Kolejny problem z bezpieczeństwem systemów Windows obił się szerokim echem w ostatnich dniach. Po ostatnim krytycznym błędzie systemów Windows odkryty został kolejny poważny błąd, tym razem przeglądarki Internet Explorer. Securnia opisała lukę przeglądarki Internet Explorer określając ją jako Extremely critical Luka pozwala na zdalny dostęp do komputera oraz na wykonanie dowolnego kodu. Co ciekawe problem występuje również na w Internet Exlorerze 7 na w pełni spatchowanym systemie Windows XP z Service Packiem 3 oraz w Internet Exlorerze 6 na Windows XP z SP2. Na dzień dzisiejszy Microsoft pracuje nad poprawką. Czekamy na nią z niecierpliwością.
Domyślnie w systemie Windows Server 2003 główne konto administratora systemu nazywa się po prostu "Administrator" i wiedzą to wszyscy. Wynika z tego niestety jeden bardzo ważny fakt, o istnieniu takiego konta wiedzą osoby potencjalnie chcące włamać się do naszego systemu. Niestety też bardzo często to wbudowane konto systemowe używane jest jako główne konto służące do zarządzania serwerami w domenie. Rozwiązanie takie jest niestety bardzo niebezpieczne.
Warto więc zabezpieczyć się przed ewentualnym atakiem na konto administratora. Najprościej jest oczywiście wyłączyć konto "Administrator". Można pójść jednak o krok dalej i stworzyć "oszukańcze" konto "Administrator". Rozwiązanie takie jest bardzo popularne i warto zapoznać się z tą metodą zabezpieczenia naszych serwerów.
W tym celu otwieramy Active Directory Users and Computers. Pierwszym krokiem jest zmiana nazwy użytkownika z "administrator" na inne, choćby "nasze.imie.i.nazwisko". W następnym kroku tworzymy nowe konto użytkownika, jako nazwę wpisujemy administrator, natomiast jako opis wpisujemy Built-in account for administering the computer/domain. Rozwiązanie takie umożliwi ograniczyć próby zalogowania się na to standardowe konto. Warto stosować to jako dobra praktykę w administrowaniu Windows Server.
Edit:
Po komentarzu (dzięki za zwrócenie uwagi na temat) jednego z użytkowników pozwolę sobie nieco poszerzyć temat zmiany nazwy użytkownika. A mianowicie przedstawiona metoda jest tzw. metodą zabezpieczania przez ukrywanie. Niestety bardzo słabą, gdyż SID każdego konta administratora kończy się cyfrą "500". To z kolei pozwala w łatwy sposób namierzyć SID, który będzie odpowiadał kontu administratora.
W sytuacji posiadania odpowiedniego identyfikatora wystarczy posłużyć się taki narzędziami jak SID2USER lub USER2SID by uzyskać nazwę potrzebną do logowania. W tej sytuacji wszelkie staranie mające na celu zabezpieczenie tego konta nie przynoszą rezultatu.
Podsumowując najlepszym rozwiązaniem w takim wypadku jest wyłączenie takiego konta. Bardzo dobrym rozwiązaniem w tym wypadku jest wyłączenie kont Administratora na wszystkich serwerach za pomocą Group Policy. W tym celu otwieramy ścieżkę: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Accounts: Administrator account status.
oraz wyłączamy konta wybierając Disabled.
Kolejny problem pojawia się w systemach wcześniejszych niż Windows Server 2003 gdzie konta administratora nie da się wyłączyć. W takim wypadku pozostaje jedynie zastosowanie mocnego hasła. Inną kwestią oczywiście jest, że mocne hasła powinny się znajdować na każdym koncie o dużych uprawnieniach.
PS. Dużo ciekawych opinii na temat zabezpieczania przez ukrywanie możecie znaleźć w tej debacie.
Źródło screenów: www.windowsecurity.com
Dziś będzie bardzo, krótko i nie na temat. Natrafiłem dziś na dosyć ciekawą reklamę wirusową. Film pokazuje zachowanie pracowników firmy, gdy mamy awarię sieci :)
Co w tym czasie dzieje się w serwerowni ... strach się bać.
Wyświetlanie użytkowników, którzy nie zmienili hasła
Wiedza dotycząca zarządzania polityką haseł w domenie Windows Server jest bardzo ważnym aspektem funkcjonowania każdej organizacji i firmy. Temat ten postaramy się wkrótce szerzej opisać. Dziś natomiast zaprezentujemy kilka rad w jaki sposób uprościć sobie zarządzanie użytkownikami mającymi problemy z okresową zmianą hasła. Dokładniej to postaramy się pokazać w jaki sposób takich usków skutecznie wyszukać.
Pierwszym ułatwieniem będzie dodatkowa zakładka w strukturze Active Directory zawierająca informację o ostatnich zmianach hasła. W tym celu konieczne jest zainstalowanie dodatku Windows 2003 Resource Kit Support Tools a następnie zarejestrowanie dll'ki acctinfo.dll w systemie. W tym celu wpisujemy polecenie: regsvr32 %systemroot%\system32\
Dzięki temu zostanie dodana nowa zakładka zawierająca te informacje.
W miejscu tym istnieje możliwość szybkiego wglądu do podstawowych informacji dotyczących zmian hasła przez danego użytkownika.
Druga opcja jest jeszcze skuteczniejsza. Pozwala stworzyć listę, użytkowników którzy nie zmienili hasła przez daną ilość dni. Rozwiązanie proste jednak wielce przydatne i nawet bardziej polecane niż powyższe. Wystarczy bowiem wpisać poniższe polecenie by uzyskać listę użytkowników, którzy nie zmienili hasła.
Oto i ono: DSQUERY USER -o DN -STALEPWD LICZBA_DNI
Ostatnimi czasy rozpocząłem subskrypcję witryny Locos Bezpieczeńtwo i Audyt IT, która codziennie przynosi sporo nowości w temacie bezpieczeństwa w sieci i nie tylko. Postanowiłem przekazać jedną informację, która wydaję się być mocno ważna z perspektywy osób zajmujących się administracją systemów Windows Server, a którą to znalazłem na tej wartościowej witrynie.
CERT Polska donosi o mocno zwiększonej aktywności wirusów opartych o błąd krytyczny systemów Windows umożliwiający wykonanie dowolnego kodu na zaatakowanym systemie. Zgodnie z raportem opublikowanym przez CERT ruch na porcie 445/TCP wykorzystywanym przez omawiane wirusy wzrósł kilkakrotnie, natomiast liczba komputerów generujących ten ruch wzrasta w równie szybkim tempie.
Oznacza to nie mniej ni więcej, że komputery te nie są odporne na atak robaków W32/Conficker.worm oraz W32.Downadup. Warto więc sprawdzić czy wypuszczona 24.10 aktualizacja znajduje się na naszym komputerze/serwerze.
Event ID: 6702 - DNS nie mogący skojarzyć się z Active Directory
Po raz kolejny zatrzymujemy się by przeanalizować zawartość "Dziennika zdarzeń" naszego serwera. Tym razem pod lupę, na krótką chwilę weźmiemy błąd oznaczony numerem 6702. Błąd ten, gdy już występuje zazwyczaj nie daje o sobie zapomnieć i co chwila zasypuje logi.
