Подскажите где на Контроллере домена локальные группы? #589200

Второй день мучаюсь с DB2, никак не могу создать базу 1С. На обычной локальной машине все нормально ставиться и работает, но нужно то поставить на сервак, который кроме того что является сервером 1с, является контроллером домена и будет сервером ДБ2. Так вот постоянно высыпается ошибка доступа "SQL1092N У пользователя нет полномочий"; рекомендации описанные у Гилева не срабатывают ибо не могу найти локальные группы, отсюда и возникает вопрос где их искать эти локальные группы?

Уже в конце 2 экрана

буилдин

А по-русски?

Нигде. На то он и контроллер домена. Надеюсь данные ты разместил на системном диске контроллера домена? Чисто для качественного геморроя, ибо кэширование для этого диска отключено :)

есть там и локальные группы и локальные пользователи

Мелкософт думает по-другому -

+ ... Если рядовой сервер назначается контроллером домена, просмотр локальных учетных записей пользователей и групп с помощью оснастки «Локальные пользователи и группы» становится невозможен. Однако возможно использовать оснастку «Локальные пользователи и группы» контроллера домена для работы со сведениями на удаленных компьютерах сети, не являющихся контроллерами домена. ...

и где написано, что нету локальных ?

+ и кеширование системного диска не обязательно отключено

оснаска и локальные пользователи как бэ разные вещи...

(8,9,10) Коллеги, не парьте мне мозг. И присутствующим тоже.

Когда обычный сервер становится контроллером домена, на нем список "Локальные пользователи и группы" исчезает. Теперь этот сервер является базой данных пользователей, групп и других объектов безопасности в домене. Все его бывшие пользователи и группы теперь находятся в оснастке "Active Directory Users and Computers" в контейнере Users и Builtin. Пользователи попадают в контейнер Users, группы в Builtin.

Спрошу здесь. 2008R2. Раньше была встроенная группа Опытные пользователи, потом пропала. Как так? С обновлением что ли каким?

В режиме восстановления Актив директори заходишь - там будут тебе локальный админ и, возможно, доступны локальные группы ... Однако, нафига они тебе, если он контроллер?

net localgroup

автору конечно нафиг не нужны ни группы ни пользователи локальные

Нечего пользователям делать на контроллере домена.

Тебе что db2admin юзера создать надо?

А причем тут сам домен? Я хотел пользователям дать расширенные права.

Расширенные права на контроллере домена пользователям? Извращением попахивает ...

Расширенные права пользователям на PDC?! А ключ от своей квартиры ты им тоже всем раздаешь?

нормальный контроллер... на нем еще прокси, клиент-банк и генеральный в кваку шпилит

(20,21)Да нет, не на PDC, на локальные машины пользователей // Хотя я могу и заблуждаться. Все работают под Пользователи домена - и на локальных машинах у них все прикрыто получается

На локальных машинах остались локальные группы Power Users. В них нужно включить доменных пользователей и все будет ок.

2008r2 твой является Кд или нет? Если да то там нет такой группы и не было.

Да, является КД Может я ослеп но гуппа такая была вроде и даже один пользователь под ней работал

До становления контроллером

Еще раз обсудили пессимистические сроки выполнения работ по ПС Юсуповская и Крестовская Давай в допсоглашении поставим срок окончания работ 31.12.2012г. для обоих ПС.

не туда запостил, сорри

Пойдем сериал смотреть,ну их нафих эти контроллеры)

он всегда был КД

Классно рассуждать когда на железо не скупятся, а когда экономят даже на винде (рабочие станции линукс) то не так смешно становиться

Нигде. На то он и контроллер домена. Надеюсь данные ты разместил на системном диске контроллера домена? Чисто для качественного геморроя, ибо кэширование для этого диска отключено :) Можно включить,но будет слетать при каждой перезагрузке.Батник надо делать.

юзера то не проблема создать, проблема ввести его в локальную группу db2admns так как нет этой группы

группа Администраторы на контроллере является локальной

А зачем такая группа? Может создать доменную группу админов ДБ и дать ей права на админство в ДБ?

Да хз...пробовал и так, но ошибка SQL1092N остается

Я не психоаналитик, мне на жизнь жаловаться нет смысла. Господи, да сколько же можно! Нет локальных групп на DC.

нет, прав. Группа администраторы остается доступной для того, чтобы назначать права доступа и является локальной. Только непонятно как в нее пользователей включать ...

Тебе никто и не жалуется, так что проходи мимо

есть

+ wmic group where localaccount=true get name,localaccount | more

Млин, до чего все-таки одноэсники уперты! Нет локальных групп для DC! Контроллеры домена не содержат базу данных локальных учетных записей. На контроллерах домена не существует таких понятий, как локальные пользователи и локальные группы. При этом контроллеры домена обладают ресурсами, которыми необходимо управлять. Для этих целей и используются локальные ДОМЕННЫЕ группы. В процессе установки сервера создаются локальные учетные записи пользователей и локальные группы. После повышения роли сервера до DC локальные группы и локальные учетные записи пользователей конвертируются в локальные ДОМЕННЫЕ группы и ДОМЕННЫЕ учетные записи пользователей. При этом ВСЕ контроллеры домена внутри домена используют одну и ту же общую базу данных учетных записей пользователей. Если вы добавите пользователя в локальную ДОМЕННУЮ группу на одном контроллере домена, то пользователь будет членом этой локальной доменной группы на всех контроллерах домена во всем домене. Локальные ДОМЕННЫЕ группы помещается в папку Builtin в консоли Active Directory Users and Computers. Локальную ДОМЕННУЮ группу нельзя переместить или удалить. Ее нельзя включить в другую группу.  Можно создать свои локальные ДОМЕННЫЕ группы. Локальные доменные группы, которые создаете вы, живут в Users. Их можно перемещать и удалять. По сути локальные ДОМЕННЫЕ группы идентичны глобальным группам, но ограничены определенным доменом. Разницу чувствуете или так и ни хрена не понятно?

правдо ? а как мене выбрать группы буилдин с рабочей станции не подскажете ?

даже если они и есть (локальные пользователи) то залогиниться под ними в штатном режим работы DC ну совсем никак не получится.

а каким боком группы бултин рабочей станции и контроллер домена связаны?

а где про связь ? управление - локальные группы - члены группы - добавить ?

Локальная группа на рабочей станции живет своей собственной жизнью и к домену вообще никакого отношения не имеет. Но в нее можно включать доменных пользователей.

LocalAccount The LocalAccount property indicates whether the account is defined on the local machine. To retrieve only accounts defined on the local machine state a query th at includes the condition 'LocalAccount=TRUE'.

точно ?

+ а как в нее  включит группу buildinадминистраторы ?

а как быть с консолью восстановления ?

позвать админа, не? )

в консоле восстановления контроллера домана используется пасс, который был набран при повышении компьютера до контроллера домена. и это не пасс локального пользователя.

+ неужели cmdcons научили работать с ntds ? попросите вашего админа сделать Это

дану ? в смысле нуда - и где он ? в ntds ?

Гарантировано. Зачем? Чисто ради извращения? При восстановлении используется локальная база SAM и домен не поднимается.

+ консоль восстановления не то же самое, что режим восстановления службы каталогов

т.е. сам локальная все же таки база ?

+ дак имеет отношение буилдин к домену то ?

добре одмин, добре ))) да юзай на контроллере домена буилдинов своих, никто ж не против

Кстати не уверен, что туда вообще можно включить доменную локальную группу. Вроде как туда можно локальных пользователей, доменных пользователей, глобальные и универсальные группы включать. Но за это зуб не дам - нужно доку поднимать для уверенности.

Нет. Локальная группа размещена на рабочей станции или member-сервере. Данные по ней хранятся в локальной SAM.