Как отключить проверку цифровой подписи
Установка
Как отключить проверку цифровой подписи драйверов при установке Windows Server 2003
Как проверить правильность установки при разворачивании домена Active Directory
Можно ли сделать обновление (upgrade) Windows XP до Windows Server 2003
Как правильно произвести миграцию домена с Windows NT4 на Windows Server 2003
Как правильно установить Office 2000 на сервер терминалов
Как правильно задать имя домена Windows при установке
Как правильно создать и настроить дополнительный контроллер домена Windows 2003
Настройка
Как настроить стили интерфейса Windows Server 2003
При перезагрузке/выключении компьютера появляется запрос на подтверждение действия. Как его отключить
Как включить звуковые функции которых нет по умолчанию после установки в Windows Server 2003
Видеокарта работает без 3D-функций. Как их включить
При открытии папки с большим количеством файлов это происходит слишком долго. Как ускорить этот процесс
Как запустить программу как сервис
Новые диски не отображаются в списке томов оснастки «Управление дисками»
Домен под управлением Windows Server 2003. На рабочих станциях под управлением Windows XP нет возможности быстрого переключения пользователей. Как ее включить
При подключении сканера к компьютеру отображается сообщение «Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены»
Как в Windows Server 2003 записывать компакт-диски средствами Проводника
Как включить опцию Спящий режим.
Почему приложение перестает отвечать, завершает работу или работает неправильно
Как проверить совместимость оборудования с операционной системой Windows Server 2003
Где можно увидеть данные об установленных аудио-видео кодеках
После установки SP1 появились проблемы в работе некоторых приложений
Как скрыть сетевые ресурсы в домене от определенных пользователей
Как изменить расположение или имя папки Documents and Settings
Как внести изменения в реестр нерабочей системы
Не удается открыть содержимое файлов справки CHM расположенных на сетевых ресурсах
Администрирование
Как переустановить учетную запись компьютера в домене
Как создать учетную запись из командной строки
Как ограничить возможность подключения нескольких пользователей под одной учетной записью
Как переподключить членов домена к новому, после потери старого
Как организовать авторизацию из скрипта для доступа к общим папкам на внешнем сервере
Как перенести базы данных DHCP с Windows 2000 на Windows Server 2003
Во время понижения роли контроллера домена под управлением Windows Server 2003 с помощью мастера установки AD (Dcpromo.exe) произошла ошибка
Как восстановить состояние объектов групповой политики по умолчанию
Очень долгая загрузка компьютеров - членов домена | Ошибка
Изменения групповой политики паролей не применяются на клиентах домена
Как организовать пакетное добавление пользователей в Active Directory на Windows 2000/2003
Как настроить автоматическое обновление компьютеров сети из источника в локальной сети
Как организовать переименование рабочих станций в домене удаленно
При добавлении пользователя выдается ошибка: "Не удалось проверить уникальность предлагаемого имени пользователя в глобальном каталоге по следующей причине......"
При добавлении станции к домену выдается сообщение, что превышено максимальное допустимое число записей
Как на терминальном сервере Windows Server 2003 ограничить одновременное количество запусков определённой программы пользователям
Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью групповых политик
Сеть
Как настроить сервер FTP в Windows 2003
При создании подключения удаленного доступа ошибка 720: "Нет настроенных протоколов управления PPP"
При подключении к RRAS серверу клиент не проходит аутентификацию | Error 619
Безопасность
Как правильно настроить брандмауэр (Firewall) на контроллере домена Windows Server 2003
Все вопросы вы можете задать на
| © Все права защищены OSzone.net 2001-2006 | версия 1.1.0 |
Добавлен вопрос Как запретить использование
Blast
Последнее обновление: 19.05.2006
Версия: 1.1.0
Что нового
Изменения в разделе
Администрирование:
Добавлен вопрос Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью групповых политик
Изменения в разделе
Настройка:
Добавлен вопрос Не удается открыть содержимое файлов справки CHM расположенных на сетевых ресурсах
Данный сборник часто задаваемых вопросов является оффлайн версией FAQ с нашего сайта OSzone.net. Последнюю версию вы всегда можете найти по адресу:
http://www.oszone.net/display.php?id=3642
Полезные ссылки:
FAQ по Windows XP
FAQ по Windows 2000/2003
Статьи по Windows XP
Статьи по Windows 2003
Форум по Windows XP
Форум по Windows 2000/2003
Статьи компьютерной тематики
Компьютерный форум
Каталог программного обеспечения
Если у вас есть пожелания, советы, полезные данные по наполнению данного FAQ просьба обращаться по этому адресу.
Если вы не нашли ответа на свой вопрос, то можете задать его на нашем форуме: http://forum.oszone.net.
Также можете ознакомиться с материалами нашего сайта: http://www.oszone.net
Внимание: Применение материалов данного руководства в печатных или электронных изданиях, включая электронные статьи, должно сопровождаться указанием адреса сайта OSzone.net и имени автора.
Перейти к перечню всех вопросов FAQ по Microsoft Windows Server 2003
sif вы должны внести такую
Необходимо создать файл ответов winnt.sif
В разделе [Unattended] файла winnt. sif вы должны внести такую строку:
DriverSigningPolicy=Ignore
Данная строка вынудит программу установки проинсталлировать неподписанные драйверы (not WHQL certified).
Эта строка используется в сочетании с OemPnPDriversPath:
В разделе [Unattended] файла winnt.sif вы должны внести примерно такую строку:
OemPnPDriversPath="Drivers\000_intel_INF;Drivers\001_gigabit_LAN;Drivers\002_monitor"
Впрочем, по информации с форума msfn.org, этот трюк не всегда срабатывает, так что по возможности используйте подписанные драйверы. Или устанавливайте неподписанные вручную в случае проблем.
о паролях на контроллере домена
Этап первый: Настройка домена назначения
Для миграции журнала SID и сведений о паролях на контроллере домена должно быть установлено средство «Миграция в Active Directory». Для этого выполните следующие действия: 1. Включите в политике по умолчанию для контроллеров домена аудит успешных и неудачных операций «Аудит управления учетными записями». Для этого выполните следующие действия.
a. Запустите оснастку «Active Directory — пользователи и компьютеры».
b. Разверните домен, щелкните правой кнопкой мыши раздел Контроллеры домена и выберите пункт Свойства.
c. На вкладке Групповая политика выберите объект Политика контроллеров домена по умолчанию и нажмите кнопку Изменить.
d. Последовательно разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности, Локальные политики, а затем Политика аудита.
e. В правой части окна дважды щелкните Аудит управления учетными записями.
f. Установите флажок Определить следующие параметры политики, а также флажки:
Успех
Отказ
g. Нажмите кнопку ОК, закройте редактор объектов групповой политики и снова нажмите кнопку ОК.
h. Дождитесь, пока изменения групповой политики распространятся на домен.
2. Войдите от имени администратора на контроллер домена с установленным средством «Миграция в Active Directory».
3. Введите следующую команду, чтобы создать файл ключа экспорта паролей (PES)
admt key исходный_доменпутьпароль
где исходный_домен — это сетевое имя исходного домена Windows NT 4.0, путь — это путь к файлу экспорта паролей, а пароль — это необязательный пароль или символ звездочки (*), помогающие защитить файлы PES.
Примечание. Необходимо указывать локальный путь для файлов PES. Путь может указывать на сменный носитель, например на дисковод гибких дисков, дисковод ZIP или дисковод для дисков CD-R или CD-RW. Кроме того, если указать пароль, средство «Миграция в Active Directory» сможет защитить файл. Если ввести звездочку (*), то средство «Миграция в Active Directory» предложит ввести и подтвердить пароль. При вводе пароль скрывается операционной системой.
4. Переместите созданный файл PES на сервер экспорта паролей в исходном домене. Этим сервером может быть любой контроллер домена в домене Windows NT 4.0, имеющий быстрое и надежное соединение с компьютером под управлением Windows Server 2003, на котором установлено средство «Миграция в Active Directory».
Этап второй: Настройка исходного домена
Чтобы настроить исходный домен Windows NT 4.0 для миграции паролей, выполните следующие действия.
1. Создайте новую локальную группу с именем исходный_домен$$$, где исходный_домен — это NetBIOS-имя исходного домена Windows NT 4.0. Данная группа должна быть пустой.
2. На основном контроллере домена необходимо включить аудит успешных и неудачных операций управления пользователями и группами. Для этого выполните следующие действия.
a. Запустите диспетчер пользователей в домене.
b. В меню Политики выберите пункт Аудит.
c. Выберите пункт Аудит следующих событий и установите следующие флажки для пункта Управление пользователями и группами:
Успех
Отказ
d. Нажмите кнопку ОК.
3. Разрешите на исходном домене доступ к базе данных диспетчера учетных записей безопасности с помощью удаленного вызова процедур, изменив значение параметра реестра TcpipClientSupport на 1. Для этого выполните следующие действия. Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
a. На основном контроллере домена нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.
b. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
c. В меню Правка выберите пункт Создать, а затем — Параметр DWORD.
d. Введите имя нового параметра TcpipClientSupport.
e. Щелкните правой кнопкой мыши параметр TcpipClientSupport и выберите команду Изменить.
f. В поле Значение введите 1 и нажмите кнопку ОК.
g. Закройте редактор реестра.
Примечание: Необходимо перезапустить компьютер, чтобы изменения вступили в силу. Тем не менее нет необходимости перезагружать компьютер до установки компонента DLL миграции паролей средства «Миграция в Active Directory».
4. Установите компонент DLL миграции паролей средства «Миграция в Active Directory» на основном контроллере домена. Для этого запустите программу Pwdmig.exe из папки I386\ADMT\Pwdmig на компакт-диске Windows Server 2003 или из папки, в которую было загружено средство «Миграция в Active Directory».
После запуска мастера установки компонента DLL миграции паролей средства «Миграция в Active Directory» необходимо указать путь к файлу PES, перенесенному из домена Windows NT 4.0. Для этого файла необходимо указывать локальный путь. Кроме того, будет предложено ввести пароль, заданный при создании этого файла.
5. После успешного завершения установки компонента DLL миграции паролей средства «Миграция в Active Directory» нажмите кнопку Да, когда появится приглашение перезагрузить компьютер.
6. Перед началом миграции паролей из домена Windows NT 4.0 измените значение параметра реестра AllowPasswordExport на 1. Для этого выполните следующие действия. Внимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
a. На основном контроллере домена нажмите кнопку Пуск, выберите пункт Выполнить, в поле Открыть введите команду regedit и нажмите кнопку ОК.
b. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
c. На правой панели щелкните правой кнопкой мыши параметр AllowPasswordExport и выберите команду Изменить.
d. В поле Значение введите 1 и нажмите кнопку ОК.
e. Закройте редактор реестра.
За более подробной информацией по данному вопросу вы можете обратиться к этой статье MS KB
Если решений предложенных в статье оказалось недостаточно для решения проблемы, то вы можете обратиться в эту тему на форуме OSzone.net
Выполняем проверку конфигурации первого контроллера
1. Выполняем проверку конфигурации первого контроллера домена
Например как указано в этой статье MS KB: "Рекомендации по настройке контроллеров домена Windows"
конфигурация TCP/IP контроллера: IP статический, Предпочитаемый DNS указывает на собственный IP адрес.
проверяем Журналы событий на предмет наличия ошибок при настройке этого КД
также можно выполнить команды netdiag.exe и dcdiag.exe из дополнительного набора инструментов Resource Kit Tools для Windows 2003)
2. Делаем резервную копию первого КД
(Например удачным решением будет использовать Автоматический набор восстановления системы ASR - в ntbackup.exe)
3. На новый сервер устанавливаем ОС
4. Выполняем настройки TCP/IP: IP адрес статический и уникальный, Предпочитаемый DNS указывает на IP адрес первого контроллера - тк он и есть DNS сервер.
5. Выполняем подключение этой системы к домену по DNS имени домена (Servers - - [NTDS Settings] -> Servers - your.domain.local - [NTDS Settings]).
Если на этом этапе возникают ошибки - значит инфраструктура DNS развернута не правильно.
6. Регистрируемся учетной записью Администратора домена и запускаем мастер Управление данным сервером (Manage Your Server)
7. Если спросят указываем выборочную конфигурацию (Custom) и выбираем новую роль Контроллера домена (Domain Controller)
(Если есть необходимость развернуть новый контроллер удаленно можно использовать резервную копию первого КД для оперции загрузки базы AD)
8. В мастере создания контроллера домена выбираем режим Дополнительного контроллера домена и указываем DNS имя домена
9. Выполняем дополнительные настройки (пути к каталогам, пароли и тп) и дожидаемся окончания процесса конфигурации и переноса базы данных
10. Выполняем перезагрузку нового контроллера домена и выполняем проверку журналов системы (Event Viewer)
11. Если все в порядке, то открываем мастер Управления данным сервером (Manage Your Server) второй раз и выполняем добавление роли DNS сервера на эту систему (кстати эту операцию можно выполнить перед поднятием роли контроллера домена)
12. На предложение мастера о создании зоны DNS следует отказаться (необходимые зоны уже были интегрированы в базу Active Directory и реплицировались с первого КД)
13. Используем консоль управления DNS сервером для того чтобы убедиться что необходимые зоны появились (_msdcs.your.domain.local> и your.domain.local). Иначе перезагружаем сервер.
14. Теперь в сети инфраструктура DNS была изменена и DNS сервера теперь 2. Поэтому на всех ОС, входящих в домен необходимо эти изменения отобразить:
15. В качестве предпочитаемого DNS сервера на системах уже должен был быть установлен IP адрес первого КД, а вот теперь в качестве альтернативного нужно указать IP адрес второго контроллера домена.
16. Особо отмечу что эта конфигурация должна быть отображена на всех системах в домене: контроллеры, сервера и клиенты.
