JcVai
ясно, спасибо!
может ещё тут глянешь, что подскажешь... но я видать вопрос там перенаворотил....
ясно, спасибо!
может ещё тут глянешь, что подскажешь... но я видать вопрос там перенаворотил....
» Общие вопросы про AD (Active Directory)
Один вопросик господа,
можно ли с помощью логонскрипта редактировать HKLM на юзверском компе если он не адми и не повер юзер?
можно ли с помощью логонскрипта редактировать HKLM на юзверском компе если он не адми и не повер юзер?
sysge - Если скрипт вызывается политикой (а не профилем юзера) то он исполняется в контексте локальной системы.
dcdiag /a /s:srv /q
NtFrs Service is stopped on [SRV]
......................... SRV failed test Ser
Error: No record of File Replication System,
The Active Directory may be prevented from st
There are errors after the SYSVOL has been sh
The SYSVOL can prevent the AD from starting.
netdiag /q
ошибок не выдало.
В результате не идёт реплика между 2-мя DC (логон-скрипты в частности).... как пофиксить!?
NtFrs Service is stopped on [SRV]
......................... SRV failed test Ser
Error: No record of File Replication System,
The Active Directory may be prevented from st
There are errors after the SYSVOL has been sh
The SYSVOL can prevent the AD from starting.
netdiag /q
ошибок не выдало.
В результате не идёт реплика между 2-мя DC (логон-скрипты в частности).... как пофиксить!?
Есть одна машина (WIN2K PRO) в домене, на которую нельзя залогиниться: ИНТЕРАКТИВНЫЙ ВХОД НА КОМПЬЮТЕРЕ НЕ ВОЗМОЖЕН ИЗ-ЗА ЛОКАЛЬНОЙ ПОЛИТИКИ.
При чём даже админгруппа не имеет доступа. Как сделать чтобы доменная политика перекрыла локальную? ИЛИ ПРИДЁТСЯ ПЕРЕУСТАНАВЛИВАТЬ ОС?
ЗЫ: нельзя войти ни та ЭТОТ КОМПЬЮТЕР НИ В ДОМЕН с этой машины. Чё за байда?
При чём даже админгруппа не имеет доступа. Как сделать чтобы доменная политика перекрыла локальную? ИЛИ ПРИДЁТСЯ ПЕРЕУСТАНАВЛИВАТЬ ОС?
ЗЫ: нельзя войти ни та ЭТОТ КОМПЬЮТЕР НИ В ДОМЕН с этой машины. Чё за байда?
Pazan
Цитата:
Для контейнера, содержащего учётку компьютера, создать GPO и в нём прописать политику кому можно входить, а кому нельзя. Если машина в домене, DNS настроен правильно, то политика контейнера перекроет локальную и ты попадёшь в систему.
Цитата:
Как сделать чтобы доменная политика перекрыла локальную?
Для контейнера, содержащего учётку компьютера, создать GPO и в нём прописать политику кому можно входить, а кому нельзя. Если машина в домене, DNS настроен правильно, то политика контейнера перекроет локальную и ты попадёшь в систему.
Duke Shadow
Цитата:
глупый вопрос: а как проверить настройку ДНС?
Цитата:
Если машина в домене, DNS настроен правильно,
глупый вопрос: а как проверить настройку ДНС?
Pazan
netdiag
dcdiag
тока их сначала надо поставить, они в support.cab на диске с виндой
netdiag
dcdiag
тока их сначала надо поставить, они в support.cab на диске с виндой
Pazan - в настройках DNS включи Debug Logging и через денек почитай логи - там будет ВСЕ!
kibkalo
Если скрипт вызывается политикой (а не профилем юзера) то он исполняется в контексте локальной системы
это мягко говоря каша
есть logon/logoff script и startup/shutdown script.
первый всегда в контексте пользователя, второй от имени system
sysge
если значения HKLM ключей строго определены(нет зависимотри от каких-либо переменных), тогда создай свой шаблон adm, заведи отдельный GPO, на него отфильтруй разрешения, т.е. на нужные группы apply+read.
С таким раскладом реестр будет всегда меняться от имени системы.
Если скрипт вызывается политикой (а не профилем юзера) то он исполняется в контексте локальной системы
это мягко говоря каша
есть logon/logoff script и startup/shutdown script.
первый всегда в контексте пользователя, второй от имени system
sysge
если значения HKLM ключей строго определены(нет зависимотри от каких-либо переменных), тогда создай свой шаблон adm, заведи отдельный GPO, на него отфильтруй разрешения, т.е. на нужные группы apply+read.
С таким раскладом реестр будет всегда меняться от имени системы.
Newbie777
Цитата:
никак не пойму эти пермишины apply+read. Как они определяются?
Добавлено
Duke Shadow
после тщательных допросов предыдущего админа удалось установить следующее: он в локальной политике указал "Отклонить локальный вход" и выбрал группу "Пользователи". Почему админ не входит -- не понятно мне.
