда все становится совершенно прозрачным: есть группа менеджеров, создано для нее несколько общих ресурсов - включаешь группу менеджеров в группы полный доступ этих ресурсов, есть в группе менеджеров Вася Пупкин которому доступ к одному из общих ресурсов нужно закрыть - добавляешь его (не исключая из группы менеджеров) в группу "полный запрет" нужного ресурса и имеешь результат.

SniZ


Цитата:

Testing server: Default-First-Site\SRV2
Starting test: Connectivity
The host f8946cef-9339-432d-a74c-9e845a967b37._msdcs.org.local could no
t be resolved to an
IP address. Check the DNS server, DHCP, server name, etc
Although the Guid DNS name
(f8946cef-9339-432d-a74c-9e845a967b37._msdcs.org.local) couldn't be
resolved, the server name (srv2.org.local) resolved to the IP address
(192.168.1.102) and was pingable. Check that the IP address is
registered correctly with the DNS server.
......................... SRV2 failed test Connectivity

Doing primary tests

Testing server: Default-First-Site\SRV2
Skipping all tests, because server SRV2 is
not responding to directory service requests

Из этого вроде понятно что твой server Srv1 не видит server srv2. Смотри сеть, настройки Dns и т.д. Простой пропингуй с этой машины второй резервный сервер, если отвечает, копай dns, наверно в Dns как раз и проблема.
Трудно сказать у меня такой ошибки не было.

Цитата:

Из этого вроде понятно что твой server Srv1 не видит server srv2. Смотри сеть, настройки Dns и т.д. Простой пропингуй с этой машины второй резервный сервер, если отвечает, копай dns, наверно в Dns как раз и проблема.
Трудно сказать у меня такой ошибки не было.

да но у мну днс вроде нету на этих сервера
пингуется всё в норме, может если будет время, пни меня в аську 3967011, очень уж помощь нада

SniZ


Цитата:

да но у мну днс вроде нету на этих сервера

Да, интересно как все это работало раньше ? Открывай параметры протокола tcp/ip и смотри кто там у тебя Dns сервер. Запусти run->cmd->nslookup: набери имя своего домена, если ответ есть то можно предположить что Dns работает.

FreemanRU RoDeZiya Valery12
Спасибо за совет. Как то даже думать по другому щас стал...
Но вот если юсер состоит в 2х группах в одной из которых наложен запрет на доступ к ресурсу, а в другой этот доступ разрешен то тогда сработает либо вариант предложенный RoDeZiya либо вариант Valery12.
Значит кто то из вас не прав

mozers

Цитата:

если юсер состоит в 2х группах в одной из которых наложен запрет на доступ к ресурсу, а в другой этот доступ разрешен

Тут самое главное не путать запрет и отсутствие разрешения.
Если стоит именно запрет доступа для одной группы, а разрешения для другой то тогда сработает запрет.
Если нет разрешения на ресурс, для одной группы, но есть для другой - сработает разрешение.

Lykym
Честно говорья я не очень-то не понял ntds.dit ?

Ребята возникла проблема NOD пользователскими правами не запускается, а вот не хочу дать им именно админовские права.Вопрос в том что - возможно ли дать админовские права на определенную прогу или есть альтернативные способы решения?

rkhodjaev
ntds.dit - это файл в котором хранится AD, ищи его в папке которую ты указывал при повышении роли контроллера.


Цитата:

Вопрос в том что - возможно ли дать админовские права на определенную прогу или есть альтернативные способы решения?

Все что приходит на ум в данном случае это проверить на какие файлы и ключи реестра нужны ноду для записи, просто если он установлен в папке program files то юзер писать туда не может, тут поможет filemon nt и regmon.

rkhodjaev
Сорри за офф.
А версия НОДа какая?
Вторая линейка НОДа спокойно работает у юзеров в домене без всяких админских прав.
Если у тебя вторая, то тебе надо в программный топик по НОДу.

Lykym
Хорошо значит это папка где поднять домен так-ntds.dit?

Цитата:

Все что приходит на ум в данном случае это проверить на какие файлы и ключи реестра нужны ноду для записи

Вот я тоже думаю какую нибудь улью реестера оставить открытим,ну ту что использует НОД.А вот не знаю возможно ли веточки реестра управлять при помощи GPO
PhoenixUA
Версия НОДа 2.50.26.
Цитата:

Вторая линейка НОДа спокойно работает у юзеров в домене без всяких админских прав.

Что ты имеешь под словом вторая линейка?
Но поднял эту тему в топике НОД посмотрим что скажут специалисты в области НОДа

Цитата:

Да, интересно как все это работало раньше ? Открывай параметры протокола tcp/ip и смотри кто там у тебя Dns сервер. Запусти run->cmd->nslookup: набери имя своего домена, если ответ есть то можно предположить что Dns работает.

так, вернул днс, всё начало пахать, только криво и с ошибками. терь вот:
с первого сервера:

Код:
C:\Program Files\Windows Resource Kits\Tools>gpotool.exe
Validating DCs...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
ADsGetObject(LDAP://srv2.org.local) returned 0x8007203b, retry...
Available DCs:
srv1.org.local
Searching for policies...
Found 2 policies
============================================================
Policy {31B2F340-016D-11D2-945F-00C04FB984F9}
Friendly name: Default Domain Policy
Policy OK
============================================================
Policy {6AC1786C-016F-11D2-945F-00C04FB984F9}
Error: Version mismatch on srv1.org.local, DS=19, sysvol=18
Friendly name: Default Domain Controllers Policy
Details:
------------------------------------------------------------
DC: srv1.org.local
Friendly name: Default Domain Controllers Policy
Created: 03.02.2007 11:10:36
Changed: 02.03.2007 6:50:59
DS version: 0(user) 19(machine)
Sysvol version: 0(user) 18(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{827D319E-6EAC-11D2-A4EA-00C04F79F83A}{803E14A0-B4FB-11D0-A
0D0-00A0C90F574B}]
Functionality version: 2
------------------------------------------------------------
============================================================

Errors found

C:\Program Files\Windows Resource Kits\Tools>C:\WINDOWS\ServicePackFiles\i386\dc
diag.exe

Domain Controller Diagnosis

Performing initial setup:
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site\SRV1
Starting test: Connectivity
......................... SRV1 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site\SRV1
Starting test: Replications
[SRV2] DsBindWithSpnEx() failed with error 5,
Отказано в доступе..
......................... SRV1 passed test Replications
Starting test: NCSecDesc
......................... SRV1 passed test NCSecDesc
Starting test: NetLogons
......................... SRV1 passed test NetLogons
Starting test: Advertising
Warning: SRV1 is not advertising as a time server.
......................... SRV1 failed test Advertising
Starting test: KnowsOfRoleHolders
Warning: SRV2 is the Schema Owner, but is not responding to DS RPC Bind
.
[SRV2] LDAP bind failed with error 8341,
Произошла ошибка службы каталогов..
Warning: SRV2 is the Schema Owner, but is not responding to LDAP Bind.
Warning: SRV2 is the Domain Owner, but is not responding to DS RPC Bind
.
Warning: SRV2 is the Domain Owner, but is not responding to LDAP Bind.
Warning: SRV2 is the PDC Owner, but is not responding to DS RPC Bind.
Warning: SRV2 is the PDC Owner, but is not responding to LDAP Bind.
Warning: SRV2 is the Infrastructure Update Owner, but is not responding
to DS RPC Bind.
Warning: SRV2 is the Infrastructure Update Owner, but is not responding
to LDAP Bind.
......................... SRV1 failed test KnowsOfRoleHolders
Starting test: RidManager
......................... SRV1 passed test RidManager
Starting test: MachineAccount
......................... SRV1 passed test MachineAccount
Starting test: Services
w32time Service is stopped on [SRV1]
......................... SRV1 failed test Services
Starting test: ObjectsReplicated
......................... SRV1 passed test ObjectsReplicated
Starting test: frssysvol
......................... SRV1 passed test frssysvol
Starting test: frsevent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... SRV1 failed test frsevent
Starting test: kccevent
......................... SRV1 passed test kccevent
Starting test: systemlog
An Error Event occured. EventID: 0xC0001388
Time Generated: 12/18/2007 12:54:08
(Event String could not be retrieved)
An Error Event occured. EventID: 0x80001778
Time Generated: 12/18/2007 12:57:34
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0070002
Time Generated: 12/18/2007 12:59:29
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC00010E1
Time Generated: 12/18/2007 12:59:49
(Event String could not be retrieved)
An Error Event occured. EventID: 0x40000005
Time Generated: 12/18/2007 13:00:33
(Event String could not be retrieved)
An Error Event occured. EventID: 0xC0001B70
Time Generated: 12/18/2007 13:00:52
(Event String could not be retrieved)
......................... SRV1 failed test systemlog
Starting test: VerifyReferences
......................... SRV1 passed test VerifyReferences

Running partition tests on : DomainDnsZones
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom

Running partition tests on : ForestDnsZones
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom

Running partition tests on : Schema
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom

Running partition tests on : Configuration
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom

Running partition tests on : org
Starting test: CrossRefValidation
......................... org passed test CrossRefValidation
Starting test: CheckSDRefDom
......................... org passed test CheckSDRefDom

Running enterprise tests on : org.local
Starting test: Intersite
......................... org.local passed test Intersite
Starting test: FsmoCheck
......................... org.local passed test FsmoCheck