"Il criterio di protezione locale del sistema non permette l'accesso interattivo"
VT @ home
- server con Windos 2008 standard SP2 configurato come DC
- client con Windows XP professional SP3 appartenenti al dominio
definito sul server
- oltre ai gruppi standard, sul server sono definiti i gruppi A e B
- oltre agli utenti standard, sul server sono definiti sei utenti: tre
appartengono al gruppo Users ed al gruppo A, tre al gruppo Users ed al
gruppo B
Il server ᅵ stato installato e configurato ad aprile scorso ed ha
funzionato egregiamente fino al 12/8.
In tale data ho effettuato le seguenti operazioni:
- installato sui client tutti gli aggiornamenti disponibili da Windows
Update; fra gli altri, sono stati installati gi aggiornamenti:
KB 968537
KB 956744
KB 960859
KB 968389
KB 971657
- configurato WSUS sul server
Da quel momento gli utenti dei gruppi A e B non riescono ad effettuare
login al server, in quanto viene restituito l'errore:
"Il criterio di protezione locale del sistema non permette l'accesso
interattivo"
Azioni tentate:
- verificato criteri di protezione locali dei client: nessuna
restrizione riscontrata
- verificato criteri di protezione del server: la policy (a livello di
dominio) che definisce i permessi di accesso interattivo ᅵ associata a
diversi gruppi, fra cui Everyone
- aggiunto alla policy suddetta sia il gruppo A sia il gruppo B senza
ottenere risultati
- creato un nuovo utente come appartenente al gruppo A: non riesce ad
effettuare login
- creato un nuovo utente come appartenente al gruppo B: non riesce ad
effettuare login
- assegnato il gruppo Domain administrator ai sei utenti definiti nel
dominio: riescono ad effettuare login
Se qualcuno ha qualche idea ...
Grazie in anticipo
--
Vincenzo Turturro
Certificato Eucip Core Level
ITA 0000-002299 del 14/05/2007
---------------------------------------------
il sito comune di it.comp.appl.access:
http://www.sitocomune.com
---------------------------------------------
risorse Access:
http://www.accessgroup.it
---------------------------------------------
Il sito comune di it.comp.as400
http://www.faq400.com
---------------------------------------------
![Gabriele Del Giovine [Sharepoint Server MVP]'s profile photo](http://lh3.googleusercontent.com/a-/ALV-UjW2MXoOr9W5NMEFVchiOuglZoKch7i4BMg7NPpuAuf5_YNedQ=s40-c)
Gabriele Del Giovine [Sharepoint Server MVP]
Il login lo fai direttamente sulla console o usando un Desktop remoto?
VT @ home
>
> Il login lo fai direttamente sulla console o usando un Desktop remoto?
>
Nᅵ l'uno nᅵ l'altro:
all'accensione il client presenta la schermata classica di
autenticazione in cui digitare utente e password (dove l'utente ᅵ
definito sul server).
Lᅵ si verifica l'errore.
Gabriele Del Giovine [Sharepoint Server MVP]
"VT @ home" <v...@home.it> wrote in message
news:4a8c3740$0$707$5fc...@news.tiscali.it...
> Gabriele Del Giovine [Sharepoint Server MVP] ha scritto:
>>
>> Il login lo fai direttamente sulla console o usando un Desktop remoto?
>>
>
> Nᅵ l'uno nᅵ l'altro:
> all'accensione il client presenta la schermata classica di autenticazione
> in cui digitare utente e password (dove l'utente ᅵ definito sul server).
> Lᅵ si verifica l'errore.
E' stato applicato un template di sicurezza che permette l'accesso
interattivo solo agli amministratori di dominio, probabilmente durante
l'installazione del WSUS. Dovresti vedere le Policy a livello di Dominio, tu
hai controllato le policies locali e quella del server, non quella del
dominio, almeno sulla scorta di quello che hai scritto.
VT @ Work
>
> "VT @ home" <v...@home.it> wrote in message
> news:4a8c3740$0$707$5fc...@news.tiscali.it...
>> Gabriele Del Giovine [Sharepoint Server MVP] ha scritto:
>>>
>>> Il login lo fai direttamente sulla console o usando un Desktop remoto?
>>>
>>
>> Nᅵ l'uno nᅵ l'altro:
>> all'accensione il client presenta la schermata classica di
>> autenticazione in cui digitare utente e password (dove l'utente ᅵ
>> definito sul server).
>> Lᅵ si verifica l'errore.
>
> E' stato applicato un template di sicurezza che permette l'accesso
> interattivo solo agli amministratori di dominio, probabilmente durante
> l'installazione del WSUS.
Non credo: il WSUS era giᅵ installato e funzionante.
Il 12/8 mi sono limitato a specificare il server intranet in modo che il
server medesimo agisse come "deposito" degli aggiornamenti per i client.
> Dovresti vedere le Policy a livello di
> Dominio, tu hai controllato le policies locali e quella del server, non
> quella del dominio, almeno sulla scorta di quello che hai scritto.
A me sembra di avere controllato anche quelle di dominio, comunque ci
riproverᅵ.
Peppacci - MVP -
http://www.microsoft.com/DOWNLOADS/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en
usa il group policy result e segui il wizard-->seleziona il server-->e uno
degli utenti in questione, verifica poi quale policy sono applicate per
l'utente. Poi fai la stessa sul computer client.
--
Peppacci - MVP -
Microsoft Exchange Server
http://blogs.sysadmin.it/peppacci/Default.aspx
Edoardo Benussi [MVP]
[cut all]
puoi verificare in ADUC nelle propriet� degli account utente
se c'� qualche limitazione nella propriet� "logon to" ?
--
Edoardo Benussi - e...@mvps.org
Microsoft� MVP - Most Valuable Professional
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
VT @ home
> Installa sul server il GPMC
> http://www.microsoft.com/DOWNLOADS/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en
>
> usa il group policy result e segui il wizard-->seleziona il server-->e
> uno degli utenti in questione, verifica poi quale policy sono applicate
> per l'utente. Poi fai la stessa sul computer client.
>
Il software ᅵ installabile solo su Windows Server 2003 e Win XP.
Il server in questione ha WIndows Server 2008.
Grazie lo stesso
VT @ home
> VT @ Work wrote:
> [cut all]
>
> se c'ᅵ qualche limitazione nella proprietᅵ "logon to" ?
>
Ho tentato la verifica, ma non ho trovato la proprietᅵ "Logon to".
VT @ home
>
> "VT @ home" <v...@home.it> wrote in message
> news:4a8c3740$0$707$5fc...@news.tiscali.it...
>> Gabriele Del Giovine [Sharepoint Server MVP] ha scritto:
>>>
>>> Il login lo fai direttamente sulla console o usando un Desktop remoto?
>>>
>>
>> Nᅵ l'uno nᅵ l'altro:
>> all'accensione il client presenta la schermata classica di
>> autenticazione in cui digitare utente e password (dove l'utente ᅵ
>> definito sul server).
>> Lᅵ si verifica l'errore.
>
> E' stato applicato un template di sicurezza che permette l'accesso
> interattivo solo agli amministratori di dominio, probabilmente durante
> l'installazione del WSUS. Dovresti vedere le Policy a livello di
> Dominio, tu hai controllato le policies locali e quella del server, non
> quella del dominio, almeno sulla scorta di quello che hai scritto.
>
Probabilmente mi sono spiegato male, ma ho controllato sia le policies
locali (cioᅵ quelle sul client XP), sia sul server le "Default domain
controllers policies" che le "Default domain policies".
VT @ home
Ho selezionato un utente U1 fra quelli esistenti e che non riuscivano
piᅵ a fare login se non assegnadnoli al gruppo "Domain admins" e l'ho
tolto dal gruppo "Domain admins"
Ho acceso un pc C1 ed ho tentato il login con l'utente U1.
Inspiegabilmente (per me) il login ha avuto successo.
Ho ripetuto le stesse operazioni con un altro utente U2 tentando il
login sul medesimo client C1 ed anche questa prova ha avuto successo.
Preoccupato e speranzoso ho tentato il login da un secondo client C2
con l'utente U1 ed in questo caso l'esito ᅵ stato negativo (messaggio
"Il criterio di protezione locale ...").
Sempre sul medesimo client C2 ho tentato il login con l'utente U2 e ...
il tentativo ᅵ andato a buon fine.
Ho riprovato il login con l'utente U1 sul client C2 e stavolta il login
ᅵ stato effettuato con successo.
Accendo un terzo client C3 ed in questo caso non riesco a fare login nᅵ
con U1 nᅵ con U2 anche riprovando piᅵ volte in tempi diversi.
A questo punto ho dedotto che il problema fosse legato ai singoli
computer e non agli utenti.
Sul client C1 e C2 (quelli che consentivano il login anche ad utenti non
facenti parte del gruppo "Domain admins") ho eseguito quindi le seguenti
azioni:
Login con l'utente amministratore
Pannello di controllo
Strumenti di amministrazione
Criteri di protezione locali
Impostazioni di protezione
Criteri locali
Assegnazione diritti utente
Accesso locale
Ho quindi verificato che le impostazioni della proprietᅵ fossero
identiche sui due pc.
Poi ho fatto la stessa cosa sul client C3 (quello che continuava ad
impedire il login) ed ho verificato che la proprietᅵ era impostata in
maniera diversa rispetto a C1 e C2, mancando proprio i gruppi a cui
appartengono gli utenti definiti sul server.
Essendo la proprietᅵ ereditata dal dominio, sono andato sul server ed ho
eseguito le seguenti azioni:
Group Policy Management
Default Domain Policy
Computer Configuration
Policies
Windows Settings
Security Settings
Local Policies
User Rights
Allow log on locally
La proprietᅵ era "Not Defined"
Infine, partendo da "Default Domain Controller Policy", ho verificato
che la medesima proprietᅵ era impostata correttamente prevedendo
l'accesso locale anche per i gruppi a cui appartengono gli utenti
definiti sul server.
A questo punto ho dedotto che il problema fosse determinato in qualche
modo dal mancato refresh delle informazioni sul client.
Sul client C3 ho quindi ripetuto l'identificazione guidata rete avendo
cura di mantenere l'account del computer giᅵ definito sul server e
questo ha risolto il problema: dopo l'operazione le policies locali sono
identiche a quelle definite sul server e tutti gli utenti possono
effettuare il login.
A questo punto, non riuscendo a capire perchᅵ si ᅵ generato il problema,
mi e vi chiedo:
- premesso che tutti i client hanno funzionato perfettamente da marzo al
12/8 u.s., cosa puᅵ avere determinato questo comportamento ?
- Ovvero perchᅵ tutti i pc si sono disallineati rispetto al server ?
- E soprattutto, perchᅵ alcuni pc (C1) si sono riallineati
automaticamente , altri hanno avuto bisogno di un incoraggiamento (C2)
ed altri di una brutale spinta (C3) ?
Tenendo conto cha fra il 12/8 e venerdᅵ 21/8 nessuno ha accesso alcun pc
perchᅵ la ditta era chiusa per ferie.
Per me non sono domande oziose: se ho fatto qualcosa di sbagliato mi
piacerebbe sapere cosa, se ho fatto tutto correttamente, mi piacerebbe
sapere chi o cosa puᅵ essere intervenuto per prevenire inconvenienti
simili in futuro.
Stavolta ᅵ andata bene perchᅵ la ditta era chiusa per ferie, ma non
voglio pensare a cosa sarebbe successo in piena attivitᅵ.
Grazie a tutti per l'aiuto
Edoardo Benussi [MVP]
> Venerd� sono andato dal cliente ed ho eseguito le seguenti azioni.
>
> Ho selezionato un utente U1 fra quelli esistenti e che non riuscivano
> tolto dal gruppo "Domain admins"
> Ho acceso un pc C1 ed ho tentato il login con l'utente U1.
> Inspiegabilmente (per me) il login ha avuto successo.
>
> Ho ripetuto le stesse operazioni con un altro utente U2 tentando il
> login sul medesimo client C1 ed anche questa prova ha avuto successo.
>
> Preoccupato e speranzoso ho tentato il login da un secondo client C2
> "Il criterio di protezione locale ...").
> Sempre sul medesimo client C2 ho tentato il login con l'utente U2 e
> Ho riprovato il login con l'utente U1 sul client C2 e stavolta il
>
> Accendo un terzo client C3 ed in questo caso non riesco a fare login
>
> A questo punto ho dedotto che il problema fosse legato ai singoli
> computer e non agli utenti.
>
> Sul client C1 e C2 (quelli che consentivano il login anche ad utenti
> non facenti parte del gruppo "Domain admins") ho eseguito quindi le
> seguenti azioni:
> Login con l'utente amministratore
> Pannello di controllo
> Strumenti di amministrazione
> Criteri di protezione locali
> Impostazioni di protezione
> Criteri locali
> Assegnazione diritti utente
> Accesso locale
> identiche sui due pc.
>
> Poi ho fatto la stessa cosa sul client C3 (quello che continuava ad
> maniera diversa rispetto a C1 e C2, mancando proprio i gruppi a cui
> appartengono gli utenti definiti sul server.
>
> ho eseguito le seguenti azioni:
> Group Policy Management
> Default Domain Policy
> Computer Configuration
> Policies
> Windows Settings
> Security Settings
> Local Policies
> User Rights
> Allow log on locally
>
> Infine, partendo da "Default Domain Controller Policy", ho verificato
> l'accesso locale anche per i gruppi a cui appartengono gli utenti
> definiti sul server.
>
> A questo punto ho dedotto che il problema fosse determinato in qualche
> modo dal mancato refresh delle informazioni sul client.
> Sul client C3 ho quindi ripetuto l'identificazione guidata rete avendo
> questo ha risolto il problema: dopo l'operazione le policies locali
> sono identiche a quelle definite sul server e tutti gli utenti
> possono effettuare il login.
>
> problema, mi e vi chiedo:
dovresti cercare nel registro eventi del client C3
gli errori che segnalano la mancata applicazione delle policies.
> - premesso che tutti i client hanno funzionato perfettamente da marzo
> al 12/8 u.s., cosa pu� avere determinato questo comportamento ?
> - Ovvero perch� tutti i pc si sono disallineati rispetto al server ?
> - E soprattutto, perch� alcuni pc (C1) si sono riallineati
> automaticamente , altri hanno avuto bisogno di un incoraggiamento (C2)
> ed altri di una brutale spinta (C3) ?
> Tenendo conto cha fra il 12/8 e venerd� 21/8 nessuno ha accesso alcun
> pc perch� la ditta era chiusa per ferie.
le macchine si aggiornano automaticamente
sui server di windows update ?
tenendo conto che l'11/08 era il secondo marted�
del mese quando vengono rilasciate le patch...
> Per me non sono domande oziose: se ho fatto qualcosa di sbagliato mi
> piacerebbe sapere cosa, se ho fatto tutto correttamente, mi piacerebbe
> sapere chi o cosa pu� essere intervenuto per prevenire inconvenienti
> simili in futuro.
vedi l'ipotesi qui sopra
> Stavolta � andata bene perch� la ditta era chiusa per ferie, ma non
> voglio pensare a cosa sarebbe successo in piena attivit�.
>
> Grazie a tutti per l'aiuto
--