» Недоступен файл политики на дополнительном КД

Здравствуйте, айтишники!
Имеется домен, в нём основной контроллер домена - 2003 SP2, дополнительных два - 2008 SP2 и 2003 SP2 опять же. Второй 2003 подключал к домену последним. Всё без проблем заработало, но через пару недель началось интересное:
каждые пять минут журнал приложений отражает по две ошибки от Userenv - 1096 и 1020. Их текст я приведу ниже. Разумеется, я тут же загуглил эту беду, нашёл разные варианты выставления прав для SYSTEM и Администраторов в реестре, но только у меня с правами - полный порядок! Я даже открывал папку, которая указана в ошибке, создавал и удалял там файл.
Ещё, может это и не связано, но выходила ошибка AutoEnrollment №13, не получалось отдать заявку на сертификат на контроллер домена. Но я установил центр сертификации, эта ошибка вроде бы ушла.
Да, ещё много про ДНС читал, что в этом может быть причина неприятностей, однако, как показывает nslookup, все всех видят, и прямые и обратные зоны работают верно.
У кого какие мысли появились?
Привожу тексты ошибок:

Код:
Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1096
Дата:        26.10.2010
Время:        14:46:29
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    JAZZ
Описание:
Не удалось получить доступ в реестре к файлу политики, \\aspect.local\sysvol\aspect.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol. (Отказано в доступе. ).



Тип события:    Ошибка
Источник события:    Userenv
Категория события:    Отсутствует
Код события:    1020
Дата:        26.10.2010
Время:        14:46:29
Пользователь:        NT AUTHORITY\SYSTEM
Компьютер:    JAZZ
Описание:
Не удалось создать в реестре раздел Software\Policies\Microsoft\Windows\Safer. (Отказано в доступе. ).

Айтишники тут

То есть, вопрос по ошибке операционной системы более уместен в ветке "Компьютеры", нежели "Операционные системы"??
Я думаю, если админы посчитают, что это так, то у них будет возможность перенести тему в соответствующий раздел.

Чтото было подобное .. правда осной был 2003 а два вторичных были 2008. Решилось помоему переустановкой винды на дополнительном и настройкой его по новой .. это же винда =) большинство проблем решается переустановкой =) Да и вообще пора уже отходить от 2003 =) Относительно недавно перенесли основной контроллер на 2008 и очень даж довольны =)

Я принципиально отошёл от такого варианта решения проблемы, как "снести и установить заново". Да, проще, да, скорее всего проблема решится, но тогда в следующий раз, когда повторится проблема, ты не будешь иметь возможности переустановить винду, и разбираться времени не будет. Да и как специалист ты не растёшь, форматируя диски.
Домашнюю винду не переустанавливал уже лет пять, за исключением установки поверх всвязи со сменой материнки.
2008 поставить было бы можно, так как лицензии приобретены именно на него, но у меня несколько раз возникали проблемы с драйверами, приводящие к временной неработоспособности сервера, так что, пока не устаканится, я ещё один сервер сажать на восьмёрку не буду. ДопКД и файл-сервер и на 2003 замечательно крутится.

Ну чем то ты прав а чем то и нет .. я лично не вижу никакой пользы от того чтобы тратить своё время ради поиска и устранения ошибки на морально устаревшей операционной системе. Если бы это был бы ХОТЯ бы 2008 то да, можно и помарочится .. но не на 2003 (ИМХО)

Такая же ошибка есть и на Висте, серверная версия которой называется Windows Server 2008, так что вопрос не лишний.

Тогда да .. соглашусь что вопрос актуальный =) Добавлен в закладки =) АП =)

itselectric
Цитата:

с правами - полный порядок! Я даже открывал папку, которая указана в ошибке, создавал и удалял там файл.

C правами SYSTEM вошел в систему? Возможно конечно(хотя берет сомнение. И какое средсво для этого было использовано?). Отключи наследование, переопредели права на папку и примени эти права на подвложенные объекты... Вот тогда можна будет говорить что с правами все ок...

Добавлено:
Папку в реестре естественно...

yurkesha, проверял права на папки и на ветки реестра. Права полные были для группы Администраторы и для SYSTEM, естественно, пробовал под администратором.
Опаньки! При попытке изменения разрешений на ветку HKLM\Software\Policies\Microsoft\Windows\safer\, выскакивает сообщение об ошибке - недостаточно прав. Хотя я в системе под администратором домена. Была групповая политика, раздающая права на эту ветку реестра, но я её удалил (политику), потом на проблематичной машине сделал gpupdate.

itselectric
Значит предварительно стань владельцем...

itselectric

Цитата:

При попытке изменения разрешений на ветку HKLM\Software\Policies\Microsoft\Windows\safer\, выскакивает сообщение об ошибке - недостаточно прав.

Предварительно дайте себе полные права на всё содержимое каталога "%SystemRoot%\System32\Config" (при необходимости став владельцем его), а уже затем пробуйте менять разрешения в реестре.

BVV63
Это не связано с правами на файловую систему. Достаточно стать владельцем и все права можно будет переопределить.

yurkesha

Цитата:

Это не связано с правами на файловую систему. Достаточно стать владельцем и все права можно будет переопределить.

Связано. Отнюдь не все права можно переопределить в реестре, система не всё позволит. До 2K3 включительно можно было запустить редактор реестра в контексте безопасности локальной системы, после чего уже всё дозволено. Начиная с Висты такой фокус не прокатывает. Но если дать себе полные права над файлами реестра, то опять всё можно править, проверял экспериментально.

Права на \System32\Config\ изменить получилось без проблем - добавил своего пользователя (которым вошёл в систему, сост. в группах Администраторы, Администраторы домена), указал полные права.
Поменять владельца на ветку реестра ...\safer\ не вышло( Даже после изменения прав на папку Config. Всё та же ошибка - Отказано в доступе.

itselectric
Перечитал топик, но так и не понял, на каком контроллере проблемы, 2K3 или 2K8. Если 2K3, то там просто:

Код: AT <Ближайшее_время> /Interactive Regedit.Exe

Интересная особенность. Изменил права на родительскую папку HKLM\Software\policies\, а именно, добавил пользователя с полными правами. Стал проверять дочерние папки - на все папки перешло наследование. КРОМЕ ПАПКИ SAFER!! Хотя, там стоит галочка "наследовать", и убрать её, повторюсь, нет возможности. Может, как-то пересоздать эту папку? Снести её совсем и откуда-нибудь восстановить? Хоть с другого КД. Но как это осуществить, и чем это грозит, да и даст ли удалить ветку реестра, раз даже права поменять не позволено?...

Добавлено:
BVV63
Речь про 2003.

Странно. Ввожу следующее:
Код: at 11:20 /Interactive regedit.exe

itselectric
Ничего для консоли не нашёл. CACLS только с файлами работает, но не с реестром.

Цитата:

Наступает время Ч, но ничего не происходит

В процессах Regedit висит? Вы, часом, не в терминальной сессии работаете? Из терминальной сессии так не запустить.
Вообще-то недавно был аналогичный случай (общались здесь, на форуме), когда Regedit так и не смогли запустить. Я грешу на какое-нибудь обновление от MS, не зря же они в дальнейшем (в следующих ОС) такую возможность заблокировали.

Однако, ничего не получилось Даже запущенный пользователем SYSTEM (как показывает диспетчер задач) regedit не позволяет менять владельца и другие права на папку safer.

itselectric
Ну, а ежели сделать ход конём :

Код: regsvr32 /u SceCli.dll

Цитата:

Вот только на контроллере домена могут быть непредсказуемые последствия...

Ну вот это и страшно( По крайней мере, попробую это делать, находясь в том же офисе, что и проблемный КД. Смогу хоть с бубном вокруг поплясать.
Если родятся в голове другие идеи - готов выслушать и испробовать

Добавлено:
Случайно,
Код: Тип события: Ошибка
Источник события: LoadPerf
Категория события: Отсутствует
Код события: 3012
Дата: 27.10.2010
Время: 16:14:58
Пользователь: Н/Д
Компьютер: JAZZ
Описание:
Значения параметров производительности в реестре были повреждены, когда выполнялась обработка Performance поставщика расширенных счетчиков производительности. Значение параметра 'BaseIndex' из раздела 'Performance' находится в первом DWORD секции данных. 'LastCounter' во втором DWORD, а значение 'LastHelp' в третьем DWORD секции данных.
Данные:
0000: 37 07 00 00 00 00 00 00 7.......
0008: 00 00 00 00 09 03 00 00 ........

Цитата:

Случайно, ... не может влиять на реестр?

Напрямую - нет. Но может свидетельствовать об ошибках в файлах реестре. Кто знает, может поведение ключа "Safer" тоже результат подобной ошибки?

Добавлено:

Цитата:

А вот на контроллере домена могут быть непредсказуемые последствия...

Пожалуй, на КД тоже безопасно. Отключится применение политики на сам сервер, на работу АД это не повлияет.

У меня была примерно такая же проблема. Только без доп. серваков. Контроллер 2003 SP2. Рабочие станции все XP SP3. И на некоторых из них не применялись ГП для компьютера, с выдачей тех же ошибок (1096 и 1020). Помогло изменение разрешений на раздел Microsoft в HKLM\Software\Policies. Точно не помню, но вроде добавил полные права то ли Админам домена, то ли Прошедшим проверку.

Ребяяята!!!!! Получилось! Пока что получилось сменить права на ветку реестра \safer\, будут ли валиться ошибки - пока не ясно, напишу завтра.
Я понизил данный КД до рядового сервера, проделал regsvr32 /u SceCli.dll, перезагрузился, но не получилось изменить права. Тут на другом сервере у меня был затык с антивирусом ДокторВЭБ, а точнее, с его драйвером самозащиты, который много себе позволяет, я даже написал об этом в своём блоге. Поэтому сейчас я погрешил на этот же антивирус, который установлен и на этом серваке, отключил его самозащиту и модуль проверки на лету. И оп - права изменить удалось!!!! Алиллуйа!!!!

Спасибо огромное тем, кто откликнулся на мой призыв! Теперь даже со включённым антивирусом в журнале отображается только сообщение SceCli: "Политика безопасности в объектах групповой политики успешно применена." Хоть теперь и изменилась ситуация, и этот сервер, в общем-то и не нужен, но зато мы решили проблему, знаем что это было, хоть и не знаем почему)