Цитата:
заведи отдельный GPO, на него отфильтруй разрешения, т.е. на нужные группы apply+read
никак не пойму эти пермишины apply+read. Как они определяются?
Добавлено
Duke Shadow
после тщательных допросов предыдущего админа удалось установить следующее: он в локальной политике указал "Отклонить локальный вход" и выбрал группу "Пользователи". Почему админ не входит -- не понятно мне.
Pazan
Возможно Админ входит и в группу Юзеры.
Хотя такого быть не должно, но проверить стоит
Возможно Админ входит и в группу Юзеры.
Хотя такого быть не должно, но проверить стоит
Jovanotti
Цитата:
точно, что не входит в юзеры, особенно встроенная учётная запись.
Цитата:
Возможно Админ входит и в группу Юзеры
точно, что не входит в юзеры, особенно встроенная учётная запись.
Создаю нового пользователя в Актив Директори (АД).
Создаю в папке Built-in группу «Ответсвенные лица». Захожу в Свойства\Член групп.
Там есть -- Пользователи домена. Добавляю группу Administrators и Ответственные Лица. Назначаю её основной группой, иначе я не могу удалить группу Пользователи домена. Таким образом новый пользователь есть членом групп Administrators и Ответственные Лица. Захожу под его логином на любую машину в домене и хочу, напр.,
изменить время или параметры питания -- НЕДОСТАТОЧНО ПРАВ. ОБРАТИТЕСЬ К СЕТЕВОМУ АДМИНИСТРАТОРУ.
Так чего не так делаю?
Создаю в папке Built-in группу «Ответсвенные лица». Захожу в Свойства\Член групп.
Там есть -- Пользователи домена. Добавляю группу Administrators и Ответственные Лица. Назначаю её основной группой, иначе я не могу удалить группу Пользователи домена. Таким образом новый пользователь есть членом групп Administrators и Ответственные Лица. Захожу под его логином на любую машину в домене и хочу, напр.,
изменить время или параметры питания -- НЕДОСТАТОЧНО ПРАВ. ОБРАТИТЕСЬ К СЕТЕВОМУ АДМИНИСТРАТОРУ.
Так чего не так делаю?
хожу под его логином на любую машину в домене
ну а кто локально указан админом? domain admins, это далеко не buildin\Administrators
ну а кто локально указан админом? domain admins, это далеко не buildin\Administrators
Newbie777
Цитата:
где именно?[
q]domain admins, это далеко не buildin\Administrators[/q]
а что енто?
Цитата:
ну а кто локально указан админом
где именно?[
q]domain admins, это далеко не buildin\Administrators[/q]
а что енто?
Pazan, извини, конечно, но ты хоть что-нибудь читал по теме? Хотя бы встроенный help?
На некоторых манинах с w2k_sp4 наблюдается следующее: при входе в домен с правами доменного админа на машине пользователя он становиться просто пользователем, прав администратора нет. К чему бы это!?
ps с группповыми политиками отпадает - они не прописаны...
ps с группповыми политиками отпадает - они не прописаны...
Newbie777
Цитата:
извини, конечно, но в школе читать/понимать научился на 3 языках (UK/RU/EN).
Цитата:
по хелпу, написано, что домен админ важнее, но админгруппа получается с правами пользователя...
Цитата:
что-нибудь читал по теме? Хотя бы встроенный help?
извини, конечно, но в школе читать/понимать научился на 3 языках (UK/RU/EN).
Цитата:
domain admins, это далеко не buildin\Administrators
по хелпу, написано, что домен админ важнее, но админгруппа получается с правами пользователя...
greenfox
Случаем не выкинул Domain Admins из локальных администраторов? А то, помниться в СП3, вообще админы домена на машину не могли попасть.
Pazan
То же самое - посмотри на машине группу Администраторы - кто в ней числится. Скорее всего получилось, что ты запихал нового пользователя в админы на контроллере домена, а на раб. станциях он пошёл как "Ответственные Лица".
Цитата:
Похвально. Попробуй, чтоли, книжки по ActiveDirectory и серверным версиям винды почитать. А то и правда создаётся впечатление, что в основах плаваешь. Без обид.
Случаем не выкинул Domain Admins из локальных администраторов? А то, помниться в СП3, вообще админы домена на машину не могли попасть.
Pazan
То же самое - посмотри на машине группу Администраторы - кто в ней числится. Скорее всего получилось, что ты запихал нового пользователя в админы на контроллере домена, а на раб. станциях он пошёл как "Ответственные Лица".
Цитата:
в школе читать/понимать научился на 3 языках (UK/RU/EN)
Похвально. Попробуй, чтоли, книжки по ActiveDirectory и серверным версиям винды почитать. А то и правда создаётся впечатление, что в основах плаваешь. Без обид.
