Ejik Posted April 16, 2010 Report Share Posted April 16, 2010 (edited) Добрый день. В сети есть комп на котором не применяются политики и в эвентах есть такие ошибки: Тип события: ОшибкаИсточник события: UserenvКатегория события: ОтсутствуетКод события: 1096Дата: 16.04.2010Время: 10:05:22Пользователь: NT AUTHORITY\SYSTEMКомпьютер: WXP-601-1490Описание:Не удалось получить доступ в реестре к файлу политики, C:\Documents and Settings\All Users\tempntuser.pol. (Отказано в доступе. ). и Тип события: ОшибкаИсточник события: UserenvКатегория события: ОтсутствуетКод события: 1020Дата: 16.04.2010Время: 10:05:22Пользователь: NT AUTHORITY\SYSTEMКомпьютер: WXP-601-1490Описание:Не удалось создать в реестре раздел Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers. (Отказано в доступе. ). Тип события: ОшибкаИсточник события: UserenvКатегория события: ОтсутствуетКод события: 1096Дата: 16.04.2010Время: 10:05:22Пользователь: NT AUTHORITY\SYSTEMКомпьютер: WXP-601-1490Описание:Не удалось получить доступ в реестре к файлу политики, \\npfcapital.kz\sysvol\npfcapital.kz\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol. (Отказано в доступе. ). Теперь вопросы 1. C:\Documents and Settings\All Users\tempntuser.pol - этот файл должен лежать на локальной машине? 2. Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers - для етой ветки полные прова должны быть только у учетки система? 3. \\npfcapital.kz\sysvol\npfcapital.kz\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol - разрешения на этот файл у группы прошедшие проверку на "чтение и выполнение" и "чтение". почему он не может получить доступ к этому файлу? Edited April 16, 2010 by Ejik Link to comment Share on other sites More sharing options...
Ejik Posted April 20, 2010 Author Report Share Posted April 20, 2010 (edited) Ну вот Maikll'a нет и форум умер Кто знает когда он вернется? Если кто сталкивался с такой ситуацией: Нужно на ветку HKLM\Software\Policies\Microsoft\Windows\Safer дать полные права для учетки system и чтобы юзеры не могли менять права на эту ветку. Я сделал через ГП Конфигурация компьютера\Конфигурация windows\Параметры безопасности\Реестр и на требуемую витку выставляю нужные права. При применении ГП на машине под управлением Windows 7 все работает корректна, т.е юзер не может ни просмотреть, ни редактировать эту ветку, а с Windows XP эта не работает, хотя политика применяется. В чем проблема? Edited April 20, 2010 by Ejik Link to comment Share on other sites More sharing options...
Maikll Posted April 20, 2010 Report Share Posted April 20, 2010 Ejik: уже вернулся. По вопросу, не отрабатывает политика только на одной машине или на всех с ХР? gpresult что показывает? Если кто сталкивался с такой ситуацией: Нужно на ветку HKLM\Software\Policies\Microsoft\Windows\Safer дать полные права для учетки system и чтобы юзеры не могли менять права на эту ветку. Это сильно вряд ли. Может, я что-то и упускаю из виду, но local system имеет доступ ко всем разделам реестра автоматом, зачем дополнительные разрешения? Задачи из разряда вычерпывания моря ситечком... У вас что, пользователи локальные админы, раз спокойно меняют в hklm пермишены? Кроме того, для раздачи прав гораздо более подходит утилита SubInAcl » Нажмите, чтобы показать/скрыть оффтоп « C:\>subinacl /?SubInAcl version 5.2.3790.1180 USAGE ----- Usage : SubInAcl [/option...] /object_type object_name [[/action[=parameter]...] /options : /outputlog=FileName /errorlog=FileName /noverbose /verbose (default) /notestmode (default) /testmode /alternatesamserver=SamServer /offlinesam=FileName /stringreplaceonoutput=string1=string2 /expandenvironmentsymbols (default) /noexpandenvironmentsymbols /statistic (default) /nostatistic /dumpcachedsids=FileName /separator=character /applyonly=[dacl,sacl,owner,group] /nocrossreparsepoint (default) /crossreparsepoint /object_type : /service /keyreg /subkeyreg /file /subdirectories[=directoriesonly|filesonly] /clustershare /kernelobject /metabase /printer /onlyfile /process /share /samobject /action : /display[=dacl|sacl|owner|primarygroup|sdsize|sddl] (default) /setowner=owner /replace=[DomainName\]OldAccount=[DomainName\]New_Account /accountmigration=[DomainName\]OldAccount=[DomainName\]New_Account /changedomain=OldDomainName=NewDomainName[=MappingFile[=Both]] /migratetodomain=SourceDomain=DestDomain=[MappingFile[=Both]] /findsid=[DomainName\]Account[=stop|continue] /suppresssid=[DomainName\]Account /confirm /ifchangecontinue /cleandeletedsidsfrom=DomainName[=dacl|sacl|owner|primarygroup|all] /testmode /accesscheck=[DomainName\]Username /setprimarygroup=[DomainName\]Group /grant=[DomainName\]Username[=Access] /deny=[DomainName\]Username[=Access] /sgrant=[DomainName\]Username[=Access] /sdeny=[DomainName\]Username[=Access] /sallowdeny==[DomainName\]Username[=Access] /revoke=[DomainName\]Username /perm /audit /compactsecuritydescriptor /pathexclude=pattern /objectexclude=pattern /sddl=sddl_string /objectcopysecurity=object_path /pathcopysecurity=path_container Usage : SubInAcl [/option...] /playfile file_name Usage : SubInAcl /help [keyword] SubInAcl /help /full keyword can be : features usage syntax sids view_mode test_mode object_type domain_migration server_migration substitution_features editing_features - or - any [/option] [/action] [/object_type] Вопрос из первого поста похоже из той же оперы. У меня нет ни одного из имеющихся в "зоопарке" серверов 2008, исполняющих роль DC, в основном все терминалы, поэтому все советы будут толкь она основе личного мнения, у меня нет достаточно опыта администрирования подобных смешанных доменов. Могу только сказать точно, в домене 2003 файла tempntuser.pol на клиентах нет, во всяком случае ничего страшного не произойдет если его удалить или переименовать. 2. Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers - для етой ветки полные прова должны быть только у учетки система? Смотрим в начало поста, local system имеет доступ ко всем веткам изначально. разрешения на этот файл у группы прошедшие проверку на "чтение и выполнение" и "чтение". почему он не может получить доступ к этому файлу? Подобная ошибка может быть характерна и для неправильно составленных правил для реестра. В любом случае надо начинать с их проверки. p.s. Иногда бывает, что несмотря на то, что все вроде правильно, у клиента продолжается чертовщина с применением политик. Помогает банальный вывод из домена и повторный ввод. Link to comment Share on other sites More sharing options...
Ejik Posted April 21, 2010 Author Report Share Posted April 21, 2010 Ejik: уже вернулся. Отлично, а то прям тишина на форуме :) По вопросу, не отрабатывает политика только на одной машине или на всех с ХР? gpresult что показывает? Это происходит на одной машине и мне кажется что это происходит из-за прав на ветку HKLM\Software\Policies\Microsoft\Windows\Safer, пользователь оставил все права только для своей учетной записи. Задачи из разряда вычерпывания моря ситечком... У вас что, пользователи локальные админы, раз спокойно меняют в hklm пермишены? Нет, обычные юзеры, но сам проверял на виртуальной машине что у юзера есть права на изменение прав для этой ветки, по этому я решил через ГП оставить права только для system. Link to comment Share on other sites More sharing options...
Maikll Posted April 21, 2010 Report Share Posted April 21, 2010 Так, ситуация проясняется. Сдается мне, пользователь попусту назначил себя владельцем это ветки, поэтому изменения и не вносятся. Предлагаю проверить это вручную через regedit, задать себя (вернее Администраторов домена) владельцем этой ветки и поставить галочку в свойствах - разрешить наследование. После этого политика должна отрабатывать. Только один момент. Сразу не сообразил, этот раздел же из политики ограниченного использования программ? Тогда логично, пользователям нужен доступ к ней, как минимум на чтение, а скорее всего и на изменение. upd. Проверил разрешения для этой ветки у себя. Пользователи: запрос значения, перечисление, уведомление, чтение т.е. просто "Чтение". Кстати, я не увидел возможности обычному пользователю сменить их самостоятельно. Link to comment Share on other sites More sharing options...