Można więc się lekko przestraszyć widząc same "czerwone" wpisy. Zwłaszcza gdy zobaczy się treść jaką opisuje występujący problem:
Problem wydaje się być poważny jednak tak naprawdę nie niesie ze sobą żadnych problemów z funkcjonowaniem usług, o których wspomina to jest DNSu i Active Directory. Sytuacja wydaje się więc nieco dziwna :) I taka też jest ;)
Okazuje się powiem, że system Windows Server 2003 nie jest w stanie skojarzyć usługi DNS z domeną, którą nie może z całą pewnością zaklasyfikować jako lokalną. Sytuacja taka występuje gdy w nazwie naszej domeny nie używamy formy NAZWA_DOMENY.local lub też używamy domeny NAZWA_DOMENY.pl lub nazwę jednoczłonową NAZWA_DOMENY. Sytuacja jest więc nieco głupia co szerzej opisano również na stronach wsparcia technicznego Microsoftu. Z przytoczonego wcześniej artykułu wynika jasno, że możemy ten błąd świadomie zignorować. Docelowo problem ten powinien zostać rozwiązany w kolejnym zbiorze poprawek do systemu Windows Server 2003. Kiedy to nastąpi? Tego nie wiedzą nawet najstarsi górale ...
Event ID: 1126 - Problem z dostepem do Global Catalog
Kilka ostatnich dni spędzam na walce z domenami oraz subdomenami w strukturze Active Directory. Jako, że temat staram się zgłębić dosyć mocno musiały pojawić się i problemy. Skoro nie wszystko działa prawidłowo pierwsze swe kroki skierowałem do EventLoga (Dziennika Zdarzeń). Stąd i dzisiejszy post.
Po tym przydługawym wstępie przechodzę do bardzo krótkiej solucji dla tego błędu. Komunikat na jaki natrafiamy brzmi:
W sumie już sama treść mówi nam co zrobić jednak nakieruję was nieco, bo i sam szukałem rozwiązania w sieci.
Otwieramy Active Directory Sites and Services w Administrative Tools. W wyświetlonym oknie rozwijamy: Sites -> Default-First-Site-Name -> Servers -> Nazwa_SERWERA -> NTDS Settings.
Wybieramy właściwości ostatniego pola i w zakładce General zaznaczamy opcję Global Catalog.
Rozwiązanie to włącza Global Catalog i zarazem usuwa problem z łącznością z nim.
Dodawanie lokalizacji do "Zapisz jako" w pakiecie Office
Przechowywanie dokumentów w bibliotekach Windows SharePoint Services jest najlepszym rozwiązaniem dla firm korzystających z pakietu Microsoft Office. Korzyści jakie daje przechowywanie dokumentów środowisku SharePointa jest masa: wersjonowanie, bezpieczeństwo czy dostęp w całej sieci. Warto więc doprowadzić do sytuacji gdy użytkownicy zapisują pliki od pierwszej ich wersji w bibliotekach dokumentów SharePointa. Opcję taką umożliwia tworzenie dokumentów na bazie szablonów przygotowanych w portalu. Jednak dla zwykłego użytkownika znacznie wygodniej jest rozpocząć pracę od aplikacji Word lub Exel i dopiero wtedy zapisać go w jakiejś lokalizacji. Także niejako próbują zrealizować ten sam cel, ale z drugiej strony. Ważne jest więc by im to umożliwić, upraszczając zarazem ich pracę.
Naszym celem będzie umożliwienie użytkownikom zapisu plików z poziomu aplikacji Microsoft Office bezpośrednio do biblioteki SharePointa. Oto kilka porad jak można to zrealizować:
1. Zmapować bibliotekę SharePointa do udziału sieciowego dostępnego z komputera. Użytkownik może wtedy zapisać plik wybierając lokalizację w Otoczeniu Sieciowym.
2. Powyższą czynność można uprościć nieco bardziej dodając taką bibliotekę do menu Zapisz w... Należy wybrać opcję zapisz jako, otworzyć otoczenie sieciowe, wybrać dany udział a następnie wybrać prawy przycisk myszy w menu "Zapisz w" oraz wybrać dodaj folder.
3. Chcąc zapisać te lokalizacje na większej liczbie stanowisk najlepszym rozwiązaniem jest stworzenie skryptu logowania, który automatycznie będzie dodawał dane biblioteki do menu zapisu. W tym celu najlepiej przygotować gotowe ustawienia na bazie rejestru systemowego. Otwieramy program RegEdid w polu Uruchom a następnie otwieramy ścieżkę HKEY_CURRENT_USER\Software\Microsoft\Office\WERSJA_OFFICE\Common\Open
Find\Places\UserDefinedPlaces
W miejscu tym tworzymy klucze o nazwie PlaceX, gdzie X należy zastąpić cyfrą począwszy od 0. Z kolei w tym podkluczu należy utworzyć dwie wartości o nazwach Name - wyświetlana nazwa oraz Path -ścieżka do pliku.
Po stworzeniu listy wybranych biblitek wpisanych do rejestru należy wykorzystać następujące polecenie do skopiowania tych ustawień do pliku:
Tak stworzony plik należy udostępnić w jakimś dostępnym udziale sieciowym. Następnie stworzyć skrypt o następującej treści:
W taki oto prosty sposób możemy sprawić by naszym użytkownikom pracowało się prościej a zarazem usprawnić proces przechowywania dokumentów w SharePoincie.
To, że Windows Vista może być przy pierwszym spotkaniu nieco upierdliwy odczuł chyba każdy użytkownik próbujący coś skonfigurować. Osobiście też miałem takowe odczucie zwłaszcza, że wszystko co nowe i nie do końca zrozumiałe wydawać się może nieco niefunkcjonalne. Jestem jednak nieco mniej krytycznie do Visty nastawiony, gdyż wiem, że każde oprogramowanie należy przede wszystkim skonfigurować "pod siebie". Dopiero po kastomizacji produktu rozpoczynam właściwy proces oceny. Stąd też pomysł na dzisiejszego posta. Poniżej kilka drobnych porad jak uprzyjemnić sobie życie z Vistą.
1. Wyłączenie usługi UAC
Usługa User Account Control w moim odczuciu mimo idei bezpieczeństwa jaką ze sobą niesie jest dla mnie wielce nie wygodna. Szczególnie, że sprowadza kontekst działania aplikacji do poziomu zwykłego użytkownika, nawet gdy jesteśmy zalogowani z uprawnieniami administratora. Jej działanie objawia się choćby i takowym ekranem.
Na nasze szczęście możliwe jest łatwe wyłączenie jej. Metoda została znaleziona na stronie Michała Osmendy. Konieczna jest w tym wypadku zmiana klucza EnableLUA w rejestrze systemowym w lokalizacji: SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System na wartość 0x00000000. Innym sposobem jest również uruchomienie aplikacji MSConfig i w zakładce Usługi wyłączenie UACa.
2. Wyłączenie monitowania o nowej sieci
Kolejna usługa próbująca nieco na wyrost myśleć za użytkownika. W sytuacji pracy w jednej, dwóch sieciach nie jest wcale uciążliwa. Sytuacja pogarsza się gdy często się przemieszamy korzystając z różnych sieci bezprzewodowych. System atakuje nas wtedy takim monitem:
Chcąc definitywnie rozstać się z tą sytuacją należy podobnie jak w wcześniejszym przykładzie wyłączyć tą usługę w rejestrze. W tym celu należy dodać nowy klucz w rejestrze: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Network\NwCategoryWizard typu DWORD (32-bit) Value o nazwie Show i wartości 0.
Po tych dwóch ułatwieniach pragniemy polecić bardzo przydatne narzędzie, które pozwoli wam migrować profile sieci bezpzewodowych pomiędzy dwoma komputerami z systemem Microsoft Vista. Oto i ono: Wireless Migrator. Obsługa tego bardzo przydatnego narzędzia jest bardzo prosta. Wystarczy uruchomić plik BackupWireless.exe. Utworzy się nowy plik: RestoreWireless.wnb. Kopiujemy go na drugą maszynę i uruchamiamy. W tym momencie przenieśliśmy wszystkie zapisane profile sieciowe na drugi komputer. Polecam ;)
Kontynuujemy naszą przygodę z zdalną administracją siecią opartą o Windows Serwer 2003 i usługę Active Directory. Dzisiejszego dnia skonfigurujemy zawartość pulpitu użytkowników za pomocą Group Policy Object.
W związku z tym, że chcemy aby na pulpicie użytkownicy przechowywali przede wszystkim skróty do aplikacji skupimy się na tym aspekcie. Automatyczne załadowanie zestawu najpotrzebniejszych skrótów na pewno nie jednemu pracownikowi ułatwi pracę i oszczędzi nam czas jaki musielibyśmy poświęcić na każdorazową konfigurację nowego stanowiska.
Pierwszą czynnością jaką musimy wykonać jest stworzenie gotowego zestawu skrótów jakie chcemy umieścić na pulpicie i udostępnienie go z uprawnieniami dla wszystkich użytkowników. Ważne by w tym miejscu upewnić się co do dokładnej lokalizacji programów jakie chcemy udostępnić użytkownikom na pulpicie. Stąd zalecam dodawanie skrótów za pomocą kreatora, będziemy mieli pewność co do lokalizacji plików wykonywanych. W miejscu tym pojawia się kolejny problem, nad którym warto się przez sekundę zatrzymać. Skoro chcemy zautomatyzować tą czynność warto przygotować się na wypadek postawienia 64bitowej maszyny, w której lokalizacje pewnych aplikacji mogą się różnić od standardowych. Zalecam więc stosować jeśli tylko to możliwe zmienne środowiskowe w postaci %programfiles%. Rozwiązanie takie da nam gwarancje prawidłowo działających skrótów.
Kolejnym etapem naszych przygotowań jest stworzenie prostego skryptu, który będzie dodawał stworzony zestaw skrótów na pulpit każdego użytkownika. Najprostszą metodą jest użycie funkcji xcopy z parametrami /y oraz /d. W takiej konfiguracji pliki będą kopiowane tylko jednorazowo, bez udziału użytkownika. Przykładowy skrypt:
Po stworzeniu skryptu wystarczy dodać go do skryptów wykonywanych podczas logowania użytkownika. Chcąc to zrobić otwieramy konsole Group Policy Object Editor wybierając w oknie Uruchom polecenie gpedit.msc. Następnie wybieramy User Configuration -> Windows Settings -> Scripts -> Logon. W nowym oknie wystarczy wybrać przycisk Add. Następnie należy podać lokalizację skryptu. Ważne by ścieżka była poprzez udział sieciowy.
Po wykonaniu powyższych czynności zalecam dodatkowo przetestować to rozwiązanie
Ostatnio stanąłem przed koniecznością uruchomienia prostej witryny opartej na PHP na serwerze Windows Serwer 2003 zaopatrzonym w IISa. Oczywiście standardowo skrypty PHP nie są obsługiwane poprzez Internet Information Services, można jednak to zmienić :)
Temat jest w polskim Internecie dosyć szeroko opisany, pozwolę sobie jednak nieco powielić dostępne informacje zwracając uwagę na sytuację gdy na serwerze mamy już postawionego SharePointa. Jest to sytuacja o tyle charakterystyczna, że konieczne jest tu zachowanie domyślnych ustawień przypisanych do witryny SharePointa.
1. Pobranie pakietu PHP
Zaczynamy więc od zainstalowania pakietu PHP. Można go pobrać z głównej strony projektu. Warto w tym miejscu zastanowić się, którą wersję PHP będziemy wykorzystywać. Więcej o nowych zastosowaniach PHP 5 w kontekście swojego poprzednika można przeczytać w tym artykule. W podjęciu decyzji powinna nam pomóc również informacja, że PHP w wersji 4 nie jest już wspierane. Wsparcie tego rozwiązania zakończyło się wraz z końcem ubiegłego roku. Pozostaje nam jeszcze wybór odpowiedniej paczki. Do wyboru mamy rozwiązanie posiadające instalator (jest możliwość wyboru automatycznej instalacji na IISie ) lub
też spakowany zestaw plików. W sytuacji, gdy na naszym serwerze będzie dodatkowo działał SharePoint zalecamy wybrać opcję z archiwum zipa. Pozwoli to dowolną konfigurację tego rozwiązania oraz pełną świadomość dokonywanych zmian.
2. Konfiguracja PHP
Po pobraniu zestawu na dysk serwera konieczne jest jego rozpakowanie (domyślnie C:\php). Po rozpakowaniu uzyskamy dostęp do wszystkich plików. Następnie konieczne jest skopiowanie następujących plików:
- C:\php\php4ts.dll do folderu C:\php\sapi
- C:\php\php.ini-recommended do folderu C:\Windows
Po wykonaniu kopii powyższych plików otwieramy lokalizację C:\Windows a następnie zmieniamy nazwę pliku php.ini-recommended na php.ini. W tym miejscu warto skonfigurować działanie PHP poprzez edycję tego pliku. Jako, że specjalistą tego tematu nie jestem odsyłam do lektury dwóch artykułów. Pierwszy opisuje możliwości konfiguracyjne drzemiące w php.ini. Drugi art udostępniony na stronie wss.pl zwraca uwagę na najważniejsze elementy związane z połączeniem IISa z PHP. Zalecam lekturę i indywidualną konfigurację obsługi PHP.
3. Konfiguracja IISa
Posiadając już skonfigurowaną obsługę skryptów php przechodzimy do konfiguracji IISa. Otwieramy konsolę zarządzania IISem. Skrót do niej znajduje się w Narzędziach Administracyjnych lub też wywołać można ją z lokalizacji %SystemRoot%\system32\inetsrv\iis.msc. Naszym oczom ukaże się panel zarządzania usługą Internet Information Services.
W kolejnym kroku dodamy rozszerzenie .php do obsługiwanych przez IISa formatów plików. W tym celu wybieramy Web Services Extensions. W nowo wyświetlonym oknie wybieramy przycisk Add new web service extension... oraz w oknie dodawania rozszerzenia podajemy nazwę PHP oraz ścieżkę C:\php\sapi\php4isapi.dll oraz zezwalamy na jego użycie zaznaczając Set extension status to Allowed.
Po dodaniu formatu PHP do grupy obsługiwanych musimy stworzyć stronę dla naszej aplikacji. Wybieramy katalog Web Sites
a następnie poprzez PPM wybieramy opcję New oraz New Site. Uruchomi się bardzo prosty kreator dodawania nowej witryny. W pierwszym kroku możemy dodać opis strony, w kolejnym wyświetli się następujący ekran:
W miejscu tym możemy przypisać jedną z domen do tej witryny lub też zdecydować, którym porcie będzie udostępniona. Następnie musimy zdecydować o lokalizacji folderu na dysku lokalnym, w którym serwer IIS będzie poszukiwał plików do generacji strony. Konieczne jest też wybranie uprawnień dla tej witryny dotyczących uruchamiania skryptów oraz poziomie dostępu do plików. Po wybraniu tych opcji kreator kończy pracę i utworzona zostaje nowa witryna.
Jedyne co pozostaje to wybrać nową witrynę PPM oraz otworzenie jej właściwości poprzez Properties. W nowym oknie możemy zmienić wszystkie właściwości witryny, także te które definiowaliśmy w kreatorze. Jednak by uruchomić php w pełni należy otworzyć zakładkę Documents i poprzez przycisk Add dodać nazwy plików poszukiwanych jako startowe dla tej witryny. Warto w tym miejscu dodać oczywiście nazwę index.php.
Po tak dokonanej konfiguracji mamy pewność, że konfiguracja dotycząca obsługi PHP w żaden sposób nie przeszkadza na równoczesne korzystanie z SharePointa.
Dziś przedstawimy metodę na migrację profilu lokalnego do domeny. Bardzo często zdarza się, że użytkownicy pracują na profilach lokalnych. Chcąc taki komputer dodać do domeny musimy także zmierzyć się z sytuacją, gdy użytkownik ma już od dłuższego czasu skonfigurowane konto. Konieczna jest więc migracja użytkowanego profilu do domeny. Jak to zrobić? Rozwiązanie znajdziecie poniżej ;)
Musimy przygotować stanowisko w następujący sposób:
1. Dodajemy komputer do domeny
2. Tworzymy następujące konta użytkownika:
- A - konto lokalne
- B - docelowe konto domenowe
- C - lokalne, tymczasowe konto administracyjne
Chcąc utworzyć te konta (w Windows XP) należy otworzyć Panel sterowania a następnie wybieramy Konta użytkowników. W oknie tym możemy dodawać użytkowników domenowych poprzez wybór przycisku Dodaj.
Chcąc dodać nowe konto lokalne należy wybrać zakładkę Zaawansowane oraz przycisk Zaawansowane.
Następnie wyświetli się podobny menadżer użytkowników i grup tego komputera do tego, który znajduje się w systemie Windows Server. Otwieramy folder Użytkownicy i na liście użytkowników klikamy prawym przyciskiem myszy i wybieramy Nowy użytkownik. Pojawia się formularz dodawania nowego użytkownika.
Po dodaniu nowego użytkownika otwieramy jego Właściwości oraz wybieramy zakładkę Członek grupy. W tym miejscu wybieramy przycisk Dodaj i dodajemy użytkownika do grupy Administratorzy.
Gdy utworzymy powyżej wymienione konta należy ponownie uruchomić komputer. Restart stanowiska jest bezwzględnie wymagany!
Po ponownym uruchomieniu się komputera należy zalogować się na konto C. Nastepnie otwieramy właściwości systemu: Mój komputer -> Właściwości -> zakładka Zaawansowane -> Profile użytkownika -> Ustawienia. Wyświetli się okno o nazwie Profile uzytkownika.
Wybieramy teraz konto A oraz wybieramy przycisk Kopiuj do. W nowo wyświetlonym oknie należy wybrać konto B. W tym momencie konto lokalne powinno zostać skopiowane do konta domenowego.
W momencie kopiowania mogą wystąpić problemy. W takim przypadku konieczne jest dodatkowo przejęcie lokalizacji C:\Documents and Settings na własność konta C.
Powracamy do tematu bachupów. Bardzo popularne jest stwierdzenie, że "Administratorzy dzielą się na tych, którzy robią backupy i na tych, którzy dopiero zaczną". Idąc tym tropem lepiej więc pomyśleć wcześniej o ewentualnej archiwizacji danych niż zostać do niej zmuszonym przez jakiś nagły wypadek. Dziś przedstawimy bardzo proste rozwiązanie problemu tworzenia kopii zapasowych wszelkiej maści stacji roboczych czy nawet serwerów. Posłużymy się w tym celu oprogramowaniem dostarczonym wraz z systemem Windows czyli programem NTBackup.
Wybór danych do zabezpieczenia
Przed rozpoczęciem konfiguracji warto zastanowić jakie zasoby będziemy chcieli archiwizować. Przy serwerach oczywiście najlepszym rozwiązaniem jest backup całego dysku. Natomiast zabezpieczając dane stacji roboczych lepiej skupić na wybranych, najważniejszych danych. Ja osobiście zalecam w tym wypadku skupić się tylko na ważnych danych. Oczywiście również można backupować cały dysk jednak przy większej ilości danych może to być spora ilość danych do zmagazynowania. W moim odczuciu warto skupić na następujących lokalizacjach:
- Moje dokumenty
- Pulpit
- poczta
- ewentualnie dodatkowe dane związane z specyfiką danego stanowiska
Warto też zastanowić się nad zapisywaniem całej lokalizacji C:\Documents and Settings, jednak dane tam zapisane bardzo mocno zwiększą rozmiar backupu.
Po wyborze poszczególnych sekcji warto ustalić jaka jest ich ścieżka dostępowa. Moje dokumenty oraz Pulpit znajdują się w lokalizacji: C:\Documents and Settings\NAZWA_UŻYTKOWNIKA i tutaj problemów nie będzie. Warto jednak przyjrzeć się gdzie zapisywane są pliki poczty. Zakładamy, że korzystamy z rozwiązań Microsoftu odpowiednio Outlook Express lub też Office Outlook.
Chcąc sprawdzić lokalizację, w której przechowywane są pliki Outlook Expressa otwieramy w nim odpowiednio: Narzędzia -> Opcje -> Konserwacja -> Folder magazynu. W miejscu tym podana jest lokalizacja, w której przechowywane są pliki Outlooka.
Podobnie, aby odnaleźć lokalizację plików Office Outlooka należy otworzyć: Narzędzia -> Opcje -> Ustawienia poczty -> Pliki danych.
Stworzenie skryptu do backupu
Backup będziemy tworzyć za pomocą już wcześniej wspomnianego narzędzia - NTBackup. Jest ono wbudowane w systemie Windows XP Professional. Chcąc je zainstalować na innym systemie konieczne jest pobranie go z tej lokalizacji. W systemach Windows XP Home Edition można je również znaleźć na dysku CD w tej lokalizacji: \VALUEADD\MSFT\NTBACKUP. Plik nazywa się ntbackup.msi. Mając już na swoim komputerze narzędzie gotowe do użycia mamy 2 sposoby na zdefiniowanie sposobu tworzenia kopii zapasowej. Pierwszym jest kreator, który poprowadzi krok po kroku w procesie konfiguracji backupu. Drugi jest to natomiast użycie gotowego skryptu, który notabene generuje się również po zakończeniu kreatora. Tworzenie skryptu za pomocą kreatora 1. Uruchamiamy kreator wybierając START -> Uruchom -> ntbackup. W pierwszym kroku wybieramy przycisk Dalej.
2. Następnie decydujemy pomiędzy trzema wersjami backupu. Są to: pełna kopia zawartości dysków, kopia wybranych folderów i plików oraz kopia danych systemu. 3. Kolejnym krokiem (rozważamy opcję z wyborem folderów) jest wybór lokalizacji do zabezpieczenia. 4. W nowym oknie wybieramy lokalizację, w której chcemy zapisywać plik backupu oraz podajemy jego nazwę. 5. Po przejściu do ekranu "Kończenia pracy kreatora" mamay możliwość zakończenia pracy poprzez wybranie przycisku Zakończ lub też dokonania dodatkowej konfiguracji wybierając przycisk Zaawansowane.... Zalecamy wybór zaawansowanej konfiguracji. 6. Pierwszy krok zaawansowanej konfiguracji polega na wyborze typu tworzonego backupu. Mamy w tym miejscu do wyboru 5 typów:
- Normalny - pełny backup podanych lokalizacji. Najpopularniejsze i najpewniejsze rozwiązanie.
- Kopia - od normalnego różni się tylko brakiem oznaczania plików flagą wykonanego na nich backupu
- Przyrostowa - Kolejne backupy dotyczą tylko zmian od poprzedniego backupu. Pierwszy backup jest normalny, kolejne tworzą tylko backup dokonanych zmian. Chcąc zachować pewność backupu okresowo zaleca się również tworzenie backupu Normalnego.
- Różnicowa - tworzy kopię zapasową plików utworzonych lub zmienionych od poprzedniego backupu. Podobnie jak backup typu Kopia nie oznacz ich flagą utworzonej kopii zapasowej
- Codzienna - Tworzy kopie zapasową plików utworzonych dzisiaj. 7. W kolejnym oknie decydujemy o ewentualnej weryfikacji danych po utworzeniu backupu (zwiększa czas tworzenia backupu) oraz opcji kompresji sprzętowej jak i kopiowaniu woluminów danych w tle. Opcje te są rzadko używane. 8. Kolejny krok dotyczy wyboru zapisu pliku. Należy w nim zdecydować czy nowy backup ma nadpisywać poprzedni czy też zapisywać się jako osobny plik. W zależności o typu backupu obie opcję są przydatne. Dla normalnej kopii zapasowej zalecamy nadpisywać pliki, jednak w wypadku kopii przyrostowej należy wybrać zapisywanie wszystkich kopii osobno. 9. Ostatnim ważnym krokiem konfiguracji zaawansowanej jest możliwość dodania procesu tworzenia kopii zapasowej harmonogramu zadań, ustawienie częstotliwości tworzenia backupu oraz wybór użytkownika w którego kontekście backup będzie tworzony. Warto tu pamiętać, że użytkownik ten musi mieć uprawnienia do zasobów, które chcemy zabezpieczyć.
Po zakończeniu pracy kreatora w harmonogramie zadań pojawi się zadanie tworzenia backupu, które stworzyliśmy.
Napisanie skryptu
Dlaczego warto pisać ręcznie taki skrypt skoro można go tak łatwo stworzyć za pomocą prostego kreatora? Oczywiście, aby zaoszczędzić czas. Możemy przecież dany skypt napisać od zera za pomocą dostępnych opcji lub też stworzyć skrypt za pomocą kreatora a następnie go zmodyfikować. Możemy dodać opcje, których w kreatorze dodać się nam nie uda dzięki czemu możemy stworzyć jeden uniwersalny skrypt dla wielu komputerów. Jako nazwę pliku .bkf możemy podać wtedy zmienną %computername%, a jako miejsce zapisu możemy wybrać dowolny udział sieciowy na co kreator nie zawsze pozwala. Jedne co nam pozostanie do przygotowania to plik .bks zawierający lokalizację plików, które mają być archiwizowane. Edit: Ważne by plik .bks zapisany był w niestandardowym kodowaniu Unicode!. Natomiast poszczególne lokalizacji przeznaczone do zabezpieczenia wpisane są w osobnych linijkach.
Poniżej prezentujemy przykładowy skrypt:
Dziś publikujemy kolejny artykuł prezentujący metody za pomocą których możemy ułatwić sobie życie. Przyglądniemy się dodawaniu stron www do stref bezpieczeństwa. Funkcjonalność ta dotyczy oczywiście opcji zabezpieczeń Internet Explorera począwszy od wersji 6.0 z SP2. Funkcjonalność ta podnosi bezpieczeństwo podczas korzystania z stron internetowych, warto więc wiedzieć w jaki sposób można zarządzać tą opcją. Osoby nie stosujące do tej pory tego rozwiązania zachęcamy na wstępie do zapoznania się z tym artykułem. Ze swej strony dodam tylko, że bez dodania witryny SharePointa do strefy intranet lub też zaufanych witryn nie będzie możliwości korzystania z zintegrowanego logowania. Za każdym razem konieczne będzie logowanie się poprzez okienko logowania. Warto więc uprościć dostęp do witryny poprzez dodanie strony SharePointa do jednej z tych grup. My zalecamy dodawać ją do strefy intranet.
1. Metoda okienkowa
Chcąc zarządzać strefami bezpieczeństwa w Internet Explorerze otwieramy Narzędzia -> Opcje internetowe oraz wybieramy zakładkę Zabezpieczenia. Naszym oczom ukazuje się okno z wypisanymi strefami.
W oknie tym wybieramy daną strefę a następnie klikamy na przycisk Witryny. W nowym oknie wybieramy Zaawansowane. Pojawi się możliwość dodawania stron do danej strefy. Wystarczy wpisać adres witryny i kliknąć na Dodaj.
Po dodaniu do danej witryny do strefy bezpieczeństwa zaczyna być ona wyświetlana zgodnie z regułami danej strefy.
2. Group Policy
Oczywiście konfiguracja kilku takich stron na n-komputerach nie jest już zbyt wygodne, dlatego zachęcamy by odgórnie pewne witryny dodać do odpowiednich stref. Najlepszą metodą jest tu oczywiście centralne zarządzanie tą opcją z Group Policy.
Uruchamiamy Group Policy Object Editor (Uruchom: gpedit.msc). Otwieramy następującą ścieżkę: Computer Configuration -> Administrattive Templates -> Windows Components -> Internet Explorer -> Internet Control Panel -> Security Page. W miejscu tym znajdziemy regułę Site to Zone Assignment List. Należy ją uruchomić wybierając Enable. Następnie należy dodać witryny wraz z strefą do której mają należeć. Chcąc to zrobić należy wybrać Show oraz dodać nowy wpis w postaci:
Gdzie wartość 1-4 oznacza numer danej strefy:
1 - Strefa Lokalny intranet
2 - Strefa Zaufane Witryny
3 - Strefa Internet
4 - Strefa Witryny z ograniczeniami
Po dodaniu listy interesujących nas witryn musimy tylko poczekać aż na stanowiskach odświeżą się zasady Group Policy.
Kolejna porcja dziwnych logów z Windows Server 2003 przed wami. Tym razem krótko opiszemy tytułowe trzy ostrzeżenia pojawiające się czasem dzienniku zdarzeń. Treść komunikatów się często zmienia. Komunikaty informują zawsze o drukarce wykożystywanej przez użytkownika połączonego RDPem siecią lokalną:
- "... in session 2 was deleted"
- "... session 2 is pending deletion"
- "... in session 2 was purged"
Komunikaty te zazwyczaj pojawiają się zazwyczaj grupowo:
Informacje te wynikają z mapowanie i usuwaniem drukarek sieciowych do komputera podłączonego za pomocą RDPa lub też mapowaniem drukarek lokalnych tegoż użytkownika na serwerze. Także są to bardziej informacje niż ostrzeżenia. Oczywiście możemy w ustawieniach RDP czy też GPO zablokować mapowania drukarek jednak usługa drukowania przez sieć jest często przydatna. Warto więc te komunikaty po prostu ignorować.
Ostatnimi dniami na stronie polskiego ewangelisty IT Mariusza Kędziory pojawiła się ciekawy post dotyczący szybkości uruchamiania Windows Visty. Pokazał on bardzo prosty sposób na zarządzanie uruchamianymi podczas startu systemu procesami. Sam osobiście do tej pory stosowałem darmowy program RegCleaner do zarządzania tą kwestią. Rozwiązanie systemowe jest jednak znacznie prostsze i szybsze. Warto więc spróbować przyjrzeć się liście uruchamianych programów wraz z startem systemu. Zwłaszcza, że część z nich może być przez nas wcale nie używana. Wyłączenie może pozwolić nam nieco przyśpieszyć nasz komputer a zarazem nieco odciążyć pamięć RAM.
Chcą zarządzać programami uruchamianymi podczas startu systemu (metoda działa na Windows XP oraz Windows Vista) należy w oknie Start -> Uruchom wpisać następującą komendę:
Uruchomi się Narzędzie konfiguracji systemu. W zakładce Uruchamianie (Startup) znajdziemy listę uruchamianych procesów:
Lista ta zapewne krótka nie będzie warto więc ją nieco przeczyścić odznaczając niektóre aplikacje. Sam podczas pierwszej analizy usunąłem niemal 1/3 wpisów. Warto więc chyba te wpisy co jakiś czas monitorować.
System Windows XP Home Edition ma niestety sporo ograniczeń względem możliwości jakie posiada jego rozszerzona wersją - Professional. Między innymi nie mamy możliwości dołączyć takiego komputera do domeny czy też podłączenia się do niego zdalnym pulpitem czyli tytułową usługą Remote Desktop. Oczywiście mamy alternatywę w postaci Zdalnej pomocy (Remote Assistance), jednak usługa ta w praktycznym zastosowaniu nie sprawdza się w zupełności. W sytuacji gdy w wielu firmach można natrafić na jeszcze natrafić na stacje robocze oparte o to "domowe" rozwiązanie warto zabezpieczyć się przed spacerami do takowego komputera.
Najpopularniejszą alternatywą dla Remote Desktop Protocol jest usługa VNC - Virtual Network Computing. Zaletą tego rozwiązania jest fakt, że jest ono oparte na licencji GNU GPL, czyli jest zasadniczo przeznaczona do darmowego użytku z możliwością dowolnej modyfikacji. Dodatkowo jego implementacja RealVNC w wersji Free Edition również jest dostępna w licencji GNU GPL. Program jest bardzo prosty w obsłudze a zarazem stabilny w działaniu. Pokażemy w jaki sposób stworzyć skrypt do instalacji gotowej konfiguracji RealVNC na komputery Windows XP Home Edition.
Chcąc uprościć i tak czasochłonny proces instalacji tego programu na każdym stanowisku nie będącym podpiętym do domeny, proces instalacyjny ograniczymy tylko do uruchomienia gotowego skryptu. Dzięki takiemu rozwiązaniu uzyskamy na każdym stanowisku tak samo skonfigurowany program, który będzie uruchamiał się automatycznie jako serwis przy starcie komputera.
Pierwszym krokiem, który musimy wykonać jest pobranie RealVNC oraz zainstalowanie go na komputerze. Ważne jest aby zainstalować wersję Client oraz Server oraz by podczas instalacji zaznaczyć poniższe opcje:
- Register VNC Server as a system service
- Start the VNC system service
Po zainstalowaniu oprogramowania należy je skonfigurować w taki sposób, w jaki chcemy by działały na stanowiskach, na których będziemy go wdrażać.
Warto w tym miejscy przygotować wcześniej konfigurację porów, na których będzie nasłuchiwał RealVNC w trybie Client na każdym stanowisku. My proponujemy port 444:
Kolejnym opcją, którą warto skonfigurować jest to hasło dostępowe do usługi oraz powiadamianie zalogowanego użytkownika komunikatem o tym, że następuje podłączenie administratora:
Po zainstalowaniu i skonfigurowaniu programu RealVNC przechodzimy do przygotowania pakietu instalacyjnego. Konieczne jest skopiowanie plików programu RealVNC do osobnego folderu - np. pliki oraz utworzenie pliku zawierającego konfigurację tego produktu. Konfiguracja ta przechowywana jest w rejestrze: HKEY_LOCAL_MACHINE -> SOFTWARE -> RealVNC -> WinVNC4. Konfigurację tą zapiszemy w pliku dzięki poniższemu poleceniu:
Po wykonaniu w pliku ustawienia.txt skopiowane będzie nasza konfiguracja. Notabene polecenie tworzące kopie wpisów z rejestru jest bardzo przydatne przy konfiguracji stacji z Windowsem XP Home Edition.
Mając przygotowane pliki programu oraz konfiguracje pozostaje nam tylko stworzenie skryptu instalacyjnego. Pierwszym krokiem w instalacji musi być skopiowanie plików na lokalny dysk. Można użyć do tego polecenia xcopy:
Kolejnym krokiem jest wgranie konfiguracji z pliku ustawienia.txt:
Na koniec pozostaje nam uruchomienie lokalnie serwera RealVNC w trybie serwisu:
Dzięki tym trzem poleceniom w łatwy, niemal automatyczny sposób konfigurujemy na stacjach z Windows XP Home Edition usługę zdalnego dostępu. Pamiętać należy również, że konieczne jest otwarcie portów na firewallu. Warto więc do skryptu dodać linijkę konfigurującą rejestr. Tą opcję pozostawiam już jednak waszej inwencji i poleceniu regedit ;)
Dodawanie skryptów logowania za pomocą Group Policy Objects
Często zależy nam na tym by użytkownikowi, który loguje się do systemu automatycznie skonfigurowały się pewne usługi. W środowisku domenowym, gdy liczba użytkowników jest spora nie ma sensu taką czynność konfigurować na każdym stanowisku ręcznie. Skoro mamy dostęp do domeny warto tu posłużyć się Group Policy Objects i wykorzystać opcję dodawania skryptów logowania.
Bardzo prostym przykładem użytecznego skryptu jest skrypt mający na celu czyszczenie pliku hosts zawierającego definicje zamiany adresu domenowego strony na adres IP. Jest to taki mały, prosty DNS.
Najprostszą metodą czyszczenia tego pliku jest jego podmiana na czystą wersję bez zbędnych wpisów. Przygotowujemy taki plik i nazywamy go hosts. Następnie pozostaje nam stworzenie prostego programu w batchu, który plik znajdujący się na komputerze podmieni na przez nas stworzony. Możemy tu posłużyć się funkcją xcopy z argumentem /Y.
Po stworzeniu tego skryptu musimy udostępnić go w jakimś przydziale sieciowym dostępnym dla użytkowników. Ważne jest, aby nadać uprawnienia dla wszystkich użytkowników do czytania i wywoływania pliku. W innym wypadku po zalogowaniu użytkownikowi pojawi się komunikat o braku uprawnień do pliku hosts.
Następnie należy wybrać lub utworzyć nowe Organizational Unit. Następnie otwieramy Group Policy i dodajemy nową zasadę. Otwieramy ścieżkę: Computer Configuration -> Administrative Templates -> System -> Logon. W tym miejscu odnajdujemy zmienną Use this programms at user logon.
Następnie pozostaje nam zmienić tą wartość na Enable oraz do po wciśnięciu przycisku Show dodanie sieciowej ścieżki do pliku.
Po tych czynnościach mamy skrypt dołączony zostanie do każdorazowego logowania się do systemu.
Ostatnimi czasy w logach Windows Server 2003 z bazą MS SQL Server zaczął pojawiać się błąd o bardzo ograniczonej i niewiele mówiącej treści:
Błąd sam w sobie pojawia się w wyniku problemu z logowania do bazy MSSQL. Dokładne szczegóły dotyczące powodów wyświetlenia się takowego błędu znajdziecie na tym blogu. Szczególnie polecam analizę tabelki tam zaprezentowanej w odniesieniu do numeru kategorii błędu.
W sytuacji gdy pojawianie się tego błędu jest sporadyczne wynika to zazwyczaj z pojedynczych problemów z logowaniem do bazy danych. W takim wypadku można wyłączyć ten komunikat otwierając SQL Server Management Studio a następnie otwierając Właściwości (Properties) bazy danych. Następnie wybieramy zakładkę Security i wybieramy opcję Login auditing i wybieramy None.
Pisaliśmy już kilka razy o pożytecznych zastosowaniach programu STSADM.exe. Narzędzie to w końcu jest chyba najbardziej przydatnym narzędziem przeznaczonym do zarządzania SharePointem. W końcu do tego została stworzona. Olbrzymi potencjał tego narzędzia prezentuje schemat pokazujący wszystkie operacje jakie on potrafi wykonać. Grafika ta jest niemal tak olbrzymia jak i olbrzymi potencjał znajduje się w tym programie.
Dzisiejszego dnia opiszę kilka funkcjonalności, które naprawdę mogą się przydać. Rozpoczniemy od zarządzania użytkownikami SharePointa. Dzięki STSADM możemy dodawać nowych użytkowników do danej witryny bezpośrednio z linii poleceń:
Polecenie to pozwala również na wylistowanie wszystkich użytkowników danej witryny:
Chcąc usunąć konkretnego użytkownika należy wpisać:
Kolejnym przydatnym zastosowaniem jest dodawanie nowego szablonu witryny do galerii gotowych szablonów. Zdarzyć się może, że mamy 40 gotowych szablonów, które chcemy dodać do naszej witryny. Prosty skrypt wykorzystujący polecenie STSADM może nam bardzo ułatwić dodanie takiej ilości danych. Program ten pozwala na dodanie nowego szablonu poprzez:
Przydatną funkcjonalnością jest również dodawanie do utworzonych strona konkretnych WebPartów. Poniższy przykład pokazuje w jaki sposób wykorzystać do tego to narzędzie. Można określić adres strony do instalacji WebParta lub też zainstalować dla całej kolekcji witryn:
Oczywiście opisane funkcje są tylko kroplą w morzu możliwości. ZNacznie więcej przykładów znajdziecie w dokumentacji. Wystarczy wpisać stsadm.exe -help. Wkrótce postaramy się wam opisać jak wykorzystać ten program do instalowani i usuwania aplikacji w SharePoint Services. Na bierząco będziemy was również informować o nowych ciekawych zastosowaniach tego produktu.
Trzy sposoby na zarządzanie firewallem w Windows XP
Kilka dni temu pisaliśmy o tym w jaki sposób można włączyć zdalne zarządzanie komputerem z systemem Windows XP. Dziś kontynuujemy ten cykl opisywania trzech sposobów na skonfigurowanie danej usługi. Dziś na tapetę bierzemy zarządzanie wbudowanym w system Windows XP firewallem. O tym, że firewall jako narzędzie wykorzystywane w dbaniu o bezpieczeństwo danego stanowiska jest przydatne nie muszę nikogo przekonywać. Dlatego też nie będziemy opisywać w jaki sposób wyłączyć tą usługę, ale w jaki sposób go skonfigurować. W opisywanym przykładzie będziemy zezwalać na łączenie się zdalnym pulpitem oraz otwierać wybrany port. W tym wypadku będzie to port 444 używany przez program Real VNC.
1. Metoda "okienkowa"
Oczywiście zaczynamy od konfiguracji Zapory systemowej z poziomu interfejsu GUI. Chcąc skonfigurować tego firewalla wybieramy START -> Panel Sterowania -> Zapora systemu Windows a następnie zakładkę Wyjątki. W oknie programu zaznaczamy Pulpit zdalny, a następnie wybieramy Dodaj port....
Po zaakceptowaniu dodajemy nowy otwarty port.
2. Group Policy
Oczywiście powyższe zmiany możemy odgórnie zdefiniować poprzez GPO.
Uruchomiamy Group Policy Object Editor (Uruchom: gpedit.msc). Otwieramy ścieżkę: Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall. W tej lokalizacji mamy rozdział na dwie lokalizacje Domain Profile (konfiguracja podczas podłączenia do domeny) oraz Standard Profile (wykorzystywane podczas pracy na maszynie lokalnej) należy następnie włączyć wartość: Allow remote administration exception.
Pozostaje jeszcze otworzyć port 444. Należy ustawić wartość Define port exceptions na Enable, następnie dodać port 444 wybierając przycisk Show.
3. Linia poleceń
W naszym ostatnim artykule opisującym metody rozwiązywania danego problemu 3 metodami jako trzeci sposób opisaliśmy wykorzystanie rejestru systemowego. Tym razem posłużymy się linią poleceń i bardzo przydatnym narzędziem PSexec z pakiety PS Tools (więcej o tym pakiecie znajdziecie w 6 wydaniu Warto mieć).
Uruchamiamy linię poleceń (Uruchom: cmd), następnie wpisujemy następujące polecenia: psexec \\NAZWA_KOMPUTERA netsh firewall set service remotedesktop enable
a następnie:
psexec \\NAZWA_KOMPUTERA netsh firewall set portopening TCP 444 RealVNC ENable
Dzięki tym dwom poleceniom zdalnie skonfigurujemy wbudowanego w Windows XP firewalla.
Ostatnio nasz cykl Warto mieć jest bardzo ukierunkowany na narzędzia przeznaczone dla administratorów. Dzisiejszy odcinek również będzie prezentował bardzo przydatne narzędzie do administracji. Mowa tu o PSTools. Jest to pakiet narzędzi dających bardzo duże możliwości w zdalnym zarządzaniu stanowiskami. Są to:
- PsExec - zdalny dostęp do linii poleceń
- PsFile - wyświetla zdalnie otworzone pliki
- PsGetSid - wyświetla SID komputera jak i użytkownika
- PsInfo - informacje o komputerze
- PsKill - zabija proces o danej nazwie lub danym ID
- PsList - informacje o procesie
- PsLoggedOn - informacje o zalogowanych uzytkownikach
- PsLogList - logi eventów
- PsPasswd - zmiana hasła uzytkownika
- PsService - podgląd używanych serwisów
- PsShutdown - wyłącz/uruchom ponownie
- PsSuspend - zawiesza proces
- PsUptime - prezentuje czas pracy stanowiska
Jak widać jest tego naprawdę dużo, jak zaprezentowane funkcjonalności są wyjątkowo przydatne. Nie pozostaje nam nic jak tylko polecić Wam ten zestaw.
Kolejny wartościowy dodatek dla każdego administratora sieci Windows Server. Tym razem przeznaczony jest dla Windowsa XP. Windows XP Support Tools jest zestawem wielu narzędzi pozwalających na zarządzanie komputerem z systemem Windows Xp. Między innymi zawiera on:
-bitsadmin.exe
-extract.exe
-httpcfg.exe
-iadstools.dll
-ipseccmd.exe
-netdom.exe
-replmon.exe
Nie będziemy się tu zagłębiać w działanie każdego z tych narzędzi, do tego jest dokumentacja nazwa polecenia /?, natomiast polecić możemy szczególnie program netdom.exe. Jest on szczególnie pomocny podczas zarządzania komputerami w domenie. Pozwala na tworzenie bardzo małych i prostych skryptów do dodawania komputerów do domeny czy też zmieniania nazw tych komputerów. Funkcjonalności ma oczywiście znacznie więcej. Zachęcamy was do zapoznania się z tymi aplikacjami.
O przydatności zdalnego pulpitu w systemach Windows XP czy też Servers nie trzeba chyba nikogo zapewniać. Każdy administrator chcąc zdalnie pracować na jakimś urządzeniu musi skorzystać z tego wbudowanego w systemy Microsoftu narzędzia. W dzisiejszym artykule opiszemy trzy sposoby na włączenie tego narzędzia.
1. Metoda "okienkowa"
Pierwszą, najprostszą metodą na uruchomienie tej usługi na komputerze jest zwykłe włączenie go w komputerze. Chcąc to zrobić należy otworzyć Właściwości systemu i wybrać zakładkę Zdalny. W oknie tym widać, że wystarczy zaznaczyć opcję Zezwalaj użytkownikom na zdalne łączenie się z tym komputerem.
Następnie należy dodać użytkowników, którzy będą mieli udostępnioną taką usługę. Należy pamiętać, że gdy dodajemy użytkowników lokalnych, aby mogli korzystać z zdalnego pulpitu muszą posiadać zdefiniowane hasło do logowania.
2. Group Policy
Gdy chcemy usługę zdalnego pulpitu uruchomić lokalnie na większej liczbie stanowisk podłączonych do domeny Windows Server 2003 prowadziłoby do dużej straty czasu. Warto więc ten proces zdalnie zautomatyzować. Użyć do tego należy przede wszystkim zasad Group Policy.
Uruchomiamy Group Policy Object Editor (Uruchom: gpedit.msc). Otwieramy ścieżkę: Computer Configuration -> Administrative Templates -> Windows Components -> Terminal Services.. W tej lokalizacji należy następnie włączyć wartość: Allow users to connect remotely using Terminal Services. Dzięki tej zmianie włączymy dla całej grupy możliwość zdalnego zarządzania.
3. Rejestr systemowy
Jeżeli jesteśmy połączeni w jednej sieci lokalnej z komputerami, na których chcemy uruchomić usługę Remote Desktop i z jakichś przyczyn nie chcemy tej usługi włączać poprzez Group Policy możemy użyć rejestru systemowego. Chcąc to zrobić zdalnie musimy posiadać uprawnienia administratora domeny.
Uruchamiamy rejestr systemowy (Uruchom: regedi) i w opcji Plik(File) wybieramy opcję Podłącz rejestr sieciowy(Connect Network Registry).
Następnie w nowo otwartym oknie wpisujemy nazwę komputera, z którego rejestrem chcemy się połączyć.
Kolejnym krokiem jest w nowo wyświetlonym drzewie rejestru:
jest odnalezienie następującej ścieżki: HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server i zmiana wartości klucza fDenyTSConnection na liczbę 0. Dzięki tej zmianie włączymy tą usługę na danym komputerze.
Event ID: 1111, 1005 oraz 1006 - Mapowanie lokalnych drukarek na Windows Server 2003 poprzez RDP
Kolejny wpis naszego autorstwa dotyczącego błędów znajdowanych w dziennikach zdarzeń serwerów, na których pracujemy. Dzisiejszego dnia postanowiłem rozprawić się z tytułowym błędem, gdyż mimo że nie niesie on ze sobą informacji o jakimkolwiek zagrożeniu psuje obraz nieskazitelnej pracy serwera :). Pojawianie się jego wynika z faktu, że serwer po zdalnym podłączeniu się do niego stara się zmapować zainstalowane lokalnie na naszym komputerze drukarki. Niestety ze względu na brak sterowników do tegoż sprzętu wyrzuca następujący błąd:
Tak jak pisałem wcześniej informacja ta nie jest dla nas jakąś złą wróżbą, chcąc jednak wyeliminować pojawianie się tego komunikatu możemy: < br>
1. Wyłączyć opcję mapowania lokalnych drukarek podczas łączenia zdalnym pulpitem. Rozwiązanie bardzo proste, jednak dla większej liczby użytkowników korzystających z zdalnego pulpitu mało wygodne poprzez konieczność konfiguracji u każdego użytkownika.
2. Zainstalować na serwerze program Terminal Server Printer Redirection Wizard Tool. Narzędzie to skanuje logi celem odnalezienia interesujących nas 3 błędów, odnajduje drukarki wywołujące błędy i instaluje mini sterownik. Rozwiązanie to eliminuje pojawianie się komunikatu o błędzie sterowników.
Pliki oraz dokumenty przechowywane w witrynie SharePoint przechowywane są w postaci binarnej w bazie SQL. Chcąc dodać nowe dokumenty lub pliki do danej listy w SharePoincie możemy to zrobić korzystając z opcji Przekaż wiele dokumentów. Jednak chcąc dodać większą liczbę plików z różnych katalogów funkcja ta staję się już mało wygodna. Znacznie prościej jest przeciągnąć takie pliki między dwoma folderami i w ten sposób je skopiować.
Funkcjonalność taką możemy uzyskać mapując strukturę SharePointa znajdującą się w bazie SQL do miejsca sieciowego. Jak to stworzyć? Bardzo prosto:
1. Otwieramy Moje miejsca sieciowe (My Network Places).
2. Wybieramy przycisk Dodaj Miejsce Sieciowe (Add a network place)
3. Otworzy się kreator dodawania nowego miejsca sieciowego. W pierwszym oknie wybieramy Dalej (Next).
4. W kolejny oknie dialogowym również wybieramy Dalej (Next).
5. W nowym oknie należy wpisać adres witryny,listy lub biblioteki SharePointa w postaci http://adres_witryny oraz wybrać przycisk Dalej (Next).
6. W kolejnym kroku wpisujemy nazwę wyświetlaną. Pozostaje nam już tylko zakończyć proces dodawania miejsca sieciowego.
Dzięki temu rozwiązaniu mamy możliwość przeglądać "zawartość" SharePointa dokładnie jak zwykły udział sieciowy i kopiować do niego pliki w bardzo prosty sposób.
UWAGA! do poprawnego działania tej funkcji wymagane jest zainstalowanie pakietu webfldrs.msi dla Windowsa XP/Vista. Można go znaleźć w lokalizaji: C:\Windows\System32\. Natomiast w Windows Server 2003 korzystać z tej opcji należy uruchomić usługę WebClinet Service.
Dzisiejszego dnia polecamy wam kolejne narzędzie, tym razem jest to wręcz niezbędnik dla każdego administratora systemu Windows Server. Mowa tu o AdminPaku, czyli zestawu narzędzie przeznaczonych do administracji systemami z rodziny serwerowych platform Windows. Zestaw ten jest dostępny na każdej płycie instalacyjnej począwszy od wersji Windows Server 2003 R2 i w większości przypadków instaluje się automatycznie wraz z systemem.
My natomiast polecamy go instalować na systemie Windows XP. Oczywiście 90% narzędzi tam dostępnych będzie zupełnie zbędnych. Jednak choćby dla aplikacji Remote Desktops warto ten pakiet zainstalować na zwykłym blaszaku. Osobiście pracy bez tegoż programy sobie nie wyobrażam. Pozwala on w końcu na równoczesne zarządzanie duża ilością zdalnych pulpitów w jednym oknie, co niezmiernie ułatwia i przyśpiesza pracę administratora. Poniżej prezentujemy screen całego pakietu:
Kolejnym darmowym narzędziem, które będziemy wam polecać jest tytułowy Domain Rename Tool. Jest to darmowy mały, ale wielce przydatny program stworzony przez Microsoft. Pozwala on jak sama nazwa mówi na zamianę nazwy domeny Active Directory. W wstępnym etapie konfiguracji narzędzie to jest wielce przydatne. Pozwala ono na bezpieczną zmianę nazwy domeny DNS lub NetBios dla korzenia lasu bez konieczności tworzenia nowej domeny. Po dokonanych zmianach nie zmienia się GUID a także SID (Security ID), co dodatkowo ułatwia stosowanie tego programu.
Oczywiście proces zmiany nazwy domeny nie jest operacją prostą i należy o tym pamiętać. Przed decyzją o rozpoczęciu procesu zmiany nazwy domeny zalecam zapoznać się z problemami jakie niesie ze sobą dokonanie takiej operacji. Więcej w tym temacie przeczytacie w tym artykule.
Rozwiązanie to jest wbudowane w platformę Windows Server 2008.
Event ID: 6398 - Lokalne uprawnienia usługi SPSearch
Natchnąłem się dzisiejszego dnia podczas analizy logów wyświetlanych w EventVieverze na pojawiający się od niedawna błąd od ID: 6398. Komunikat błędu był następujący:
Na serwerze działa aplikacja korzystająca z usługi SPSearch. Do poprawnego działania wymaga ona uprawnień lokalnych.
Otwieramy aplikację Component Services w narzędziach administracyjnych. Następnie wybieramy Component Services oraz DCOM Config Odnajdujemy poszukiwaną aplikację wybieramy Properies oraz zakładkę Security. W kategorii Launch and Activation Permissions należy dodać uprawnienia na poziomie Local Activation.
Po dodaniu tych zmian problem nie powinien już występować
