Ошибки после присоединения компьютера WXP SP2 в домен.

[sss]

После присоединения компьютера WXP SP2 в домен, возникает проблемы. Полностью все они описаны
(и как с ними бороться) в KB 909444 (http://support.microsoft.com/kb/909444).

Выделю наиболее явные:
•   Не запускается служба установки Windows.
•   Не запускается служба брандмауэра Windows.
•   Папка «Сетевые подключения» пуста.
...

Короче целый пресс проблем. Я выполняю все что там написано - не помогает!
в общем, до тех пор, пока не настроить запуск службы RPC от имени SYSTEM (по умолчанию Network Service), проблемы не кончаются. Однако при попытке доступа по сети к административным ресурсам (журнал безопасности, реестр и т.д.) через RPC к такому компьютеру возникает ошибка - "Требуемый уровень олицетворения не обеспечен, или обеспеченный уровень не верен".  Да еще давать службе RPC доступ на уровне SYSTEM очень даже не хорошо. Что делать?

[Sla]

1. а откатиться никак нельзя?
2. а на хрена надо было ставить это обновление?
3.

Действия по воспроизведению проблемы

Это действия -
как решить проблему?
или
как получить проблему?

[sss]

Я не ставил обновления. Просто все до единой ошибки, описанные в KB, одолели эту систему. Причем это характерно для WXP SP2. Это уже 5 машина, которая повела собой таким образом после внедрения в домен. А в KB там действительно как получить проблему  .

[RXL]

sss, у нас на работе все машины с XP SP2 и все в домене. Контроллеры домена работали на w2k, а сейчас на w2003. Траблов нет. Если машинку с XP не корежили, а свежеустановленная, то дело, быстрее всего, в домене.

[sss]

Возможно RXL. Я уже раз пять менял серверную OS, оставляя базу данных AD без изменения (реплицируя с контроллера на контроллер). Причем менялись языки этих OS. Я начал все как прикол (обучался, решил позырить чё это), а теперь здесь все предприятие подключено  .  Раньше везде стояли w2k и все было супер. Теперь начал расстановку WXP SP2 и началось...

P.S.: XP свеже установленные.

[Sla]

sss, не совсем понял
проблема возникает после установки бюлетеня MS05-051
а причем здесь тогда XP SP2?
Раскручивай контроллер домена
может какую политику забыл? или наооборот - применил
XP и W2K - не много по разному могут их воспринимать.

[sss]

Проблема возникает не только после установки MS05-051, но и при изменении списка доступа к каталогу  Registration. На моих машинах так и было с этим каталогом. До внедрения все как надо, после - группа Все исчезает и т. д.. Понятно что где то в недрах есть шаблон списков ACL, применяемых к системным ресурсам. Но где
В Политика->Конфигурация компьютера-> Конфигурация Windows->Параметры безопасности->Файловая система нет таких шаблонов.

А как назначить службе обратно вход от имени Network Service не зная пароля? Придется его задать и переустанавливать его везде где используется эта учетная запись?

P.S.: Скорее всего MS05-051 внедрен в SP2. Черт возьми! Я уже месяца 3 так и не могу допетрить....

[sss]

RXL. Я тут поразмышлял и пришел к выводу, что Вы, возможно, не видите проблему. Как правило, в компьютер вначале ставиться ОС (WXP в нашем случае), затем, допустим, MS Office и другой софт. Затем компьютер внедряется в домен. Далее этим компьютером пользуется один человек и все хорошо. Но если затем в этот же компьютер входит еще пользователь и запускает все тот же Office он начинает доустанавливаться и происходит сбой "Windows Installer не запущен или работает в защищенном режиме". Возможно что это происходит только у меня. Не знаю... Я эту проблему не сразу заметил.

[Sla]

sss, не поверишь нету такой проблемы
Я готовлю машинки полностью, с установкой необходимого софта, ввожу машину в домен, и захожу тестовым юзером,
дело в том что доменные юзера - имеют право, по дефолту, обычного пользователя, а обычному юзеру install запрещен
вывод, если у тебя описанная проблема существует - смотри политику
Повторюсь, политика у ХР отличается от политики W2K

[sss]

Sla, где в политиках смотреть?

[sss]

Рассказываю - взял ветку реестра HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\RPCSS экспортировал с сервера, а затем импортировал на клиенте. И все. Все дело было в рассогласованности уровней безопасности RPC... Сейчас буду наблюдать и обдумывать...

[sss]

Все дело было в рассогласованности уровней безопасности RPC...

Фигня все это. Просто RPCSS вернулся в NETWORK SERVICE.  У клиента опять начались сбои при попытке запуска Windows Installer.

[RXL]

Скажем, я не являюсь администратором домена, но вхожу в группу, которая имеет администраторские права на ряде пользовательских машин. Весь софт, который я ставил, прекрасно работает с другими, более бесправными пользователями.

Думаю, дело в доменных политиках. При корректной настройке домена на пользовательских машинах ниодного лишнего движения не приходится делать.

Кстати, админ у нас "балуется" SMS. Судя по рассказам, для администрирования вещь полезная.

[Sla]

sss, обновление политик происходит через некотрое время, вернее они накатываются периодически
поэтому можно сделать вывод, ты что-то починил, а тебе что-то его поломало. => смотри политики

[sss]

Разобрался наконец. У каждой записи ключа службы есть подключ Security в котором перечисляются учетные записи которым разрешено запускать, останавливать, удалять и т.д. данную службу. Не знаю - есть ли стандартные средства просмотра/редактирования этих разрешений, но я написал свою. Оказалось - служба MsiServer имела в разрешения на чтение только группу Администраторы, SYSTEM и ИНТЕРАКТИВНЫЕ. После добавления разрешения на чтение группы Прошедшие проверку все заработало. Я знаю, что в групповой политике есть настройки безопасности для системных служб. 100% что я там ничего не менял. Заглянул. Так и есть - безопасность всех служб неопределена, а Windows Installer НАСТРОЕНО. Клянусь - я не трогал!!!