Ввод компьютера в домен является самой обычной, рутинной операцией и не представляет особой сложности. Но не всегда…
Ситуация следующая — при попытке ввода в домен сервера выдается ошибка. Важно, что сервер является виртуальной машиной VMware, развернутой из шаблона.
На первый взгляд имеются проблемы с правами доступа. Однако учетная запись, под которой производится операция, входит в группу доменных администраторов и никаких ограничений на ввод компьютеров в домен для нее быть не может.
Поэтому читаем текст ошибки подробнее и видим, что проблема с доступом не к домену, а к локальным ресурсам сервера, в частности к веткам реестра. На локальном сервере у нас права локального администратора, но получается, что их недостаточно.
Для проверки запускаем оснастку управления локальными групповыми политиками (Win+R -> gpegit.msc). Переходим в раздел Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignments (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя) и видим, что значения некоторых параметров выглядят не совсем корректно.
Вместо имен пользователей и групп в них располагаются непонятные наборы символов, смутно напоминающие 🙂 идентификаторы безопасности (SID).
Для сравнения откроем оснастку на другом, заведомо исправном сервере. Вот так должны видеть корректные настройки.
Для успешного ввода в домен необходимо добавить группу Administrators в параметр Back up files and directories (Архивация файлов и каталогов)
и в параметр Restore files and directories (Восстановление файлов и каталогов).
После внесения изменений в обязательном порядке перезагружаемся и еще раз пробуем ввести компьютер в домен. На сей раз успешно.
Как выяснилось позднее, настройки безопасности были повреждены при подготовке шаблона, точнее при обработке операционной системы утилитой sysprep. Сбой произошел потому, что подготавливаемая машина была членом домена. И хотя все данные о членстве в домене sysprep успешно очистил, при этом слегка побились и локальные настройки. Вот так.