Я разработчик, и у меня есть среда разработки Windows Server 2012. Ничего особенного, на нем установлены только AD и WebServer. Все настроено со значениями по умолчанию. Когда я делаю следующее:
Active Diretory Users and Computers > View > Advanced Features
А затем
right click on a User or Container > Security > set some security
Например, даю пользователю DevelopmentUser1
Полное разрешение
для пользователя Адама
, все работает нормально. Но через несколько часов или после перезагрузки разрешения пропали, каким-то образом сброшены.
Что здесь произошло? Почему это происходит и как сделать это постоянным?
Результат для dcdiag / q:
C:\Users\Administrator>dcdiag /q
An error event occurred. EventID: 0x00002720
Time Generated: 04/28/2016 06:11:16
Event String:
The application-specific permission settings do not grant Local Acti
vation permission for the COM Server application with CLSID
An error event occurred. EventID: 0x00002720
Time Generated: 04/28/2016 06:11:16
Event String:
The application-specific permission settings do not grant Local Acti
vation permission for the COM Server application with CLSID
......................... SP2013 failed test SystemLog
C:\Users\Administrator>
Нет эксперта, но то, что вы описываете, звучит как откат USN. Проблема в том, что ваш DC является машиной для разработки, поэтому выяснить, что пошло не так, и в какое время, что вызывает регулярные откаты USN, сложно. Вы можете начать с чтения этой статьи и посмотреть, применимо ли что-то к вашей среде, а затем принять меры оттуда.
Вероятно, у вас возникли проблемы с процессом AdminSDHolder .
Каждый домен Active Directory имеет объект с именем AdminSDHolder, который находится в системном контейнере домена . Объект AdminSDHolder имеет уникальный список управления доступом (ACL), который используется для управления разрешениями субъектов безопасности, которые являются членами встроенных привилегированных групп Active Directory (которые я люблю называть «защищенными» группами). Каждый час на контроллере домена, который выполняет роль хозяина операций эмулятора PDC, запускается фоновый процесс. Он сравнивает ACL для всех участников безопасности (пользователей, групп и учетных записей компьютеров), которые принадлежат к защищенным группам, с ACL для объекта AdminSDHolder. Если размер или двоичная строка отличается, дескриптор безопасности объекта перезаписывается дескриптором безопасности из объекта AdminSDHolder.
Сбрасываемые объекты, скорее всего, находятся в одной из «защищенных» групп.