-
Как правильно создать и настроить дополнительный контроллер домена на Windows Server 2003?
-
Как проверить правильность установки при разворачивании домена AD?
-
Как переустановить учетную запись компьютера в домене?
-
Как создать учетную запись из командной строки?
-
Как ограничить возможность подключения нескольких пользователей под одной учетной записью?
-
Как переподключить членов домена к новому, после потери старого?
-
Как организовать авторизацию из скрипта для доступа к общим папкам на внешнем сервере?
-
Расскажите как перенести базы данных DHCP с Windows 2000 на Windows Server 2003
-
Во время понижения роли контроллера домена под управлением Windows Server 2003 с помощью мастера установки AD (Dcpromo.exe) произошла ошибка. Теперь никакие учетные записи домена (и администратора домена) не доступны, домен не доступен, контроллер не доступен, в логах море ошибок. Как спсти положение без переустановки системы?
-
Можно ли как-то восстановить состояние объектов групповой политики по умолчанию, то есть чтоб они были такими как после установки ОС?
-
Очень долгая загрузка компьютеров - членов домена и ошибка "Указанный домен не существует или к нему невозможно подключиться | Обработка групповой политики прекращена.подскажите пожалуйста в чем причина.
-
Измененя групповой политики паролей не применяются на клиентах домена. В чем может быть дело?
-
Как организовать пакетное добавление пользователей в Active Directory на Windows 2000/2003?
-
Подскажите как настроить автоматическое обновление компьютеров сети из источника в локальной сети, чтоб каждый клиент не тянул обновления с Windows Update?
-
Как можно организовать переименование рабочих станций в домене удаленно, то есть не вручную на каждой рабочей станции, а с сервера?
-
При добавлении пользователя выдается ошибка: "Не удалось проверить уникальность предлагаемого имени пользователя в глобальном каталоге по следующей причине......". Как исправить?
-
При добавлении станции к домену выдается сообщение, что превышено максимальное допустимое число записей.
-
Можно ли на терминальном сервере Windows Server 2003 ограничить одновременное количество запусков определённой программы терминальным пользователям?
-
Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью групповых политик
Q: Как правильно создать и настроить дополнительный контроллер домена Windows 2003?
A:
1. Выполняем проверку конфигурации первого контроллера домена
Например как указано в этой статье MS KB:
"Рекомендации по настройке контроллеров домена Windows"
конфигурация TCP/IP контроллера: IP статический, Предпочитаемый DNS указывает на собственный IP адрес.
проверям Журналы событий на предмет наличия ошибок при настройке этого КД
также можно выполнить команды netdiag.exe и dcdiag.exe из дополнительного набора инструментов Resource Kit Tools для Windows 2003)
2. Делаем резервную копию первого КД
(Например удачным решением будет использовать Автоматический набор восстановления системы ASR - в ntbackup.exe)
3. На новый сервер устанавливаем ОС
4. Выполняем настройки TCP/IP: IP адрес статический и уникальный, Предпочитаемый DNS указывает на IP адрес первого контроллера - тк он и есть DNS сервер.
5. Выполняем подключение этой системы к домену по DNS имени домена (Servers - - [NTDS Settings] -> Servers - your.domain.local - [NTDS Settings]).
Если на этом этапе возникают ошибки - значит инфраструктура DNS развернута не правильно.
6. Регистрируемся учетной записью Администратора домена и запускаем мастер Управление данным сервером (Manage Your Server)
7. Если спросят указываем выборочную конфигурацию (Custom) и выбираем новую роль Контроллера домена (Domain Controller)
(Если есть необходимость развернуть новый контроллер удаленно можно использовать
резервную копию первого КД для оперции загрузки базы AD)
8. В мастере создания контроллера домена выбираем режим Дополнительного контроллера домена и указываем DNS имя домена
9. Выполняем дополнительные настройки (пути к каталогам, пароли и тп) и дожидаемся окончания процесса конфигурации и переноса базы данных
10. Выполняем перезагрузку нового контроллера домена и выполняем проверку журналов системы (Event Viewer)
11. Если все в порядке, то открываем мастер Управления данным сервером (Manage Your Server) второй раз и выполняем добавление роли DNS сервера на эту систему (кстати эту операцию можно выполнить перед поднятием роли контроллера домена)
12. На предложение мастера о создании зоны DNS следует отказаться (необходимые зоны уже были интегрированы в базу Active Directory и реплицировались с первого КД)
13. Используем консоль управления DNS сервером для того чтобы убедиться что необходимые зоны появились (_msdcs.your.domain.local> и your.domain.local). Иначе перезагружаем сервер.
14. Теперь в сети инфраструктура DNS была изменена и DNS сервера теперь 2. Поэтому на всех ОС, входящих в домен необходимо эти изменения отобразить:
15. В качестве предпочитаемого DNS сервера на системах уже должен был быть установлен IP адрес первого КД, а вот теперь в качестве альтернативного нужно указать IP адрес второго контроллера домена.
16. Особо отмечу что эта конфигурация должна быть отображена на всех системах в домене: контроллеры, сервера и клиенты. (Если только не используется особые режимы настрйки инфраструктыры DNS)
17. Также добавить на второй КД роль Глобального Каталога (в дополнении к первому):
На втором КД - открываем консоль [Active Directory Сайты и службы] - [Default-First-Site-Name] - Servers - ДК2 - [NTDS Settings] открываем свойства и помечаем данный сервер как носитеть Глобального Каталога.
18. Анализируем журнал Directory Service на втором контроллере, дожидаемся репликации и подтверждения принятия роли ГК. Перегружаемся.
Что это даст? Это методика позволяет в случае выхода из строя первого контроллера домена - находить второй контроллер и работать с базой данных Active Directory.
Конечно, если первый контроллер будет отключен, то не будут доступны хозяева операций - 5 штук. Самым нужным кторым для клиента является Хозяин - "Эмулятор PDC". Например он нужен клиентским системам чтобы выполнять некоторые операции для осблуживания клиентов.
Как это все проверить? очень просто: отключаем от сети первый контроллер, далее:
а. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени сторого доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу
б. перезагружаем клиентскую систему и выполняем пробную регистрацию от имени нового для этой станции доменного пользователя и пробуем обратиться к какому-либо сетевому ресурсу опять
в. можно пойти еще дальше и перезагрузить в таком состоянии сети второй контроллер домена (и повторить операцию а. или б.) конечно на всех операциях нужно выполнить анализ Журналов Системы (локальной станции и второго контроллера).
выход из строя второго контроллера наверно интересно проэмулировать только с целью получения данных об ошибках в журналах работы доменных служб на первом КД.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума:
Создание дополнительного контроллера домена Windows 2003
вверх
Q: Как проверить правильность установки при разворачивании домена AD?
A: Чтобы узнать правильно ли было сделано - нужно задать другой вопрос - вы не велосипеди изобретаете - поэтому как нужно делать новую сетевую службу/компонент - конечно уже описано.
Как пример - в серверной системе уже есть встроенная справка (не подумайте ничего плохого, это я не посылаю вас на F1 - просто подвожу к ней.. знакомиться так сказать.. те представляю), а еще есть мастер управления конфигурацией.. Manage your server (Administrative Tools) при выборе пункта Add/Remove Role и режима Custom конфигурации он отображает список тех ролей, которые можно сделать, используя встроенные в ваше серверную систему возможности.
так вот при указании на пункт Domain Controller (Active Directory) - справа появляется, появляется ссылка на конкретные ЦУ о том как правильно нужно сделать именно ее и как (подготовка, развертывание и дальнейшие шаги). Да и под самим пунктом Add/Remove Role - есть тоже самое - Read about server roles - но это уже по всем.
вот поэтому развертывание инфраструктуры компонент нужно разделить на несколько этапов:
-изучение темы, постановка задачи (удобство управления и обслуживания)
-поиск возможных решений (Microsoft Windows systems)
-получение ЦУ о развертывании (deployment guide)
-тестирование на полигоне (your server or Virtual Servers/PC)
-планирование внедрения и подготовка плана действий на случай отката ("to do" lists)
-наладка и тестирование (log files and managing)
-мониторинг и обслуживание (new events and new backups)
Так же для проверки используйте Support Tools из дистрибутива серверной системы и используйте команды netdiag /v dcdiag /v и другие тоже.. в журналы системы и компонент заглядываейте.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума.
вверх
Q: Как переустановить учетную запись компьютера в домене?
A: Есть несколько способов сделать это.
Способ 1: Netdom.exe Для каждого компьютера, являющегося членом домена, существует отдельный канал связи с контроллером домена (безопасный канал). Безопасный канал используется службой «Сетевой вход в систему» для обмена данными между членами домена и контроллером домена. Средство Netdom дает возможность переустановить безопасный канал члена домена. Для этого необходимо ввести следующую команду:
netdom reset «компьютер» /domain:«домен»
где «компьютер» — имя локального компьютера, а «домен» — имя домена, которому принадлежит учетная запись этого компьютера.
Эту команду можно выполнить на любом компьютере — члене данного домена или на контроллере домена, используя учетную запись с правами администратора для компьютера члена домена.
Способ 2: Nltest.exe Средство Nltest.exe используется для проверки доверительных отношений между компьютером, работающим под управлением Windows 2000 или Windows XP и являющимся членом домена, и контроллером домена, которому принадлежит учетная запись этого компьютера.
C:\Ntreskit\Nltest.exe
Использование: nltest [/параметры]
/SC_QUERY:имя_домена - Отображает состояние безопасного канала для домена имя_домена на сервере имя_сервера
/SERVER:имя_сервера
/SC_QUERY:имя_домена - Отображает состояние безопасного канала в заданном домене для локальной или удаленной рабочей станции, сервера или контроллера домена.
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \\server.windows2000.com
Trusted DC Connection Status Status = 0 0x0 NERR_Success
The command completed successfully
Способ 3: Active Directory - пользователи и компьютеры Windows 2000 и Windows XP позволяют переустановить учетную запись компьютера с помощью графического интерфейса пользователя. Для этого необходимо в оснастке «Active Directory - пользователи и компьютеры» щелкнуть правой кнопкой мыши элемент, соответствующий требуемому компьютеру, и выбрать команду Переустановить учетную запись. При этом учетная запись выбранного компьютера будет переустановлена. Этот способ не позволяет переустанавливать пароль контроллеров домена. Переустановка учетной записи компьютера прекращает его подключение к домену и требует заново ввести данный компьютер в домен.
Примечание. Это делает невозможным дальнейшее подключение компьютера к домену и должно использоваться только после переустановки.
Способ 4: Сценарий Microsoft Visual Basic Переустановку учетной записи компьютера можно выполнить с помощью сценария Visual Basic. Для этого следует подключиться к учетной записи компьютера с помощью интерфейса IADsUser и установить начальное значение пароля с помощью метода SetPassword. Начальным паролем компьютера всегда является «имя_компьютера$».
Приведенные примеры сценариев могут работать не на всех компьютерах и должны быть проверены перед использованием. Первый пример рассчитан на учетную запись компьютера под управлением Windows NT, а второй пример — на учетную запись компьютера под управлением Windows 2000 или Windows XP.
Пример 1
Dim objComputer
Set objComputer = GetObject("WinNT://WINDOWS2000/computername$")
objComputer.SetPassword "computername$"
Wscript.Quit
Пример 2 Dim objComputer
Set objComputer = GetObject("LDAP://CN=computername,DC=WINDOWS2000,DC=COM")
objComputer.SetPassword "computername$"
Wscript.Quit
Дополнительную информацию по данному вопросу вы можете получить из этой статьи MS KB:
Переустановка учетных записей компьютеров в Windows 2000 и Windows XP
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума.
вверх
Q: Как создать учетную запись из командной строки?
A:
net user User abc123 /add
net localgroup Administrators User /add
net accounts /maxpwage:unlimited
EXIT
Таким образом мы добавляем пользователя User с паролем abc123 в группу Administrators.
net accounts /maxpwage:unlimited нужно для того, чтобы пароль не истек через 14 дней.
Внимание: в локализованой русской версии группа Administrators, вероятно, называется Администраторы. Следовательно, вам надо внести соответствующие изменения, и сохранять файл в кодировке DOS 866. Блокнот эту кодировку не поддерживает, и нужен другой редактор. Пользователям файлового менеджера FAR редактор искать не нужно.
Еще один момент, на который следует обратить внимание: если вы хотите создать пользователя, в имени которого есть пробелы (например, Super User), то вы должны заключить такое имя в кавычки:
net user "Super User" abc123 /add
Дополнительную информацию вы можете получить из этой статьи:
Автоматическая установка: Добавлeние учетных записей вверх
Q: Как ограничить возможность подключения нескольких пользователей под одной учетной записью?
A: Способ 1: использование утилиты cconnect
Есть утилита cconnect из набора Resource Kit Tools for Windows 2000 Limiting a User's Concurrent Connections in Windows 2000 and Windows NT 4.0
правда тут она для Windows 200 Server дана. В наборе инструментов для Windows 2003 Server ее уже нет, однако, должна работать и в Windows 2003 Server.
Способ 2: использование утилиты LimitLogin
Для этой цели Microsoft предлагает утилиту LimitLogin.
Данная утилита сохраняет сведения о регистрации пользователей в настраиваемом разделе AD (dc=limitlogin, dc=< domain >, dc=< com >; например, dc=limitlogin,dc=savilltech,dc=com) через Microsoft IIS 6.0 (Windows Server 2003), Web-служба, клиентский компонент и сценарии регистрации и завершения сеанса из сети.
Полная конфигурация утилиты требует изменить схему леса AD для создания области, в которой будет сохраняться расширенная информация о состоянии регистрации.
Поскольку при этом создается прикладной раздел AD, ваша сеть должна содержать, по крайней мере, один контроллер домена Windows 2003 Server.
Для установки LimitLogin потребуется выполнить следующие действия:
1. Воспользуйтесь приложением установки/удаления программ панели управления Windows для установки IIS и ASP.NET на сервере, который будет выступать в роли хоста Web-службы LimitLogin (Установка/Удаление Программ - Компоненты Windows - Сервер Приложений).
Разрешите использование ASP.NET в качестве модуля расширения Internet Information Services (IIS) Manager в панели навигации Web Service Extensions. Убедитесь, что ASP.NET отмечено как Allowed в панели сведений.
2. Перейдите в папку, в которую распакован установочный дистрибутив и выполните LimiLoginIISSetup.msi для установки Web-службы LimitLogin (для этого необходимы права администратора).
Вам будет предложено указать имя виртуального каталога для использования Web-службой и номер порта (обычно здесь можно оставить значения по умолчанию).
Теперь если запустить Диспетчер служб IIS(IIS Manager), вы увидите новый каталог WSLimitLogin в разделе Веб-узел по умолчанию(Default Web Site).
Для подготовки AD выполните LimitLoginADSetup.msi.
Программа установки AD предложит выполнить подготовку леса и домена и установку оснастки LimitLogin консоли управления MMC.
Эта операция должна выполняться от имени учетной записи с правами Администратор схемы(Schema Admin), причем Хозяин схемы(Schema Master FSMO) должен быть доступен.
Укажите имя сервера IIS и каталога, в котором будут сохранены сценарии. Разделяемая папка должна быть создана заранее (это может быть скрытый ресурс), она должна быть доступна только авторизованным пользователям.
Выберите контроллер домена (должен работать под управлением Windows 2003), на котором будет размещен прикладной раздел для LimitLogin.
Вам придется вручную скопировать файлы LimitLogin.wsdl, llogin.vbs и llogoff.vbs из папки C:\Program Files\LimitLogin\scripts (при условии, что вы устанавливали утилиту в каталог по умолчанию) в общий каталог, который был создан ранее.
3. После этого требуется установить LimitLogonClientSetup.msi на компьютеры в сети. Это можно сделать с помощью сценария регистрации в сети, групповые политики через Microsoft Systems Management Server (SMS).
Устанавливаемые части содержат исполняемые на компьютерах клиента модули, которые обращаются к Web-службе IIS, отслеживающей регистрацию пользователей в сети.
4. Кроме того, потребуется настроить групповые политики для выполнения сценариев llogin.vbs и llogoff.vbs.
Чтобы сделать это на уровне домена, выполните следующие действия:
Создайте новый объект групповой политики GPO с названием LimitLogon и установите его на уровень домена. Для этого в Active Directory Пользователи и Компьютеры щелкните правой кнопкой мыши на уровне домена, выберите Свойства, перейдите на вкладку Групповые Политики и нажмите Новый. Введите имя LimitLogon.
