Upgrade домена NT4 до Win2K AD
Модераторы: Trinity admin`s, Free-lance moderator`s
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Upgrade домена NT4 до Win2K AD
Коллеги, я в тупике, не понимаю, что происходит. Может подскажете.
Есть домент NT4, два контроллера, PDC, BDC (два NT4 TSE + Citrix). Решил перевести сеть на win2k AD. Ставлю новый NT4 BDC, поднимаю до PDC. Накатываю win2k, поднимаю AD. Все вроде бы хорошо, три сервера работают. Но, на главном контроллере домена под Win2K надо поднять терминалку (Citrix). Для ее работы надо обеспечить, чтобы пользователь, входящий в группу Domain Users мог регистрироваться на сервере локально (ну как если бы подошел чел к консоли сервера, нажал три кнопки, ввели имя и пароль, зарегистрировался с правами users).
В домене в правах User Rights - Log on Locally прописаны три группы Administrators, Users, Server Operator
Проблема в том, что на два BDC NT4 TSE пользователь может зарегистрироваться локально (это надо для работы в терминалке). А при попытке войти на главный получаю сообщение о невозможности создать профиль: "Windows cannot log you on because the profile cannot be loaded". Что за проблема, понять не могу. Вот ошибка из лога, может кто что подскажет....
----------------------
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1000
Date: 11.03.2004
Time: 14:06:13
User: NT AUTHORITY\SYSTEM
Computer: KNIGHT
Description:
Windows cannot log you on because the profile cannot be loaded. Contact your network administrator.
DETAIL - Access is denied.
Есть домент NT4, два контроллера, PDC, BDC (два NT4 TSE + Citrix). Решил перевести сеть на win2k AD. Ставлю новый NT4 BDC, поднимаю до PDC. Накатываю win2k, поднимаю AD. Все вроде бы хорошо, три сервера работают. Но, на главном контроллере домена под Win2K надо поднять терминалку (Citrix). Для ее работы надо обеспечить, чтобы пользователь, входящий в группу Domain Users мог регистрироваться на сервере локально (ну как если бы подошел чел к консоли сервера, нажал три кнопки, ввели имя и пароль, зарегистрировался с правами users).
В домене в правах User Rights - Log on Locally прописаны три группы Administrators, Users, Server Operator
Проблема в том, что на два BDC NT4 TSE пользователь может зарегистрироваться локально (это надо для работы в терминалке). А при попытке войти на главный получаю сообщение о невозможности создать профиль: "Windows cannot log you on because the profile cannot be loaded". Что за проблема, понять не могу. Вот ошибка из лога, может кто что подскажет....
----------------------
Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1000
Date: 11.03.2004
Time: 14:06:13
User: NT AUTHORITY\SYSTEM
Computer: KNIGHT
Description:
Windows cannot log you on because the profile cannot be loaded. Contact your network administrator.
DETAIL - Access is denied.
- a_shats
- Advanced member
- Сообщения: 5010
- Зарегистрирован: 27 авг 2002, 10:55
- Откуда: Москва
- Контактная информация:
Похоже все просто:
Юзер должен иметь права на:
1.Documents and Settings на всю папку (без наследования) чтение, на свой профиль - запись и модификация
2. Каталог, куда указывают %TEMP% и %TMP% в юзерском профиле (это обычно Documents and Settings/%USER%/Local Settings/TEMP
3. IPC$ (как раз Log on locally)
4. SYSVOL - чтение
5. Program Files - чтение на все
6. %Systemroot%,%systemroot%/system, %systemroot%/system32
Причем все это не для Users (это локальные пользователи сервера), а Domain Users
Юзер должен иметь права на:
1.Documents and Settings на всю папку (без наследования) чтение, на свой профиль - запись и модификация
2. Каталог, куда указывают %TEMP% и %TMP% в юзерском профиле (это обычно Documents and Settings/%USER%/Local Settings/TEMP
3. IPC$ (как раз Log on locally)
4. SYSVOL - чтение
5. Program Files - чтение на все
6. %Systemroot%,%systemroot%/system, %systemroot%/system32
Причем все это не для Users (это локальные пользователи сервера), а Domain Users
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
1. Ну когда ставишь upgrade на NT4, то профили остаются на месте winnt\profiles. Но не суть. Права проверял:a_shats писал(а):Похоже все просто:
Юзер должен иметь права на:
1.Documents and Settings на всю папку (без наследования) чтение, на свой профиль - запись и модификация
2. Каталог, куда указывают %TEMP% и %TMP% в юзерском профиле (это обычно Documents and Settings/%USER%/Local Settings/TEMP
3. IPC$ (как раз Log on locally)
4. SYSVOL - чтение
5. Program Files - чтение на все
6. %Systemroot%,%systemroot%/system, %systemroot%/system32
Причем все это не для Users (это локальные пользователи сервера), а Domain Users
Administrator, SYSTEM - Full
Users - Change (Modify, RE, List, Read, Write)
Насколько я понимаю, поскольку в группу Users входит группа Domain Users, то этого более чем достаточно.
2. Это же профиль, каталог TEMP находится в профиле, соотв-но права создаются автоматом... Есть системный каталог C:\TEMP, на него права Users - Full. Проверял. Среду я немного изменял.
3. Это что? Вернее, этот шаринг системный, я его изменить не могу.
4. Это тоже есть, проверял. Только что.
5. Проверял, все есть. Users - Read
6. Наверное это не имеет большого значения. Если в группу Users входит группа Domain Users. Но на всякий случай посмотрю.
на контроллере домена в Win2k локальных групп нет. Есть только Domain UsersНасколько я понимаю, поскольку в группу Users входит группа Domain Users
Последний раз редактировалось pepz 12 мар 2004, 11:26, всего редактировалось 1 раз.
- a_shats
- Advanced member
- Сообщения: 5010
- Зарегистрирован: 27 авг 2002, 10:55
- Откуда: Москва
- Контактная информация:
DETAIL - Access is denied.
Все ж таки что-то с правами и политиками. Есть еще один тонкий момент: да, политики доменного контроллера распространяются Users->Domain Users. А вот в обратную сторону - совсем не обязательно (т.е. Users в Domain Users не входят) . Т.е., как пример:
Allow log on locally - ...Users... (нет Domain Users)
А узер при вводе пароля вводит не локальный "домен" сервера - Knight, а имя домена AD. В результате чего - послан.
Это предположения, конечно, но не худо бы и проверить...
Все ж таки что-то с правами и политиками. Есть еще один тонкий момент: да, политики доменного контроллера распространяются Users->Domain Users. А вот в обратную сторону - совсем не обязательно (т.е. Users в Domain Users не входят) . Т.е., как пример:
Allow log on locally - ...Users... (нет Domain Users)
А узер при вводе пароля вводит не локальный "домен" сервера - Knight, а имя домена AD. В результате чего - послан.
Это предположения, конечно, но не худо бы и проверить...
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Хорошо, насколько я понимаю, для NTFS достаточно прав на группу Users. В локальной политике сейчас добавил группы Domain Users. Меня все равно посылают. Более того, та же самая байда и с группой Server Operators.a_shats писал(а):DETAIL - Access is denied.
Все ж таки что-то с правами и политиками. Есть еще один тонкий момент: да, политики доменного контроллера распространяются Users->Domain Users. А вот в обратную сторону - совсем не обязательно (т.е. Users в Domain Users не входят) . Т.е., как пример:
Allow log on locally - ...Users... (нет Domain Users)
А узер при вводе пароля вводит не локальный "домен" сервера - Knight, а имя домена AD. В результате чего - послан.
Это предположения, конечно, но не худо бы и проверить...
Что имеем:
1. в правах на NTFS проверен доступ для группы Users, Server Operators
2. В политиках Domain Controller, Domain Security, Local Security в разделе log on Locally прописаны группы:
Administrators
Users
Domain Users
Server Operators
Domain Admins
Enterprise Admin
Все это есть в Effective Right
Результат тот же, Access Denied. Номер ошибки тот же.
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
А можно ли так?
Коллеги, можно ли сделать так? У меня было два DC NT4, когда я начал всю эту бодягу, я поставил третий BDC, поднял его до PDC, потом накатил до Win2K. Могу ли я безболезненно выключить Win2K и один из BDC NT4 поднять до PDC???? И начать все заново?????
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Ну вот еще немного в тему. После включения аудита на каталог с профилями видно следующее. Если временно включить пользователя в группу администраторов, зарегистрироваться, создается профиль. Далее убрать права администратора и попробовать снова войти, то получается следующее, сначала считывается ntuser.dat, далее читается ntuser.ini, вроде как проходит авторизация и потом сразу логаут с сообщением, что не может загрузить профиль.
Может права на реестр??? Дайте какую-нибудь мысль, господа,
Может права на реестр??? Дайте какую-нибудь мысль, господа,
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Добавки...
Дело точно не в:
1. Правах на NTFS, поскольку пробовалось поставить EveryOne - Full
2. Не в roaming profile, пользователь создавался чистый. С правами users он войти не мог, профиль не создавался. В качестве эксперимента ему давались права админа, после входа и выхода был создан профиль. Права админа отбирались. А дальше проходило следующее: пользователь пытался войти, регистрировался по логу, далее читался users.dat, users.ini (насколько я понимаю, это локальный польз. реестр). И далее получаем сообщение о невозможности загрузить профиль - logoff. Все. Сек. лог девственно чист, в смысле сообщений, как-то натолкнувших на мысль нет.
