при переносе компьютера из контейнера "computers" при входе ошибка...
 

Доброго времени!

Решил заняться я сеткой своей (досталась по наследству)... в домене пользователи были разбиты по подразделениям, решил в те же подразделения перенести и компы (компы были в контейнере computers). Перед этим перенесли доменных пользователей из ЛОКАЛЬНЫХ админов в "пользователи" (локальные)... теперь (после того как переношу комп) при входе пишет: "вход в систему с использованием выбранного метода входа запрещен" (что то с интерактивным входом в систему), если переношу пользователя обратно в локальных админов - все ровно. В групповых политиках ничего похожего найти не могу... или не там я ищу? есть идеи?

поторопился с созданием темы)))) сам нашел))) если кому интересно: политика default domain controller policy - ... - параметры безопасности - локальные политики - назначение прав пользователей - локальный вход в систему. там не было "пользователей домена")))) добавил - все гуд! алилуйя!

У Вас что, политика контроллеров домена распространяется на все станции домена?
Или Вы хотели сказать "Default Domain Policy"?

мне вот тоже это показалось подозрительным... скрин во вложении. такое чувство что политики "default domain controller policy" в этой ветке не должно быть. НО первоначально настраивал не я)) разбираюсь вот)

Не должно.

ххм) спасибо за ответ! можно тогда еще пару вопросов?)
1) теперь, получается, мне надо просто перенести "default domain controller policy" в корень (там же где Default Domain Policy) ? и она на подразделения "СЛВЗ" распространяться не будет?
2) на 2003 было все понятно - политики подвязывались к подразделениям через "ad компы и пользователи" (как то понятнее было, имхо) в 2008 - отдельная оснастка... дык вот - при создании политики (в корне создаю) она сразу подвязывается к "прошедшие проверку"... как ж мне ее распространить, допустим, только на конкретное подразделение?
3) вопрос вытекает из второго, но все же... как создать политику не подвязывая ни к кому (как я понял, если в политике стоит "прошедшие проверку" - политика начинает распространяться на всех). т.е. надо создать политику, настроить, а потом уже ее подвязывать...
Заранее спасибо!
p.s. извините что в закрытой теме пишу)

Нет. "Default Domain Controller Policy" нужно привязать к контейнеру "Domain Controllers".

Очевидно, привязывать к определенному OU (через щелчок правой клавишей мыши по нужному OU).

Создать политику, перейти в закладку "Область", далее в "Фильтры безопасности", а там уже удалить группу "Прошедшие проверку" из списка. Настроить политику, привязать к контейнеру с тестовыми машинами (или пользователями, смотря по надобности), оттестировать и после этого уже включать "на всех".