Щелкните Изменить для вызова редактора групповых политик (GPE).
Перейдите по ветке Конфигурация Пользователя - Конфигурация Windows - Сценарии (вход/выход из системы).
Дважды щелкните Вход в систему в правой панели и нажмите Добавить.
Введите имя сценария и путь для запуска из общего каталога. Дважды щелкните Выход из системы в правой панели и нажмите Добавить.
Введите имя сценария и путь для запуска из общего каталога.
В результате в каталоге C:\Program Files\LimitLogin будет создан файл LimitLoginMMCSetup.exe, при запуске которого LimitLogin будет встроена непосредственно в оснастку AD Пользователи и Компьютеры консоли управления MMC, а в контекстном меню появится новый элемент LimitLogin Tasks.
При выборе этого элемента для выбранного пользователя будет открыто окно настройки Configure LimitLogin.
5. Следует установить LimitLogin на всех компьютерах, с которых выполняется запуск оснастки Active Directory Пользователи и Компьютеры.
Для этого требуется выполнить установку LimitLoginADSetup.msi и в процессе установки выбрать вариант "Install LimitLogin Active Directory MMC snap-in integration tools on this machine".
6. Щелкните Configure для назначения числа разрешенных одновременных регистраций пользователя в сети.
7. LimitLogin содержит также сценарий Bulk_LimitUserLogins.vbs для определения квот регистрации для всех пользователей в домене.
Если вы хотите задействовать LimitLogin только для просмотра текущих сеансов регистрации пользователей в сети, установите для пользователей недостижимо высокий порог квоты (если квотирование не включено, пользовательские сеансы отслеживаться не будут).
Попытка пользователя зарегистрироваться, когда разрешенное число регистраций уже достигнуто, вызовет отключение пользователя, а в журнал Приложения на сервере LimitLogon будет занесено событие с кодом ID 8811.
Здесь приведены только основные сведения о LimitLogin. Полная информация содержится в справочном файле, входящем в комплект установки. При использовании LimitLogin следует учитывать, что некоторые антивирусы и антишпионские программы могут попытаться заблокировать выполнение сценариев, то есть необходимо будет настроить эти программы для разрешения запуска используемых сценариев.
Эта же информация по LimitLogin со скриншотами доступна здесь
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума.
вверх
Q: Как переподключить членов домена к новому, после потери старого?
A: Windows 2000, XP придется переподключать к новому домену в любом случае - при подключении будет создан объект "компьютер" в АД и настроено безопасное взаимодействие, путем определения пароля для каждого из них. Без этого системы не смогут аутентифицироваться в домене.
Windows 9x от этих возможностей избавлены.
Удаленное отключение и подключение к новому домену доступно через утилиту netdom.exe (из Support Tools)
NETDOM REMOVE - Removes a workstation or server from the domain.
NETDOM JOIN - Joins a workstation or member server to the domain.
нужно знать пароль локаьного администратора на удаленных системах, *с которым исобираетесь работать!
напишите сценарий, в который передавайте через параметры имя системы, и логин/пароль (тк для локализованных систем логин Администратор, а для других administrator)
Пример unjoin.bat:
NETDOM REMOVE %1 /Domain:mydomain /UserO:%1\%2 /PasswordO:%3 /REBoot:10 REM pause "для тестирования"
Команда для выполнения: unjoin.bat client19 administrator password
аналогично с подключением.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума.
вверх
Q: Как организовать авторизацию из скрипта для доступа к общим папкам на внешнем сервере?
A:
net use t: \\servername_or_IP\sharename /user:username pwd
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете задать вопрос в этой теме форума.
вверх
Q: Расскажите как перенести базы данных DHCP с Windows 2000 на Windows Server 2003
A: Этап 1: Экспорт базы данных DHCP с сервера Windows 2000
1. Остановите службу DHCP-сервера на сервере.
a. Используйте для входа на исходный DHCP-сервер учетную запись, входящую в группу локальных администраторов.
b. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
c. В командной строке введите net stop dhcpserver и нажмите клавишу ВВОД. Появится сообщение: The Microsoft DHCP Server service is stopping. The Microsoft DHCP Server service was stopped successfully.
d. Введите команду exit и нажмите клавишу ВВОД.
2. Уменьшите размер базы данных DHCP с помощью программы JetPack.
a. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
b. В командной строке введите cd %systemroot%\system32\dhcp и нажмите клавишу ВВОД.
c. Введите команду jetpack dhcp.mdb temp.mdb и нажмите клавишу ВВОД.
d. После уменьшения размера базы данных введите в командной строке exit и нажмите клавишу ВВОД.
3. Экспортируйте базу данных DHCP с помощью программы экспорта-импорта DHCP (Dhcpexim.exe).
Чтобы экспортировать базу данных, выполните следующие действия.
a. Установите программу Dhcpexim.exe и запустите ее.
b. На экране Welcome to DHCP Export Import tool выберите команду Export configuration of the local service to a file и нажмите кнопку OК.
c. Введите имя экспортированного файла в поле File name и нажмите кнопку Save. Например, введите dhcpdatabase.txt.
d. Выберите диапазон или диапазоны данных для экспорта, установите флажок Disable the selected scopes on local machine before export и нажмите кнопку Export.
4. Отключите службу DHCP-сервера на сервере. Отключение службы DHCP-сервера запрещает запуск службы после переноса базы данных. Чтобы отключить службу DHCP-сервера, выполните следующие действия. a. Нажмите кнопку Пуск, выберите пункт Настройка, затем – Панель управления и два раза щелкните значок Службы.
b. В списке Службы выберите Microsoft DHCP Server, перейдите на вкладку Вход в систему, нажмите кнопку Запретить, а затем – кнопку ОК.
c. Если служба запущена, нажмите кнопку Стоп и кнопку Да, чтобы подтвердить остановку службы.
Внимание! Для переноса базы данных с сервера под управлением Windows 2000 на сервер под управлением Windows Server 2003 необходима программа Dhcpexim.exe.
Примечание. Если требуется перенести только файл конфигурации (не базу данных), вместо программы Dhcpexim.exe используйте следующую команду на сервере под управлением Windows 2000, с которого необходимо осуществить экспорт. (Не используйте Dhcpexim.exe.)
netsh dhcp dump >C:\dhcp.txt
где C:\dhcp.txt – это имя и путь к файлу экспорта, который надо использовать.
Примечание. Параметр экспорта не поддерживается командой netsh на сервере Windows 2000 Server. Команды netsh dhcp server dump и netsh dhcp server import несовместимы. При попытке импорта данных, созданных командой netsh dhcp server dump > C:\dhcp.txt, с помощью команды netsh DHCP server import > C:\dhcp.txt на компьютере под управлением Windows Server 2003 будет получено следующее сообщение об ошибке: The request is not supported. Можно перенести файл конфигурации на новый сервер Windows Server 2003 с помощью следующей команды:
netsh exec c:\dhcp.txt
Программа Dhcpexim.exe не поддерживается сервером Windows Server 2003. Если база данных экспортируется на компьютер под управлением Windows 2000 с помощью программы Dhcpexim.exe, то при попытке импортировать эти данные на сервер Windows Server 2003 программа Dhcpexim.exe прекращает работу, и появляется следующее сообщение об ошибке: An error occurred. An attempt was made to load a program with a incorrect format. В случае возникновения этой ошибки экспортируйте данные из Windows 2000 с помощью команды dhcpexim, а затем импортируйте эти данные в среду Windows Server 2003 с помощью команды netsh DHCP server import xyz.txt. Импорт базы данных DHCP Примечание. Во время этой процедуры может выдаваться сообщение «Отказано в доступе», если пользователь не является членом группы «Операторы архива». Если получено сообщение об ошибке «Невозможно определить версию DHCP-сервера для сервера», убедитесь, что на сервере работает служба DHCP-сервера и вошедший в систему пользователь входит в группу локальных администраторов. Внимание! Не используйте программу Dhcpexim.exe для импорта базы данных DHCP в Windows Server 2003. Кроме того, если сервер назначения с ОС Windows 2003 является рядовым сервером и его планируется сделать контроллером домена, то перед назначением этого сервера контроллером домена рекомендуется выполнить перенос базы данных DHCP. Базу данных DHCP можно перенести на контроллер домена Windows 2003, но легче выполнить перенос на рядовой сервер, воспользовавшись учетной записью локального администратора. 1. Войдите в систему с учетной записью, входящей в группу локальных администраторов. Учетная запись в группе, которая является подгруппой группы локальных администраторов, не подойдет. Если для контроллера домена отсутствует учетная запись локального администратора, перезагрузите компьютер в режиме восстановления службы каталогов и используйте учетную запись администратора для импорта базы данных, как описано далее.
