DC w2k - запрет локального входа администратору в режиме DSRM
 

Добрый день, уважаемые знатоки! Очень расчитываю на Вашу помощь.

Имею следующую ситуацию: есть домен, в нём два доменных контроллера на w2k SP4 RC4.27 (да-да, такой изврат). Стоит задача апргейдить схему AD до 31-й версии и ввести новые DC на w2k3 RC2 с последующим удалением старых DC и переводом домена в нативный режим. Перед проведением adprep /forestprep хотел обеспечить возможность отката в случае неудачного обновления схемы путём принудительного восстановления AD (через DSRM). Для этого нужна возможность войти в DC под администратором восстановления службы каталогов.

Поскольку сервера ставились в незапамятные времена и с тех пор сменилось штук пять админов, админский пароль мне пришлось сбрасывать, в чём руководствовался статьёй Майкрософт: http://support.microsoft.com/kb/239803/ru. Но этим дело не ограничилось. Когда я ради окончательной проверки попытался загрузить контроллеры в режиме DSRM и войти под администратором, в ответ оба контроллера мне выдали: "Интерактивный вход в систему на данном компьютере запрещён локальной политикой" (sic!).

Есть осложняющие обстоятельства, которые, как мне думается, могли служить причиной подобного глюка. Во-первых, судя по всему, изначально домен был поднят на англоязычной винде, а нынешние два DC - русскоязычные. Возможно, проблема из-за разницы в названиях локальных администраторов и групп безопасности, спущенных с домена. Во-вторых, на одном из DC когда-то был поднят сервер терминалов и установлен Citrix Metaframe 1.8. Раньше этот сервер использовался в качестве терминального, но теперь все активные задачи перенесены с него на новые сервера. Однако разрешения, заданные в доменной политике безопасности для контроллеров, всё равно распространились на оба DC.

http://support.microsoft.com/kb/276590/ru
http://forum.oszone.net/thread-147942.html

ntrights пробовал во всех, по-моему, возможных вариациях. И группе "Все" право запрета локального входа отзывал, и локальному админу пытался отозвать право запрета и дать право входа. Нулевой результат. Будучи загруженной в штатном режиме, система не видит локальных записей безопасности, поскольку подняты службы AD. Будучи загруженной в режиме DSRM, при котором AD отключается, система недоступна ни с консоли, ни удалённо (т.е., к примеру, попытка выполнить на ней те же самые ntrights с помощью psexec приводит к сообщению о невозможности разрешения имени компьютера).

Проблема решена.

Дело действительно было в локальных политиках и языковой разнице между именованиями в AD и в локальных профилях ОС серверов. Но проблема в том, что просто так в локальные политики DC включить разрешения для пользователей и групп, не перечисленных в AD, нельзя. Даже если запустить "Локальные политики безопасности" (secpol.msc) и попытаться внести изменения в пункт "Параметры безопасности/Локальные политики/Назначение прав пользователя/Локальный вход в систему", вводимые профили проходят проверку соответствия учётным записям AD. Поскольку локальных администраторов DC и тем более их локальных групп безопасности там нет, это бесполезно.

Однако можно пойти обходным путём. Запускаем консоль управления (mmc.exe) и залезаем в оснастку "Шаблоны безопасности". Для этого лезем "Консоль\Добавить или удалить оснастку", на закладке "Изолированная оснастка" жмём кнопку "Добавить", в списке изолированных оснасток ищем "Шаблоны безопасности" (Security Templates), жмём "Добавить" и "Закрыть", затем "ОК". Раскрываем дерево шаблонов "Шаблоны безопасности", ищем setup security, раскрываем. В "Локальные политики/Назначение прав пользователя/Локальный вход в систему", добавляем тех, кого надо (В моём случае это был "Администратор"). Смотрим, чтобы в "Отклонить локальный вход" (там же) не было тех, кого не надо. :) Закрываем mmc, на вопрос сохранения setup security.inf отвечаем положительно (перед этим лучше на всякий случай скопировать оригинальный файл %systemroot%\security\templates\setup security.inf в другую папку). Теперь уже запускаем secpol.msc и подгружаем изменённый шаблон локальных политик безопасности (находясь в корне оснастки, т.е. на пункте "Параметры безопасности", лезем в "Действие\Импорт политики", выбираем изменённый setup security.inf). Всё!

После этого я спокойно загрузился в режиме DSRM и вошёл под администратором.