» Имя AD домена совпадает с именем стороннего сайта в Инернет

AlexHote
Эта политика применяется почему то частично. "Не проверять собственность пользователя перемещаемого профиля" сработала. А "Всегда ожидать инициализации сети при загрузке и входе в систему" не применяется. Окошко логона выскакивает также быстро. А gp должны наслаиваться, и если нет сети то должна применяться gp установленная локально.

Добавлено:
Можно узнать где взять АД и домен если

Цитата:

Win XP SP1 Rus VLK локальная, без сети

Добавлено:
Это случайно не мой случай http://support.microsoft.com/kb/840669/en-us ? Я в аглицком не силен.

даже после перенесения контроллера домена на др сервак(AD+DNS+роли+DHCP)
ошибки на серверах, теперь обоих(старый оставил пока)сл рода:

Цитата:

Тип события: Предупреждение
Источник события: SceCli
Категория события: Отсутствует
Код события: 1202
Дата: 14.06.2006
Время: 11:36:14
Пользователь: Н/Д
Компьютер: TBIH2
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x5 : Отказано в доступе.

Справка по данному вопросу размещена на веб-узле http://support.microsoft.com. Запросите "troubleshooting 1202 events".

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

что делать

Добавлено:
да и еще одна непонятка, почему-то gpresult на раб станциях показывает что применяется политика со старого контроллера.... нужно на новый как-то переносить?

Импортировал шаблон безопасности в Default Domain Policy. Шаблон EC-Domain.inf взял из книги Windows Server 2003 Security Guide. Исправил там пару параметров. После этого начались проблемы. При загрузке компы висят по 5 минут. В ивентах y них появляется следующее:

"Выполнено распространение политики безопасности с предупреждением. 0x57 : Параметр задан неверно.

Для диагностики этого события выполните вход с неадминистративной учетной записью и на http://support.microsoft.com выполните поиск раздела "Troubleshooting Event 1202's" ("Диагностика события 1202").

Клиентское расширение групповой политики Security не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения.

Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики."

Как определить, в чём проблема? Где взять не глючную групповую политику для домена?

В общем покопался я в ивент логах рабочих станций и выяснил что при каждом применении групповых политик возникает событие:
"Системе безопасности не удалось установить безопасное подключение к серверу ldap/server.domain.local/domain.local@domain.local. Отсутствуют доступные протоколы проверки подлинности."

Возникает это событие одновременно с событием:
"Не удалось запросить данный список объектов групповой политики."

Подозреваю что дело тут в проблеме с подписыванием smb сессий.
Посмотрел групповые политики. Настройки там выглядят следующим образом:

Локальная групповая политика на контроллере домена:
Клиент сети Microsoft: использовать цифровую подпись (всегда): Отключен
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера): Включен
Сервер сети Microsoft: использовать цифровую подпись (всегда): Отключен
Сервер сети Microsoft: использовать цифровую подпись (с согласия сервера): Включен
Контроллер домена: требование цифровой подписи для LDAP-сервера: Нет
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала: Включен
Член домена: требует стойкого ключа сеанса: Отключен
Член домена: цифровая подпись данных безопасного канала, когда это возможно: Включен
Член домена: шифрование данных безопасного канала, когда это возможно: Включен

Параметры безопасности контроллера домена по умолчанию:
Клиент сети Microsoft: использовать цифровую подпись (всегда): Отключен
Клиент сети Microsoft: использовать цифровую подпись (с согласия сервера): Включен
Сервер сети Microsoft: использовать цифровую подпись (всегда): Отключен
Сервер сети Microsoft: использовать цифровую подпись (с согласия сервера): Включен
Контроллер домена: требование цифровой подписи для LDAP-сервера: Нет
Член домена: всегда требуется цифровая подпись или шифрование потока данных безопасного канала: Не определено
Член домена: требует стойкого ключа сеанса: Не определено
Член домена: цифровая подпись данных безопасного канала, когда это возможно: Не определено
Член домена: шифрование данных безопасного канала, когда это возможно: Не определено

Больше ни в каких групповых политиках параметры безопасности не определены ни для контроллера ни для компьютеров домена.
В чём может быть дело?

Не работает групповая политика(W2k-DC): ничего не пишет, просто не запускает политику прописаную для данного компьютера...