Duke Shadow
Цитата:
Цитата:
Случаем не выкинул Domain Admins из локальных администраторов?АГА! А что нельзя!? Он разве права локальные получает не при входе в домен с уч.записью соответствующей!? Если нет, то накосячил конечно я...
greenfox
Цитата:
Нет. Просто при добавлении в домен автоматом Domain Admins прописываются в локальную группу Administrators, а Domain Users - соответственно в Users.
Я так на 3 сервис-паке вообще в машину не смог попасть, ибо один шибко умный товарищ убил эти вхождения и заодно поотключал все локальный учётки!
Цитата:
АГА! А что нельзя!? Он разве права локальные получает не при входе в домен с уч.записью соответствующей!?
Нет. Просто при добавлении в домен автоматом Domain Admins прописываются в локальную группу Administrators, а Domain Users - соответственно в Users.
Я так на 3 сервис-паке вообще в машину не смог попасть, ибо один шибко умный товарищ убил эти вхождения и заодно поотключал все локальный учётки!
Duke Shadow - в 2000 еще нельзя было отключить учетку Администратора локального. Так что тривиальный сброс пароля там канал. С ХР много хуже..
kibkalo
Ага. Как щаз помню - пришлось SAM грохнуть.
Btw, не знаешь примерно такого же по простоте способа попасть в WinXP имея локальный доступ, а то я разок по старой памяти SAM грохнул, а он вообще перестал грузиться, сволочь (хорошо сказался многолетний опыт работы - переименовал, а не удалил). Можно ПМом - чтобы дальше оффтоп не разводить.
Ага. Как щаз помню - пришлось SAM грохнуть.
Btw, не знаешь примерно такого же по простоте способа попасть в WinXP имея локальный доступ, а то я разок по старой памяти SAM грохнул, а он вообще перестал грузиться, сволочь (хорошо сказался многолетний опыт работы - переименовал, а не удалил). Можно ПМом - чтобы дальше оффтоп не разводить.
Duke Shadow - обычно (если админ не параноик) винда хранит копии реестра на момент установки. Там есть SAM с твоим SID, и незадисейбленным админом. Ставишь этот файл дефолтным, ребьутаешься и сбрасываешь ему пароль (если не помнишь)
З.Ы. Комп вылетит из домена.
З.Ы. Комп вылетит из домена.
Есть ли способ запретить убирать Domain Admins с доменных машин при этом админовские права на машину раздавать тоже надо... Т.к. проблена с "шибкоумными" уже надоела
inQui - такой возможности нет.
У меня политикой логон скрипт проверяет при загрузке ПК наличие нужных доменных групп в локальных. При их отсутствии добавляет, делает мне уведомление и сохраняет security лог машины на сервер. По утвержденной руководством процедуре "шибкоумные" штрафуются на две дневных зарплаты за удаление и лишаются админских прав.
У меня политикой логон скрипт проверяет при загрузке ПК наличие нужных доменных групп в локальных. При их отсутствии добавляет, делает мне уведомление и сохраняет security лог машины на сервер. По утвержденной руководством процедуре "шибкоумные" штрафуются на две дневных зарплаты за удаление и лишаются админских прав.
Duke Shadow
Цитата:
Так чё, на каждой машине ходить и вбивать эккаунты юзерей с группой админ? А если локальный вход запрщён...
Цитата:
Скорее всего получилось, что ты запихал нового пользователя в админы на контроллере домена, а на раб. станциях он пошёл как "Ответственные Лица".
Так чё, на каждой машине ходить и вбивать эккаунты юзерей с группой админ? А если локальный вход запрщён...
Pazan
Цитата:
Просто сделай пользователя членом Domain Admins.
И вручную вовсе не обязательно: "У меня политикой логон скрипт проверяет при загрузке ПК наличие нужных доменных групп в локальных."(с)kibkalo
kibkalo
Thanks
Цитата:
Так чё, на каждой машине ходить и вбивать эккаунты юзерей с группой админ? А если локальный вход запрщён...
Просто сделай пользователя членом Domain Admins.
И вручную вовсе не обязательно: "У меня политикой логон скрипт проверяет при загрузке ПК наличие нужных доменных групп в локальных."(с)kibkalo
kibkalo
Thanks
Duke Shadow
Замечу, что у меня для тех саппорта есть глобальная доменная группа с их аккаунтами, которая является членом всех локальных групп Администраторы на ПК. Разумеется, они НЕ домен админы - ибо это небезопасно, а вот админы локальных компов - да (причем только тех, которые я хочу, на остальные политика их не добавляет - DENY Read & Apply для аккаунтов серверов канает на все 100% )
Замечу, что у меня для тех саппорта есть глобальная доменная группа с их аккаунтами, которая является членом всех локальных групп Администраторы на ПК. Разумеется, они НЕ домен админы - ибо это небезопасно, а вот админы локальных компов - да (причем только тех, которые я хочу, на остальные политика их не добавляет - DENY Read & Apply для аккаунтов серверов канает на все 100% )
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768
Предыдущая тема: Hardware Firewall - Аппаратные фаерволы
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.