Окт 11

Итак, если не получается зайти на компьютер, находящийся в домене под управлением windows server 2008 r2 (у меня это терминальный сервер) с ошибкой «База данных диспетчера учетных записей на сервере не содержит записи для регистрации компьютера через доверительные отношения с этой рабочей станцией», для восстановления доверительных отношений с контроллером можно поступить несколькими способами.

База данных диспетчера учетных записей...

Способ 1. Для начала проверяем, выполняется ли запрос безопасного канала доступа. Открываем командную строку и пишем:
nltest/SC_QUERY:имя_домена
Если утилита сообщает об ошибке, ставим этот патч и радуемся жизни работе в домене. Если же утилита сообшает о том, что статус NERR_Success, переходим к водным процедурам следующему способу.

Способ 2. Заново вводим ПК в домен. Минус тут один: профили тех пользователей, которые раньше уже входили на этот ПК, придется переносить вручную.

Способ 3. Если мы хотим, чтобы профили ранее входивших на этот комп пользователей сохранились, в командной строке пишем:

netdom reset /d:имя_домена имя_ПК

или явно указываем имя контроллера домена, с которым будем устанавливать доверительные отношения и логин/пароль пользователя:

netdom reset /d:имя_домена имя_ПК /server:имя_контроллера_домена /uo:имя_пользователя /po:пароль
Чтобы не вводить пароль в открытом виде, а ввести его по запросу, вместо пароля после параметра po пишем звёздочку (*)

Автор: Johnny Тэги: , , , , , , , , , , , ,


Сен 20

Ну что же, вот мы и столкнулись с ситуацией, когда случайно была удалена учетная запись сотрудника в Active Directory. Сотрудник возмущается, не может работать, грозит всякими карами, но поддаваться вместе с ним панике мы не станем, а просто восстановим эту учётку.

На самом деле, при удалении из AD объекты не удаляются, а помечаются на удаление — у них появляется параметр isDeleted со значением True и к параметру distinguishedName после имени объекта добавляется флаг ADEL, поэтому наша задача удалить первый параметр и исправить второй.

Для этого нам нужна утилита LDP.exe. Позволяет работать с LDAP, может быть установлена через установку компонент в Windows 2008 в составе Active Directory Application Mode (ADAM) или вместе с Support Tools для Windows 2003 .

Продолжение »

Автор: Johnny Тэги: , , , , , , , , , , , ,


Мар 27

Потребовалось тут настроить автовход в систему на Windows 7, без ввода логина и пароля. Если для компьютера не в домене (в рабочей группе или вообще без сети) настроить автоматический вход в систему проще простого, то для компьютера в домене это требует некоторого шаманства с реестром Windows.

Итак, для начала нужно открыть редактор реестра regedit («Пуск» -> «Выполнить» -> regedit).

Затем открываем ветку реестра «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon» и находим там параметр «DefaultUserName». Если нет, создаем его (тип: «Строковый параметр»). В качестве значения этого параметра указываем имя пользователя, под которым нужен заход в систему.

Там же ищем параметр «DefaultPassword». Если он есть, правим его, если отсутствует, создаем (тип по-прежнему «Строковый параметр») и в качестве значения указываем пароль пользователя, под которым будет осуществляться вход в систему.

Продолжаем поиски параметров. Теперь ищем «DefaultDomainName» (тип так же «Строковый параметр») и в качестве значения пишем имя домена для входа.

Закончив вносить пользовательские данные, разрешим сам автовход, изменив значение параметра «AutoAdminLogon» на 1.

Если в списке параметров есть «AutoLogonCount», просто удалите его.

Теперь перезагружаем компьютер и радуемся автовходу.

Для компьютеров, не входящих в домен, все намного проще.

Запускаем графическую утилиту, в которой и будем всё настраивать: («Пуск» -> «Выполнить» -> control userpasswords2).

В открывшемся окне с заголовком «Учетные записи пользователей» выделяем мышью того пользователя, под которым должен осуществляться автоматический вход в систему, снимаем «галку» с пункта «Требовать ввод имени пользователя или пароля» и после нажатия на кнопку «ОК» вводим пароль этого пользователя. После перезагрузки вход под этим пользователем произойдет автоматически.

Автор: Johnny Тэги: , , , , , ,


Дек 27

К захвату ролей FSMO (seize role) прибегают в том случае, когда текущий исполнитель роли становится недоступным по той или иной причине, в результате чего выполнение специализированных операций станет невозможным. Операция захвата роли выполняется при помощи утилиты командной строки NtdsUtil.exe.

Ниже приводится пример использования утилиты NtdsUtil для захвата всех специализированных ролей контроллером домена domain.local (полужирным курсивом выделены команды, вводимые администратором):

C:\ntdsutil

ntdsutil: roles

fsmo maintenance: connection

Привязка к dc01.domain.local ...

Подключен к dc01.domain.local с помощью учетных данных локального пользователя.

server connection: quit

fsmo maintenance: seize schema master

fsmo maintenance: seize domain naming master

fsmo maintenance: seize PDC

fsmo maintenance: seize RID master

fsmo maintenance: seize infrastructure master

fsmo maintenance: quit

ntdsutil: quit

Отключение от dc01.domain.local ...

Если принудительно захватываются роли владельца схемы, владельца доменных имен и владельца идентификаторов, после захвата запрещается возвращение в сеть прежнего исполнителя роли.

Автор: Johnny Тэги: , , , , , , ,


Дек 01

Я полагаю, у всех (ну, или у большинства) админов доменная политика настроена таким образом, чтобы ограничивать число неверно введенных пользователями паролей. Безопасность — вещь хорошая, но иногда возникают ситуации, когда на одном из компов появляется вирус (точнее, червь, один из разновидностей Kido, Downadup, Conficker), который, пытаясь подобрать пароль, блокирует учетку. Оставим в стороне вопрос, откуда и почему вирус взялся, выловим комп по записям в журнале безопасности на ДЦ-шнике и прибьем на нем всю нечисть, а сами озадачимся вопросом, как будем разлочивать уже заблокированные доменные учетки.

Чтобы не заниматься этим вручную, идем на страницу http://www.joeware.net/freetools/tools/unlock/index.htm, жмем на кнопку «Download Now» и скачиваем маленькую утилиту. Распаковываем и запускаем в командной строке. Если утилита запускается на контроллере домена, то нужно запустить ее со следующими параметрами:
unlock . *

Другие параметры можно посмотреть в помощи

unlock /?

Автор: Johnny Тэги: , , , , , , ,


Сен 16

Запретить обзор сети через групповые политики в Windows 2008 R2В далекие годы настроил я групповую политику для терминальных пользователей на Windows 2003 таким образом, чтобы не было у них возможности видеть другие компьютеры в сети и, соответственно, заходить на них.

В Win2k3 это все делалось двумя политиками:

В управлении групповой политикой открываем «Конфигурация пользователя > Шаблоны администрирования > Компоненты Windows > Проводник (User Configuration > Administrative Templates > Windows Components > Windows Explorer) и включаем там две политики:

«Скрыть значок «Вся сеть» в папке «Сеть»» («No Entire Network in My Network Places»)
«Скрыть значок «Соседние компьютеры» в папке «Сеть»» («No Computers Near Me in My Network Places»)

Но после появления терминальных серверов на Windows 2008R2 при этих включенных политиках пользователи вдруг начали видеть компьютеры в сети из терминалки.

Продолжение »

Автор: Johnny Тэги: , , , , , , , , , , , , ,


При использовании материалов сайта на других ресурсах прошу оставлять прямую ссылку на оригинал статьи.