Tomsk Sysadmins Forum
Windows => Администрирование => Topic started by: Indigo on August 03, 2007, 17:13:14
-
В процессе понижения роли выскакивает ошибка что учётная запись администратора не имеет разрешения для переноса объекта DC в ActiveDirectory в раздел Computers, типа что должна входить в группу АдминистраторыПредприятия, хотя на самом деле и входит. В доступе отказано. Также происходит и при повышении сервера до контроллера домена, уже администратора включил во все возможные группы.
-
Скрин:
-
Скрин:
покажи выдержку из eventlog-security при после выполнения операции.
-
Вот к примеру:
Попытка входа с явным указанием учетных данных:
Вошедший пользователь:
Пользователь: Администратор
Домен: V-SERVER
Код входа: (0x0,0x1F82B)
Код GUID: -
Были использованы учетные данные пользоваиеля:
Целевой пользователь: Администратор
Целевой домен: V.LOCAL
Целевой код GUID: {f693e146-38a2-aa97-1b7b-544186f44fe1}
Имя целевого сервера: v-server-2.v.local
Данные целевого сервера: cifs/v-server-2.v.local
Код процесса вызывающего: 788
Адрес сети источника: -
Порт источника: -
Ну а так только вход-выход администратора, подозрительного ничего такого нету
-
Может надо аудит включить на какое-то определённое действие? Конкретно на нужного пользователя я понимаю нельзя посмотреть?
-
Похоже при понижении затерается база пользователей, поэтому ее нужно забэкапить!
Посмотри какие права у админа и добавь которых не хватает.
-
Гдеж это база затирается? И как права добавить у админа - что именно имеешь ввиду? админ включён уже во все группы - и адин предприятия и админ леса и т.п. В ADSIedit поставил полный доступ на такие объекты как DC и другие по смыслу подходящие
-
Тип события: Аудит отказов
Источник события: Security
Категория события: Использование прав
Код события: 577
Дата: 07.08.2007
Время: 16:35:22
Пользователь: V\Indigo
Компьютер: V-SERVER-2
Описание:
Вызов привилегированной службы:
Сервер: Security Account Manager
Служба: Security Account Manager
Основной пользователь: V-SERVER-2$
Домен: V
Код входа: (0x0,0x3E7)
Пользователь-клиент: Indigo
Домен клиента: V
Код входа клиента: (0x0,0x2C894E2)
Привилегии: SeEnableDelegationPrivilege
-
перед понижением роли как ты распределил роли в ActiveDirectory между серверами?
-
Все роли принадлежали PDC (т.е. V-SERVER-2 в моём случае). Я ещё даже раз захватил все роли - не помогло
-
up
-
up
рапределение ролей на серверах покажи. как делаешь понижение?
-
все роли на одном DС, утилитой ntdsutil захватил роли ещё раз. понижение dcpromo. что конкретно показать ?
-
все роли на одном DС, утилитой ntdsutil захватил роли ещё раз. понижение dcpromo. что конкретно показать ?
http://support.microsoft.com/?kbid=250874 (http://support.microsoft.com/?kbid=250874)
-
Статья описывает именно мою проблему но решение не сильно понятно описано. В политике безопасности контроллера домена в назначении прав пользователя делегирование было НЕ ОПРЕДЕЛЕНО. поставил администратора и всё поехало. ОГРОМНАЯ БЛАГОДАРНОСТЬ! С меня коньячок. пиши свои реквизиты
-
Статья описывает именно мою проблему но решение не сильно понятно описано. В политике безопасности контроллера домена в назначении прав пользователя делегирование было НЕ ОПРЕДЕЛЕНО. поставил администратора и всё поехало. ОГРОМНАЯ БЛАГОДАРНОСТЬ!
отлично.
С меня коньячок. пиши свои реквизиты
спасип, я не пью
-
я тож
-
отлично.
Респект тебе!