Ejik Posted April 21, 2010 Author Report Share Posted April 21, 2010 Сразу не сообразил, этот раздел же из политики ограниченного использования программ? Точно. Тогда логично, пользователям нужен доступ к ней, как минимум на чтение, а скорее всего и на изменение. если на изменение дать доступ они же смогут и поменять пермишены, а мне этого не нужно, может хватит прав для чтения? Не совсем логично получается, они же таким оброзом могут огородится от этих политик? Link to comment Share on other sites More sharing options...
Maikll Posted April 21, 2010 Report Share Posted April 21, 2010 может хватит прав для чтения? Должно хватить. Link to comment Share on other sites More sharing options...
Ejik Posted April 21, 2010 Author Report Share Posted April 21, 2010 Ну теперь вернулись к началу, я во втором посте писал что при назначении прав на эту ветку через ГП на ХР не работает, а на семерке все отлично. С чем это связано? Link to comment Share on other sites More sharing options...
Maikll Posted April 21, 2010 Report Share Posted April 21, 2010 Гм... я вроде написал чуть выше. Пользователь удалил всех кроме себя из разрешений. Политики из конфигурации компьютера отрабатывают от имени system. Как она может применяться? Link to comment Share on other sites More sharing options...
Ejik Posted April 21, 2010 Author Report Share Posted April 21, 2010 Мы видимо не поняли друг друга, я тестирую на виртуальной машине, их у меня 2 (win7 и winXP) чистые машины, ни каких доп. настроек нет (в том числе и разрешения на реестр). Обе машины в одной OU, пользователь один с правами обычного юзера. После применения ГП, на win7 юзер не может изменить в ветке HKLM\Software\Policies\Microsoft\Windows\Safer ничего, а на winXP у пользователя есть возможность вносить изменения в эту ветку. Link to comment Share on other sites More sharing options...
Maikll Posted April 21, 2010 Report Share Posted April 21, 2010 Да, похоже действительно не поняли :) Увы, так, с ходу ничего посоветовать в этом случае не могу. Попробую вечером смоделировать это у себя на виртуалке, отпишусь. Link to comment Share on other sites More sharing options...
Maikll Posted April 21, 2010 Report Share Posted April 21, 2010 Вот первые результаты: 1. Создал тестовый контроллер домена, ввел машинку с ХР в него, создано тестовое подразделение и в нем пользователь и компьютер. К этому подразделению привязан объект ГП. - На клиенте ГП не применяется. 2. Включено принудительное синхронное применение политики. - На клиенте ГП не применяется. 3. ГП привязано на уровне самого домена, создана группа безопасности, туда переведен тестовый компьютер, в настройках ГП указан соответствующий фильтр безопасности. - На клиенте ГП применяется. Почему-то политика отрабатывает только в последнем случае, хотя по логике это одно и то же. Причину пока не знаю, как я уже сказал - на 2008 сервере я пока КД не создавал в реальных условиях. Ejik: как настроена привязка политик у тебя? Link to comment Share on other sites More sharing options...
Ejik Posted April 22, 2010 Author Report Share Posted April 22, 2010 Ejik: как настроена привязка политик у тебя? У меня настроено так же как у Вас описано в 1 случае. Попробую третий способ. Link to comment Share on other sites More sharing options...
Ejik Posted April 22, 2010 Author Report Share Posted April 22, 2010 Теперь нужно эту политику применить на весь домен, и что придется все машины добавлять в группу безопасности? Завтра буду проверять. Link to comment Share on other sites More sharing options...
Maikll Posted April 22, 2010 Report Share Posted April 22, 2010 Т.е. я так понял все заработало как надо? и что придется все машины добавлять в группу безопасности? Да, а что в этом такого? Link to comment Share on other sites More sharing options...
Ejik Posted April 23, 2010 Author Report Share Posted April 23, 2010 (edited) Т.е. я так понял все заработало как надо? Да. Да, а что в этом такого? В принципе ни чего, просто я особа с группами безопасности не играл. Edited April 23, 2010 by Ejik Link to comment Share on other sites More sharing options...
Recommended Posts