Именам пользователей не сопоставлены коды защиты данных windows xp

Именам пользователей не сопоставлены коды защиты данных windows xp

Next Проверил у меня аккаунта для такой службы нет, вычистил его из пермишинов и все , ошибка пропала http://forum.windowsfaq.ru/images/smilies/biggrin.gif .

Большое спасибо помошь. 🙂

А вот мой кусочек лога:
—-Настройка прав пользователя.
Настройка S-1-5-32-544.
Настройка S-1-5-21-583907252-854245398-1060284298-512.
Настройка S-1-5-32-549.
Настройка S-1-5-32-551.
Настройка S-1-5-18.
Настройка S-1-1-0.
Настройка S-1-5-11.
Настройка S-1-5-32-545.
Настройка S-1-5-21-583907252-854245398-1060284298-513.
Настройка S-1-5-21-583907252-854245398-1060284298-1152.
Настройка S-1-5-32-550.
Настройка S-1-5-32-548.

Настройка прав пользователя выполнена успешно.

И что поправлять — не пойму 🙁
Подскажите плз!

Тут, видимо, какая-то более глобальна проблема:

В политике «Defaul domain controller Policy» право (одно из) «Завершение работы системы» назначено:
— Администраторам
— Операторам учета
— Операторам архива
— Операторам сервера
— Операторам печати

В политике «Defaul Domain Policy» — этот параметр «Не задан»

А в локальной политике на «проблемном» сервере-маршрутизаторе при попытке добавить пользователя или группу из домена, в который входит сервер, такой группы почему-то в списке нет :confused:

Next
Либо не тот кусок, либо ты не включил подробный лог.

Да? А какое место интересует, файл большой?

Next
вместо него должно стоять имя проблемного объекта, в пермишинах которого потерянные сиды

Должно, но не стоит 🙁 А моё сообщение от 06/08/03 11:25 какие-нибудь соображения вызывает?

Да, раз winlogon.log стал создаваться. Но ошибок в нем НЕТ
Вот только это:Распространение политики вызвано в блокирующем потоке winlogon. Создайте другой поток для медленной задачи.

На «проблемном» сервере есть список пользователей домена, но некоторых групп нет, например, вышеупомянутых Операторов архива

Дк, на проблемном сервере (не домен-контроллере)

Код ошибки точно 1722:

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1000
Дата: 07.08.2003
Время: 8:14:19
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: SERVGATE
Описание:
Не удалось определить имя пользователя или компьютера. Возвращенное значение (1722).

ae
Блин, так это совсем другая ошибка. http://support.microsoft.com/default.aspx?scid=kb;ru;329708 http://support.microsoft.com/default.aspx?scid=kb;ru;261007

——————
Нашедшего выход затаптывают первым.
© Виктор Шендерович

Не, кажется, тут в другом дело — в домене (моем сейчас) действует только Domain Controller SP и в ней присутствуют разрешающие права для некоторых групп, которых нет на локальных компах, вот имена этих-то групп в локальных SP после репликации SP и отображаются «S-. » Наверное, надо записи о правах таких групп удалить из Domain Controller SP.

Как думаете, господа?

Next
Хотя я уже совсем запутался с ситуацией в твоей сети.

Замираю в глубоком пардоне 🙂
У меня наконец все заработало. http://forum.windowsfaq.ru/images/smilies/biggrin.gif

Создала чистенькую политику для группы, в которую включила один рутер.

Еще существуют две политики:
— для DC с разрешением локального входа для адимнов и операторов сервера.
— для домена с разрешением локального входа для все пользователей домена.

Спасибо за поддержку советами 🙂

Тип события: Предупреждение
Источник события: SceCli
Категория события: Отсутствует
Код события: 1202
Дата: 13.08.2003
Время: 10:56:32
Пользователь: Нет данных
Компьютер: MyPDC
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x5 : Отказано в доступе.
Дополнительные сведения содержатся в разделе «Устранение неполадок» справки по безопасности.

Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1000
Дата: 13.08.2003
Время: 10:56:32
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: MyPDC
Описание:
Клиентское расширение Security групповой политики передало флаги (17) и возвратило код ошибки (5).

И так каждые 5 минут http://forum.windowsfaq.ru/images/smilies/mad.gif

Все рекомендованное http://support.microsoft.com/default.aspx?scid=kb;en-us;284461
и http://support.microsoft.com/default.aspx?scid=kb;en-us;284461 сделано, а воз и ныне там 🙁

ae
Ууу как все запущенно.. 🙂 Чей копирайт не помню. Вообщем так, выложу варианты от eventid.net которые касаются твоей ошибки. Переведешь, думаю, сама.

Error code: 0x5 (Decimal 5) = «Access is denied.» — This error can occur if the file permissions on the C:\Winnt\sysvol\sysvol\ \policies tree do not include the Group Policy Creator Owners group. This group should have RWEM access to all files and folders within the tree.

Error code: 0x5 (5 Decimal) — «Access is denied.» — This problem was due to security mistakenly too tight on IIS Admin Service (access denied to everyone) in GP which in turn prevented FTP service security from being updated (FTP service applet couldn’t even be launched from the services window). Restoring admin access to IIS Admin Service allowed for update of FTP service security settings and solved the issue.

Error code: 0x5 (Decimal 5) — «Access denied». GPOs could not be distributed because in the security settings of several GPOs the user account «SYSTEM» did not have the right to take over the GPO. In addition, the service «distributed link tracking client» had to be configured to start automatically with full permissions for administrator group and user account «SYSTEM».

If you are getting event ID 1000 & 1202 every 5 minutes, then it also may be to do with IIS. If you have removed IIS & SMTP server then check that the DC has removed the IWAM & IUSR users from the security policy. Go into Domain Controller Security Policy, Security Settings, Local Policies, User rights Assignment & make sure that these users are taken out of any policies they are still in. Then run «secedit /refreshpolicy machine_policy /enforce» from the command prompt & your errors should disappear.

Error code: 0x5 (Decimal 5) = «Access is denied.» — This specific error means that when the policy was being applied to the system, the account in which the policy is being run as did not have permission to make a required change. You can review C:\Winnt\Security\Logs for exact details in Windows 2000, or C:\Windows\Security\Logs\winlogon.log in Windows XP.

Думаю где то ты проводила слишком смелые эксперименты с разрешениями.

Да, все так и сделано, как мелкософтные советуют. Только не поняла, как это account «SYSTEM» did not have the right to take over the GPO

Желаемый эффект не достигнут, вот вырезка из моего winlogon.log:

—-Настройка параметров общей службы.
Настройка wuauserv.
Предупреждение 5: Отказано в доступе.
Ошибка при открытии wuauserv.
Предупреждение 5: Отказано в доступе.
Ошибка при открытии wuauserv.

Ошибка при настройке общей службы.

У SYSTEM полные права на каталог политик, а владелец — Администраторы.

wuauserv Это что, автоматическое обновление?

Я не знаю, что это, а запуск службы автоматического обновления у меня запрещен.

В GPO для Automatic Updates для Domain Controller загрузка и разрешение «Не задан», а для Domain загрузка «Автоматическое», все права у Администраторов домена и Контроллеров домена, а у группы «Все» право «Чтение», «Пуск, стоп и пауза» .

Так стартануть или остановить ПОКА? 🙂 Или в GPO привести к общему знаменателю?

Не путаем:
— в политике Default Domain Policy запуск службы Automatic Updates Автоматический, политика определена для OU МойДомен;

— в политике Default Domain Controller Policy запуск Не задан, политика определена для OU Domain Controllers

SYSTEM добавить куда? Или в обоих политиках сделать одинаково? Или какая политика какую перекрывает?

Источник

Именам пользователей не сопоставлены коды защиты данных windows xp

Тип события: Предупреждение
Источник события: SceCli
Категория события: Отсутствует
Код события: 1202
Дата: 18.10.2003
Время: 0:13:43
Пользоват ель: Нет данных
Компьютер: BRAIN
Описание:
Выполнено распространение политики безопасности с предупреждением. 0x534 : Именам пользователей не сопоставлены коды защиты данных.

Для диагностики этого события выполните вход с неадминистративной учетной записью и на http://support.microsoft.com выполните поиск раздела «Troubleshooting 1202 events» («Диагностика события 1202»).
Не удалось разрешить в SID учетную запись или один из объектов групповой политики (GPO). Эта ошибка скорее всего вызвана неправильно введенной или удаленной учетной записью, на которую имеется ссылка в ветви «Права пользователя» или «Группы с ограниченным доступом» GPO. Для диагностики этого события администратору домена следует выполнить следующие действия:

1. Определить учетные записи, которые не удалось разрешить в SID: в командной строке введите: FIND /I «Не удалось найти» %SYSTEMROOT%\Security\Logs\winlogon.log
Строка, следующая за «Не удалось найти» в результирующей информации FIND определяет проблемные имена учетных записей.
Пример: Не удается найти JohnDough.
В этом случае, не удалось определить SID для имени пользователя «JohnDough». Вероятно, это вызвано тем, что учетная запись была удалена, переименована или просто пишется по-другому (например: «JohnDoe»).

2. Определить те GPO, которые содержат несопоставимое имя учетной записи:
В командной строке введите: FIND /I «JohnDough» %SYSTEMROOT%\Security\Templates\policies\gpt*.*
Результиру ющая информация команды FIND может выглядеть примерно так:
———- GPT00000.DOM
———- GPT00001.DOM
SeRemoteShutdownPrivilege=JohnDough
Это указывает, что из всех GPO, примененных к этому компьютеру, несопоставимая учетная запись существует только в одном GPO. Конкретно, в кэшированном GPO под именем GPT00001.DOM.
Теперь нужно определить понятное имя для этого GPO.

3. Определить понятные имена для каждого из GPO, содержащего несопоставимое имя учетной записи: Эти GPO были определены на предыдущем шаге.
В командной строке введите: FIND /I «[Сопоставление]» %SYSTEMROOT%\Security\Logs\winlogon.log
Строка, следующая за «[Сопоставление] gpt0000?.dom =» в результирующей информации FIND определяет понятные имена для всех GPO, примененных к этому компьютеру.
Пример: [Сопоставление] gpt00001.dom = Политика прав пользователей
Это указывает, что GPO, содержащее несопоставимое имя учетной записи (gpt00001.dom) имеет понятное имя «Политика прав пользователей».

4. Удалить несопоставимые учетные записи из всех GPO, их содержащих.
a. Пуск -> Выполнить -> MMC.EXE
b. В меню «Файл» выберите команду «Добавить или удалить оснастку. »
c. В диалоге «Добавить или удалить оснастку» выберите «Доб .