2. Скопируйте экспортированный файл базы данных DHCP на локальный жесткий диск компьютера под управлением Windows Server 2003.
3. Убедитесь, что на компьютере под управлением Windows Server 2003 запущена служба DHCP.
4. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.
5. В командной строке введите netsh dhcp server import c:\dhcpdatabase.txt all и нажмите клавишу ВВОД. Здесь c:\dhcpdatabase.txt является полным путем и именем файла базы данных, скопированного на сервер.
6. Для устранения этой неполадки добавьте компьютер с DHCP-сервером Windows Server 2003 в группу администраторов DHCP на уровне предприятия.
7. Если сообщение «отказано в доступе» появится после добавления компьютера с DHCP-сервером Windows Server 2003 в группу администраторов DHCP на уровне предприятия, упомянутого в шаге 4, убедитесь, что учетная запись пользователя, используемая для импорта, входит в группу локальных администраторов. Если эта учетная запись не входит в эту группу, для завершения импорта добавьте ее в эту группу или войдите в систему с правами локального администратора.
Дополнительную информацию вы можете получить
из этой статьи MS KB вверх
Q: Во время понижения роли контроллера домена под управлением Windows Server 2003 с помощью мастера установки AD (Dcpromo.exe) произошла ошибка. Теперь никакие учетные записи домена (и администратора домена) не доступны, домен не доступен, контроллер не доступен, в логах море ошибок. Как спсти положение без переустановки системы?
A: Причина:
Такое ситуация может наблюдться в случае сбоя определенной зависимости или операции, например подключения к сети, разрешения имен, проверки подлинности, репликации службы каталогов AD или определения месторасположения критически важного объекта в AD.
Решение:
1. Поддержка принудительного понижения роли реализована в Windows Server 2003 изначально. Нажмите кнопку Пуск, выберите пункт Выполнить и введите команду
dcpromo /forceremoval
2. Нажмите кнопку ОК.
3. В диалоговом окне мастера установки Active Directory нажмите кнопку Далее.
4. На странице Принудительное удаление службы Active Directory нажмите кнопку Далее.
5. На странице Пароль администратора введите и подтвердите пароль, который должен быть назначен учетной записи администратора в локальной базе данных SAM, и нажмите кнопку Далее.
6. Нажмите кнопку Далее на странице Сводка.
7. На оставшемся в лесу контроллере домена выполните удаление метаданных пониженного в роли контроллера домена.
За более подробной информацией по данному вопросу вы можете обратиться
к этой статье MS KB Если решений предложенных в статье оказалось недостаточно для решения проблемы, то вы можете
обратиться в эту тему на форуме OSzone.net вверх
Q: Можно ли как-то восстановить состояние объектов групповой политики по умолчанию, то есть чтоб они были такими как после установки ОС?
A: Данное средство позволяет восстановить исходное состояние (имеющее место после установки) политики по умолчанию для домена и политики по умолчанию для контроллеров домена. При запуске программы dcgpofix будут утеряны все изменения этих объектов групповой политики.
При задании параметра /ignoreschema можно настроить программу Dcgpofix.exe для работы с различными версиями Active Directory. Однако восстановление исходного состояния объектов политики по умолчанию может не выполниться. Чтобы гарантировать совместимость, используйте версию программы Dcgpofix.exe, устанавливаемую с текущей операционной системой.
Синтаксис:
dcgpofix [/ignoreschema][/target: {domain | dc | both}]
Параметры:
/ignoreschema
Необязательно. Игнорирование номера версии схемы Active Directory.
/target: {domain | dc | both}
Необязательно. Определение конечного домена, контроллера домена или того и другого. Если значение параметра /target не задано, программа dcgpofix по умолчанию использует значение both (то и другое).
Примеры:
Использование команды dcgpofix для восстановления объекта политики по умолчанию для домена показано в следующем примере:
dcgpofix /target: domain
Если данное решение не помогло вам решить вопрос вы можете
обратиться в эту тему на форуме OSzone.net вверх
Q: Очень долгая загрузка компьютеров - членов домена и ошибка "Указанный домен не существует или к нему невозможно подключиться | Обработка групповой политики прекращена.подскажите пожалуйста в чем причина.
A: Есть несколько вариантов решения проблемы:
Вариант 1:
Выполните команду ipconfig /all на клиентском компьютере и обратите внимание на данные в поле dns
Скорее всего там указан IP, например провайдера, но не вашего сервера.
Пропишите в настройках сетевого подключения на клиентском компьютере IP адрес сервера в качестве DNS.
Вариант 2:
Проблема может возникать на контроллере домена или рядовом компьютере под управлением Windows 2000, Windows XP или Windows Server 2003.
• В журнале системных событий регистрируется следующее сообщение об ошибке.
Тип события: Ошибка
Источник события: Диспетчер служб
Категория события: Отсутствует
Код события: 7000
Пользователь: Н/Д
Описание: Ошибка запуска службы Имя службы из-за следующей ошибки.
Служба не ответила на запрос своевременно.
• В журнале системных событий регистрируется следующее сообщение об ошибке.
Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 7
Пользователь: Н/Д
Описание: Подсистемой Kerberos обнаружена ошибка проверки PAC. Это означает, что PAC клиента [имя_компьютера] в сфере [имя_домена_в_AD DNS] имеет PAC, не прошедший проверку подлинности или измененный. Обратитесь к системному администратору.
Данные: 0000: c0000192
• После отображения диалогового окна Вход в систему появляется следующее сообщение об ошибке.
Lsass.exe — Системная ошибка
Объект с указанным именем не найден.
Если нажать кнопку OК в диалоговом окне Вход в систему, компьютер может перезагрузиться.
• Компьютер автоматически перезагружается после появления диалогового окна Вход в систему.
• Когда компьютер перезагружается, диалоговое окно Вход в систему появляется с большой задержкой. С помощью учетной записи домена не удается войти в систему или наблюдается большая задержка при входе. Кроме того, перемещение по списку доменов в диалоговом окне Вход в систему происходит очень медленно.
• На компьютере под управлением Windows XP или Windows Server 2003 появляется уведомление о том, что оборудование системы с момента последней активации сильно изменилось. Кроме того, в уведомлении может содержаться сообщение о необходимости повторной активации.
• В окне диспетчера устройств отображается пустой список оборудования. Сообщения об ошибках при этом не появляются. Если выделить пункт Диспетчер устройств в окне оснастки «Управление компьютером», то правое окно остается пустым.
• Компьютер запускается, и появляется диалоговое окно Вход в систему, однако указатель ожидания не изменяется. Компьютер не отвечает на нажатие сочетания клавиш CTRL+ALT+DEL.
• При загрузке компьютера на этапе Применение параметров компьютера появляется следующее сообщение об ошибке.
Lsass.exe – Системная ошибка
Объект с указанным именем уже существует.
Если нажать кнопку OК, компьютер запускается.
После этого появляется сообщение о том, что не удается запустить службу. На контроллере домена перестают работать отдельные функции. Могут появляться сообщения об ошибках в таких средствах, как Dcdiag.exe.
• При попытке запустить службу вручную появляется следующее сообщение об ошибке, а затем компьютер начинает перезагружаться.
Lsass.exe — Системная ошибка
Объект с указанным именем уже существует.
Причина
Такое поведение наблюдается, когда одна или несколько служб, которые выполняются в составе процесса Lsass.exe или Services.exe, не настроены в качестве общих процессов служб. По умолчанию службы в составе этих процессов выполняются как общие процессы служб.
Решение
Если после того, как проблема возникла в первый раз, войти в систему не удалось, нажмите клавишу F8 на странице выбора операционной системы или перед запуском Windows. Выберите пункт Загрузка последней удачной конфигурации.
Если проблема продолжает возникать, выполните представленные ниже действия, чтобы войти в систему и запустить программу Sc.exe.
Windows 2000 и Windows XP
1. Перезагрузите компьютер.
2. Нажмите клавишу F8 до того, как появится страница с эмблемой Windows.
3. На странице выбора операционной системы нажмите клавишу F8 для вызова особых вариантов загрузки.
4. С помощью клавиш со стрелками выберите Безопасный режим с поддержкой командной строки и нажмите клавишу ВВОД.
Windows Server 2003
1. Перезагрузите компьютер.
2. Нажмите клавишу F8 до того, как появится страница с эмблемой Windows.
3. С помощью клавиш со стрелками выберите Безопасный режим с поддержкой командной строки и нажмите клавишу ВВОД.
С помощью средства Sc.exe можно определить неправильно настроенные службы. Для этого выполните следующие действия.
Примечание. Средство Sc.exe входит в состав ОС Windows XP и Windows Server 2003, а также пакета Windows 2000 Server Resource Kit.
1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
2. Введите следующие команды, нажимая клавишу ВВОД после каждой из них:
• Sc query HTTPFilter
• Sc query KDC
• Sc query Netlogon
• Sc query NTLMssp
• Sc query PolicyAgent
• Sc query ProtectedStorage
• Sc query SamSs
• Sc query Eventlog
• Sc query PlugPlay
Если службы, которые перечислены в разделе «Дополнительная информация», настроены правильно, то параметр TYPE имеет значение 20 WIN32_SHARE_PROCESS (выполняются в качестве общих процессов служб).
Например, по результатам выполнения команды SC query Netlogon будут выведены следующие данные.
C:\>sc query Netlogon SERVICE_NAME: Netlogon TYPE : 20 WIN32_SHARE_PROCESS STATE : 4 RUNNING (STOPPABLE,PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0
Примечание. У служб, которые выполняются в качестве отдельных процессов памяти, параметр TYPE имеет значение 10 WIN32_OWN_PROCESS. После определения неправильно настроенных служб выполните следующие действия, чтобы изменить значение параметра TYPE.
1. Выберите в меню Пуск пункт Выполнить, введите команду cmd и нажмите кнопку ОК.
2. Введите
sc config Имя службы type= share, после чего нажмите клавишу ВВОД.
Примечание. В этом шаге служба Имя службы является одной из служб, перечисленных в разделе «Дополнительная информация». 3. Повторите действие 1 для каждой неправильно настроенной службы.
Примечание. Даже если уведомление о необходимости активации появилось до выполнения этих действий, произведите повторную активацию ОС Windows. Дополнительная информация
Если не указано иное, перечисленные ниже службы выполняются в составе процесса Lsass.exe.
• HTTPFilter (HTTP SSL)
• KDCSVC (центр распространения ключей Kerberos)
• Netlogon (Net Logon)
• NTLMssp (поставщик поддержки безопасности NTLM)
• PolicyAgent (службы IPSEC)
• ProtectedStorage (защищенное хранилище)
• SamSs (диспетчер учетных записей безопасности)
• Eventlog (журнал событий)
• PlugPlay (Plug and Play)
Если данное решение не помогло вам решить вопрос вы можете
обратиться в эту тему на форуме OSzone.net вверх
Q: Измененя групповой политики паролей не применяются на клиентах домена. В чем может быть дело?
A: Возьмите с утилиту Group Policy Management Console от Microsoft и выполните анализ работы групповых политик.
В частности для режима требования сложности мы сможем увидеть какая политика домена его включает.
Затем найдите ее в домене и настройте как необходимо.
Думаю, что требования сложности у вас настраивает политика безопасности домена по умолчанию (Defaul Domain Security Policy - доступная для изменения через Administrative tools), а вы , возможно, создали собственную политику, но ее приоритет ниже чем у встроенной, поэтому ее настройки и не применяются.
В приципе и это решается, только нужно знать сколько политик у вас и где они.
Кроме того в Windows Server 2003 имеется встроенный инструмент анализа политик - оснастка Resultant Set of Policy (доступ к ней через консоль MMC.EXE), которая является облегченной версией анализатора GPMC.
Если данное решение не помогло вам решить проблему вы можете обратиться в эту тему на форуме OSzone.net
вверх
Q: Как организовать пакетное добавление пользователей в Active Directory на Windows 2000/2003?
A: Вариант 1: - Применяется только для Windows 2000
Cлужебная программа Addusers.exe применяется для создания, изменения и удаления учетных записей пользователей с помощью файла с разделителем запятой.
Преимущества использования программы очевидны в тех случаях, когда обрабатываемые данные хранятся в виде электронной таблицы (например, таблицы Microsoft Excel), которая может быть преобразована в файл с разделителем запятой. Для добавления учетных записей необходимо являться членом группы «Администраторы» на конечном компьютере, а для записи в учетные записи — членом группы «Пользователи».
Программа AddUsers использует следующий синтаксис:
AddUsers {/c|/d{:u}|/e} имя_файла [/s:x] [/?] [\\имя_компьютера|имя_домена] [/p:{l|c|e|d}]
• \\имя_компьютера — имя компьютера, на котором создаются учетные записи пользователей или с которого производится их запись. Если параметр имя_компьютера опущен, по умолчанию используется локальный компьютер.
• имя_домена — этот параметр может быть использован вместо параметра имя_компьютера. В этом случае программа Addusers обращается к основному контроллеру указанного домена.
• /c — служит для создания учетных записей пользователей, локальных и глобальных групп в соответствии с данными файла имя_файла.
• /d{:u} — служит для создания в указанном файле дампа учетных записей пользователей, локальных и глобальных групп. Для записи текущих учетных записей в указанный файл в формате Юникод применяется дополнительный параметр (:u). Создание дампа не приводит к сохранению паролей и прочих параметров безопасности текущих учетных записей пользователей. Для сохранения параметров безопасности учетных записей необходимо использовать программу архивации данных на магнитной ленте.
Примечание. Дамп учетных записей не содержит сведений о паролях. С помощью этого файла учетные записи пользователей создаются с пустыми паролями. По умолчанию каждый пользователь должен изменить пароль при первом входе в систему. • /e — служит для удаления указанных в заданном файле учетных записей.
Внимание! Воссоздать учетную запись пользователя с тем же идентификатором защиты (SID) невозможно. Данный параметр не предназначен для удаления встроенных учетных записей. • имя_файла — файл с разделителем запятой, который программа AddUsers использует для получения или записи данных.
• /s:x — дополнительный параметр, который служит для изменения символа-разделителя. Вместо x необходимо подставить новый символ-разделитель полей файла. (например, /s:~, чтобы использовать символ «~» (тильда)). Если этот параметр опущен, по умолчанию используется запятая.
• /? — служит для вывода окна справки.
• На компьютере под управлением Windows NT 4.0 программа Addusers.exe более поздней версии, которая входит в состав Windows NT Resource Kit Supplement 3, дополнительно поддерживает параметр /p. С помощью этого параметра расширяются возможности по созданию новых учетных записей пользователей в среде Windows NT.
• /p: — служит для определения свойств создаваемых учетных записей. Используется с произвольной комбинацией перечисленных ниже параметров.
• l — пользователям не надо менять пароль при следующем входе в систему.
• с — пользователи не имеют права менять пароль.
• е — срок действия пароля не ограничен (подразумевается использование параметра l).
• d — отключить учетные записи.
Пример создания учетных записей пользователей и групп с помощью программы Addusers 1. Войдите на конечный компьютер в качестве члена группы «Администраторы».
2. Создайте текстовый файл с разделителем запятой, содержащий данные пользователей и групп. Синтаксис записей зависит от раздела.
[Users]
имя_пользователя,полное_имя, пароль, описание, диск, путь, профиль, сценарий
[Global]
имя_глобальной_группы, комментарий, имя_пользователя, ...
[Local]
имя_локальной_группы, комментарий>, имя_пользователя, ...