Уважаемые коллеги, помогите пожалуйста решить проблему. Создал групповую политику для организационной единицы, в которой компьютеры. Политика тоже на компьютеры - Computer Configuration -> Windows Settings -> Scripts -> Startup. Политика отрабатывает, если в скрипте написать вызов MessageBox например, то все работает, меседжбокс показывается. А когда в скрипте указываю запуск программы, расположенной на другом сервере на шаре - не запускается. Я так понимаю, что этот скрипт запускается от LocalSystem и не может обратиться на шару? Что делать? Доступ на шару для Everyone, разрешен даже null session - ничего не помогает...

Ситуация следующая, 2 сервера (1 рабочий) под win2003. SP1 установлен. AD в режиме 2003 винды. 2 DNS сервера на DC. IP статические, в свойствах указано регистировать DNS, суфикс поиска <имя домена>. Рабочие станции - Win 2003, Win XP. Работает WSUS 3, который постоянно раздает самые последние обновления. Но на клиентах вылезает ошибки UserEnv 1053, 1030. На серверах таже ошибка. Как ее устранить?

in0x
А чего конкретно в этих ошибках?


Добавлено:
in0x
А чего конкретно в этих ошибках?

при запуске утилиты dcgpofix происходит следующее:
не удается прочитать сертификаты EFS из файла Registry.pol в default domain police. Ошибка: в систему не произведен: выбранный режим входа для данного пользователя на этом компьютере не предусмотрен.

Что с этим делать, кто может подсказать? И еще, в оснастке редактор групповых политик окрываю доменную политику, а там только дерево этой политики, а самих параметров нет вообще. Это из той же оперы, наверное. Как с этим бороться? Заранее благодарен. Да, еще, у меня журнал событий "приложения" весь красный от ошибок 1030 и 1058.

GRIZLO, ну как? проблему решил? а то у меня видимо либо то же самое, либо очень похожее - хотелось бы найти лекарство - не хочется сносить контроллер домена...

Доброго времени суток!
ситуация: Windows2003 SMB + клиенты WinXP. Домен, AD, естественно DNS
Нарисовалась проблема: часть машин не может применить групповые политики, на сервере все в порядке, в логах проблемных машин в наличии ошибки

ID: 1058
Windows не удалось получить доступ к файлу GPT.INI для объекта групповой политики CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=<забито>,DC=local. Этот файл должен находиться в <\\<забито>.local\sysvol\<забито>.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini>. (Не найден сетевой путь. ). Обработка групповой политики прекращена.

ID: 1030
Не удалось запросить данный список объектов групповой политики. Сообщение, описывающее причину, уже было помещено в журнал обработчиком политики.

Рекомендация микрософта про права доступа к папке sysvol и переставление местами сетевух ничего не дали.

Хелп!

А юзверя на локальных машинах не провами локальных админов обладают, если да, и если они у тебя прошареные, то иди на тачки и смотри локальные политики безопасности,
если мне не изменяет память там много чего наворотить можно.
Ещё один вариант посмотри входят ли эти тачки в домен, а то есть мастера (*****), выводят тачки в рабочую группу, с названием домена.
Посмотри настройки сетевух на локльных тачках, сравни с теми на которых всё работает, может где что пропустил

aliet http://support.microsoft.com/kb/314494/ru

aliet
Есть мнение, что мешает перекрестная политика (скорее всего именно это, т.к. эта штука всплывает если были проблемы с репликациями и пр. с DC такие как не корректное удаление ….). Зайди AD пользователи и компьютеры, выбери контейнер с юзерами (которые не логиняться), правой клавишей «свойства» «групповая политика», далее сама политика «изменить», далее «конфигурация компьютера» «Параметры безопасности» «Назначение прав пользователя» и задать параметры в «Обход перекрестной проверки». Вот это надо делать только с теми контейнерами где юзеры не могут зайти, с остальными лучше не надо.

Уважаемые коллеги, помогите решить проблему. Создал групповую политику для организационной единицы, в которой включены компьютеры.
Политика на этот OU размещена в виде скрипта VBS - Computer Configuration -; Windows Settings -; Scripts -; Startup.
Политика отрабатывает, если в скрипте написать вызов MessageBox например, меседжбокс показывается.
Когда в скрипте указываю запуск программы, расположенной на другом сервере на шаре - не запускается.
Я так понимаю, что этот скрипт запускается от LocalSystem и не может обратиться на шару?
Доступ на шару для Everyone, разрешен даже null session - ничего не помогает...

Политика административных шаблонов для Computer Configuration применяется вполне корректно. Скрипт прекрасно отрабатывает локально под админом.

Домен - 2000, рабочие станции XP

Сорри, что долго не появлялся.

andrey753
Да, пользователи правами админов обладают, но никуда не лезут, я их запугал
Настройки сетевух идентичны - не так уж много там поменять можно. Из домена никто не выпал, все машины как где были, там и есть

ipmanyak

Цитата:

http://support.microsoft.com/kb/314494/ru

Ходил конечно, только параметра DisableDFS не нашел
В HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mup
Есть Start, tag, type, group,Errorcontrol, displayname. И все. поиск по реестру такого параметра вообще не видит. Поэтому все еще нужен хелп!

pavel1394
«Обход перекрестной проверки» включен для всех, контейнер у меня 1 и все усеры в нем. Не помогает.

а у меня следующая проблема:
не применяються групповые политики при старте компьютера (именно только при старте)
а в application & system logs в течении ~ 40-50 сек появляеться куча сообщений с разл. ошибками как то:

Цитата:

1.Компьютеру не удалось обновить адрес, полученный от DHCP-cервера, для сетевого адаптера с сетевым адресом 001A9292CFAA. Произошла следующая ошибка:
Превышен таймаут семафора. . Компьютер продолжит попытки получить свой собственный адрес от DHCP-cервера.

2.Для домена LOCALDOM нет доступного контроллера домена. Ошибка:
Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть. .
Убедитесь в том, что компьютер подключен к сети и повторите попытку. Если ошибка повторяется, обратитесь к сетевому администратору.

3.NTP-клиент поставщика времени не смог найти контроллер домена для использования как поставщика времени. NTP-клиент повторит попытку через 15 мин.

4.The NTP-клиент поставщика времени настроен на получение времени из одного или нескольких источников, однако ни один из этих источников недоступен. Попытки подключения к источнику не будут выполняться в течение 15 мин. NTP-клиент не имеет источника правильного времени.

5.Компьютер автоматически настроил IP-адрес для сетевого адаптера с адресом 001A9292CFAA. Используется IP-адрес 169.254.36.36.

6.Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.

7.Автоматическая подача заявки на сертификат Локальная система: не удалось связаться с каталогом Active Directory (0x8007054b). Указанный домен не существует или к нему невозможно подключиться.
Подача заявки выполнена не будет.

после етого все становиться нормально, клиент логинится, DC доступен, больше никаких ошибок типо все пучком....
Возникает такое ощущение что все эти процессы начинают происходить когда сетевой адаптер еще не начал работу,
по крайней мере сообщения

Цитата:

Port A is up with 100 MBps/sec

Система обнаружила, что сетевой адаптер \DEVICE\TCPIP_{FEAFDAD5-406A-48F4-AC20-858AED3E09F8} был подключен к сети, и инициировала нормальную работу через этот сетевой адаптер.

появляються где-то в промежутке между сообщениями 2 и 3

Еще я заметил что такие проблемы чаще встречаються на новых компах с 1Гб адаптерами чем на компах с адаптерами 100Мб. Вопчем я в расстеряноcти чешу репу и думаю чего делать?


МДЯ! Сам задал вопрос сам ответил
вот http://support.microsoft.com/kb/326152/en-us
и вот http://support.microsoft.com/kb/239924/
и вот http://support.microsoft.com/kb/840669/en-us

ПЫ.СЫ. Правильно заданный вопрос - это 70 % правильног ответа

aliet Сам с этим мучаюсь. на одной машине вылечилось включением сетевых dde. Остальные глючащие машины без sp2. Лечил установкой SP. Еще получалось перевтыканием в домен, но думаю что-то в сервисах не так...

Добрый день.
У меня возникла следующая проблема.
Есть домен управляемый одним контроллером.
В один прекрасный момент при попытке открыть политику безопасности домена или контроллера домена выдает ошибку - Не удалось открыть объект групповой политики. Возможно вы не имеете достаточных прав. Сведения: параметр задан не верно.

В ссылке указано следующее C:\WINDOWS\system32\dcpol.msc /gpobject:"LDAP://CN={6AC1786C-016F-11D2-945F-00C04fB984F9},CN=Policies,CN=System,DC=yartehno,DC=ru"

Вроде в других доменах все также прописано и работает...

