Ошибка доступа при понижении роли контроллера домена

[Indigo]

В процессе понижения роли выскакивает ошибка что учётная запись администратора не имеет разрешения для переноса объекта DC в ActiveDirectory в раздел Computers, типа что должна входить в группу АдминистраторыПредприятия, хотя на самом деле и входит. В доступе отказано. Также происходит и при повышении сервера до контроллера домена, уже администратора включил во все возможные группы.

[Indigo]

Скрин:

[visual]

Скрин:

покажи выдержку из eventlog-security при после выполнения операции.

[Indigo]

Вот к примеру:

Попытка входа с явным указанием учетных данных:
 Вошедший пользователь:
    Пользователь:   Администратор
    Домен:      V-SERVER
    Код входа:      (0x0,0x1F82B)
    Код GUID:   -
 Были использованы учетные данные пользоваиеля:
    Целевой пользователь:   Администратор
    Целевой домен:   V.LOCAL
    Целевой код GUID: {f693e146-38a2-aa97-1b7b-544186f44fe1}

 Имя целевого сервера:   v-server-2.v.local
 Данные целевого сервера:   cifs/v-server-2.v.local
 Код процесса вызывающего:   788
 Адрес сети источника:   -
 Порт источника:   -


Ну а так только вход-выход администратора, подозрительного ничего такого нету

[Indigo]

Может надо аудит включить на какое-то определённое действие? Конкретно на нужного пользователя я понимаю нельзя посмотреть?

[mx5]

Похоже при понижении затерается база пользователей, поэтому ее нужно забэкапить!
Посмотри какие права у админа и добавь которых не хватает.

[Indigo]

Гдеж это база затирается? И как права добавить у админа - что именно имеешь ввиду? админ включён уже во все группы - и адин предприятия и админ леса и т.п. В ADSIedit поставил полный доступ на такие объекты как DC и другие по смыслу подходящие

[Indigo]

Тип события:   Аудит отказов
Источник события:   Security
Категория события:   Использование прав
Код события:   577
Дата:      07.08.2007
Время:      16:35:22
Пользователь:      V\Indigo
Компьютер:   V-SERVER-2
Описание:
Вызов привилегированной службы:
    Сервер:   Security Account Manager
    Служба:         Security Account Manager
    Основной пользователь:   V-SERVER-2$
    Домен:         V
    Код входа:      (0x0,0x3E7)
    Пользователь-клиент:   Indigo
    Домен клиента:      V
    Код входа клиента:   (0x0,0x2C894E2)
    Привилегии:      SeEnableDelegationPrivilege

[visual]

перед понижением роли как ты распределил роли в ActiveDirectory между серверами?

[Indigo]

Все роли принадлежали PDC (т.е. V-SERVER-2 в моём случае). Я ещё даже раз захватил все роли - не помогло

[Indigo]

up

[visual]

up

рапределение ролей на серверах покажи. как делаешь понижение?

[Indigo]

все роли на одном DС, утилитой ntdsutil захватил роли ещё раз. понижение dcpromo. что конкретно показать   ?

[visual]

все роли на одном DС, утилитой ntdsutil захватил роли ещё раз. понижение dcpromo. что конкретно показать   ?

http://support.microsoft.com/?kbid=250874

[Indigo]

Статья описывает именно мою проблему но решение не сильно понятно описано. В политике безопасности контроллера домена в назначении прав пользователя делегирование было НЕ ОПРЕДЕЛЕНО. поставил администратора и всё поехало. ОГРОМНАЯ БЛАГОДАРНОСТЬ! С меня коньячок. пиши свои реквизиты

[visual]

Статья описывает именно мою проблему но решение не сильно понятно описано. В политике безопасности контроллера домена в назначении прав пользователя делегирование было НЕ ОПРЕДЕЛЕНО. поставил администратора и всё поехало. ОГРОМНАЯ БЛАГОДАРНОСТЬ!

отлично.

С меня коньячок. пиши свои реквизиты

спасип, я не пью

[Indigo]

 я тож

[Indigo]

отлично.

Респект тебе!