Остается политики. Коллеги, посмотрите эти политики, что не так? Может кстати дадите ссылку на рекомендации MS по поводу политик AD????
-----Domain Cont Users Right-----
Access this computer from the network LINTEC\Unstructed,LINTEC\Domain Users,LINTEC\Domain Admins,Everyone,Administrators
Act as part of the operating system LINTEC\IMC,LINTEC\Exchange
Add workstations to domain Authenticated Users,Administrators,LINTEC\Gennadiy
Back up files and directories Backup Operators,Server Operators,Administrators,LINTEC\IMC,LINTEC\Exchange
Bypass traverse checking LINTEC\Domain Admins
Change the system time LINTEC\Domain Admins,LINTEC\NTAdmin,LINTEC\Dmitriev
Create a pagefile Administrators
Create global objects Not defined
Enable computer and user accounts to be trusted for delegation Administrators
Force shutdown from a remote system Administrators
Impersonate a client after authentication Not defined
Increase scheduling priority Administrators
Load and unload device drivers Administrators
Log on as a batch job Administrators,LINTEC\Domain Users
Log on as a service LINTEC\IMC,LINTEC\Apache,LINTEC\Exchange
Log on locally Users,Server Operators,LINTEC\Enterprise Admins,LINTEC\Domain Users,LINTEC\Domain Admins,Everyone,Administrators
Manage auditing and security log Administrators
Modify firmware environment values Administrators
Profile single process Administrators
Profile system performance Administrators
Remove computer from docking station Administrators
Restore files and directories Backup Operators,Server Operators,Administrators,LINTEC\IMC,LINTEC\Exchange
Shut down the system Administrators
Take ownership of files or other objects Administrators
----End of Domain Cont Users right-----
К слову Local Users Right идентичны...
ПОМОГИТЕ ПЛИЗЗЗ, затрахался в усмерть..... (((
1. Правах на NTFS, поскольку пробовалось поставить EveryOne - Full
2. Не в roaming profile, пользователь создавался чистый. С правами users он войти не мог, профиль не создавался. В качестве эксперимента ему давались права админа, после входа и выхода был создан профиль. Права админа отбирались. А дальше проходило следующее: пользователь пытался войти, регистрировался по логу, далее читался users.dat, users.ini (насколько я понимаю, это локальный польз. реестр). И далее получаем сообщение о невозможности загрузить профиль - logoff. Все. Сек. лог девственно чист, в смысле сообщений, как-то натолкнувших на мысль нет.
Остается политики. Коллеги, посмотрите эти политики, что не так? Может кстати дадите ссылку на рекомендации MS по поводу политик AD????
-----Domain Cont Users Right-----
Access this computer from the network LINTEC\Unstructed,LINTEC\Domain Users,LINTEC\Domain Admins,Everyone,Administrators
Act as part of the operating system LINTEC\IMC,LINTEC\Exchange
Add workstations to domain Authenticated Users,Administrators,LINTEC\Gennadiy
Back up files and directories Backup Operators,Server Operators,Administrators,LINTEC\IMC,LINTEC\Exchange
Bypass traverse checking LINTEC\Domain Admins
Change the system time LINTEC\Domain Admins,LINTEC\NTAdmin,LINTEC\Dmitriev
Create a pagefile Administrators
Create global objects Not defined
Enable computer and user accounts to be trusted for delegation Administrators
Force shutdown from a remote system Administrators
Impersonate a client after authentication Not defined
Increase scheduling priority Administrators
Load and unload device drivers Administrators
Log on as a batch job Administrators,LINTEC\Domain Users
Log on as a service LINTEC\IMC,LINTEC\Apache,LINTEC\Exchange
Log on locally Users,Server Operators,LINTEC\Enterprise Admins,LINTEC\Domain Users,LINTEC\Domain Admins,Everyone,Administrators
Manage auditing and security log Administrators
Modify firmware environment values Administrators
Profile single process Administrators
Profile system performance Administrators
Remove computer from docking station Administrators
Restore files and directories Backup Operators,Server Operators,Administrators,LINTEC\IMC,LINTEC\Exchange
Shut down the system Administrators
Take ownership of files or other objects Administrators
----End of Domain Cont Users right-----
К слову Local Users Right идентичны...
ПОМОГИТЕ ПЛИЗЗЗ, затрахался в усмерть..... (((
- Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Решение проблемы
Я решил проблему, вернее обошел. Грохнул вин2к сервер, обратно вернул НТ домен и повторил процедуру заново. То есть ставлю NT4 TSE - SP6 for TSE - Win2K+SP4 - Citrix 1.8a - SP4 for Citrix 1.8a. Все заработало. К слову сказать, NT4 я апгрейдил до Win2K с дистрибутива с интегрированным SP4. Возможно это сыграло роль, возможно в предыдущий раз были какие-то неопознанные ошибки. Так что вот такие пироги...
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей