Author Topic: Ошибка доступа при понижении роли контроллера домена  (Read 6988 times)

0 Members and 1 Guest are viewing this topic.

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
В процессе понижения роли выскакивает ошибка что учётная запись администратора не имеет разрешения для переноса объекта DC в ActiveDirectory в раздел Computers, типа что должна входить в группу АдминистраторыПредприятия, хотя на самом деле и входит. В доступе отказано. Также происходит и при повышении сервера до контроллера домена, уже администратора включил во все возможные группы.

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0

Offline visual

  • Hero Member
  • *****
  • Posts: 714
  • Karma: +0/-0
    • http://
Quote from: Indigo
Скрин:
покажи выдержку из eventlog-security при после выполнения операции.

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
Вот к примеру:

Попытка входа с явным указанием учетных данных:
 Вошедший пользователь:
    Пользователь:   Администратор
    Домен:      V-SERVER
    Код входа:      (0x0,0x1F82B)
    Код GUID:   -
 Были использованы учетные данные пользоваиеля:
    Целевой пользователь:   Администратор
    Целевой домен:   V.LOCAL
    Целевой код GUID: {f693e146-38a2-aa97-1b7b-544186f44fe1}

 Имя целевого сервера:   v-server-2.v.local
 Данные целевого сервера:   cifs/v-server-2.v.local
 Код процесса вызывающего:   788
 Адрес сети источника:   -
 Порт источника:   -


Ну а так только вход-выход администратора, подозрительного ничего такого нету
« Last Edit: August 07, 2007, 08:25:01 by Indigo »

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
Может надо аудит включить на какое-то определённое действие? Конкретно на нужного пользователя я понимаю нельзя посмотреть?

Offline mx5

  • Sr. Member
  • ****
  • Posts: 368
  • Karma: +4/-1
Похоже при понижении затерается база пользователей, поэтому ее нужно забэкапить!
Посмотри какие права у админа и добавь которых не хватает.
« Last Edit: August 07, 2007, 11:32:06 by mx5 »

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
Гдеж это база затирается? И как права добавить у админа - что именно имеешь ввиду? админ включён уже во все группы - и адин предприятия и админ леса и т.п. В ADSIedit поставил полный доступ на такие объекты как DC и другие по смыслу подходящие

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
Тип события:   Аудит отказов
Источник события:   Security
Категория события:   Использование прав
Код события:   577
Дата:      07.08.2007
Время:      16:35:22
Пользователь:      V\Indigo
Компьютер:   V-SERVER-2
Описание:
Вызов привилегированной службы:
    Сервер:   Security Account Manager
    Служба:         Security Account Manager
    Основной пользователь:   V-SERVER-2$
    Домен:         V
    Код входа:      (0x0,0x3E7)
    Пользователь-клиент:   Indigo
    Домен клиента:      V
    Код входа клиента:   (0x0,0x2C894E2)
    Привилегии:      SeEnableDelegationPrivilege

Offline visual

  • Hero Member
  • *****
  • Posts: 714
  • Karma: +0/-0
    • http://
перед понижением роли как ты распределил роли в ActiveDirectory между серверами?

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
Все роли принадлежали PDC (т.е. V-SERVER-2 в моём случае). Я ещё даже раз захватил все роли - не помогло

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0

Offline visual

  • Hero Member
  • *****
  • Posts: 714
  • Karma: +0/-0
    • http://
Quote from: Indigo
up
рапределение ролей на серверах покажи. как делаешь понижение?

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
все роли на одном DС, утилитой ntdsutil захватил роли ещё раз. понижение dcpromo. что конкретно показать   ?

Offline visual

  • Hero Member
  • *****
  • Posts: 714
  • Karma: +0/-0
    • http://
Quote from: Indigo
все роли на одном DС, утилитой ntdsutil захватил роли ещё раз. понижение dcpromo. что конкретно показать   ?
http://support.microsoft.com/?kbid=250874

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
Статья описывает именно мою проблему но решение не сильно понятно описано. В политике безопасности контроллера домена в назначении прав пользователя делегирование было НЕ ОПРЕДЕЛЕНО. поставил администратора и всё поехало. ОГРОМНАЯ БЛАГОДАРНОСТЬ! С меня коньячок. пиши свои реквизиты

Offline visual

  • Hero Member
  • *****
  • Posts: 714
  • Karma: +0/-0
    • http://
Quote from: Indigo
Статья описывает именно мою проблему но решение не сильно понятно описано. В политике безопасности контроллера домена в назначении прав пользователя делегирование было НЕ ОПРЕДЕЛЕНО. поставил администратора и всё поехало. ОГРОМНАЯ БЛАГОДАРНОСТЬ!
отлично.
Quote from: Indigo
С меня коньячок. пиши свои реквизиты
спасип, я не пью

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
« Last Edit: August 22, 2007, 22:43:12 by Indigo »

Offline Indigo

  • Jr. Member
  • **
  • Posts: 99
  • Karma: +0/-0
Quote from: visual
отлично.


Респект тебе!