(Если только не используется особые режимы настрйки инфраструктыры DNS)
17. Также добавить на второй КД роль Глобального Каталога (в дополнении к первому):
На втором КД - открываем консоль [Active Directory Сайты и службы] - [Default-First-Site-Name] - Servers - ДК2 - [NTDS Settings] открываем свойства и помечаем данный сервер как носитеть Глобального Каталога.
18. Анализируем журнал Directory Service на втором контроллере, дожидаемся репликации и подтверждения принятия роли ГК. Перегружаемся.
Что это даст? Это методика позволяет в случае выхода из строя первого контроллера домена - находить второй контроллер и работать с базой данных Active Directory.
Конечно, если первый контроллер будет отключен, то не будут доступны хозяева операций - 5 штук. Самым нужным кторым для клиента является Хозяин - "Эмулятор PDC". Например он нужен клиентским системам чтобы выполнять некоторые операции для осблуживания клиентов.
Как это все проверить? очень просто: отключаем от сети первый контроллер, далее:
а. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени сторого доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу
б. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени нового для этой станции доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу опять
в. можно пойти еще дальше и перезагрузить в таком состоянии сети второй контроллер домена (и повторить операцию а. или б.)
конечно на всех операциях нужно выполнить анализ Журналов Системы (локальной станции и второго контроллера).
выход из строя второго контроллера наверно интересно проэмулировать только с целью получения данных об ошибках в журналах работы доменных служб на первом КД.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума:
Создание дополнительного контроллера домена Windows 2003
Как правильно установить MS Office 2000 на сервер терминалов
Чтобы установить Office 2000 на компьютер с установленными службами терминалов с помощью командной строки, выполните следующие действия.
1. Установите пакет ресурсов Office Resource Kit.
2. В командной строке введите:
change user /install
3. Установите средства сервера терминалов из пакета ресурсов Office Resource Kit.
4. Чтобы установить соответствующий компонент Office с помощью файла преобразований, введите в командной строке:
путь_к_папке_office_2000\setup transforms="путь_к_пакету_office_resource_kit\termsrvr.mst"
5. Если переключение в режим установки было выполнено вручную, после установки переключитесь обратно в режим выполнения. Для этого в командной строке введите:
change user /execute
Для пояснения рассмотрим следующий пример. Установите пакет ресурсов Office Resource Kit в папку по умолчанию на диск C. Затем вставьте в дисковод компакт-диск Office 2000. В командной строке введите:
D:\Setup.exe TRANSFORMS="C:\Program Files\ORKTools\ToolBox\Tools\Terminal Server Tools\TermSrvr.MST"
На время этой установки специально отключены некоторые возможности Office 2000. Доступен только неподвижный агент. Выбор другого агента невозможен.
Так как установить Office 2000 может только администратор, в службах терминалов не поддерживаются компоненты установки по требованию, а также компоненты поиска и восстановления.
Есть зарегистрированный домен второго уровня
Есть зарегистрированный домен второго уровня firma.ru. Как шлюз стоит Linux, на нем DNS этого домена, прокси, почта и WWW. Нужно в локальной сети поднять домен на Windows. Вопрос - как правильно задать имя домена
Есть два варианта:
Вариант 1
1. ресурсы домена АД локального должны быть доступны пользователям из вне. те, например, аутентификация пользователей которые в Инет кафе - в Мельбурне. Аутентификация для этих пользователей бывает нужна в основном для авторизации доступа к ресурсам (например в вашему доменному ВЕБ серверу или SQL серверу..)
1.1 тогда можно сделать ваш локальный домен с именем firma.ru (но тогда будет необходимо, чтобы сервер DNS на Linux поддерживал некоторые особенности для поддержки домена , кажется с версии BIND 8.2.1 все поддерживается)
1.2 можно проще. создать делегированную зону с именеме, к примеру corp.firma.ru и разместить ее на DNS Windows Server'e.
тогда все замечательно. и из вне все будет находиться, если контроллерам внешние IP назначить, и локально все будет работать (разрешение имен)
Вариант 2
2. Не нужна внешняя аутентификация (90% случаев), только интересует домен.
2.1 Задаем название firma.local, делаем домен, сервер DNS настраиваем на пересылку (forvarding) на DNS Linux. Если вдруг есть зона "." - удаляем ее совсем (будьте внимательны, при создании первого контроллера он должен иметь пустое поле в свойствах Предпочитаемого сервера DNS, а не указывать на внешние сервера, иначе dcpromo будет пытаться настроить необходимую зону как раз на внешних DNS'сах - 97% ее с этими изменениями "отошьют".
2.2 Далее можно вручную добисать в первичной зоне домена A (www=local IP your Linux with WWW service)записи для вашего WWW (на LINUX), тогда из локальной сети пользователи смогут обращаться в нему, например по имени www.firma.local.
но можно этого и не делать, все равно разрешения получат из локальной сети, но тогда уже по имени внешнему www.firma.ru (те, вернет им на этот запрос DNS LInux сервер - внешний свой IP адрес). оба варианта годятся (выбор только за приложениями, которые ваши пользователи локально используют - нужно им именно www.firma.ru или сойдет и .local)
Как проверить правильность установки при разворачивании домена Active Directory
Чтобы узнать правильно ли было сделано - нужно задать другой вопрос - вы не велосипед изобретаете - поэтому как нужно делать новую сетевую службу/компонент - конечно уже описано.
Как пример - в серверной системе уже есть встроенная справка (не подумайте ничего плохого, это я не посылаю вас на F1 - просто подвожу к ней.. знакомиться так сказать.. те представляю), а еще есть мастер управления конфигурацией.. Manage your server (Administrative Tools) при выборе пункта Add/Remove Role и режима Custom конфигурации он отображает список тех ролей, которые можно сделать, используя встроенные в ваше серверную систему возможности.
так вот при указании на пункт Domain Controller (Active Directory) - справа появляется, появляется ссылка на конкретные ЦУ о том как правильно нужно сделать именно ее и как (подготовка, развертывание и дальнейшие шаги). Да и под самим пунктом Add/Remove Role - есть тоже самое - Read about server roles - но это уже по всем.
вот поэтому развертывание инфраструктуры компонент нужно разделить на несколько этапов:
-изучение темы, постановка задачи (удобство управления и обслуживания)
-поиск возможных решений (Microsoft Windows systems)
-получение ЦУ о развертывании (deployment guide)
-тестирование на полигоне (your server or Virtual Servers/PC)
-планирование внедрения и подготовка плана действий на случай отката ("to do" lists)
-наладка и тестирование (log files and managing)
-мониторинг и обслуживание (new events and new backups)
Так же для проверки используйте Support Tools из дистрибутива серверной системы и используйте команды netdiag /v dcdiag /v и другие тоже.. в журналы системы и компонент заглядывайте.
Компанией Microsoft заявлена возможность обновления
Компанией Microsoft заявлена возможность обновления до Windows 2003 Server со следующих платформ:
Windows NT Server 4.0 with Service Pack 5 or later
Windows NT Server 4.0, Terminal Server Edition, with Service Pack 5 or later
Windows NT Server 4.0, Enterprise Edition, with Service Pack 5 or later
Windows 2000 Server
Windows 2000 Advanced Server
Windows Server 2003, Standard Edition
В рабочих средах так и следует поступать. Рекомендовать выполнения обновления систем с рабочей станции до уровня сервера вам никто не будет, тк слишком велика вероятность некорректной работы подобным образом мутированной системы.
Однако, для тестового использования, возможен следующий метод обновления (upgrade) систем Windows XP до Windows Server 2003:
В исходном дистрибутиве необходимо выполнить модификацию файла: dosnet.inf
i386\dosnet.inf
в нем есть параметр, определяющий какая операционная система будет устанавливаться:
[Miscellaneous]
ProductType = х
где x это:
0 - Professional
1 - Standart
2 - Enterprise Edition
поэтому перед обновлением заменяем тип продукта на соответствующий номер исходной системы.
не забудьте выполнить резервное копирование исходной системы и не забывать, в дальнейшем, о проведенной операции мутации и делать поправку на будущие ошибки.
Перечень всех вопросов раздела Установка
Как отключить проверку цифровой подписи драйверов при установке Windows Server 2003
Как проверить правильность установки при разворачивании домена Active Directory
Можно ли сделать обновление (upgrade) Windows XP до Windows Server 2003
Как правильно произвести миграцию домена с Windows NT4 на Windows Server 2003
Как правильно установить Office 2000 на сервер терминалов
Как правильно задать имя домена Windows при установке
Как правильно создать и настроить дополнительный контроллер домена Windows 2003
Для начала установим службы IIS
Служба FTP зависит от служб IIS (Internet Information Services). Чтобы установить службы IIS и FTP, выполните следующие действия.
Примечание. В Windows Server 2003 служба FTP не устанавливается по умолчанию одновременно со службами IIS. Если службы IIS уже установлены, воспользуйтесь для установки службы FTP компонентом «Установка и удаление программ» панели управления.
1. В меню Пуск выберите пункт Панель управления и запустите компонент Установка и удаление программ.
2. Нажмите кнопку Установка компонентов Windows.
3. В списке Компоненты выберите пункт Сервер приложений, затем — Службы IIS (но не меняйте состояния флажка) и нажмите кнопку Состав.
4. Установите следующие флажки (если они не установлены):
Общие файлы
Служба FTP
Диспетчер служб IIS
5. Установите флажки других необходимых компонентов или служб и нажмите кнопку ОК.
6. Нажмите кнопку Далее.
7. В ответ на соответствующий запрос вставьте компакт-диск Windows Server 2003 или укажите путь к месту расположения файлов и нажмите кнопку ОК.
8. Нажмите кнопку Готово.
Настройка службы FTP
Чтобы настроить службу FTP на прием анонимных подключений, выполните следующие действия:
1. Запустите «Диспетчер служб IIS» или откройте оснастку IIS.
2. Разверните компонент имя_сервера, где имя_сервера — имя сервера.
3. Разверните компонент Узлы FTP.
4. Щелкните правой кнопкой мыши элемент FTP-узел по умолчанию и выберите пункт Свойства.
5. Перейдите на вкладку Учетные записи безопасности.
6. Установите флажок Разрешить анонимные подключения (если он не установлен) и флажок Разрешить только анонимные подключения.
После установки флажка Разрешить только анонимные подключения служба FTP принимает только анонимные подключения (пользователи не смогут подключиться с помощью своих учетных данных).
7. Перейдите на вкладку Основной каталог.
8. Установите флажки Чтение и Запись в журнал (если они не установлены), снимите флажок Запись (если он установлен).
9. Нажмите кнопку ОК.
10. Закройте диспетчер служб IIS или оснастку IIS.
Сервер FTP готов принимать входящие запросы FTP. Скопируйте или переместите файлы, к которым следует открыть доступ, в папку публикации FTP. По умолчанию используется папка диск:\Inetpub\Ftproot, где диск — это диск, на котором установлены службы IIS.
Дополнительную информацию вы можете получить из этой статьи MSKB:
Настройка сервера FTP в Windows Server 2003
Полный перечень вопросов раздела Сеть
Как настроить сервер FTP в Windows 2003
При создании подключения удаленного доступа ошибка 720: "Нет настроенных протоколов управления PPP"
При подключении к RRAS серверу клиент не проходит аутентификацию | Error 619
в домене на базе Windows
Проблема
В момент соединения с сервером RRAS в домене на базе Windows 2003 Server, не проходит аутентификация клиента. Сервер RRAS пытается подтвердить аутентификацию клиентов, которые являются локальными по отношению к RRAS серверу, но он не аутентифицирует клиентов домена.
Вы можете получать одно из следующих сообщений об ошибке:
• Error 619, "The port was disconnected."
• Error 645, "Dial-Up Networking could not complete the connection to the server."
• Error 930, "The authentication server did not respond to authentication requests in a timely fashion."
Так же, RRAS сервером может быть записано следующее сообщение в журнал событий:
Event id: 20073
Source: RemoteAccess
Description: The following error occurred in the Point to Point Protocol module on port: port number, UserName: user name. The authentication server did not respond to authentication requests in a timely fashion.
Проблема
Это может происходить из-за того, что учетная запись с которой вы вошли в домен, не имеет прав администратора в данном домене.
Причина этому в том, что службы способные поставить под угрозу безопасность сети, такие как RRAS, отказывают в получении доступа к домену.
Ошибка 930 может быть вызвана в случае если путь по умолчанию к лог-файлу удаленного доступа изменен или неправильный.
Решение
Для решения данной проблемы вы должны зарегистрировать RRAS сервер в Active Directory используя учетную запись с правами администратора домена. Чтобы сделать это воспользуйтесь одним из следующих способов:
Добавление компьютера RRAS в соответсвующую группу
1. Войдите в систему с учетной записью администратора домена.
2. Запустите Active Directory Пользователи и Компьютеры, и щелкните на имени домена.
3. Зайдите в папку Пользователи, и в группу RAS and IAS Servers.
4. Выберите закладку пользователей.
5. Добавьте сервер RRAS в эту группу.
Примечание: Если в организации больше одного домена и пользователи других доменов подключаются к серверу RRAS, повторите пункты с 1 по 5 для добавления сервера RRAS в группу "RAS and IAS Servers" для соответствующего домена.
Использование утилиты Netsh.exe
Примечание: Способ с использованием Netsh. exe возможен только если сервер RRAS расположен на Windows 2000.
Используйте один из двух методов применения утилиты Netsh.exe:
Метод 1
Запустите компьютер, использующий RRAS с учетной записью с правами администратора домена, наберите следующую команду в командной строке:
netsh ras add registeredserver
и нажмите ENTER.
Метод 2
Для запуска команды с правами администратора при условии, что вы не вошли в систему с учетной записью с правами администратора домена, проделайте следующее:
1. В командной строке на компьютере использующем RRAS , напишите
runas /user:domain name\administrator name
где domain name соответствующее имя домена, и administrator name соответствующее имя администратора.
Вам понадобится ввести пароль данной учетной записи. Если компьютер подключен к контроллеру домена и прошел проверку, данная команда откроет командную строку со следующим текстом в заголовке окна:
cmd (running as domain name\administrator name)
2. В командной строке введите команду
netsh ras add registeredserver
и нажмите ENTER.
Примечание: При любом из описаных методов вы получите одно из следующих сообщений:
Command Is Successful:
Registration completed successfully:
RAS Server: RAS server name
Domain: domain name
Command Is Not Successful:
Registration FAILED:
RAS Server: RAS server name
Domain: domain name The specified domain either does not exist or could not be contacted.
Если вы изменяли путь по умолчанию к лог-файлу Удаленного Доступа, вы должны дать права учетной записи System на запись в новый каталог. (Путь по умолчанию %Systemroot%\System32\LogFiles.
Для проверки пути по умолчанию расположения лог-файла Маршрутизации и Удаленного Доступа, проделайте следующее:
1. Откройте оснастку Маршрутизация и Удаленный Доступ.
2. Кликните правой кнопкой мыши на Route Access Logging object, и затем левой кнопкой мыши на Свойства.
3. Выберите закладку Local File.
При создании подключения удаленного
Помимо указанной ошибки могут наблюдаться следующие проблемы:
При освобождении и обновлении IP-адреса с помощью программы Ipconfig появляется следующее сообщение об ошибке:
Произошла ошибка при обновлении интерфейса «Internet»: Сделана попытка выполнить операцию над объектом, не являющимся сокетом.
После запуска Internet Explorer появляется следующее сообщение об ошибке:
Не удается отобразить страницу
В процессе работы появляется следующее сообщение об ошибке:
Произошла ошибка при запуске функции инициализации INITHELPERDLL в IPMONTR.DLL, код ошибки: 10107
Кроме того, интерфейсу могут не назначаться IP-адреса или автоматические частные IP-адреса (APIPA), а также компьютер может принимать IP-пакеты, но быть не в состоянии отправлять их.
При использовании команды ipconfig /renew появляется следующее сообщение об ошибке.
Сообщение 1
Произошла ошибка при обновлении интерфейса «Подключение по локальной сети»: сделана попытка выполнить операцию над объектом, не являющимся сокетом. Не удается установить контакт с драйвером. Код ошибки 2.
Сообщение 2
Операция завершена с ошибкой, поскольку ни один адаптер не находился в состоянии, допустимом для ее выполнения.
Сообщение 3
Предпринятая операция не поддерживается для выбранного типа объекта.
Если в диспетчере устройств выбрать команду Показать скрытые устройства, то драйвер протокола TCP/IP в разделе Драйверы устройств не Plug and Play показан как отключенный и отображается сообщение об ошибке с кодом 24.
Причина:
Все эти ошибки суидетельствуют о повреждении разделов реестра, в которых хранится конфигурация Winsock.
Решение:
Этап 1: Проверка целостности раздела Winsock2
1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду Command и нажмите кнопку ОК.
2. Введите команду netdiag /test:winsock и нажмите клавишу ВВОД.
Средство Netdiag отобразит результаты проверки ряда сетевых компонентов, в том числе Winsock.
Для получения дополнительных сведений о данной проверке добавьте в конце команды netdiag параметр
Примечание: средство netdiag на ходится в папке Support\Tools установочного диска ОС
Если средство Netdiag сообщает об ошибке необходимо восстановить раздел реестра Winsock2. Для этого следуйте инструкциям, изложенным далее.
Этап 2: Восстановление поврежденной конфигурации Winsock
Введите в командной строке
netsh winsock reset
Примечание. После выполнения команды перезагрузите компьютер.
Предупреждение. Выполнение команды netsh winsock reset может плохо отразиться на программах, которые используют или контролируют доступ к Интернету, например на антивирусных программах, брандмауэрах или клиентах прокси. В случае неправильной работы одной из этих программ после использования рассматриваемого метода переустановите программу, чтобы восстановить ее работоспособность.
Если эти операции не решают проблемы, следуйте инструкциям, изложенным далее.
Удалите поврежденные разделы реестра и переустановите протокол TCP/IP.
Удаление поврежденных разделов реестра
1. В редакторе реестра найдите следующие разделы, щелкните каждый из них правой кнопкой мыши и выберите пункт Удалить:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
2. После удаления разделов реестра перезагрузите компьютер. После перезагрузки Windows XP создаст эти разделы заново.
Установка TCP/IP
1. Щелкните правой кнопкой мыши сетевое подключение и выберите команду Свойства.
2. Нажмите кнопку Установить.
3. Выберите пункт Протокол и нажмите кнопку Добавить.
4. Нажмите кнопку Установить с диска.
5. Введите C:\Windows\inf и нажмите кнопку ОК.
6. В списке протоколов выберите Протокол Интернета (TCP/IP) и нажмите кнопку ОК.
Изменения групповой политики паролей не применяются на клиентах домена
В частности для режима требования сложности мы сможем увидеть какая политика домена его включает.
Затем найдите ее в домене и настройте как необходимо.
Думаю, что требования сложности у вас настраивает политика безопасности домена по умолчанию (Defaul Domain Security Policy - доступная для изменения через Administrative tools), а вы , возможно, создали собственную политику, но ее приоритет ниже чем у встроенной, поэтому ее настройки и не применяются.
В приципе и это решается, только нужно знать сколько политик у вас и где они.
Кроме того в Windows Server 2003 имеется встроенный инструмент анализа политик - оснастка Resultant Set of Policy (доступ к ней через консоль MMC.EXE), которая является облегченной версией анализатора GPMC.
Если данное решение не помогло вам решить проблему вы можете обратиться в эту тему на форуме OSzone.net
Как на терминальном сервере
Как это реализовать стандартными средствами Windows найти не удалось, однако в WMI командах есть возможность выполнять отображение количество запущенных процессов.
Ниже пример небольшого сценария, который, работая резидентно, отслеживает процессы приложения по имени исполняемого файла, для примера блокнота (notepad.exe) или калькулятора (calc.exe) - по счетчику (n=3) - отслеживает количество работающих приложений.
При этом, сам сценарий загружается как процесс wscript.exe и отображается с этим именем в диспетчере задач.
Пример скрипта:
strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colMonitoredProcesses = objWMIService. _ ExecNotificationQuery("select * from __InstanceCreationEvent" _ & " within 1 where TargetInstance isa 'Win32_Process'")
Set colMonitorProcessesd = objWMIService.ExecNotificationQuery _ ("SELECT * FROM __InstanceDeletionEvent " & _ "WITHIN 1 WHERE TargetInstance ISA 'Win32_Process' ")
i = 0 num=3 lim=num
Do While i = 0 Set objLatestProcess = colMonitoredProcesses.NextEvent If objLatestProcess.TargetInstance.Name = "notepad.exe" or objLatestProcess.TargetInstance.Name = "calc.exe" Then num=num-1 Wscript.Echo "Num: "& num if num
С целью информативности работы сценария принменены всплывающие окна, которые можно убрать.
Указаный сценарий предназначен для запуска в приложении Cscript.exe. Исходя из этого, если программой для запуска сценариев по умолчанию она не является в вашей системе, вам необходимо добавить перед сценарием имя программы "cscript"
например: cscript Processrestrict.vbs.
Если предоставленной информации оказалось недостаточно для решения вашей задачи вы можете
задать вопрос в этой теме форума
Как настроить автоматическое обновление компьютеров сети из источника в локальной сети
В решении данной задачи вам поможет развертывание служб Windows Server Update Services (WSUS)
Службы WSUS позволяют системным администраторам развертывать новейшие обновления продуктов корпорации Майкрософт на компьютерах сети, работающих под управлением операционных систем Windows Server 2003, Windows 2000 Server и Windows XP.
Вашему вниманию представлено пошаговое руководство в котором описывается установка служб WSUS на серверы, работающие под управлением операционных систем Windows Server 2003.
Ниже приведены инструкции по развертыванию служб WSUS в сети, включая инструкции по настройке WSUS для получения обновлений, настройке клиентских компьютеров для установки обновлений от WSUS, а также утверждению, тестированию и распространению обновлений.
Шаг 1. Просмотр требований для установки WSUS
Шаг 2. Установка WSUS на сервер
Шаг 3. Настройка подключения к сети
Шаг 4. Синхронизация сервера
Шаг 5. Обновление и настройка службы автоматического обновления
Шаг 6. Создание группы компьютеров
Шаг 7. Утверждение и развертывание обновлений
Узнать об альтернативных вариантах распространения обновлений в сети, а так же задать вопросы по настройке и функционированию WSUS вы можете обратившись в эту тему на форуме OSzone.net
Как ограничить возможность подключения нескольких пользователей под одной учетной записью
Способ 1: использование утилиты cconnect
Есть утилита cconnect из набора Resource Kit Tools for Windows 2000 Limiting a User's Concurrent Connections in Windows 2000 and Windows NT 4.0
правда тут она для Windows 200 Server дана. В наборе инструментов для Windows 2003 Server ее уже нет, однако, должна работать и в Windows 2003 Server.
Способ 2: использование утилиты LimitLogin
Для этой цели Microsoft предлагает утилиту LimitLogin.
Данная утилита сохраняет сведения о регистрации пользователей в настраиваемом разделе AD (dc=limitlogin, dc=< domain >, dc=< com >; например, dc=limitlogin,dc=savilltech,dc=com) через Microsoft IIS 6.0 (Windows Server 2003), Web-служба, клиентский компонент и сценарии регистрации и завершения сеанса из сети.
Полная конфигурация утилиты требует изменить схему леса AD для создания области, в которой будет сохраняться расширенная информация о состоянии регистрации.
Поскольку при этом создается прикладной раздел AD, ваша сеть должна содержать, по крайней мере, один контроллер домена Windows 2003 Server.
Для установки LimitLogin потребуется выполнить следующие действия:
1. Воспользуйтесь приложением установки/удаления программ панели управления Windows для установки IIS и ASP.NET на сервере, который будет выступать в роли хоста Web-службы LimitLogin (Установка/Удаление Программ - Компоненты Windows - Сервер Приложений).
Разрешите использование ASP.NET в качестве модуля расширения Internet Information Services (IIS) Manager в панели навигации Web Service Extensions. Убедитесь, что ASP.NET отмечено как Allowed в панели сведений.
2. Перейдите в папку, в которую распакован установочный дистрибутив и выполните LimiLoginIISSetup.msi для установки Web-службы LimitLogin (для этого необходимы права администратора).
Вам будет предложено указать имя виртуального каталога для использования Web-службой и номер порта (обычно здесь можно оставить значения по умолчанию).
Теперь если запустить Диспетчер служб IIS(IIS Manager), вы увидите новый каталог WSLimitLogin в разделе Веб-узел по умолчанию(Default Web Site).
Для подготовки AD выполните LimitLoginADSetup.msi.
Программа установки AD предложит выполнить подготовку леса и домена и установку оснастки LimitLogin консоли управления MMC.
Эта операция должна выполняться от имени учетной записи с правами Администратор схемы(Schema Admin), причем Хозяин схемы(Schema Master FSMO) должен быть доступен.
Укажите имя сервера IIS и каталога, в котором будут сохранены сценарии. Разделяемая папка должна быть создана заранее (это может быть скрытый ресурс), она должна быть доступна только авторизованным пользователям.
Выберите контроллер домена (должен работать под управлением Windows 2003), на котором будет размещен прикладной раздел для LimitLogin.
Вам придется вручную скопировать файлы LimitLogin.wsdl, llogin.vbs и llogoff.vbs из папки C:\Program Files\LimitLogin\scripts (при условии, что вы устанавливали утилиту в каталог по умолчанию) в общий каталог, который был создан ранее.
3. После этого требуется установить LimitLogonClientSetup.msi на компьютеры в сети. Это можно сделать с помощью сценария регистрации в сети, групповые политики через Microsoft Systems Management Server (SMS).
Устанавливаемые части содержат исполняемые на компьютерах клиента модули, которые обращаются к Web-службе IIS, отслеживающей регистрацию пользователей в сети.
4. Кроме того, потребуется настроить групповые политики для выполнения сценариев llogin.vbs и llogoff.vbs.
Чтобы сделать это на уровне домена, выполните следующие действия:
Создайте новый объект групповой политики GPO с названием LimitLogon и установите его на уровень домена. Для этого в Active Directory Пользователи и Компьютеры щелкните правой кнопкой мыши на уровне домена, выберите Свойства, перейдите на вкладку Групповые Политики и нажмите Новый. Введите имя LimitLogon.
Щелкните Изменить для вызова редактора групповых политик (GPE).
Перейдите по ветке Конфигурация Пользователя - Конфигурация Windows - Сценарии (вход/выход из системы).
Дважды щелкните Вход в систему в правой панели и нажмите Добавить.
Введите имя сценария и путь для запуска из общего каталога. Дважды щелкните Выход из системы в правой панели и нажмите Добавить.
Введите имя сценария и путь для запуска из общего каталога.
В результате в каталоге C:\Program Files\LimitLogin будет создан файл LimitLoginMMCSetup.exe, при запуске которого LimitLogin будет встроена непосредственно в оснастку AD Пользователи и Компьютеры консоли управления MMC, а в контекстном меню появится новый элемент LimitLogin Tasks.
При выборе этого элемента для выбранного пользователя будет открыто окно настройки Configure LimitLogin.
5. Следует установить LimitLogin на всех компьютерах, с которых выполняется запуск оснастки Active Directory Пользователи и Компьютеры.
Для этого требуется выполнить установку LimitLoginADSetup.msi и в процессе установки выбрать вариант "Install LimitLogin Active Directory MMC snap-in integration tools on this machine".
6. Щелкните Configure для назначения числа разрешенных одновременных регистраций пользователя в сети.
7. LimitLogin содержит также сценарий Bulk_LimitUserLogins.vbs для определения квот регистрации для всех пользователей в домене.
Если вы хотите задействовать LimitLogin только для просмотра текущих сеансов регистрации пользователей в сети, установите для пользователей недостижимо высокий порог квоты (если квотирование не включено, пользовательские сеансы отслеживаться не будут).
Попытка пользователя зарегистрироваться, когда разрешенное число регистраций уже достигнуто, вызовет отключение пользователя, а в журнал Приложения на сервере LimitLogon будет занесено событие с кодом ID 8811.
Здесь приведены только основные сведения о LimitLogin. Полная информация содержится в справочном файле, входящем в комплект установки. При использовании LimitLogin следует учитывать, что некоторые антивирусы и антишпионские программы могут попытаться заблокировать выполнение сценариев, то есть необходимо будет настроить эти программы для разрешения запуска используемых сценариев.
Эта же информация по LimitLogin со скриншотами доступна здесь
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума.
Как организовать авторизацию из скрипта для доступа к общим папкам на внешнем сервере
net use t: \\servername_or_IP\sharename /user:username pwd
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума.
и удаления учетных записей пользователей
Вариант 1: - Применяется только для Windows 2000
Cлужебная программа Addusers.exe применяется для создания, изменения и удаления учетных записей пользователей с помощью файла с разделителем запятой.
Преимущества использования программы очевидны в тех случаях, когда обрабатываемые данные хранятся в виде электронной таблицы (например, таблицы Microsoft Excel), которая может быть преобразована в файл с разделителем запятой. Для добавления учетных записей необходимо являться членом группы «Администраторы» на конечном компьютере, а для записи в учетные записи — членом группы «Пользователи».
Программа AddUsers использует следующий синтаксис:
AddUsers {/c|/d{:u}|/e} имя_файла [/s:x] [/?] [\\имя_компьютера|имя_домена] [/p:{l|c|e|d}]
• \\имя_компьютера — имя компьютера, на котором создаются учетные записи пользователей или с которого производится их запись. Если параметр имя_компьютера опущен, по умолчанию используется локальный компьютер.
• имя_домена — этот параметр может быть использован вместо параметра имя_компьютера. В этом случае программа Addusers обращается к основному контроллеру указанного домена.
• /c — служит для создания учетных записей пользователей, локальных и глобальных групп в соответствии с данными файла имя_файла.
• /d{:u} — служит для создания в указанном файле дампа учетных записей пользователей, локальных и глобальных групп. Для записи текущих учетных записей в указанный файл в формате Юникод применяется дополнительный параметр (:u). Создание дампа не приводит к сохранению паролей и прочих параметров безопасности текущих учетных записей пользователей. Для сохранения параметров безопасности учетных записей необходимо использовать программу архивации данных на магнитной ленте.
Примечание. Дамп учетных записей не содержит сведений о паролях. С помощью этого файла учетные записи пользователей создаются с пустыми паролями. По умолчанию каждый пользователь должен изменить пароль при первом входе в систему.
• /e — служит для удаления указанных в заданном файле учетных записей.
Внимание! Воссоздать учетную запись пользователя с тем же идентификатором защиты (SID) невозможно. Данный параметр не предназначен для удаления встроенных учетных записей.
• имя_файла — файл с разделителем запятой, который программа AddUsers использует для получения или записи данных.
• /s:x — дополнительный параметр, который служит для изменения символа-разделителя. Вместо x необходимо подставить новый символ-разделитель полей файла. (например, /s:~, чтобы использовать символ «~» (тильда)). Если этот параметр опущен, по умолчанию используется запятая.
• /? — служит для вывода окна справки.
• На компьютере под управлением Windows NT 4.0 программа Addusers.exe более поздней версии, которая входит в состав Windows NT Resource Kit Supplement 3, дополнительно поддерживает параметр /p. С помощью этого параметра расширяются возможности по созданию новых учетных записей пользователей в среде Windows NT.
• /p: — служит для определения свойств создаваемых учетных записей. Используется с произвольной комбинацией перечисленных ниже параметров.
• l — пользователям не надо менять пароль при следующем входе в систему.
• с — пользователи не имеют права менять пароль.
• е — срок действия пароля не ограничен (подразумевается использование параметра l).
• d — отключить учетные записи.
Пример создания учетных записей пользователей и групп с помощью программы Addusers
1. Войдите на конечный компьютер в качестве члена группы «Администраторы».
2. Создайте текстовый файл с разделителем запятой, содержащий данные пользователей и групп. Синтаксис записей зависит от раздела.
[Users]
имя_пользователя,полное_имя, пароль, описание, диск, путь, профиль, сценарий
[Global]
имя_глобальной_группы, комментарий, имя_пользователя, ...
[Local]
имя_локальной_группы, комментарий>, имя_пользователя, ...
Записи разделов [Local] и [Global] после поля комментария могут содержать 0 и более полей имя_пользователя. Каждый из этих пользователей включается в состав группы. В конце каждой записи должна стоять запятая или другой символ-разделитель. Ниже приведен пример из файла справки Resource Kit Tools.
[User]
jimmy,James Edward Phillip II,,,,,,
alex,Alex Denuur,,,E:\,E:\users\alex,,
ron,Ron Jarook,hello,,E:\,E:\users\ron,,
sarah,Sarah Selly,,,,,,
mike,Mike Olarte,,,,,,
[Global]
TestTeam,Regression,ron,alex,
DevTeam,Conversion to Sources,mike,sarah,jimmy,
[Local]
UsersAM,Users A through M,alex,jimmy,mike,
UsersNZ,Users N through Z,ron,sarah,
3. Сохраните файл.
4. Создание пользователей и групп выполняется с помощью пакетного файла или из командной строки. Приведенная ниже команда служит для создания учетных записей и пользователей, перечисленных в файле Users.txt (срок действия пароля не ограничен, поскольку использован параметр /p:е):
C:\>AddUsers [\\имя_компьютера] /c c:\Users.txt /p:e
или, если используется имя домена:
C:\>AddUsers [\\имя_домена] /c c:\Users.txt /p:e
Пример создания списка учетных записей и групп на компьютере под управлением Windows
1. Войдите на целевой компьютер в качестве члена группы «Администраторы».
2. В командной строке введите
Addusers \\имя_сервера /d имя_файла.txt
где имя_сервера — это имя контроллера домена, рядового сервера или рабочей станции
Имея соответствующие разрешения, администраторы могут создавать списки пользователей других доменов. Список хранится в текстовом файле имя_файла.txt. Кроме того, в нем записаны данные о профиле, домашней папке и сценарии для каждого пользователя.
Команда NET USERS также позволяет создавать, изменять и редактировать учетные записи пользователей, однако не поддерживает некоторых функций программы Addusers.exe.
Вариант 2: - Применяется только для Windows 2003
Создание учетной записи
1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsadd user userdn -samid sam_name
Данная команда использует следующие параметры командной строки:
• userdn - различаемое имя (или DN) добавляемого объекта пользователя.
• sam_name - имя диспетчера учетной записи безопасности (SAM), являющееся уникальным для данного пользователя (например, Linda).
4. Для задания пароля учетной записи пользователя, введите следующую команду, где password — это пароль для учетной записи:
dsadd user userdn -pwd password
ПРИМЕЧАНИЕ. Для вывода полной информацию о синтаксисе данной команды и дополнительных параметрах учетной записи пользователя, введите в командной строке команду dsadd user /?.
Создание новой группы
1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsadd groupgroup_dn -samidsam_name -secgrp yes | no -scope l | g | u
Данная команда использует следующие параметры командной строки:
• group_dn - различаемое имя добавляемого объекта группы.
• sam_name - имя диспетчера учетных записей безопасности, уникальное для данной группы (например, operators).
• yes | no показывает, будет ли добавляемая группа группой безопасности (yes) или группой распространения (no).
• l | g | u указывает область действия добавляемой группы ( domain local [l], global [g], или universal [u]).
Если домен, в котором создается группа, работает в смешанном режиме Windows 2000, то выбрать можно только группы безопасности с областью действия в пределах домена или глобальной областью действия.
Для вывода полной информацию о синтаксисе данной команды и дополнительных параметрах учетной записи пользователя, введите в командной строке команду dsadd group /?.
Добавление пользователя в группу
1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsmod groupgroup_dn -addmbr member_dn
Данная команда использует следующие параметры командной строки:
• group_dn - различаемое имя добавляемого объекта группы.
• member_dn - уникальное имя объекта, добавляемого в группу.
Кроме пользователей и компьютеров, в состав группы могут быть входить контакты и другие группы.
Для вывода полной информации о синтаксисе данной команды и дополнительных параметрах учетной записи пользователя и группы, введите в командной строке команду dsmod group /?.
Преобразование типа группы
1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsmod group group_dn -secgrp {yes|no}
Данная команда использует следующие параметры командной строки:
• group_dn - различаемое имя объекта группы, тип которой будет изменен.
• yes | no показывает, будет ли группа отнесена к категории групп безопасности (yes) или групп распространения (no).
Для преобразования группы домен должен работать в основном режиме Windows 2000 или более высоком. Преобразование групп невозможно, если домена работает в смешанном режиме Windows 2000.
Для вывода полной информации о синтаксисе данной команды введите в командной строке команду dsmod group /?.
Изменение области действия группы
1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsmod group group_dn -scope l|g|u
Данная команда использует следующие параметры командной строки:
• group_dn обозначает узнаваемое имя объекта группы, у которого будет изменена область действия.
• l|g|u обозначает область действия, присваиваемую данной группе и может иметь значения «local» (локальная), «global» (глобальная) и «universal» (универсальная). В доменах, работающих в смешанном режиме Windows 2000, универсальная область действия не поддерживается. Преобразование локальной области действия в глобальную или наоборот невозможно.
ПРИМЕЧАНИЕ. Изменение областей действия групп возможно только для доменов, работающих в основном режиме Windows 2000 или режимах более высокого уровня.
Если данное решение не помогло вам решить проблему вы можете обратиться в эту тему на форуме OSzone.net
Как организовать переименование рабочих станций в домене удаленно
Способ 1
Рекомендации из статьи MS KB How To Use the Netdom.exe Utility to Rename a Computer in Windows Server 2003:
Можно использовать утилиту Netdom.exe (входит в состав Windows Server 2003 Support Tools) для переименования компьютеров-членов домена Microsoft Windows 2000 или Windows Server 2003. Эта процедура может быть применена для переименования как локального так и удаленного компьютера. Так же процедура не требует от Вас сброса или ручной переустановки учетной записи компьютера домена
При помощи утилиты Netdom.exe возможно переименование компьютера-члена домена Windows Server 2003. Однако для переименования компьютера необходимо указать учетную запись пользователя с правами локального администратора и учетную запись компьютера в Active Directory.
Примечание: Для переименования контроллера домена с использованием команды netdom домен должен функционировать на уровне домена Windows Server 2003.
Также эта команда применяться для переименования компьютера, который подключен к домену, при это сама учетная запись компьютера в домене будет также переименована.
Компьютеры-члены домена так же могут быть переименованы.
Определенные службы, такие как службы сертификации (certification authority), ссылаются на установленное имя компьютера. Если службы такого типа запущены на компьютере, то изменение его имени может привести к нежелательным результатам. Во избежание этого не используйте данную команду для изменения имени контроллера домена.
Вместо этого используйте команду netdom computername.
Для получения дополнительных сведений обратитесь к справочной системе с запросом netdom, смотрите раздел "Переименование контроллера домена: Active Directory".
Изменение имени компьютера
1. Установите Windows Server 2003 Support Tools из каталога Support\Tools с установочного диска Windows Server 2003. (Для этого нажмите правую кнопку мыши на файле Suptools.msi в каталоге Support\Tools и выберите Установить.)
2. В командной строке введите следующую команду. Примечание: Эта команда представлена в несколько строк для лучшего восприятия. Вводить команду необходимо в одну строку.
netdom renamecomputer Computername /newname:new_computername
/userd:domain\UserName /passwordd:password |* /usero:UserName
/passwordo:password |* /force /reboot:Time in seconds
Далее следует описание параметров данной команды:
• Computername: Исходное имя компьютера.
• New_computername: Имя компьютера после переименование. Оба имени компьютера: и DNS имя и NetBIOS будут изменены на новое. Если в новом имени компьютера больше 15 символов, то NetBIOS имя компьютера будет сокращено до первых 15 символов.
• /userd:Domain\UserName: Учетная запись пользователя используемая для подключения к домену. Эта учетная запись используется для подключения к домену, членом которого является компьютер. Этот параметр обязателен, а в случае если домен не указан, подразумевается домен компьютера.
• /usero:UserName: Учетная запись пользователя используемая для создания домена и имеющая права локального администратора (может быть одной из учетных записей указанных в параметре /userd:). Эта учетная запись используется для подключения к компьютеру который будет переименован. Если не указано, используется учетная запись (загруженного) сеанса пользователя. Пользователи домена могут быть указаны как "/uo:domain\user". Если домен не указан, то подразумевается локальная учетная запись компьютера.
• /passwordd: password: Пароль учетной записи пользователя указанной в параметре /userd.
• /passwordo: password: Пароль учетной записи пользователя указанной в параметре /usero.
• force: Эта команда может неблагоприятно отразиться на некоторых запущенных на компьютере службах. Если параметр /force не указан, у пользователя будет запрошено подтверждение на выполнение команды.
• Reboot: Этот параметр указывается в случае если необходима автоматическая перезагрузка компьютера после проведения переименования. Число секунд до автоматической перезагрузки может быть указано. По умолчанию секунд 30. Если этот параметр не указан, то компьютер должен быть перезагружен вручную.
Например, есть рабочая станция с именем "Mycomputer" член домена с именем "Mydomain." Вам необходимо изменить имя компьютера на "Yourcomputer", после чего автоматически перезагрузить компьютер через 60 секунд после переименования. Вы можете использовать следующую команду.
Примечание: Эта команда представлена в несколько строк для лучшего восприятия. Вводить команду необходимо в одну строку.
netdom renamecomputer mycomputer /newname:yourcomputer
/userD:mydomain\administrator /passwordd:*
/usero:administrator /passwordo:* /reboot:60
Будет показано следующее предупреждение и будет показан запрос на подтверждение продолжения процедуры переименования компьютера:
This operation will rename the computer "Mycomputer" to "Yourcomputer". Certain services, such as certification authority, rely on a fixed computer name. If any services of this type are running on "Mycomputer", a computer name change would have an adverse impact.
Если вы не хотите подтверждать выполнение команды, то вместе с остальными параметрами используйте /force при вводе команды netdom
Способ 2
Использование утилиты Workstation Name Changer (WSName.exe)
Переименование удаленных компьютеров:
Посмотрите пример VB скрипта для изменения имени удаленного компьютера (используется WMI только для Windows 2000 и старше) или, если вам удобнее будет использовать Batch файлы, посмотрите этот вариант который использует PSEXEC от SysInternals.
За дополнительной информацией по использованию утилиты WSName.exe и поддерживаемых ею параметрах вы можете обратиться к этому ресурсу
Способ 3
В качестве альтернативного варианта возможно использование VB скриптов для переименования рабочих станций в составе домена.
Вот два примера скриптов (*.vbs):
Вариант 1:
' ------ SCRIPT CONFIGURATION ------ strComputer = "" e.g. joe-xp strNewComputer = "" e.g. joe-pc strDomainUser = "" e.g. administrator@domain strDomainPasswd = "" strLocalUser = "" e.g. joe-xp\administrator strLocalPasswd = "" ' ------ END CONFIGURATION ---------
'########################### ' Connect to Computer '########################### set objWMILocator = CreateObject("WbemScripting.SWbemLocator") objWMILocator.Security_.AuthenticationLevel = 6 set objWMIComputer = objWMILocator.ConnectServer(strComputer, _ "root\cimv2", _ strLocalUser, _ strLocalPasswd) set objWMIComputerSystem = objWMIComputer.Get( _ "Win32_ComputerSystem.Name='" & _ strComputer & "'") '########################### ' Rename Computer '########################### rc = objWMIComputerSystem.Rename(strNewComputer, _ strDomainPasswd, _ strDomainUser) if rc <> 0 then WScript.Echo "Rename failed with error: " & rc else WScript.Echo "Successfully renamed " & strComputer & " to " & _ strNewComputer end if
WScript.Echo "Rebooting..." set objWSHShell = WScript.CreateObject("WScript.Shell") objWSHShell.Run "rundll32 shell32.dll,SHExitWindowsEx 2"
Вариант 2:
Dim RegKeyCompName, RegKeyTCPIP, WSHShell, ComputerName, HostName, DomainName, FQDN, ADRootDSE, ADSysInfo, ADComputerName, ADRenameOK, ADRNewName, vStartRenameCA, NewNAmeU, NewNameL, vStartRenameAD
On Error Resume Next
'###### READ IN EXISTING COMPUTERNAME AND FQDN ######
RegKeyCompName = "HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\" RegKeyTCPIP = "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"
Set WSHShell = CreateObject("WScript.Shell")
ComputerName = WSHShell.RegRead (RegKeyCompName & "ComputerName\ComputerName") Hostname = WSHShell.RegRead (RegKeyTCPIP & "Hostname") DomainName = WSHShell.RegRead (RegKeyTCPIP & "Domain") FQDN = HostName & "." & DomainName
Set ADRootDSE = GetObject("LDAP://RootDSE") If Err.Number <> 0 then ADComputerName = "Unable to determine this information" ADOU = "Unable to determine this information" ADRenameOK = "0" else Set ADSysInfo = CreateObject("ADSystemInfo") ADComputerName = ADSysInfo.ComputerName 'Get DN of local computer ADRenameOK = "1" ADOU = Mid(ADComputerName, InStr(ADComputerName, "=") + 1) 'Strip off just after the first = sign ADOU = Mid(ADOU, InStr(ADOU, "=") - 2) 'Strip off at 2 before the second = sign ComputerPath = "LDAP://" & ADComputerName OUPath = "LDAP://" & ADOU End if
'###### ASK USER FOR NEW DETAILS ###########
MsgBox "This script renames this computer and its active directory account" & vbCr & vbCr & "Name: " & ComputerName & vbCr & "FQDN: " & FQDN & vbCr & vbCr & "AD DN: " & ADComputerName & vbCr & "AD OU: " & ADOU, 0, "Information"
NewName = InputBox(" Enter the new computer name below and click OK to continue","Rename: Step 1") NewNameU = UCase(NewName) NewNameL = LCase(NewName) NewNameUCN = "CN=" & NewNameU
if NewName = "" then wscript.echo "The computer name has not been changed" else vStartRenameCA = MsgBox ("Continue and rename computer to: " & NewName,vbYesNo or vbExclamation,"Rename: Step 2") if vStartRenameCA = 6 then With WSHShell .RegDelete RegKeyTCPIP & "Hostname" .RegDelete RegKeyTCPIP & "NV Hostname" .RegWrite RegKeyCompName & "ComputerName\ComputerName", NewNameU .RegWrite RegKeyCompName & "ActiveComputerName\ComputerName", NewNameU .RegWrite RegKeyTCPIP & "Hostname", NewNameL .RegWrite RegKeyTCPIP & "NV Hostname", NewNameL End With wscript.echo "The computer name and FQDN have been changed" elseif vStartRenameCA = 7 then wscript.echo "The computer name and FQDN have NOT been changed" end if
if ADRenameOK = 1 then vStartRenameAD = MsgBox ("Continue and rename AD Account to: " & NewName,vbYesNo or vbExclamation,"Rename: Step 3") if vStartRenameAD = 6 then Set objItem = GetObject(ComputerPath) objItem.Put "dNSHostName", NewNameL & DomainName objItem.SetInfo objItem.Put "displayName", "DESKTOP_" & NewNameU & "$" objItem.SetInfo objItem.Put "sAMAccountName", NewNameU & "$" objItem.SetInfo
Set objNewOU = GetObject(OUPath) Set objMoveComputer = objNewOU.MoveHere _ (ComputerPath, NewNameUCN) wscript.echo "The active directory computer account has been changed" elseif vStartRenameAD = 7 then wscript.echo "The computer account in AD has NOT been changed" End If else wscript.echo "Insufficient information to rename AD account"
End If
End if
Если предоставленной информации оказалось недостаточно для решения вашей задачи вы можете
задать вопрос в этой теме форума OSZone.net.
Этап 1: Экспорт базы данных
Этап 1: Экспорт базы данных DHCP с сервера Windows 2000
1. Остановите службу DHCP-сервера на сервере.
a. Используйте для входа на исходный DHCP-сервер учетную запись, входящую в группу локальных администраторов.
b. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
c. В командной строке введите net stop dhcpserver и нажмите клавишу ВВОД. Появится сообщение: The Microsoft DHCP Server service is stopping. The Microsoft DHCP Server service was stopped successfully.
d. Введите команду exit и нажмите клавишу ВВОД.
2. Уменьшите размер базы данных DHCP с помощью программы JetPack.
a. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
b. В командной строке введите cd %systemroot%\system32\dhcp и нажмите клавишу ВВОД.
c. Введите команду jetpack dhcp.mdb temp.mdb и нажмите клавишу ВВОД.
d. После уменьшения размера базы данных введите в командной строке exit и нажмите клавишу ВВОД.
3. Экспортируйте базу данных DHCP с помощью программы экспорта-импорта DHCP (Dhcpexim.exe).
Чтобы экспортировать базу данных, выполните следующие действия.
a. Установите программу Dhcpexim.exe и запустите ее.
b. На экране Welcome to DHCP Export Import tool выберите команду Export configuration of the local service to a file и нажмите кнопку OК.
c. Введите имя экспортированного файла в поле File name и нажмите кнопку Save. Например, введите dhcpdatabase.txt.
d. Выберите диапазон или диапазоны данных для экспорта, установите флажок Disable the selected scopes on local machine before export и нажмите кнопку Export.
4. Отключите службу DHCP-сервера на сервере. Отключение службы DHCP-сервера запрещает запуск службы после переноса базы данных. Чтобы отключить службу DHCP-сервера, выполните следующие действия. a. Нажмите кнопку Пуск, выберите пункт Настройка, затем – Панель управления и два раза щелкните значок Службы.
b. В списке Службы выберите Microsoft DHCP Server, перейдите на вкладку Вход в систему, нажмите кнопку Запретить, а затем – кнопку ОК.
c. Если служба запущена, нажмите кнопку Стоп и кнопку Да, чтобы подтвердить остановку службы.
Внимание! Для переноса базы данных с сервера под управлением Windows 2000 на сервер под управлением Windows Server 2003 необходима программа Dhcpexim.exe.
Примечание. Если требуется перенести только файл конфигурации (не базу данных), вместо программы Dhcpexim.exe используйте следующую команду на сервере под управлением Windows 2000, с которого необходимо осуществить экспорт. (Не используйте Dhcpexim.exe.)
netsh dhcp dump >C:\dhcp.txt
где C:\dhcp.txt – это имя и путь к файлу экспорта, который надо использовать.
Примечание. Параметр экспорта не поддерживается командой netsh на сервере Windows 2000 Server. Команды netsh dhcp server dump и netsh dhcp server import несовместимы. При попытке импорта данных, созданных командой netsh dhcp server dump > C:\dhcp.txt, с помощью команды netsh DHCP server import > C:\dhcp.txt на компьютере под управлением Windows Server 2003 будет получено следующее сообщение об ошибке: The request is not supported.
Можно перенести файл конфигурации на новый сервер Windows Server 2003 с помощью следующей команды:
netsh exec c:\dhcp.txt
Программа Dhcpexim.exe не поддерживается сервером Windows Server 2003. Если база данных экспортируется на компьютер под управлением Windows 2000 с помощью программы Dhcpexim.exe, то при попытке импортировать эти данные на сервер Windows Server 2003 программа Dhcpexim.exe прекращает работу, и появляется следующее сообщение об ошибке: An error occurred. An attempt was made to load a program with a incorrect format. В случае возникновения этой ошибки экспортируйте данные из Windows 2000 с помощью команды dhcpexim, а затем импортируйте эти данные в среду Windows Server 2003 с помощью команды netsh DHCP server import xyz.txt.
Этап 2: Импорт базы данных DHCP
Примечание. Во время этой процедуры может выдаваться сообщение «Отказано в доступе», если пользователь не является членом группы «Операторы архива». Если получено сообщение об ошибке «Невозможно определить версию DHCP-сервера для сервера», убедитесь, что на сервере работает служба DHCP-сервера и вошедший в систему пользователь входит в группу локальных администраторов.
Внимание! Не используйте программу Dhcpexim. exe для импорта базы данных DHCP в Windows Server 2003. Кроме того, если сервер назначения с ОС Windows 2003 является рядовым сервером и его планируется сделать контроллером домена, то перед назначением этого сервера контроллером домена рекомендуется выполнить перенос базы данных DHCP. Базу данных DHCP можно перенести на контроллер домена Windows 2003, но легче выполнить перенос на рядовой сервер, воспользовавшись учетной записью локального администратора.
1. Войдите в систему с учетной записью, входящей в группу локальных администраторов. Учетная запись в группе, которая является подгруппой группы локальных администраторов, не подойдет. Если для контроллера домена отсутствует учетная запись локального администратора, перезагрузите компьютер в режиме восстановления службы каталогов и используйте учетную запись администратора для импорта базы данных, как описано далее.
2. Скопируйте экспортированный файл базы данных DHCP на локальный жесткий диск компьютера под управлением Windows Server 2003.
3. Убедитесь, что на компьютере под управлением Windows Server 2003 запущена служба DHCP.
4. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
5. В командной строке введите netsh dhcp server import c:\dhcpdatabase.txt all и нажмите клавишу ВВОД. Здесь c:\dhcpdatabase.txt является полным путем и именем файла базы данных, скопированного на сервер.
6. Для устранения этой неполадки добавьте компьютер с DHCP-сервером Windows Server 2003 в группу администраторов DHCP на уровне предприятия.
7. Если сообщение «отказано в доступе» появится после добавления компьютера с DHCP-сервером Windows Server 2003 в группу администраторов DHCP на уровне предприятия, упомянутого в шаге 4, убедитесь, что учетная запись пользователя, используемая для импорта, входит в группу локальных администраторов. Если эта учетная запись не входит в эту группу, для завершения импорта добавьте ее в эту группу или войдите в систему с правами локального администратора.
Дополнительную информацию вы можете получить из этой статьи MS KB
Как переподключить членов домена к новому после потери старого домена
Windows 2000, XP придется переподключать к новому домену в любом случае - при подключении будет создан объект "компьютер" в АД и настроено безопасное взаимодействие, путем определения пароля для каждого из них. Без этого системы не смогут аутентифицироваться в домене.
Windows 9x от этих возможностей избавлены.
Удаленное отключение и подключение к новому домену доступно через утилиту netdom.exe (из Support Tools)
NETDOM REMOVE - Removes a workstation or server from the domain.
NETDOM JOIN - Joins a workstation or member server to the domain.
нужно знать пароль локаьного администратора на удаленных системах.
напишите сценарий, в который передавайте через параметры имя системы, и логин/пароль (тк для локализованных систем логин Администратор, а для других administrator)
Пример unjoin.bat:
NETDOM REMOVE %1 /Domain:mydomain /UserO:%1\%2 /PasswordO:%3 /REBoot:10 REM pause "для тестирования"
Команда для выполнения:
unjoin.bat client19 administrator password
аналогично с подключением.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума.
Как переустановить учетную запись компьютера в домене
Способ 1: Netdom.exe
Для каждого компьютера, являющегося членом домена, существует отдельный канал связи с контроллером домена (безопасный канал). Безопасный канал используется службой «Сетевой вход в систему» для обмена данными между членами домена и контроллером домена. Средство Netdom дает возможность переустановить безопасный канал члена домена. Для этого необходимо ввести следующую команду:
netdom reset «компьютер» /domain:«домен»
где «компьютер» — имя локального компьютера, а «домен» — имя домена, которому принадлежит учетная запись этого компьютера.
Эту команду можно выполнить на любом компьютере — члене данного домена или на контроллере домена, используя учетную запись с правами администратора для компьютера члена домена.
Способ 2: Nltest.exe
Средство Nltest.exe используется для проверки доверительных отношений между компьютером, работающим под управлением Windows 2000 или Windows XP и являющимся членом домена, и контроллером домена, которому принадлежит учетная запись этого компьютера.
C:\Ntreskit\Nltest.exe
Использование: nltest [/параметры]
/SC_QUERY:имя_домена - Отображает состояние безопасного канала для домена имя_домена на сервере имя_сервера
/SERVER:имя_сервера
/SC_QUERY:имя_домена - Отображает состояние безопасного канала в заданном домене для локальной или удаленной рабочей станции, сервера или контроллера домена.
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \\server.windows2000.com
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
Способ 3: Active Directory - пользователи и компьютеры
Windows 2000 и Windows XP позволяют переустановить учетную запись компьютера с помощью графического интерфейса пользователя. Для этого необходимо в оснастке «Active Directory - пользователи и компьютеры» щелкнуть правой кнопкой мыши элемент, соответствующий требуемому компьютеру, и выбрать команду Переустановить учетную запись. При этом учетная запись выбранного компьютера будет переустановлена. Этот способ не позволяет переустанавливать пароль контроллеров домена. Переустановка учетной записи компьютера прекращает его подключение к домену и требует заново ввести данный компьютер в домен.
Способ 4: Сценарий Microsoft Visual Basic
Переустановку учетной записи компьютера можно выполнить с помощью сценария Visual Basic. Для этого следует подключиться к учетной записи компьютера с помощью интерфейса IADsUser и установить начальное значение пароля с помощью метода SetPassword. Начальным паролем компьютера всегда является «имя_компьютера$».
Приведенные примеры сценариев могут работать не на всех компьютерах и должны быть проверены перед использованием. Первый пример рассчитан на учетную запись компьютера под управлением Windows NT, а второй пример — на учетную запись компьютера под управлением Windows 2000 или Windows XP.
Пример 1
Dim objComputer
Set objComputer = GetObject("WinNT://WINDOWS2000/computername$")
objComputer.SetPassword "computername$"
Wscript.Quit
Пример 2
Dim objComputer
Set objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "computername$"
Wscript.Quit
Дополнительную информацию по данному вопросу вы можете получить из этой статьи MS KB:
Переустановка учетных записей компьютеров в Windows 2000 и Windows XP
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума.
Как создать учетную запись из командной строки
net user User abc123 /add
net localgroup Administrators User /add
net accounts /maxpwage:unlimited
EXIT
Таким образом мы добавляем пользователя User с паролем abc123 в группу Administrators.
net accounts /maxpwage:unlimited нужно для того, чтобы пароль не истек через 14 дней.
Внимание: в локализованой русской версии группа Administrators, вероятно, называется Администраторы. Следовательно, вам надо внести соответствующие изменения, и сохранять файл в кодировке DOS 866. Блокнот эту кодировку не поддерживает, и нужен другой редактор. Пользователям файлового менеджера FAR редактор искать не нужно.
Еще один момент, на который следует обратить внимание: если вы хотите создать пользователя, в имени которого есть пробелы (например, Super User), то вы должны заключить такое имя в кавычки:
net user "Super User" abc123 /add
Дополнительную информацию вы можете получить из этой статьи:
Автоматическая установка: Добавление учетных записей
Как восстановить состояние объектов групповой политики по умолчанию
Данное средство позволяет восстановить исходное состояние (имеющее место после установки) политики по умолчанию для домена и политики по умолчанию для контроллеров домена. При запуске программы dcgpofix будут утеряны все изменения этих объектов групповой политики.
При задании параметра /ignoreschema можно настроить программу Dcgpofix.exe для работы с различными версиями Active Directory. Однако восстановление исходного состояния объектов политики по умолчанию может не выполниться. Чтобы гарантировать совместимость, используйте версию программы Dcgpofix.exe, устанавливаемую с текущей операционной системой.
Синтаксис:
dcgpofix [/ignoreschema][/target: {domain | dc | both}]
Параметры:
/ignoreschema
Необязательно. Игнорирование номера версии схемы Active Directory.
/target: {domain | dc | both}
Необязательно. Определение конечного домена, контроллера домена или того и другого. Если значение параметра /target не задано, программа dcgpofix по умолчанию использует значение both (то и другое).
Примеры:
Использование команды dcgpofix для восстановления объекта политики по умолчанию для домена показано в следующем примере:
dcgpofix /target: domain
Если данное решение не помогло вам решить вопрос вы можете обратиться в эту тему на форуме OSzone.net
Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью групповых политик
По умолчанию Групповые Политики не предоставляют возможности простого способа отключения устройств использования сменных носителей, таких как порты USB, дисководы CD дисков, дисководы гибких дисков.
Не смотря на это Групповые Политики могут быть расширены для использования соответствующих настроек посредством ADM шаблона.
ADM шаблон представленный ниже позволит администратору отключить соответствующее устройство.
Импортируйте этот административный шаблон в Групповые Политики как .adm файл.
CLASS MACHINE CATEGORY !!category CATEGORY !!categoryname POLICY !!policynameusb KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR" EXPLAIN !!explaintextusb PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamecd KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom" EXPLAIN !!explaintextcd PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 1 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynameflpy KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk" EXPLAIN !!explaintextflpy PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY
[strings] category="Сменные носители" categoryname="Отключение дисководов" policynameusb="Отключить порты USB" policynamecd="Отключить дисководы CD дисков" policynameflpy="Отключить дисковод гибких дисков" explaintextusb="Отключение портов USB через отключение драйвера usbstor.sys" explaintextcd="Отключение дисководов CD дисков через отключение драйвера cdrom.sys" explaintextflpy="Отключение дисковода гибких дисков через отключение драйвера flpydisk.sys" labeltextusb="Отключить порты USB" labeltextcd="Отключить CD дисководы" labeltextflpy="Отключить Floppy" Enabled="Включено" Disabled="Отключено"
В случае если добавленные политики не отображаются в редакторе групповых политик проделайте следующее:
1. В правой части окна редактора политик нажмите правую клавишу мыши, перейдите в пункт меню Вид и нажмите Фильтрация...
2. Снимите отметку с пункта "Показывать только управляемые параметры политики"
3. Нажмите ОК
После этого добавленные политики будут отображены в правой части окна редактора групповых политик.
Для получения дополнительной информации о файлах административных шаблонов обратитесь к этой статье:
Using Administrative Template Files with Registry-Based Group Policy
По материалам статьи MS HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers
Очень долгая загрузка компьютеров - членов домена | Ошибка
Есть несколько вариантов решения проблемы:
Вариант 1:
Выполните команду ipconfig /all на клиентском компьютере и обратите внимание на данные в поле dns
Скорее всего там указан IP, например провайдера, но не вашего сервера.
Пропишите в настройках сетевого подключения на клиентском компьютере IP адрес сервера в качестве DNS.
Вариант 2:
Проблема может возникать на контроллере домена или рядовом компьютере под управлением Windows 2000, Windows XP или Windows Server 2003.
• В журнале системных событий регистрируется следующее сообщение об ошибке.
Тип события: Ошибка
Источник события: Диспетчер служб
Категория события: Отсутствует
Код события: 7000
Пользователь: Н/Д
Описание: Ошибка запуска службы Имя службы из-за следующей ошибки.
Служба не ответила на запрос своевременно.
• В журнале системных событий регистрируется следующее сообщение об ошибке.
Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 7
Пользователь: Н/Д
Описание: Подсистемой Kerberos обнаружена ошибка проверки PAC. Это означает, что PAC клиента [имя_компьютера] в сфере [имя_домена_в_AD DNS] имеет PAC, не прошедший проверку подлинности или измененный. Обратитесь к системному администратору.
Данные: 0000: c0000192
• После отображения диалогового окна Вход в систему появляется следующее сообщение об ошибке.
Lsass.exe — Системная ошибка
Объект с указанным именем не найден.
Если нажать кнопку OК в диалоговом окне Вход в систему, компьютер может перезагрузиться.
• Компьютер автоматически перезагружается после появления диалогового окна Вход в систему.
• Когда компьютер перезагружается, диалоговое окно Вход в систему появляется с большой задержкой. С помощью учетной записи домена не удается войти в систему или наблюдается большая задержка при входе. Кроме того, перемещение по списку доменов в диалоговом окне Вход в систему происходит очень медленно.
• На компьютере под управлением Windows XP или Windows Server 2003 появляется уведомление о том, что оборудование системы с момента последней активации сильно изменилось. Кроме того, в уведомлении может содержаться сообщение о необходимости повторной активации.
• В окне диспетчера устройств отображается пустой список оборудования. Сообщения об ошибках при этом не появляются. Если выделить пункт Диспетчер устройств в окне оснастки «Управление компьютером», то правое окно остается пустым.
• Компьютер запускается, и появляется диалоговое окно Вход в систему, однако указатель ожидания не изменяется. Компьютер не отвечает на нажатие сочетания клавиш CTRL+ALT+DEL.
• При загрузке компьютера на этапе Применение параметров компьютера появляется следующее сообщение об ошибке.
Lsass.exe – Системная ошибка
Объект с указанным именем уже существует.
Если нажать кнопку OК, компьютер запускается.
После этого появляется сообщение о том, что не удается запустить службу. На контроллере домена перестают работать отдельные функции. Могут появляться сообщения об ошибках в таких средствах, как Dcdiag.exe.
• При попытке запустить службу вручную появляется следующее сообщение об ошибке, а затем компьютер начинает перезагружаться.
Lsass.exe — Системная ошибка
Объект с указанным именем уже существует.
Причина
Такое поведение наблюдается, когда одна или несколько служб, которые выполняются в составе процесса Lsass.exe или Services.exe, не настроены в качестве общих процессов служб. По умолчанию службы в составе этих процессов выполняются как общие процессы служб.
Решение
Если после того, как проблема возникла в первый раз, войти в систему не удалось, нажмите клавишу F8 на странице выбора операционной системы или перед запуском Windows. Выберите пункт Загрузка последней удачной конфигурации.
Если проблема продолжает возникать, выполните представленные ниже действия, чтобы войти в систему и запустить программу Sc.exe.
Windows 2000 и Windows XP
1. Перезагрузите компьютер.
2. Нажмите клавишу F8 до того, как появится страница с эмблемой Windows.
3. На странице выбора операционной системы нажмите клавишу F8 для вызова особых вариантов загрузки.
4. С помощью клавиш со стрелками выберите Безопасный режим с поддержкой командной строки и нажмите клавишу ВВОД.
Windows Server 2003
1. Перезагрузите компьютер.
2. Нажмите клавишу F8 до того, как появится страница с эмблемой Windows.
3. С помощью клавиш со стрелками выберите Безопасный режим с поддержкой командной строки и нажмите клавишу ВВОД.
С помощью средства Sc.exe можно определить неправильно настроенные службы. Для этого выполните следующие действия.
Примечание. Средство Sc.exe входит в состав ОС Windows XP и Windows Server 2003, а также пакета Windows 2000 Server Resource Kit.
1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
2. Введите следующие команды, нажимая клавишу ВВОД после каждой из них:
• Sc query HTTPFilter
• Sc query KDC
• Sc query Netlogon
• Sc query NTLMssp
• Sc query PolicyAgent
• Sc query ProtectedStorage
• Sc query SamSs
• Sc query Eventlog
• Sc query PlugPlay
Если службы, которые перечислены в разделе «Дополнительная информация», настроены правильно, то параметр TYPE имеет значение 20 WIN32_SHARE_PROCESS (выполняются в качестве общих процессов служб).
Например, по результатам выполнения команды SC query Netlogon будут выведены следующие данные.
C:\>sc query Netlogon SERVICE_NAME: Netlogon TYPE : 20 WIN32_SHARE_PROCESS STATE : 4 RUNNING (STOPPABLE,PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
Примечание. У служб, которые выполняются в качестве отдельных процессов памяти, параметр TYPE имеет значение 10 WIN32_OWN_PROCESS.
После определения неправильно настроенных служб выполните следующие действия, чтобы изменить значение параметра TYPE.
1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
2. Введите sc config Имя службы type= share, после чего нажмите клавишу ВВОД.
Примечание. В этом шаге служба Имя службы является одной из служб, перечисленных в разделе «Дополнительная информация».
3. Повторите действие 1 для каждой неправильно настроенной службы.
Примечание. Даже если уведомление о необходимости активации появилось до выполнения этих действий, произведите повторную активацию ОС Windows.
Дополнительная информация
Если не указано иное, перечисленные ниже службы выполняются в составе процесса Lsass.exe.
• HTTPFilter (HTTP SSL)
• KDCSVC (центр распространения ключей Kerberos)
• Netlogon (Net Logon)
• NTLMssp (поставщик поддержки безопасности NTLM)
• PolicyAgent (службы IPSEC)
• ProtectedStorage (защищенное хранилище)
• SamSs (диспетчер учетных записей безопасности)
• Eventlog (журнал событий)
• PlugPlay (Plug and Play)
Если данное решение не помогло вам решить вопрос вы можете обратиться в эту тему на форуме OSzone.net
Полный перечень вопросов раздела Администрирование
Как переустановить учетную запись компьютера в домене
Как создать учетную запись из командной строки
Как ограничить возможность подключения нескольких пользователей под одной учетной записью
Как переподключить членов домена к новому, после потери старого
Как организовать авторизацию из скрипта для доступа к общим папкам на внешнем сервере
Как перенести базы данных DHCP с Windows 2000 на Windows Server 2003
Во время понижения роли контроллера домена под управлением Windows Server 2003 с помощью мастера установки AD (Dcpromo.exe) произошла ошибка
Как восстановить состояние объектов групповой политики по умолчанию
Очень долгая загрузка компьютеров - членов домена | Ошибка
Изменения групповой политики паролей не применяются на клиентах домена
Как организовать пакетное добавление пользователей в Active Directory на Windows 2000/2003
Как настроить автоматическое обновление компьютеров сети из источника в локальной сети
Как организовать переименование рабочих станций в домене удаленно
При добавлении пользователя выдается ошибка: "Не удалось проверить уникальность предлагаемого имени пользователя в глобальном каталоге по следующей причине......"
При добавлении станции к домену выдается сообщение, что превышено максимальное допустимое число записей
Как на терминальном сервере Windows Server 2003 ограничить одновременное количество запусков определённой программы пользователям
Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью групповых политик
При добавлении пользователя
Такая ошибка может возникать в случае если имя домена состоит из одной метки
Это не правильно, DNS имя домена при установке нужно указывать как показывал пример мастер установки: microsoft.com или example.microsoft.com, но никак не просто mydomain.
Для настройки домена обратитесь к этой статье MSKB:
Сведения о настройке Windows для доменов с DNS-именем, состоящим из одной метки
Так же посмотрите предыдущий вопрос в случае если считаете возможным переименование имени домена.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете
задать вопрос в этой теме форума.
При добавлении станции к домену
По умолчанию Windows 2000 предоставляет право подключения рабочих станций к домену группе «Прошедшие проверку».
Если право предоставлено, прошедшие проверку пользователи могут определенное число раз обойти проверку в соответствии со списком управления доступом (ACL).
Для предотвращения злоупотреблений максимальное количество машин, которое может присоединить каждый прошедший проверку пользователь, по умолчанию равно 10.
Решение
Способ 1: Предварительное создание учетной записи для компьютера пользователя
1. В окне оснастки «Active Directory — пользователи и компьютеры» щелкните правой кнопкой мыши контейнер, в котором расположены учетные записи.
2. Выберите пункт Создать, а затем — Компьютер.
3. В поле Имя компьютера введите имя компьютера под управлением Windows 2000, который необходимо добавить в домен.
4. Нажмите кнопку Изменить. Выберите пользователя или группу, которые будут присоединять компьютер к домену, и нажмите кнопку ОК.
Способ 2: Предоставление пользователю записей управления доступом (ACE) «Создание объектов компьютера» и «Удаление объектов компьютера»
1. В окне оснастки «Active Directory — пользователи и компьютеры», в меню Вид выберите команду Дополнительные функции так, чтобы при нажатии кнопки Свойства была видна вкладка Безопасность.
2. Щелкните правой кнопкой мыши контейнер Компьютеры и выберите пункт Свойства.
3. На вкладке Безопасность нажмите кнопку Дополнительно.
4. На вкладке Разрешения выберите пункт Прошедшие проверку, а затем — Показать/Изменить.
Примечание. Если группы «Прошедшие проверку» в списке нет, нажмите кнопку Добавить для включения ее в список записей разрешений.
5. Убедитесь, что в поле Применять выбран пункт Этот объект и все дочерние объекты.
6. В поле Разрешения установите флажок Разрешить напротив записей Создание объектов компьютера и Удаление объектов компьютера, и нажмите кнопку ОК.
Способ 3: Изменение установленного по умолчанию количества компьютеров, которое прошедший проверку пользователь может подключить к домену
• С помощью сценария интерфейса службы Active Directory (ADSI) увеличить или уменьшить значение атрибута ms-DS-MachineAccountQuota.
Для этого выполните следующие действия:
1. От имени администратора домена запустите оснастку Adsiedit.msc.
3. Откройте узел Domain NC. Он содержит объект с именем, начинающимся символами DC=, которое отображает правильное имя домена.
Щелкните объект правой кнопкой мыши и выберите команду Свойства.
4. В списке Select which properties to view выберите элемент Both.
5. В списке Select a property to view выберите элемент ms-DS-MachineAccountQuota.
6. В поле Edit Attribute укажите число рабочих станций, которые пользователь может обслуживать одновременно.
7. Нажмите кнопку Set, а затем — ОК.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете
задать вопрос в этой теме форума
Во время понижения роли контроллера
Причина:
Такая ситуация может наблюдаться в случае сбоя определенной зависимости или операции, например подключения к сети, разрешения имен, проверки подлинности, репликации службы каталогов AD или определения месторасположения критически важного объекта в AD.
Решение:
1. Поддержка принудительного понижения роли реализована в Windows Server 2003 изначально. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду
dcpromo /forceremoval
2. Нажмите кнопку ОК.
3. В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.
4. На странице Принудительное удаление службы Active Directory нажмите кнопку Далее.
5. На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.
6. Нажмите кнопку Далее на странице Сводка.
7. На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.
За более подробной информацией по данному вопросу вы можете обратиться к этой статье MS KB
Если решений предложенных в статье оказалось недостаточно для решения проблемы, то вы можете обратиться в эту тему на форуме OSzone.net
После установки на Windows Server
После установки на Windows Server 2003 Пакета исправлений SP1 - появляется возможность установки на систему дополнительного компонента - Мастера настройки безопасности (scw.exe)
Специальный файл справки по этому компоненту появляется даже на рабочем столе.
Кроме множества действий по конфигурации безопасности он также выполняет настройку брандмауэра для сетевой карты. Даже если ваша система является контроллером домена.
вот пример его настроек брандмауэра для контроллера домена (примерная конфигурация):
Конфигурация профиля Domain:
-------------------------------------------------------------------
Рабочий режим = Enable
Режим исключения = Enable
Режим многоадресных и широковещательных ответов = Enable
Режим уведомления = Enable
Конфигурация службы для профиля Domain:
Режим Настройка Имя
-------------------------------------------------------------------
Enable Нет Общий доступ к файлам и принтерам
Enable Нет Дистанционное управление рабочим столом
Конфигурация разрешенных программ для профиля Domain:
Режим Имя / Программа
-------------------------------------------------------------------
Enable C:\WINDOWS\system32\lsass.exe / C:\WINDOWS\system32\lsass.exe
Enable C:\WINDOWS\system32\ntfrs.exe / C:\WINDOWS\system32\ntfrs.exe
Enable C:\WINDOWS\system32\scshost.exe / C:\WINDOWS\system32\scshost.exe
Конфигурация порта для профиля Domain:
Порт Протокол Режим Имя
-------------------------------------------------------------------
53 TCP Enable Порт 53 TCP
88 TCP Enable Порт 88 TCP
135 TCP Enable Порт 135 TCP
137 TCP Enable Порт 137 TCP
389 TCP Enable Порт 389 TCP
464 TCP Enable Порт 464 TCP
636 TCP Enable Порт 636 TCP
3268 TCP Enable Порт 3268 TCP
3269 TCP Enable Порт 3269 TCP
53 UDP Enable Порт 53 UDP
67 UDP Enable Порт 67 UDP
88 UDP Enable Порт 88 UDP
123 UDP Enable Порт 123 UDP
389 UDP Enable Порт 389 UDP
464 UDP Enable Порт 464 UDP
139 TCP Enable Порт 139 TCP
445 TCP Enable Порт 445 TCP
137 UDP Enable Порт 137 UDP
138 UDP Enable Порт 138 UDP
3389 TCP Enable Порт 3389 TCP
Конфигурация ICMP для профиля Domain:
Режим Тип Описание
-------------------------------------------------------------------
Enable 8 Разрешать запрос входящего эха
Конфигурация журнала:
-------------------------------------------------------------------
Размещение файла = C:\WINDOWS\pfirewall.log
Наибольший размер файла = 4096 КБ
Пропущенные пакеты = Disable
Подключения = Disable
Конфигурация брандмауэра Подключение по локальной сети:
-------------------------------------------------------------------
Рабочий режим = Enable
Рекомендую воспользоваться именно им.
Однако, перед всяким изменением конфигурации рабочих систем необходимо вначале протестировать эти изменения.
Вот вы включили брандмауэр на вашем контроллере и получили проблемы - этого и следовало ожидать - даже если вспомнить что одна из основных задач его - блокировать входящие подключения к системе - что клиенты домена непременно должны делать - хотябы для обращениям к объектам Active Directory
Полный перечень вопросов раздела Безопасность
Как правильно настроить брандмауэр (Firewall) на контроллере домена Windows Server 2003
Домен под управлением Windows
Быстрое переключение пользователей недоступно для компьютеров, которые являются членами сетевого домена.
Где можно увидеть данные об установленных аудио-видео кодеках
Данные о установленных аудио-видео кодеках можно посмотреть в разделе «Мультимедиа» который находится в категории «Компоненты» корневого узла «Сведения о системе». В нем имеются два раздела: «Аудио кодеки» и «Видео кодеки». В этих разделах и содержатся данные об аудио-видео кодеках установленных в системе.
Для вызова корневого узла "Сведения о системе" введите msinfo32 в поле Выполнить
Как изменить расположение или имя папки Documents and Settings
Внимание! Microsoft настоятельно не рекомендует переименовывать системные папки. Это может привести к краху системы или к нестабильной работе компьютера.
Создайте резервную копию необходимой информации перед тем, как воспользоваться рекомендациями данной статьи.
Изменение расположения папки профиля пользователя (в папке "Documents and Settings")
Примечание: При использовании данного метода никакие ключевые компоненты Windows не изменяют своего расположения. Используйте данный метод только для перемещения пользовательских данных.
1. Определите путь к профилю пользователя.
• Метод системного идентификатора пользователя a. Воспользуйтесь утилитой Getsid из состава пакета "Windows Server Resource Kit" для определения SID.
Пример синтаксиса данной утилиты:
getsid \\ server1 username \\ server1 username
b. После получения SID воспользуйтесь программами Regedit.exe или Regedt32.exe для выбора SID пользователя в следующем разделе системного реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
• Метод настройки пути к профилю пользователя:
a. Выполните вход в систему в качестве пользователя и введите команду "set" (без кавычек) в командной строке.
Запомните значение параметра USERPROFILE и закройте окно командной строки.
b. Выполните вход в систему в качестве администратора компьютера.
c. Воспользуйтесь редактором реестра для добавления параметра USERPROFILE в следующий раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
d. Выделите раздел реестра, а затем запустите команду "Найти" из меню "Правка".
e. В поле "Найти" введите значение параметра USERPROFILE и нажмите кнопку "Найти далее".
2. В разделе реестра "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" измените значение параметра ProfilesDirectory на новое.
3. Закройте редактор реестра и войдите в систему в качестве пользователя. Введите команду "set" (без кавычек) в командной строке для того, чтобы убедиться в том, что путь к профилю изменился.
Перемещение папки Documents and SettingsПримечание. Использование этого метода предполагает изменение места расположения основных компонентов Windows.
Метод применяется в случае, если папку Documents and Settings необходимо переместить или переименовать, но этого нельзя сделать в процессе установки операционной системы путем внесения исправлений в файл Unattend.txt.
Чтобы переместить папку Documents and Settings в другое место на диске, выполните следующие действия.
1. Войдите в систему с правами администратора.
2. Создайте новую папку.
3. Откройте текущую папку Documents and Settings.
4. В меню Сервис выберите команду Свойства папки и перейдите на вкладку Вид.
5. В разделе Дополнительные параметры установите флажок Показывать скрытые файлы и папки и снимите флажки Скрывать расширения для зарегистрированных типов файлов и Скрывать защищенные системные файлы.
6. Выделите и скопируйте в новую папку все папки, кроме содержащей сведения о пользователе, который в данный момент работает в системе.
7. На панели управления дважды щелкните значок Система и перейдите на вкладку Профили пользователей.
8. Скопируйте в новую папку профиль текущего пользователя.
9. Нажмите кнопку OК, закройте панель управления, выйдите из системы и повторно войдите в нее с правами администратора.
10. В окне редактора реестра из меню Правка выберите команду Найти.
11. Введите в появившемся диалоговом окне строку documents and settings и нажмите кнопку Найти далее.
12. В каждом разделе, а также имени раздела или параметра реестра, который содержит исходный путь к папке, замените его новым значением. Примечание. Это действие необходимо выполнить для каждого случая вхождения исходного пути. В противном случае компьютер может не запуститься. Необходимо обновить все разделы и параметры реестра.
После перезагрузки компьютера исходную папку Documents and Settings можно удалить.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете
задать вопрос в этой теме форума
Для сервера вид рабочего стола
Возможность преобразовать внешний вид в стиль Windows ХР есть - хотя и скрыта в недрах системы.
В первую очередь необходимо включить службу Themes.
Для этого заходим в службы (Control Panel > Administrative Tools > Services) и дважды кликаем на службе Themes.
В появившемся окне выбираем тип запуска Automatic (Автоматически) и перезагружаем компьютер.
После перезагрузки заходим в свойства экрана, кликнув для этого правой клавишей мыши на рабочем столе и выбрав пункт Properties (Свойства).
На вкладке Themes выбираем вместо темы Windows Classic тему Windows XP.
Теперь рабочий стол и окна приложений приобретут знакомый стиль Windows ХР.
Кроме того, в свойствах системы (Control Panel > System) на вкладке Advanced в разделе Visual Effects есть возможность дополнительной настройки визуальных эффектов Windows.
Для нее не требуется фактический
Данную проверку можно запустить с установочного компакт-диска.
Для нее не требуется фактический запуск процесса обновления или установки.
Для начала работы вставьте в дисковод компакт-диск и далее следуйте появляющимся указаниям проверки совместимости оборудования.
Здесь предоставляется возможность загрузки последних файлов установки (через динамическое обновление) во время проверки. При наличии доступа в Интернет рекомендуется выполнить данную загрузку.
Проверку совместимости можно осуществить, вставив в дисковод компакт-диск установки, а затем в окне командной строки ввести:
d:\i386\winnt32 /checkupgradeonly
где d — буква дисковода компакт-дисков.
Как скрыть сетевые ресурсы в домене от определенных пользователей
Такая возможность существует в Windows Server 2003. При этом есть возможность срыть от определенного пользователя все сетевые ресурсы кроме открытых для него.
Способ 1:
Использование иснструмента Access-based Enumeration (ABE)
Access-based Enumeration (ABE) был добавлен в Microsoft® Windows Server 2003 Service Pack 1 для того чтобы:
a) повысить уровень безопасности сетевых папок
b) упрощения работы для администраторов по обслуживанию общих точек подключения с развернутой иерархией каталогов
c) внести привычную среду для пользователей, перешедших на файловые сервера Windows
d) снизить время доступа к общим точкам подкючения с большим количеством папок
ABE отфильтровывает отображение общих точек подключения (общих папок) в соответствии с индивидуальными разрешениями, скрывая папки к которым у пользователей нет права доступа. ABE может управляться через графический или командный интерфейс или даже по API.
подробнее об инструменте вы можете посмотреть по этим ссылкам:
• NetShareSetInfo
• SHARE_INFO_1005 on MSDN
• Network Management Function Buffers on MSDN
Способ 2:
Так же можно реализовать с помощью утилиты markshareforABDE
используя следующую команду:
markshareforABDE [sharename] 0|1 [servername]
где значение 0 выключает отображение общего ресурса
а значение 1 включает отображение общего ресурса
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете
задать вопрос в этой теме форума
Как в Windows Server 2003 записывать компакт-диски средствами Проводника
Отключена служба COM записи компакт-дисков IMAPI, необходимая для работы этого периферийного устройства.
Решение:
Для работы устройства записи компакт-дисков запустите эту службу и установите для параметра Тип запуска значение Вручную, а затем перезапустите сервер.
Как включить опцию Спящий режим
1. Откройте на панели управления компонент Электропитание.
2. На вкладке Спящий режим установите флажок Разрешить использование спящего режима и нажмите кнопку Применить.
Если вкладка Спящий режим недоступна, значит компьютер не поддерживает этот режим.
3. Перейдите на вкладку APM, установите флажок Задействовать автоматическое управление питанием и нажмите кнопку Применить.
Вкладка APM недоступна на ACPI-совместимых компьютерах. ACPI автоматически включает автоматическое управление питанием, при этом вкладка APM становится недоступной.
4. Перейдите на вкладку Схемы управления питанием и установите время в поле Спящий режим через. Компьютер перейдет в спящий режим после простоя в течение указанного времени
В Панели управления есть вкладка
В Панели управления есть вкладка Administrative Tools (Средства администрирования), внутри которой выбираем Services (Службы).
В появившемся окне размещен список служб, установленных на ПК. Некоторые из них не включены, в том числе и Windows Audio.
Дважды кликаем мышкой - и в появившемся окне, в поле Startup type (Способ загрузки), выбираем Automatic, нажимаем Start (Запустить).
При необходимости следует выбрать в Панели управления раздел Sound and Audio Devices (Мультимедийные устройства) и в появившемся окне включить громкость звука.
Как внести изменения в реестр нерабочей системы
При возможности доступа к данным на нерабочей системе (например если на компьютере установлено несколько ОС или есть возможность установить вторую ОС)
1. Запускаем REGEDIT, выбираем HKEY_USERS;
2. Меню Файл \ Загрузить куст;
3. Выбираем файл ветки реестра HKEY_LOCAL_MACHINE\Software (находится в %Windir%\System32\config\software);
4. Присваиваем произвольное временное имя куста;
5. Вносим необходимые изменения в реестр и выгружаем куст.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете
задать вопрос в этой теме форума
Как запустить программу как сервис
1. Копиpyем файлы instsrv.exe и srvany.exe в какyю-нибyдь системнyю диpектоpию, напpимеp, в winnt\system32\
(взять их можно в Resouce Kit \compmgmt.cab\srvany.exe, instsrv.exe. Ещё есть srvinstw - это GUI пошаговая оболочка делающая то же, что и instsrv, но ещё может ставить/сносить службы удаленно).
2. Запyскаем из командной стpоки:
instsrv servicename c:\полный_пyть\srvany.exe
где servicename - имя вновь создаваемого сеpвиса. Если в имени имеются пpобелы, то имя сеpвиса необходимо заключить в кавычки.
Тепеpь надо сконфигypиpовать этот сеpвис.
Панель управления -> Администрирование -> Службы
находим свой сеpвис и заходим в его свойства.
Отмечаем, каким способом ваш сеpвис бyдет запyскаться:
Авто - бyдет запyскаться автоматически пpи загpyзке компьютеpа
Вручную - бyдет запyскаться только вpyчнyю
Отключено - не бyдет запyскаться.
Если хотите видеть заппущенный сеpвис в виде окна на десктопе, то отметьте чекбокс "Разрешить взаимодействие с рабочим столом".
Запyскаем regedt32 и создаем параметр в ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Имя_Вашего_сеpвиса\Parameters
Параметр: Application
Тип: REG_SZ
Значение: полный пyть к исполняемомy файлy.
Не удается открыть содержимое файлов справки CHM расположенных на сетевых ресурсах
• После установки обновления безопасности 896358 или пакета обновления 1 (SP1) для Windows Server 2003 могут наблюдаться следующие проблемы.
• Перестают работать отдельные функции веб-приложений на компьютере. Например, после щелчка по ссылке выбранный раздел не открывается.
• При попытке открыть файл CHM (Compiled Help Module), содержащийся в общей сетевой папке, используя путь в формате UNC (Universal Naming Convention), его разделы не отображаются.
• После установки обновления безопасности 840315 нарушается работа веб-приложений, которые вкладывают в адреса URL внутри протокола InfoTech другие протоколы.
Примечание. Материал данной статьи дополняет сведения, изложенные в следующих статьях базы знаний Майкрософт.
MS05-026: Уязвимость в элементе управления HTML Help делает возможным удаленный запуск программного кода
MS04-023: Уязвимость в HTML-справке делает возможным запуск программного кода
Причина
Пакет обновления 1 (SP1) для Windows Server 2003, а также обновления безопасности 896358 и 840315 содержат исправления протокола InfoTech, снижающие риск возникновения уязвимости при использовании элемента управления HTML Help.
Решение
В этом разделе описаны временные меры, позволяющие восстановить работоспособность функций важнейших бизнес-приложений. Однако такие временные меры могут понизить защищенность системы от атак, использующих уязвимости, которые устраняются данным обновлением безопасности. Для максимальной безопасности не рекомендуется применять временные изменения реестра. Если необходимо применить временные меры, в параметрах реестра следует устанавливать максимально возможные ограничения.
Первый из приведенных примеров устанавливает максимальные ограничения. В остальных примерах число ограничений последовательно сокращается.
Пример 1.
Разрешение подключения к определенным адресам URL с помощью параметра UrlAllowList
Следующий файл REG разрешает использование протокола InfoTech для открытия удаленного содержимого из таких каталогов:
• файлы CHM в папке \\productmanuals\helpfiles;
• веб-приложение, расположенное по адресу http://www.wingtiptoys.com/help/.
Примечание. Приведенный ниже текст можно скопировать в окно текстового редактора (например, «Блокнот»). Далее файл можно сохранить с расширением REG.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
Примечание. Как видно из примера, чтобы задействовать путь UNC к общей сетевой папке, необходимо добавить две записи.
Не допускается использование символов подстановки в строке адреса любого веб-узла, добавляемого в раздел реестра UrlAllowList.
Пример 2.
Использование параметра MaxAllowedZone для разрешения зоны безопасности
Предупреждение. Параметр MaxAllowedZone разрешает использование протокола InfoTech для всех веб-узлов, находящихся в определенной зоне. Использование параметра UrlAllowList, как описывается в примере 1, может быть более надежным. Если необходимо использовать параметр MaxAllowedZone, его значение следует устанавливать не выше, чем требуется. Если установить значение 3 или выше, снизится защищенность системы от атак из Интернета.
Примечание. По умолчанию значение параметра MaxAllowedZone равно нулю. Интерпретация разных значений параметра MaxAllowedZone представлена в следующей таблице.
MaxAllowedZone |
«Локальный компьютер» | «Местная интрасеть» | «Надежные узлы» | «Интернет» | «Ограниченные узлы» |
| 0 | Разрешена | Блокирована | Блокирована | Блокирована | Блокирована |
| 1 | Разрешена | Разрешена | Блокирована | Блокирована | Блокирована |
| 2 | Разрешена | Разрешена | Разрешена | Блокирована | Блокирована |
| 3 | Разрешена | Разрешена | Разрешена | Разрешена | Блокирована |
| 4 |
Разрешена
| Разрешена | Разрешена | Разрешена | Разрешена |
Новые диски не отображаются в списке томов оснастки «Управление дисками»
Для улучшения возможностей взаимодействия в среде сетей хранения данных (SAN) в Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition при добавлении в систему томов на новых дисках их автоматическое присоединение и сопоставление буквы диска по умолчанию не выполняется.
Решение:
Вручную подключите том и сопоставьте ему букву диска с помощью оснастки управления дисками или команд DiskPart и mountvol.
Почему приложение перестает отвечать, завершает работу или работает неправильно
Возможная причина:
Версия приложения несовместима с данной версией Windows.
Решение: Запустите мастер совместимости программ, чтобы найти и протестировать параметры совместимости.
Чтобы запустить мастер совместимости программ, нажмите кнопку Пуск, выберите команду Выполнить, а затем введите hcp://system/compatctr/compatmode.htm
и нажмите OK
Полный перечень вопросов раздела Настройка
Как настроить стили интерфейса Windows Server 2003
При перезагрузке/выключении компьютера появляется запрос на подтверждение действия. Как его отключить
Как включить звуковые функции которых нет по умолчанию после установки в Windows Server 2003
Видеокарта работает без 3D-функций. Как их включить
При открытии папки с большим количеством файлов это происходит слишком долго. Как ускорить этот процесс
Как запустить программу как сервис
Новые диски не отображаются в списке томов оснастки «Управление дисками»
Домен под управлением Windows Server 2003. На рабочих станциях под управлением Windows XP нет возможности быстрого переключения пользователей. Как ее включить
При подключении сканера к компьютеру отображается сообщение «Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены»
Как в Windows Server 2003 записывать компакт-диски средствами Проводника
Как включить опцию Спящий режим.
Почему приложение перестает отвечать, завершает работу или работает неправильно
Как проверить совместимость оборудования с операционной системой Windows Server 2003
Где можно увидеть данные об установленных аудио-видео кодеках
После установки SP1 появились проблемы в работе некоторых приложений
Как скрыть сетевые ресурсы в домене от определенных пользователей
Как изменить расположение или имя папки Documents and Settings
Как внести изменения в реестр нерабочей системы
Не удается открыть содержимое файлов справки CHM расположенных на сетевых ресурсах
После установки SP1 появились проблемы в работе некоторых приложений
Вероятнее всего проблема возникает из-за включенной опции предотвращения выполнения данных (DEP) для всех приложений.
Отключить это можно так:
Свойства системы -> Дополнительно -> Быстродействие(параметры) -> Предотвращение выполнения данных -> Включить DEP только для основных программ и служб
System properties -> Advanced -> Performance(Settings) -> Data Execution Prevention -> Turn on DEP on essential windows programs and services only
При открытии папки с большим
Происходит это потому, что файловая система обновляет метку последнего доступа к файлам.
Если файлов много и на всех надо метку обновить, то это занимает довольно много времени.
Эту функцию можно отключить.
В реестре в ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
Параметр: NtfsDisableLastAccessUpdate
Тип: DWORD
Значение: 1
При перезагрузке/выключении
Пуск -> Выполнить -> mmc -> меню Файл -> Добавить / Убрать Snap-in.
Далее следуем по пунктам меню:
Add -> Group Policy Object Editor -> Add.
После этого нажимаем кнопку Завершить.
Переходим в Local Computer Policy -> Computer Configuration -> Administrative Templates -> выбираем папку System -> Дважды кликаем на Display Shutdown Event Tracker -> выбираем Disabled
Теперь перезагрузка/выключение компьютера буде проходить аналогично Windows 2000
При подключении сканера к компьютеру
Для функционирования устройства необходимо запустить службу загрузки изображений (WIA). По умолчанию служба загрузки изображений (WIA) отключена данным периферийным устройством.
Видеокарта работает без 3D-функций. Как их включить
Свойства экрана (Пуск -> Панель управления ->Экран).
Далее переходим на последнюю вкладку - Дополнительно -> Неисправности.
В появившемся меню передвигаем ползунок Аппаратное ускорение максимально вправо.
Закрываем окна и устанавливаем драйвера под видеокарту.
Теперь система не будет выдавать ошибку о несовпадении версии драйвера и Windows.
Кстати, для установки подходят драйверы как Windows ХР, так и Windows 2000.
По умолчанию в Windows 2003 Server установлен DirectX 8.1, но отключена поддержка 3D-функций.
Кстати, самой папки DirectX в Programs Files нет, поэтому следует ввести команду dxdiag в Выполнить.
Открывается окно DirectX, где на вкладке Display (Экран) необходимо включить (нажать кнопки Enabled) функции аппаратного ускорения.
