Заметки о Windows и других программных продуктах Microsoft...

Ошибка при вводе компьютера в домен

Ошибка при вводе компьютера в домен

Ввод компьютера в домен является самой обычной, рутинной операцией и не представляет особой сложности. Но не всегда…

Ситуация следующая — при попытке ввода в домен сервера выдается ошибка. Важно, что сервер является виртуальной машиной VMware, развернутой из шаблона.

Ошибка при вводе в домен

 

На первый взгляд имеются проблемы с правами доступа. Однако учетная запись, под которой производится операция, входит в группу доменных администраторов и никаких ограничений на ввод компьютеров в домен для нее быть не может.

Поэтому читаем текст ошибки подробнее и видим, что проблема с доступом не к домену, а к локальным ресурсам сервера, в частности к веткам реестра. На локальном сервере у нас права локального администратора, но получается, что их недостаточно.

Для проверки запускаем оснастку управления локальными групповыми политиками (Win+R -> gpegit.msc). Переходим в раздел Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignments (Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя) и видим, что значения некоторых параметров выглядят не совсем корректно.

неисправные локальные групповые политики

 

Вместо имен пользователей и групп в них располагаются непонятные наборы символов, смутно напоминающие 🙂 идентификаторы безопасности (SID).

битые разрешения

 

Для сравнения откроем оснастку на другом, заведомо исправном сервере. Вот так должны видеть корректные настройки.

исправные локальные групповые политики

 

Для успешного ввода в домен необходимо добавить группу Administrators в параметр Back up files and directories (Архивация файлов и каталогов)

корректные разрешения на бэкап

 

и в параметр Restore files and directories (Восстановление файлов и каталогов).

корректные разрешения на восстановление

 

После внесения изменений в обязательном порядке перезагружаемся и еще раз пробуем ввести компьютер в домен. На сей раз успешно.

Успешный ввод компьютера в домен

 

Как выяснилось позднее, настройки безопасности были повреждены при подготовке шаблона, точнее при обработке операционной системы утилитой sysprep. Сбой произошел потому, что подготавливаемая машина была членом домена. И хотя все данные о членстве в домене sysprep успешно очистил, при этом слегка побились и локальные настройки. Вот так.

 
 
Комментарии

Пока нет комментариев.