Записи разделов [Local] и [Global] после поля комментария могут содержать 0 и более полей имя_пользователя. Каждый из этих пользователей включается в состав группы. В конце каждой записи должна стоять запятая или другой символ-разделитель. Ниже приведен пример из файла справки Resource Kit Tools. [User]
jimmy,James Edward Phillip II,,,,,,
alex,Alex Denuur,,,E:\,E:\users\alex,,
ron,Ron Jarook,hello,,E:\,E:\users\ron,,
sarah,Sarah Selly,,,,,,
mike,Mike Olarte,,,,,,
[Global]
TestTeam,Regression,ron,alex,
DevTeam,Conversion to Sources,mike,sarah,jimmy,
[Local]
UsersAM,Users A through M,alex,jimmy,mike,
UsersNZ,Users N through Z,ron,sarah,
3. Сохраните файл.
4. Создание пользователей и групп выполняется с помощью пакетного файла или из командной строки. Приведенная ниже команда служит для создания учетных записей и пользователей, перечисленных в файле
Users.txt (срок действия пароля не ограничен, поскольку использован параметр /p:е):
C:\>AddUsers [\\имя_компьютера] /c c:\Users.txt /p:e
или, если используется имя домена:
C:\>AddUsers [\\имя_домена] /c c:\Users.txt /p:e
Пример создания списка учетных записей и групп на компьютере под управлением Windows 1. Войдите на целевой компьютер в качестве члена группы «Администраторы».
2. В командной строке введите
Addusers \\имя_сервера /d имя_файла.txt
где имя_сервера — это имя контроллера домена, рядового сервера или рабочей станции Имея соответствующие разрешения, администраторы могут создавать списки пользователей других доменов. Список хранится в текстовом файле имя_файла.txt. Кроме того, в нем записаны данные о профиле, домашней папке и сценарии для каждого пользователя.
Команда
NET USERS также позволяет создавать, изменять и редактировать учетные записи пользователей, однако не поддерживает некоторых функций программы
Addusers.exe.
Вариант 2: -
Применяется только для Windows 2003 Создание учетной записи 1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsadd user userdn -samid sam_name
Данная команда использует следующие параметры командной строки:
• userdn - различаемое имя (или DN) добавляемого объекта пользователя.
• sam_name - имя диспетчера учетной записи безопасности (SAM), являющееся уникальным для данного пользователя (например, Linda).
4. Для задания пароля учетной записи пользователя, введите следующую команду, где password — это пароль для учетной записи:
dsadd user userdn -pwd password
ПРИМЕЧАНИЕ. Для вывода полной информацию о синтаксисе данной команды и дополнительных параметрах учетной записи пользователя, введите в командной строке команду dsadd user /?. Создание новой группы 1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsadd groupgroup_dn -samidsam_name -secgrp yes | no -scope l | g | u
Данная команда использует следующие параметры командной строки:
• group_dn - различаемое имя добавляемого объекта группы.
• sam_name - имя диспетчера учетных записей безопасности, уникальное для данной группы (например, operators).
• yes | no показывает, будет ли добавляемая группа группой безопасности (yes) или группой распространения (no).
• l | g | u указывает область действия добавляемой группы ( domain local [l], global [g], или universal [u]).
Если домен, в котором создается группа, работает в смешанном режиме Windows 2000, то выбрать можно только группы безопасности с областью действия в пределах домена или глобальной областью действия.
Для вывода полной информацию о синтаксисе данной команды и дополнительных параметрах учетной записи пользователя, введите в командной строке команду dsadd group /?. Добавление пользователя в группу 1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsmod groupgroup_dn -addmbr member_dn
Данная команда использует следующие параметры командной строки:
• group_dn - различаемое имя добавляемого объекта группы.
• member_dn - уникальное имя объекта, добавляемого в группу.
Кроме пользователей и компьютеров, в состав группы могут быть входить контакты и другие группы.
Для вывода полной информации о синтаксисе данной команды и дополнительных параметрах учетной записи пользователя и группы, введите в командной строке команду dsmod group /?. Преобразование типа группы 1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsmod group group_dn -secgrp {yes|no}
Данная команда использует следующие параметры командной строки:
• group_dn - различаемое имя объекта группы, тип которой будет изменен.
• yes | no показывает, будет ли группа отнесена к категории групп безопасности (yes) или групп распространения (no).
Для преобразования группы домен должен работать в основном режиме Windows 2000 или более высоком. Преобразование групп невозможно, если домена работает в смешанном режиме Windows 2000.
Для вывода полной информации о синтаксисе данной команды введите в командной строке команду dsmod group /?. Изменение области действия группы 1. Нажмите кнопку Пуск и выберите команду Выполнить.
2. В поле Открыть введите команду cmd.
3. В командной строке введите команду:
dsmod group group_dn -scope l|g|u
Данная команда использует следующие параметры командной строки:
• group_dn обозначает узнаваемое имя объекта группы, у которого будет изменена область действия.
• l|g|u обозначает область действия, присваиваемую данной группе и может иметь значения «local» (локальная), «global» (глобальная) и «universal» (универсальная). В доменах, работающих в смешанном режиме Windows 2000, универсальная область действия не поддерживается. Преобразование локальной области действия в глобальную или наоборот невозможно.
ПРИМЕЧАНИЕ. Изменение областей действия групп возможно только для доменов, работающих в основном режиме Windows 2000 или режимах более высокого уровня. Если данное решение не помогло вам решить проблему вы можете
обратиться в эту тему на форуме OSzone.net вверх
Q: Подскажите как настроить автоматическое обновление компьютеров сети из источника в локальной сети, чтоб каждый клиент не тянул обновления с Windows Update?
A: В решении данной задачи вам поможет развертывание служб Windows Server Update Services (WSUS)
Службы WSUS позволяют системным администраторам развертывать новейшие обновления продуктов корпорации Майкрософт на компьютерах сети, работающих под управлением операционных систем Windows Server 2003, Windows 2000 Server и Windows XP.
Вашему вниманию представлено пошаговое руководство в котором описывается установка служб WSUS на серверы, работающие под управлением операционных систем Windows Server 2003.
Ниже приведены инструкции по развертыванию служб WSUS в сети, включая инструкции по настройке WSUS для получения обновлений, настройке клиентских компьютеров для установки обновлений от WSUS, а также утверждению, тестированию и распространению обновлений.
Шаг 1. Просмотр требований для установки WSUS
Шаг 2. Установка WSUS на сервер
Шаг 3. Настройка подключения к сети
Шаг 4. Синхронизация сервера
Шаг 5. Обновление и настройка службы автоматического обновления
Шаг 6. Создание группы компьютеров
Шаг 7. Утверждение и развертывание обновлений
Узнать об альтернативных вариантах распространения обновлений в сети, а так же задать вопросы по настройке и функционированию WSUS вы можете обратившись в эту тему на форуме OSzone.net
вверх
Q: Как можно организовать переименование рабочих станций в домене удаленно, то есть не вручную на каждой рабочей станции, а с сервера?
A: Способ 1
Рекомендации из статьи MS KB How To Use the Netdom.exe Utility to Rename a Computer in Windows Server 2003:
Можно использовать утилиту Netdom.exe (входит в состав Windows Server 2003 Support Tools) для переименования компьютеров-членов домена Microsoft Windows 2000 или Windows Server 2003. Эта процедура может быть применена для переименования как локального так и удаленного компьютера. Так же процедура не требует от Вас сброса или ручной переустановки учетной записи компьютера домена
При помощи утилиты Netdom.exe возможно переименование компьютера-члена домена Windows Server 2003. Однако для переименования компьютера необходимо указать учетную запись пользователя с правами локального администратора и учетную запись компьютера в Active Directory.
Примечание: Для переименования контроллера домена с использованием команды netdom домен должен функционировать на уровне домена Windows Server 2003.
Также эта команда применяться для переименования компьютера, который подключен к домену, при это сама учетная запись компьютера в домене будет также переименована.
Компьютеры-члены домена так же могут быть переименованы.
Определенные службы, такие как службы сертификации (certification authority), ссылаются на установленное имя компьютера. Если службы такого типа запущены на компьютере, то изменение его имени может привести к нежелательным результатам. Во избежание этого не используйте данную команду для изменения имени контроллера домена.
Вместо этого используйте команду netdom computername.
Для получения дополнительных сведений обратитесь к справочной системе с запросом netdom, смотрите раздел "Переименование контроллера домена: Active Directory".
