LPS:AD/AD a WinXP SP2

Z HelpDesk

Odstranění problému s ověřováním k doméně z PC s WinXP SP2

Přihlašování uživatelů z PC se systémem WinXP SP1 je "bezproblémové". Po aktualizaci Service Pack 2 již tomu tak není.

Důvod: Cross-forest
Novější verze OS podporují lepší zabezpečení Zásad skupin (Group polici) a další feature :)

Tabulka systémů podporující Cross-forest

Operating SystemSupported

Windows Server 2003

Yes

Windows XP Service Pack 2 (SP2)

Yes

Windows XP Service Pack 1 (SP1) or earlier

No

Windows 2000 Service Pack 4 (SP4)

Yes

Windows 2000 Service Pack 3 (SP3) or earlier

No


Chybu poznáme snadno. Jestliže není nastavena níže uvedená zásada pak:

  • Nepoužívají se žádná nastavení zásad podle uživatele z doménové struktury uživatele
  • Uživatelé neobdrží pro počítač vlastní cestovní profily, ale místní profil z místní doménové struktury. Uživateli se zobrazí varovné hlášení a bude odeslána protokolová zpráva události (1529).
  • Provede se zpracování duplicitních zásad skupiny uživatele pomocí objektů zásad skupiny vymezených pro počítač.
  • Bude odeslána protokolová zpráva události (1109) o tom, že duplicita byla spuštěna v režimu nahrazení.


V systémovém logu se v souvislosti s tímto problémem můžou vyskytnout dvě chybová hlášení:

Source Event ID Event Text
Userenv 1529 Loopback Group Policy processing will be applied, using the Group Policy objects scoped to the machine.
Userenv 1109 A User from a different forest logged onto this machine. Cross Forest Group Policy processing is disabled and loopback processing has been enforced in this forest for this user account.


A teď to hlavni. Řešení: Ve skupinových zásadách (Group polici) na doméně je potřeba nastavit respektive povolit zásady uživatele v rámci doménové struktury a cestovní profily uživatelů. Tuto politiku nalezneme v Konfigurace počítače > Šablony pro správu > Systém > Zásady skupin a je třeba ji aplikovat na počítače v doméně. V našem případě je tato zásada aplikována nad objektem OrionXP (OrionXP Polici)


AD GroupPolici Cross-forest.JPG


V článku ze kterého jsem čerpal se dále ještě mluví o zásadě Režim zpracování duplicitních zásad skupiny uživatele. Její nastavení se, ale v našem prosředí nijak neprojevilo. V případě, že by nastaly nějaké potíže s aplikováním politik stalo by zato odzkoušet i tuto možnost.