О локальных политикика - контроллера домена
 

Вообщем получил заявочку на обслуживание офиса, на время отсутствия штатного СисАдмина. Но по факту оказалось, что нужно вытащить всю сетку изжо.. половина компов не видит сеть, отказы в авторизаци..
1) Стал разбираться, нашел - параметры безопасности локальных политик домена и контроллера домена, "По умолчанию - не определены"
2) Назначил.
НО - самое интересное ждало впереди. А именно, после рестарта изменения не сохраняются! Собственно собираюсь завтра переваливать ОС 2003 R2. Ну, как-бы - решил вынести на суд компитентных коллег радикальность ) принятого решения.
Кто сталкивался с таким явлением?

радикльность это ваше фсё, да)

А что по Вашему остается, если политики отваливаются? Определенно глюк ОСи

не сохраняются, или не реплицируются?
это немного разная веселуха

voivod, а там один контроллер домена?

Да, сервер предприятия один, кроме почтовика. На счет репликации сложно судить, поскольку не сохраняются ранее внесенные изменения. Пробую назначить "Локальный вход в систему" - загоняю группу администраторов и пользователей, а изменения принять не удается, жмешь на кн. "ОК" диалог не отвечает. Можно только закрыть . Жесть какая-то..

5-voivod >ну вот, повод для размышлений у вас есть
только гадать не нужно, ото станете как Asalon)

5-voivod > в таком случае я бы сначала попробовал бы поднять второй контроллер. Потом уже проще будет заниматься первым.

Да просто на выходных за 1.5т.р. неохота переваливать CD, разве что на перспективу.. но это же смех )) но это уже др. проблема... А по теме, зачастую быстрее и эффективнее настроить всё с нуля, чем поднимать мертвый сервант, смирится с этим сложнее )

Да я винт, доп. подкину ) Увы нету резервного компа саналогичными ТТХ (((

8-voivod > Это правильно. Только аккуратнее с учетными записями, когда они пропадут -- что-то да отвалиться.

[em]половина компов не видит сеть, отказы в авторизаци[/em]
Не видит сеть - это к КД отношения не имеет
отказы в авторизации - перезавести в домен
[em]параметры безопасности локальных политик домена и контроллера домена, "По умолчанию - не определены"[/em]
это вы, простите, где нарыли?

11)
- имеет, самое непосредственное "домен "domain_name" не готов"
- Перезаводить в АД пробовал и юзерей и рабочие станции - не помогло.
- это я имел ввиду локальные политики домена и контроллера домена. Так вот локальные политики домена->Список разрешений: "Добавлять в сеть, Локальный вход... - находились статусе "неопределено"
Частичная настройка существенных результатов не принесла.
К тому же на сервере и рабочих станциях вообще отсутствуют антивири, в инет доступ через соединение с общим доступом, ни стенки ни антивиря.. вобщем все запущено. Однозначно переваливать ОСь. Буду завтра )

ЭЭЭэ.. А логи почитать не помогало ?

Да и DCDiag полезная штука. Еще права посмотреть на SYSVOL

Стесняюсь спросить, а что есть [em]локальные политики домена[/em]? Я, в простоте душевной, считал, что есть Local Security Policies, Default Domain Policy и Default Domain Controllers Policy.

А вот чо такое Local Domain Policies ни разу не втыкаю.

наверное сертификатов недобрал

Аффтар ушел в аут, без него нет смысла обсуждать.

ЗЫ кстати. да, сертификаты тут не при делах.:)

18-Flukostat > ты с дуба рухнул?
это когда нам было дело до афтаров?)

нам лишь бы погавкаться, а автор сразу забыт как событие

Насчет аффтара, сорри, ты, ё-ма-ё, конечно, прав. Он нам ниразу не сдался. Но, за ради приличия, он мог хоть что-нибудь вякнуть:)

про сертификаты это к тебе было)

Кстати, классный подход: что-то я тут не разобрался. Форматну ка я владельцу винт.

flukostat) Default Domain Policy - Администрирование - Используемые по умолчанию параметры безопасности - Параметры безопасности - Локальные политики - Назначение прав пользователя.
"вякнуть" - Вы правы, неоднократно убеждался что нет смысла постить на кубан.ру, с этой "базой! " только бы кого обсуждать )
Всё, сервант валится, всем спасибо

Месье автор знает толк в извращениях. Нет бы ДыНыСы посмотреть (первое при глюках домена), логи почитать, разрешения проверить, ипконфиг на клиентах. Если совсем лень, воткнуть рядом полудохлый комп, сделать его КД, а потом уже грохать старый. Не лень ведь клиентов в домен перевводить. Хотя, может, ему за это платят :)

25-voivod > не стоит трогать дефолтную политику

26) ДНС- сервер вроде работал. Тут вот вроде ещё диск с 2003 R2 - не оригинал, с торента ) И кучу вирей со старого винта, находит новый антивус. Перезаводить влом конечно, цена оплаты от этого не зависит. ПРосто из практики пришел к выводу, что когда такой сток, лучше всё по новой поднять.
27) И "Локальный ыход в систему"? Он тогда в терминал не пустит, будет посать что "Интерактивный вход в систему запрещен на этом компьютере" - разве нет?

хотя мой тоже с торента ) но вреде полет нормальный, втыкаю потихоньку. Есть пару машин которые отказываются регистрироваться в домене,но на них вирусов как на собаке блох.. смею полагать их так-же ожидает участь сервера )

не с того конца за проблему беретесь, не вычистив [u]сеть[/u] переустановка что мертвому припарки, занятие до второго пришествия

со временем и опытом, ситуации вроде [quote]получил заявочку на обслуживание офиса, на время отсутствия штатного СисАдмина[/quote]
приучают сначала изучить обстановочку, прежде чем лезть туда - иногда прежний админ не просто так отсутствует =)

хм. запары уже пошли на несколько другую сумму )))

куда катится этот мир ))))

Товарисч voivod, или вы не умеете правильно изъясняться, или у вас каша в голове.
[em]flukostat) Default Domain Policy - Администрирование - Используемые по умолчанию параметры безопасности - Параметры безопасности - Локальные политики - Назначение прав пользователя[/em]
Во-первых, в Default Domain Policy такого пути нет.
Во-вторых, в Default Domain Policy по пути Computer Configuration-Policies-Windows Settings-Security Settings-Local Policies-User Rights Assignments по умолчанию везде должно стоять Not Configured.
В-третьих, если вы имели ввиду Local Security Policy на контроллере домена, то по пути Local Settings-User Rights Assignment в значении параметра Allow log on Locally должны быть только администраторы и разные там всякие операторы - Account, Backup, Print и Server Operators.
В четвертых, о порядке применения групповых политик в домене вам надо к майкрософту.

33-Gochy > [em]куда катится этот мир ))))[/em]
в данном конкретном случае к толерантности, а это совсем не плохо

прочитав заголовок и пару первых сообщений скажу вот что, для начала перед тем как сервак переустанавливать - проверь, нет ли интеграции почтовика с контроллером домена, ибо есть вероятность дальнейшего сеI<аса с восстановлением почтовых ящиков и привязкой по новой..

Блин! И меня ещё обвиняют в том что я блин типа бессеребренник! Детей учу типа бесплатно! Тут вот чувак за полторы тыр КД поднимает! Вот кто настоящий бессеребренник! Да я за такую сумму удавился-бы даже жопу от кресла отодрать!
/задумчиво/ Впрочем... Смотря чью жопу... И смотря как отодрать... /смущённо покраснел/

хм.. полторы тысячи это вызова на 3-4 часа.. КД малец другие циферки