Изменение имени компьютера
1. Установите Windows Server 2003 Support Tools из каталога Support\Tools с установочного диска Windows Server 2003. (Для этого нажмите правую кнопку мыши на файле Suptools.msi в каталоге Support\Tools и выберите Установить.)
2. В командной строке введите следующую команду. Примечание: Эта команда представлена в несколько строк для лучшего восприятия. Вводить команду необходимо в одну строку.
netdom renamecomputer Computername /newname:new_computername
/userd:domain\UserName /passwordd:password |* /usero:UserName
/passwordo:password |* /force /reboot:Time in seconds
Далее следует описание параметров данной команды: •
Computername: Исходное имя компьютера.
•
New_computername: Имя компьютера после переименование. Оба имени компьютера: и DNS имя и NetBIOS будут изменены на новое. Если в новом имени компьютера больше 15 символов, то NetBIOS имя компьютера будет сокращено до первых 15 символов.
•
/userd:Domain\UserName: Учетная запись пользователя используемая для подключения к домену. Эта учетная запись используется для подключения к домену, членом которого является компьютер. Этот параметр обязателен, а в случае если домен не указан, подразумевается домен компьютера.
•
/usero:UserName: Учетная запись пользователя используемая для создания домена и имеющая права локального администратора (может быть одной из учетных записей указанных в параметре /userd:). Эта учетная запись используется для подключения к компьютеру который будет переименован. Если не указано, используется учетная запись (загруженного) сеанса пользователя. Пользователи домена могут быть указаны как "
/uo:domain\user". Если домен не указан, то подразумевается локальная учетная запись компьютера.
•
/passwordd: password: Пароль учетной записи пользователя указанной в параметре
/userd.
•
/passwordo: password: Пароль учетной записи пользователя указанной в параметре
/usero.
•
force: Эта команда может неблагоприятно отразиться на некоторых запущенных на компьютере службах. Если параметр
/force не указан, у пользователя будет запрошено подтверждение на выполнение команды.
•
Reboot: Этот параметр указывается в случае если необходима автоматическая перезагрузка компьютера после проведения переименования. Число секунд до автоматической перезагрузки может быть указано. По умолчанию секунд 30. Если этот параметр не указан, то компьютер должен быть перезагружен вручную.
Например, есть рабочая станция с именем "
Mycomputer" член домена с именем "
Mydomain." Вам необходимо изменить имя компьютера на "
Yourcomputer", после чего автоматически перезагрузить компьютер через 60 секунд после переименования. Вы можете использовать следующую команду.
Примечание: Эта команда представлена в несколько строк для лучшего восприятия. Вводить команду необходимо в одну строку.
netdom renamecomputer mycomputer /newname:yourcomputer
/userD:mydomain\administrator /passwordd:*
/usero:administrator /passwordo:* /reboot:60
Будет показано следующее предупреждение и будет показан запрос на подтверждение продолжения процедуры переименования компьютера:
This operation will rename the computer "Mycomputer" to "Yourcomputer". Certain services, such as certification authority, rely on a fixed computer name. If any services of this type are running on "Mycomputer", a computer name change would have an adverse impact.
Если вы не хотите подтверждать выполнение команды, то вместе с остальными параметрами используйте
/force при вводе команды
netdom Способ 2
Использование утилиты Workstation Name Changer (WSName.exe)
Переименование удаленных компьютеров:
Посмотрите пример VB скрипта для изменения имени удаленного компьютера (используется WMI только для Windows 2000 и старше) или, если вам удобнее будет использовать Batch файлы, посмотрите этот вариант который использует PSEXEC от SysInternals.
За дополнительной информацией по использованию утилиты WSName.exe и поддерживаемых ею параметрах вы можете обратиться к этому ресурсу
Способ 3 В качестве альтернативного варианта возможно использование VB скриптов для переименования рабочих станций в составе домена.
Вот два примера скриптов (*.vbs):
Вариант 1:
' ------ SCRIPT CONFIGURATION ------
strComputer = "" e.g. joe-xp
strNewComputer = "" e.g. joe-pc
strDomainUser = "" e.g. administrator@domain
strDomainPasswd = ""
strLocalUser = "" e.g. joe-xp\administrator
strLocalPasswd = ""
' ------ END CONFIGURATION ---------
'###########################
' Connect to Computer
'###########################
set objWMILocator = CreateObject("WbemScripting.SWbemLocator")
objWMILocator.Security_.AuthenticationLevel = 6
set objWMIComputer = objWMILocator.ConnectServer(strComputer, _
"root\cimv2", _
strLocalUser, _
strLocalPasswd)
set objWMIComputerSystem = objWMIComputer.Get( _
"Win32_ComputerSystem.Name='" & _
strComputer & "'")
'###########################
' Rename Computer
'###########################
rc = objWMIComputerSystem.Rename(strNewComputer, _
strDomainPasswd, _
strDomainUser)
if rc 0 then
WScript.Echo "Rename failed with error: " & rc
else
WScript.Echo "Successfully renamed " & strComputer & " to " & _
strNewComputer
end if
WScript.Echo "Rebooting..."
set objWSHShell = WScript.CreateObject("WScript.Shell")
objWSHShell.Run "rundll32 shell32.dll,SHExitWindowsEx 2"
Вариант 2:
Dim RegKeyCompName, RegKeyTCPIP, WSHShell, ComputerName, HostName, DomainName, FQDN, ADRootDSE, ADSysInfo, ADComputerName, ADRenameOK, ADRNewName, vStartRenameCA, NewNAmeU, NewNameL, vStartRenameAD
On Error Resume Next
'###### READ IN EXISTING COMPUTERNAME AND FQDN ######
RegKeyCompName = "HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\"
RegKeyTCPIP = "HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\"
Set WSHShell = CreateObject("WScript.Shell")
ComputerName = WSHShell.RegRead (RegKeyCompName & "ComputerName\ComputerName")
Hostname = WSHShell.RegRead (RegKeyTCPIP & "Hostname")
DomainName = WSHShell.RegRead (RegKeyTCPIP & "Domain")
FQDN = HostName & "." & DomainName
Set ADRootDSE = GetObject("LDAP://RootDSE")
If Err.Number 0 then
ADComputerName = "Unable to determine this information"
ADOU = "Unable to determine this information"
ADRenameOK = "0"
else
Set ADSysInfo = CreateObject("ADSystemInfo")
ADComputerName = ADSysInfo.ComputerName 'Get DN of local computer
ADRenameOK = "1"
ADOU = Mid(ADComputerName, InStr(ADComputerName, "=") + 1) 'Strip off just after the first = sign
ADOU = Mid(ADOU, InStr(ADOU, "=") - 2) 'Strip off at 2 before the second = sign
ComputerPath = "LDAP://" & ADComputerName
OUPath = "LDAP://" & ADOU
End if
'###### ASK USER FOR NEW DETAILS ###########
MsgBox "This script renames this computer and its active directory account" & vbCr & vbCr & "Name: " & ComputerName & vbCr & "FQDN: " & FQDN & vbCr & vbCr & "AD DN: " & ADComputerName & vbCr & "AD OU: " & ADOU, 0, "Information"
NewName = InputBox("Enter the new computer name below and click OK to continue","Rename: Step 1")
NewNameU = UCase(NewName)
NewNameL = LCase(NewName)
NewNameUCN = "CN=" & NewNameU
if NewName = "" then
wscript.echo "The computer name has not been changed"
else
vStartRenameCA = MsgBox ("Continue and rename computer to: " & NewName,vbYesNo or vbExclamation,"Rename: Step 2")
if vStartRenameCA = 6 then
With WSHShell
.RegDelete RegKeyTCPIP & "Hostname"
.RegDelete RegKeyTCPIP & "NV Hostname"
.RegWrite RegKeyCompName & "ComputerName\ComputerName", NewNameU
.RegWrite RegKeyCompName & "ActiveComputerName\ComputerName", NewNameU
.RegWrite RegKeyTCPIP & "Hostname", NewNameL
.RegWrite RegKeyTCPIP & "NV Hostname", NewNameL
End With
wscript.echo "The computer name and FQDN have been changed"
elseif vStartRenameCA = 7 then
wscript.echo "The computer name and FQDN have NOT been changed"
end if
if ADRenameOK = 1 then
vStartRenameAD = MsgBox ("Continue and rename AD Account to: " & NewName,vbYesNo or vbExclamation,"Rename: Step 3")
if vStartRenameAD = 6 then
Set objItem = GetObject(ComputerPath)
objItem.Put "dNSHostName", NewNameL & DomainName
objItem.SetInfo
objItem.Put "displayName", "DESKTOP_" & NewNameU & "$"
objItem.SetInfo
objItem.Put "sAMAccountName", NewNameU & "$"
objItem.SetInfo
Set objNewOU = GetObject(OUPath)
Set objMoveComputer = objNewOU.MoveHere _
(ComputerPath, NewNameUCN)
wscript.echo "The active directory computer account has been changed"
elseif vStartRenameAD = 7 then
wscript.echo "The computer account in AD has NOT been changed"
End If
else
wscript.echo "Insufficient information to rename AD account"
End If
End if
Если предоставленной информации оказалось недостаточно для решения вашей задачи вы можете
задать вопрос в этой теме форума OSZone.net.
вверх
Q: При добавлении пользователя выдается ошибка: "Не удалось проверить уникальность предлагаемого имени пользователя в глобальном каталоге по следующей причине......". Как исправить?
A: Такая ошибка может возникать в случае если имя домена состоит из одной метки
Это не правильно, DNS имя домена при установке нужно указывать как показывал пример мастер установки: microsoft.com или example.microsoft.com, но никак не просто mydomain.
Для настройки домена обратитесь к этой статье MS KB:
Сведения о настройке Windows для доменов с DNS-именем, состоящим из одной метки
Так же посмотрите предыдущий вопрос в случае если считаете возможным переименование имени домена.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете
задать вопрос в этой теме форума.
Q: При добавлении станции к домену выдается сообщение, что превышено максимальное допустимое число записей.
A: По умолчанию Windows 2000 предоставляет право подключения рабочих станций к домену группе «Прошедшие проверку».
Если право предоставлено, прошедшие проверку пользователи могут определенное число раз обойти проверку в соответствии со списком управления доступом (ACL).
Для предотвращения злоупотреблений максимальное количество машин, которое может присоединить каждый прошедший проверку пользователь, по умолчанию равно 10.
Решение
Способ 1: Предварительное создание учетной записи для компьютера пользователя 1. В окне оснастки «Active Directory — пользователи и компьютеры» щелкните правой кнопкой мыши контейнер, в котором расположены учетные записи.
2. Выберите пункт Создать, а затем — Компьютер.
3. В поле Имя компьютера введите имя компьютера под управлением Windows 2000, который необходимо добавить в домен.
4. Нажмите кнопку Изменить. Выберите пользователя или группу, которые будут присоединять компьютер к домену, и нажмите кнопку ОК.
Способ 2: Предоставление пользователю записей управления доступом (ACE) «Создание объектов компьютера» и «Удаление объектов компьютера» 1. В окне оснастки «Active Directory — пользователи и компьютеры», в меню Вид выберите команду Дополнительные функции так, чтобы при нажатии кнопки Свойства была видна вкладка Безопасность.
2. Щелкните правой кнопкой мыши контейнер Компьютеры и выберите пункт Свойства.
3. На вкладке Безопасность нажмите кнопку Дополнительно.
4. На вкладке Разрешения выберите пункт Прошедшие проверку, а затем — Показать/Изменить.
Примечание. Если группы «Прошедшие проверку» в списке нет, нажмите кнопку Добавить для включения ее в список записей разрешений.
5. Убедитесь, что в поле Применять выбран пункт Этот объект и все дочерние объекты.
6. В поле Разрешения установите флажок Разрешить напротив записей Создание объектов компьютера и Удаление объектов компьютера, и нажмите кнопку ОК.
Способ 3: Изменение установленного по умолчанию количества компьютеров, которое прошедший проверку пользователь может подключить к домену • С помощью программы Ldp.exe из состава Microsoft Windows 2000 Resource Kit. • С помощью сценария интерфейса службы Active Directory (ADSI) увеличить или уменьшить значение атрибута ms-DS-MachineAccountQuota.
Для этого выполните следующие действия:
1. От имени администратора домена запустите оснастку Adsiedit.msc.
3. Откройте узел Domain NC. Он содержит объект с именем, начинающимся символами DC=, которое отображает правильное имя домена.
Щелкните объект правой кнопкой мыши и выберите команду Свойства.
4. В списке Select which properties to view выберите элемент Both.
5. В списке Select a property to view выберите элемент ms-DS-MachineAccountQuota.
6. В поле Edit Attribute укажите число рабочих станций, которые пользователь может обслуживать одновременно.
7. Нажмите кнопку Set, а затем — ОК.
Если предоставленной информации оказалось недостаточно для решения вашей проблемы вы можете
задать вопрос в этой теме форума.
вверх
Q: Можно ли на терминальном сервере Windows Server 2003 ограничить одновременное количество запусков определённой программы терминальным пользователям?
A: Как это реализовать стандартными средствами Windows найти не удалось, однако в WMI командах есть возможность выполнять отображение количество запущенных процессов.
Ниже пример небольшого сценария, который, работая резидентно, отслеживает процессы приложения по имени исполняемого файла, для примера блокнота (notepad.exe) или калькулятора (calc.exe) - по счетчику (n=3) - отслеживает количество работающих приложений.
При этом, сам сценарий загружается как процесс wscript.exe и отображается с этим именем в диспетчере задач.
Пример скрипта:
example.vbs
С целью информативности работы сценария принменены всплывающие окна, которые можно убрать.
Указаный сценарий предназначен для запуска в приложении Cscript.exe. Исходя из этого, если программой для запуска сценариев по умолчанию она не является в вашей системе, вам необходимо добавить перед сценарием имя программы "cscript"
например: cscript Processrestrict.vbs.
Если предоставленной информации оказалось недостаточно для решения вашей задачи вы можете
задать вопрос в этой теме форума.
вверх
Q: Как запретить использование USB портов, дисководов CD-ROM и Floppy с помощью Групповых Политик
A: По умолчанию Групповые Политики не предоставляют возможности простого способа отключения устройств использования сменных носителей, таких как порты USB, дисководы CD-ROM, Floppy дисководы.
Не смотря на это, Групповые Политики могут быть расширены для использования соответствующих настроек посредством ADM шаблона.
ADM шаблон представленный ниже позволит администратору отключить соответствующее устройство. Импортируйте этот административный шаблон в Групповые Политики как .adm файл.
CLASS MACHINE
CATEGORY !!category
CATEGORY !!categoryname
POLICY !!policynameusb
KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR"
EXPLAIN !!explaintextusb
PART !!labeltextusb DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamecd
KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom"
EXPLAIN !!explaintextcd
PART !!labeltextcd DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 1 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynameflpy
KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk"
EXPLAIN !!explaintextflpy
PART !!labeltextflpy DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
POLICY !!policynamels120
KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy"
EXPLAIN !!explaintextls120
PART !!labeltextls120 DROPDOWNLIST REQUIRED
VALUENAME "Start"
ITEMLIST
NAME !!Disabled VALUE NUMERIC 3 DEFAULT
NAME !!Enabled VALUE NUMERIC 4
END ITEMLIST
END PART
END POLICY
END CATEGORY
END CATEGORY
[strings]
category="Custom Policy Settings"
categoryname="Restrict Drives"
policynameusb="Disable USB"
policynamecd="Disable CD-ROM"
policynameflpy="Disable Floppy"
policynamels120="Disable High Capacity Floppy"
explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver"
explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver"
explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver"
explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver"
labeltextusb="Disable USB Ports"
labeltextcd="Disable CD-ROM Drive"
labeltextflpy="Disable Floppy Drive"
labeltextls120="Disable High Capacity Floppy Drive"
Enabled="Enabled"
Disabled="Disabled"
В случае если добавленные политики не отображаются в редакторе групповых политик проделайте следующее:
1. В правой части окна редактора политик нажмите правую клавишу мыши, перейдите в пункт меню Вид и нажмите Фильтрация...
2. Снимите отметку с пункта "Показывать только управляемые параметры политики"
3. Нажмите ОК
После этого добавленные политики будут отображены в правой части окна редактора групповых политик.
Для получения дополнительной информации о файлах административных шаблонов обратитесь к этой статье:
Using Administrative Template Files with Registry-Based Group Policy По материалам статьи MS
HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers