yacc> Update:
yacc> Вот лекарство
Это лекарство не работает
- просто в прошлый раз я не отписался - проблема так и осталась нерешенной до новой лабы, поскольку старая тормозила знатно.
Напомню суть - есть новый пользователь AD, он добавляется в Domain Admins, Enterprise Admins и Schema Admins. Под ним заходится на сервак в домене, но административных прав он не имеет - mmc не запустить и сетап того же SQL - тоже - пишет что файл либо не найден либо нет прав.
Я сначала думал что у 2008 R2 этих проблем не будет - так вот они есть.
... и сначала я обнаружил что время на DC и компе в домене - разное. Причем при попытке сменить его на члене домена оно назад возвращается хоть ты убейся. Оказалось что для правильной синхронизации с временем гостевой ОС надо поставить дополнения гостевой ОС. У меня на DC этого не было, а на члене домена - было. По времени они разъехались. Установка на DC их проблему решила, но админских прав все равно не было.
Хотя gpresult честно показывал что новый пользователь - среди локальных админов. Но не по факту.
Далее я уже стал играться с политиками - сделал свою политику, создал новую OU и перенес комп-член-домена туда и связал их.
Сброс UAC ( тот самый флаг EnableLUA ) - не помог - политика честно это накатывала на комп и надобность в ручном залезании в реестр отпала. Но все равно не работало.
Решение оказалось простым но совсем нетривиальным - оно было на сайте expert exchange буквально в двух предложениях, в отличии от других мест, где были пошаговые инструкции - создать правило по добавлению этого пользователя в локальные админы.
Так я и сделал - в этой политике создал дополнительное правило, чтобы этого новоявленного доменного админа добавить в локальные админы. Перезагрузил комп-член-домена, на него накатилась политика и все заработало!