Unatkozik? Vásároljon mosómedvét!…

Hrabal jutott eszembe, de persze IT nyelven ez így hangzik: Unatkozik? Használjon csoportházirendet!…

A "Zero Domain Admin" projektről már írtam, nem kell ragozni. Tegnap egy felhasználó panaszkodott, hogy nem tudja elindítani az ERP kliensét. A felbukkanó üzenetből azonnal tudtam, hogy fájl- és registry jogosultságok hiányoznak. Mi egy J.D. Edwards OneWorld nevű rendszert használunk (rövidítve JDE), amely csak úgy kompatibilis a Windows XP-vel, ha bizonyos helyi könyvtárakhoz és regisztrációs kulcsokhoz a felhasználóknak is adunk írási jogot. A beállítások (ismeretének) hiányában a kollégáim néha arra vetemedtek, hogy local Admin jogot adtak a felhasználóknak – kellően el nem ítélhető módon.

 Korábban Krisztián kollégámmal kiteszteltük, hogy a JDE tudásbázis cikk alapján egy csoportházirenddel szabályozni lehet a szükséges beállításokat. A teszt GPO-t most, hogy a AD architektúrális átalakítása befejeződött, beélesítettem. Egy gpupdate /force és már ment is minden, mint a karikacsapás. Még örültem is magamnak, hogy milyen gyorsan és egyszerűen meg lehet az ilyen problémákat oldani.

Ma reggel a pénzügyön panaszkodtak, hogy nem tudnak betárcsázni az egyik bank rendszerébe. A gép elé ülve azt láttam, hogy a hálózati kapcsolatok mappa üres, az F5 gombot megnyomva pedig közölte a rendszer, hogy nem tudja kilistázni a hálózati kapcsolatokat, győződjek meg róla, hogy fut-e a szolgáltatás, ha nem akkor indítsam el. Melyik szolgáltatás? Az NLA? Futott. A "Network Connections"? Futott.

Az eseménynapló application részében egy hibabejegyzést találtam, amiről a Google semmit, de semmit nem közölt, az egész eléggé semmitmondó, valami szolgáltatást nem tudott regisztrálni.

Hát ez gond, innen nem lesz pénzutalás ma. A pénzügyesek összemosolyogtak, hogy az nem baj, ha azon a gépen nem lesz, de egy másikon legyen, mert ott ma milliók fognak mozogni és annak a banknak a folyószámlájára ma igencsak szükség lesz. Uppsz! Nézd már! A másik gépen ugyanez a jelenség.

Na, ekkor állt össze a kép. Két gépen ugyanolyan probléma, ugyanolyan hibabejegyzés, ugyanúgy tegnap óta – ez egy ismert vírus lesz: a rendszergazda.

Ok. Azt már tudtam, hogy az új GPO a hibás, akkor szedjük le. Tanulja az ember, ugye, hogy ha a GPO-t eltávolítod és menedzselt értékről van szó, akkor az érték visszaáll az eredeti, GPO előtti állapotba. És a jogosultságbeállítás hogyan ne volna menedzselt? Hát, jó pap holtig tanul, mert a jó pap felejtős. Jól látható, hogy a GPO kiosztotta jogosultság lehet ilyen is, meg olyan is, kívánság szerint. Persze mi a "Replace" verziót választottuk, már nem tudom, hogy miért. Leszedés nem működik. Egy pillanatra végigfutott a hideg verejték a hátamon, hogy ha a GPO kiértékelés sem megy, akkor a GPO módosításával nem érek semmit, marad a körbegyaloglás négyszázvalahány gépen. És egyáltalán, milyen jogosultság hiányzik? Hogyan állapítsam meg, ha minden gépen felülírtam? Most akkor kellene egy gépet telepíteni, egy olyan OU-ba elhelyezni, amely nem esik a GPO hatása alá, aztán megnézni az eredeti jogokat – borzasztó macerás…

Néztem, néztem az eredeti GPO-t. Mi hiányozhat belőle? Hiszen ott a "LOCAL SYSTEM"!! Mit akar még ez a gép, hogy a Local system jog sem elég neki?! 

Nem tudom, hogy hogyan ugrott be a "NETWORK SERVICE" account. Valahogy egyszerre csak megértettem, hogy az hiányzik. BeállítottamGpupdate /force, majd újraindítás – és már ment is minden.

Azóta is azon gondolkodom, hogy miért hagytuk ki a "NETWORK SERVICE" fiókot. Nem az ujjunkból szoptuk azt a listát, amit beállítottunk, hanem szépen "lekopiztuk" az eredeti jogosultság listát, csak a "Domain Users" csoport read jogát módosítottuk "Full Control"-ra.

Rejtély. Talán az SP2 okozhatta az eltérést. Meg kellene nézni egy SP1-es XP-t és annak a jogosultság listáját, és össze kéne hasonlítani egy SP2-essel. A Secure By Default törekvésnek lehet egy mellékzöngéje, hogy néhány szolgáltatás gyengébb fiókkal fut, ámde ez esetben ennek a gyengébb fióknak is kell jogot adni a HKLMClasses ágra.

A vége – ezúttal – happy end. Nem kell végigmászni egyesével a gépeket, eltüntek a hibajelenségek. Miközben kétségbeesetten kerestem, hogy mi lehet a hiba oka, többen többféle problémát is bejelentettek, ezeket most utólag csokorba gyűjtöm. Tehát, ha a HKLMClasses ágán nincs a "NETWORK SERVICE"-nek semmilyen joga, akkor az ennek a fiókna a nevében futó alkalmazások nem képesek regisztrálni magukat, ennek következtében:

  • Nem működik, nem listázható a hálózati kapcsolatok mappa, nem lehet dial-up kapcsolatot kezdeményezni
  • Nem működik a csoportházirend kiértékelés sem helyben, sem távolról
  • Nem működik a remote assistance szolgáltatás
  • Az okostelefonok által használt activesync csak az inbox tartalmát szinkronizálja, a többit nem.

Félelmetes nem? – Unatkozik? Használjon csoportházirendet!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: