Přejít k obsahu webu
3.6.2022 / kaldy123

Černá obrazovka domain controlleru

Originální článek naleznete na
https://www.vincecarbone.com/2020/09/10/dcpromo-results-in-black-screen-on-2019-domain-controller/?unapproved=1292&moderation-hash=c987112b1805c617ae7202fa81b8da6a#comment-1292

ale víte jak to chodí: články se z netu ztrácejí, odkaz je dlouhý a vyhledávače jsou nejlepší na reklamu pro Persil…. Takže znovu k problému:

  • Windows 2022 Server Desktop Experience (originální článek popisuje W2019, a samozřejmě, pokud to máte na core, je to jiný kafe…. )
  • Po instalaci role Active Directory Domain Services (ADDS) následuje promoce serveru za domain controller (řadič domény) – dříve dcpromo, nyní radši Install-ADDSDomainController….
  • Během procesu obrazovka blikne, zčerná a máte po GUI. Don’t panic! píšou widlácké příručky, server funguje, můžete použít remote powershell session, RSAT – jak je libo – jenom obrazovka je pro vás nedostupná – včetně ctrl-alt-del….

Řešení:
Nastavte v Default Domain Controller Policy na klíči:
Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies - User Rights Assignmet
přidejte do vlastností Bypass Traverse Checking identitu Everyone
Po nastavení GP proveďte GPupdate – protože nemáte GUI, tak nejlépe přes power shell:
Invoke-GPUpdate -Computer <ServerName> -RandomDelayInMinutes 0 -Force

Diskuse:

  1. Nalezl jsem článek, ve kterém se doporučuje vrazit váš účet do Built-in/administrators v doméně. Domnívám se, že to funguje pouze omezeně a v uvedeném příkladu už vůbec ne. Proč? Čtěte dále…
  2. V diskusi ve výše uvedeném článku se probírá identita Everyone. Návrhy byly Authenticated users nebo ještě užší. Ale: jaký je v doméně rozdíl mezi Everyone a Authenticated Users? Domnívám se, že kromě jiného SID žádný. Jiné omezení? Čtěte dále…
  3. Co vlastně tato politika nastavuje? A to se už dostávám do roviny spekulací – čas je omezujícím faktorem pro hlubší koumání. Setkal jsem se s problémem, že nastavení členství ve skupinách není zcela tranzitivní – jak kdy. To jest když účet U1 vrazím do skupiny G1 a skupinu G1 vrazím do skupiny G2 – ne vždy se oprávnění pro skupinu G2 přenesou na účet U1… A mám podezření, že tato tranzitivita se nastavuje právě touto politikou… a teď babo raď!
    Každopádně: můj účet je zcela jistě mezi Domain Users – a politika nezabrala. Je jasné, že kdybych se vrazil do Built-in/administrators asi by to také nepomohlo, v politice tato skupina není uvedena… a u dotyčného, který radil metodu Built-in/administrators tato skupina zřejmě v této politice figurovala… čorti znájut! … ale budu rád za každý hlas (blbá odpověď bývá důsledkem blbé otázky)…
  4. Já jsem se tím problémem mořil 2 dny. Pohádal jsem se s manželkou a co horší, byl jsem nerudný na svého psa. Přece dcpromo jsem se učil jesště jako widlácký elév na W2003! Proto si je dobré připomenout: Máš-li problém, sdílej ho s ostatními. Často to pomůže …

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

Logo WordPress.com

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s

%d blogerům se to líbí: