Архив форумов ЦИТФорума

[TepKuH]

Вот что постоянно раз в 5-ть минут кидается в лог:
Винда вин2к серв русская, все имена, группы и прочая ерунда английская т.к. все было мигрированно с вин НТ4

Тип события: Предупреждение
Источник события: SceCli
Категория события: Отсутствует
Код события: 1202
Дата: 18.10.2003
Время: 0:13:43
Пользоват ель: Нет данных
Компьютер: BRAIN
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.

Для диагностики этого события выполните вход с неадминистративной учетной записью и на http://support.microsoft.com выполните поиск раздела "Troubleshooting 1202 events" ("Диагностика события 1202").
Не удалось разрешить в SID учетную запись или один из объектов групповой политики (GPO). Эта ошибка скорее всего вызвана неправильно введенной или удаленной учетной записью, на которую имеется ссылка в ветви "Права пользователя" или "Группы с ограниченным доступом" GPO. Для диагностики этого события администратору домена следует выполнить следующие действия:

1. Определить учетные записи, которые не удалось разрешить в SID: в командной строке введите: FIND /I "Не удалось найти" %SYSTEMROOT%\Security\Logs\winlogon.log
Строка, следующая за "Не удалось найти" в результирующей информации FIND определяет проблемные имена учетных записей.
Пример: Не удается найти JohnDough.
В этом случае, не удалось определить SID для имени пользователя "JohnDough". Вероятно, это вызвано тем, что учетная запись была удалена, переименована или просто пишется по-другому (например: "JohnDoe").

2. Определить те GPO, которые содержат несопоставимое имя учетной записи:
В командной строке введите: FIND /I "JohnDough" %SYSTEMROOT%\Security\Templates\policies\gpt*.*
Результиру ющая информация команды FIND может выглядеть примерно так:
---------- GPT00000.DOM
---------- GPT00001.DOM
SeRemoteShutdownPrivilege=JohnDough
Это указывает, что из всех GPO, примененных к этому компьютеру, несопоставимая учетная запись существует только в одном GPO. Конкретно, в кэшированном GPO под именем GPT00001.DOM.
Теперь нужно определить понятное имя для этого GPO.

3. Определить понятные имена для каждого из GPO, содержащего несопоставимое имя учетной записи: Эти GPO были определены на предыдущем шаге.
В командной строке введите: FIND /I "[Сопоставление]" %SYSTEMROOT%\Security\Logs\winlogon.log
Строка, следующая за "[Сопоставление] gpt0000?.dom =" в результирующей информации FIND определяет понятные имена для всех GPO, примененных к этому компьютеру.
Пример: [Сопоставление] gpt00001.dom = Политика прав пользователей
Это указывает, что GPO, содержащее несопоставимое имя учетной записи (gpt00001.dom) имеет понятное имя "Политика прав пользователей".

4. Удалить несопоставимые учетные записи из всех GPO, их содержащих.
a. Пуск -> Выполнить -> MMC.EXE
b. В меню "Файл" выберите команду "Добавить или удалить оснастку..."
c. В диалоге "Добавить или удалить оснастку" выберите "Доб ...

[TepKuH]

форум не доконца съел пост...

...
4. Удалить несопоставимые учетные записи из всех GPO, их содержащих.
a. Пуск -> Выполнить -> MMC.EXE
b. В меню "Файл" выберите команду "Добавить или удалить оснастку..."
c. В диалоге "Добавить или удалить оснастку" выберите "Добавить..."
d. В диалоге "Добавить изолированную оснастку" выберите "Групповая политика" и нажмите "Добавить"
e. В диалоге "Выбрать объект групповой политики" нажмите кнопку "Обзор".
f. В диалоге "Поиск объекта групповой политики" выберите вкладку "Все"
g. Щелкните правой кнопкой мыши первую политику, определенную на шаге 3, и выберите команду "Правка"
h. Проверьте все параметры для элемента "Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Локальные политики/ Назначение прав пользователя" или "Конфигурация компьютера/Конфигурация Windows/Параметры безопасности/Группы с ограниченным доступом" для учетных записей, определенных на шаге 1.
i. Повторите шаги 4g и 4h для всех GPO, определенных на шаге 3

Выполняю пункт 1.
(FIND /I "Не удалось найти" %SYSTEMROOT%\Security\Logs\winlogon.log)
Результат:
Не удалось найти Администраторы.

Выполняю пункт 2.
(FIND /I "Администраторы" %SYSTEMROOT%\Security\Templates\policies\gpt*.*
)
Результат:

---------- C:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00000.DOM

---------- C:\WINNT\SECURITY\TEMPLATES\POLICIES\GPT00001.INF

такой же результат если елси я ввиду любую фигню вместо "Администраторы" т.е. это означает что он в политиах никаких "Администраторы" не нашел
куда копать дальше ведь чтобы выполнить третий пункт нужно выполнить 2-ой

[4u3u]

Я уже на другом форуме отвечал, но вот мысль появилась.
>Выполняю пункт 1.
>(FIND /I "Не удалось найти" %SYSTEMROOT%\Security\Logs\winlogon.log)
>Результат:
>Не удалось найти Администраторы.

первый FIND *точно* выдает "Администраторы"? Может, ты ошибку в одной букве сделал, когда политики менял?
Попробуй вторым FIND'ом найти не "Администраторы", а, например, "Адм"

Другой вариант - сразу переходи к пункту 3. (Так как файл DOM один, то я могу предположить, что это Дефолтная политика домена.)
Потом открывай эту политику и ищи где очепятка или неверная шгруппа выставлена.
Разве это так сложно? Или ты просто следуешь указаниям, не понимая что ты при этом делаешь?
Могу объяснить коротко: Где-то в политиках указана группа, которой уже не существует, или она указана с опечаткой. Алгоритм, который ты привел, позволяет определить, какая именно группа в каком разделе какой политики указана. Но, повторяю, так как политика у тебя одна (на самом деле две, но вторая локальная, и ее тоже не мешает проверить), то в ней косяк и ищи.

[TepKuH]

>первый FIND *точно* выдает "Администраторы"?
стопудово =)


>Может, ты ошибку в одной букве сделал, когда политики менял?
нееее.. там фича была в том что я мигрировал с NT4 server(англ.) а там все имена пользователей были на английском типа (administrator, domen user...)
а мигрировал я на win2k server(русский) а там все именна русские(Администратор, пользовтель домена...) и видать где то группа "Администраторы" не прибилась до конца(а именно в групповых политиках наверно) вот теперь она и флудить что вроде группы нету, а вроде есть но в политиках =)

>Попробуй вторым FIND'ом найти не "Администраторы", а, например, "Адм"
пробовал, не помогает, думал еще что в кодироках(ведь все таки по русски "Администраторы" написанно) какая то фигня - пробовал блокном открыть тоже ничего
=(

>Или ты просто следуешь указаниям, не понимая что ты при этом делаешь?
Я частично понимаю что я делаю =(
(не понимаю зачем я делаю п.2 зачем мне знать в каком gpo*.* e у меня их всего 2-е штуки и тем более не понимаю почему там нету "Администраторы", и не понимаю п.3 причем вообще не понимаю даже че вводить)
я например не понимаю почем сразу же как только я определил на что ругается АД в лог (на группу "Администраторы")
сразу идти в групповые политики default domain Contrllers policy искать там "локальные политики" -> "Назначение прав пользователям" и там искать эту группу "Администоратры" и прибивать ее =) мы же хрен знает какими путями идем

[4u3u]

>я например не понимаю почем сразу же как
>только я определил на что ругается АД
>в лог (на группу "Администраторы")
>сразу идти в групповые политики default
>domain Contrllers policy искать
>там "локальные политики" -> "Назначение прав
>пользователям" и там искать эту
>группу "Администоратры" и прибивать ее =) мы
>же хрен знает какими путями идем

Это общий алгоритм, который расчитан на большое количество политик и который приводит к предсказуемому результату. Если у тебя куча политик, то совсем нелишним будет сначала определить, в какой именно политике проблема. Прекапывать их вручную значительно дольше.

Я не понял, что означает заголовок твоего сообщения "не катит". Что именно не катит?

Пункт 3 объясняет, как определенный dom файл соотнести с определенной политикой. В твоем случае это необязательно, так что, как ты и сказал, открывай политики в mmc и ищи вручную.

FIND может не находить "Администраторы", потому что, например, командная строка работает в ANSI, а dom файл использует Unicode. Или наоборот

[TepKuH]

ты же порекомендовал то что мона попробовать зделать(Попробуй вторым FIND'ом найти не "Администраторы", а, например, "Адм"
), вот это и не прокатило

именно что не нахожу =( ну нету там "Администраторы" может я не там ищу