Может быть имеются в виду другие параметры?

добрый день.
помогите решить проблему люди добрые!
win 2003 с ad -2 компа (один контролер ,второй файловый) и прокси сервер win 2003 с установленым usergate4.настройка интернета идет через http авторизацию , но вот трабла как закрыть вкладку в браузере подключение. У нас 4 группы, одной из них назначена групповая политика назначена что бы эта вкладка была отключена и что бы загрузка начаналась с пустой страницы, самое удивительное что все юзеры группы загружаються с пусой страницы но вот вкладка подключения не закрыта.
других групповых политик нету.

Доброго времени суток, возникла проблема с политикой переадресации папок пользователя. Произвожу настройку настройку на контроллере, указываю компьютер на которым будет работать(сервер терминалов), но после обновления политики...результат остутсвует...на расшаренную папку давал полный доступ, все тоже самое....кто имел дело, подскажите что не так....

Мужики тоже не работает групповая политика на servere 2003, везде чтобы изменить закрыто. Произошло после заражения и последующего выздоровления сервака. Ошибки 1030 и 1058. Новые машины подключаю к домену политики для них не применяются. Прочитал кучу всякой хрени но кокретно ничего не помогает.

CHAR123
RSoP что говорит?

UralAZ
По умолчанию перенаправление папок пользователя происходит лишь после 2 перегрузки компьютера.

skubic25
здесь

ХУх сделал, вирусяка снес половина папки SYSVOL руками сделал всё и пошло!!! Бэкапы во время не сделал и усЁ!!!!

парни может кто подскажет, есть сервак 2003, на нём домен и днс поднят, при приминении полит безопасности:

1. в Default Domain Policy - Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Интерактивный вход в систему: текст сообщения для пользователей при входе в систему я ввожу параметр, при котором хочу видеть слово "привет" при входе в систему.
2. На даном серваке я не повысил режим работы домена до 2003
3. в Default Domain Policy - Конфигурация пользователя - Административные шаблоны - Система - Вход в систему - Запускать указаные программы при входе в систему я ввожу параметр, чтобы запускался калькулятор (calc.exe) и он запускается
данная гуповая политика применяется на OU 111 в которой находится Клиент (юзер) и так же компьютер

ЗЫ: данные требования не обязательны (вывод слова "привет", запуск калькулятора, и т.п.), обязательно надо сделать, чтобы КЛИЕНТ не мог установить на свою машину любое приложение. (я так думаю, это нужно запретить использование Windows Installer)

Цитата:

чтобы КЛИЕНТ не мог установить на свою машину любое приложение.

Ну так закинь их в группу пользователи на локальных машинах (а из Администраторы и Опытные пользователи соответственно выкинь)

проверить применяются ли политики можно по event logs или в командной строке gpresult

Цитата:

Ну так закинь их в группу пользователи на локальных машинах (а из Администраторы и Опытные пользователи соответственно выкинь)

это конечно проще-простого, но я не по этому написал здесь, я хочу, чтобы у меня политика применялась.

Цитата:

проверить применяются ли политики можно по event logs или в командной строке gpresult

в gpresult пишет, что применяется

Доброго дня. Такая ситуация, не применяет политики ни на доменном компьютере, ни на компьютере пользователей, с событиях ошибка:

Userenv 1085
Клиентское расширение групповой политики Сценарии не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения.

На клиентах в Userenv.log:
USERENV(4c8.c74) 11:56:15:027 ProcessGPOs: Extension Сценарии ProcessGroupPolicy failed, status 0x2.

В чем может быть проблема, eventid.net не помог, подскажите кто действительно понимает как все это работает.

John_rambo
Хрень какая-то со скриптом у тебя. Написано же. Возможно, лежал где-то скрипт, ты его удалил/переместил, но его продолжают искать в старом месте. Если всё так как я предполагаю, то попробуй вернуть скрипт на место и удалить его снова через некоторое время (пусть успешно репликация пройдёт между контроллерами домена).

А где прописавается ссылка на скрипт? В политике, вход в систему Logon или Logoff? В этих вкладках нигде ссылок на скрипты не увидел, а в логах не пишет какой скрипт и чего, я только 1 скрипт сам делал, но он выполняется.