среда, 13 января 2010 г.

Не запускается сервис WIN-RM

Вроде бы все хорошо. Вновь установленный сервер. Введен в домен. Ничего на него не ставилось, чист, как юная девственница. Устанавливаем ws-management core framework. Все, вроде бы чудесно. Выполняем enable-psremoting. И тут странный облом. Ошибка. В логах вот такое сообщение:

winrm_error

О ужас. Что же делать? Недолгое гугление приводит вот к таким результатам. А именно, сервис WIN-RM стартует под аккаунтом network service. Одна из доменных политик изменила политику Log on as a service (SeInteractiveLogonRight) так, что этот аккаунт потерял эту привилегию. Соответствующая корректировка сразу решила все проблемы.

Вот правильные настройки для network service account.

Privilege Source

Replace a process-level token (SeAssignPrimaryTokenPrivilege)

Explicit assignment

Adjust memory quotas for a process (SeIncreaseQuotaPrivilege)

Explicit assignment

Generate security audits (SeAuditPrivilege)

Explicit assignment

Bypass traverse checking (SeChangeNotifyPrivilege)

Through membership in the Everyone group

- Access this computer from the network (SeNetworkLogonRight)

Through membership in the Everyone group

- Log on as a batch job (SeBatchLogonRight)

Through membership in the Everyone group

- Log on as a service (SeInteractiveLogonRight)

Explicit assignment

- Impersonate a client after authentication

Through membership in the Everyone group

Комментариев нет: