Windows 2003: проблемы и решения

[[smart]]

Здесь только обсуждение проблем установки/настройки/поддержки M$ Windows 2003 Server.
Все вопросы, связанные с закачкой и взломом/активацией - в ДРУГОЙ ТЕМЕ!
Borland.

Оптимизация Windows Server 2003 для изпользования в качестве рабочей станции:
_http://rapidshare.com/files/14354728/Windows.Server.2003.as.a.Workstation.-.Full.pdf

[Oleg]

Цитата:

Nets:
появляются еще принтера с этимиже названиями но еще в скобочках дописано "в сеансе". И получается что к концу дня у меня уже не 5 а 25 принтеров.

Тебе нужно в свойствах учетных записей юзеров сервера терминалов отключить флажок "подключение локальных принтеров пользователей".

[NetS]

У меня если я захожу с свойста учетной записи пользователя, в закладке Среда, есть флажок "Подключение принтеров клиента при входе", я его убрал. Это или нет?

[Андрей2005]

Это оно и есть. Но проще эти настройки менять в Terminal Services Configuration, имхо не придется по всем компам бегать.

Есть еще и GPO на худой конец.
Кстати, по этому поводу можно не переживать, когда пользователь отключится принтера сотрутся.

[ntspider]

У меня вот какая проблема
На сервере Win2003 создана папка Bufer, в которой находятся папки пользователей по номерам комнат. Пользователи могут изменять содержимое всех этих папок, но не должны создавать файлы и папки в корне общей папки Bufer и не должны из корня подпапки комнат перемещать внутрь остальных подпапок. Как это настроить?
Я сначала задал на все папки, подпапки и файлы полный доступ всем и попытался потом в корневой папке Bufer задать запрет на создание файлов, удаление и создание папок (не распространяя эти разрешения для дочерних папок), но в результате файлы и папки не создаются в корне (то что надо!), а папки перемещаются внутри подпапок папки Bufer (то что мне не надо!). Помогите!

[ioka]

ntspider, у тебя, видимо все же, наследование прав срабатывает, кнопочка Дополнительно (Advanced) и снятие галочки о наследовании родительских прав с нажатием копирования (Copy) и дальнейшая расстановка уже как ты хочешь...
([Properties/Security/Advanced] -> [Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicity defined here.] -> Copy)
можно и без копи, но тогда придется заново прописывать уже существующие права...

[ntspider]

ioka

Цитата:

ioka:
у тебя, видимо все же, наследование прав срабатывает

так оно и есть, вот только как определиться с тем для каких папок и подпапок сделать настройку в Дополнительно? там целый набор вариантов - например для папок, и её подпапок.....Я думаю в этом проблема! При чм когда я устанавливаю запрет на создание и удаление папки в Bufer, папку создать нельзя, но переместить то можно! Получается перемещение - это не удаление! А ведь это бред!

[ys_ys]

Цитата:

Сообщение от ntspider

У меня вот какая проблема
На сервере Win2003 создана папка Bufer, в которой находятся папки пользователей по номерам комнат. Пользователи могут изменять содержимое всех этих папок, но не должны создавать файлы и папки в корне общей папки Bufer и не должны из корня подпапки комнат перемещать внутрь остальных подпапок. Как это настроить?.....

Щас рассказ напишу (для руссифицированных Виндов), мож еще кому пригодится:
1. Есть группа Admins, есть группа Users
2. Создаем папку Buffer, устанавливаем на нее самые полные права для Admins, чтение для Users (разрешить "чтение и выполнение", "список содержимого папки", "чтение", колонку запретить оставить без галок)
3. Создаем папки k1, k2, и т.д. в папке Buffer
4. Для каждой из папок k1, k2 и т.д. отменяем наследование от Buffer путем снятия галочки "Переносить наследуемые от родительского объекта разрешения на этот объект", в появившемся окне нажимаем кнопку "Копировать"
5. Удаляем из списка все лишние группы и пользователей (кроме Admins, Users, ну еще System), для Admins выставляем самые полные права
6. Если Users в списке нет - добавляем. Выбираем их, жмем кнопку "Дополнительно".
7. В появившемся окне снова выбираем Users, жмем кнопку "Показать/Изменить". В колонке Разрешить ставим все галки кроме:
- Удаление (ключевая галка)
- Смена разрешений
- Смена владельца
Колонку Запретить оставляем пустой. Убеждаемся, что в поле Применить стоит "Для этой папки, ее подпапок и файлов". ок.

В результате Users смогут удалять всё в папке напримнр k1, но не саму папку. Если попробовать ее переместить, то переместится все ее содержимое, но сама папка k1 (пустая) останется на месте.
Чтобы нельзя было перемещать содержимое папки k1, например в k2, надо разбить пользователей на группы так, чтобы имеющие доступ к k1, имели доступ только для чтения (или вообще не имели) к k2, и наоборот.

[ntspider]

Цитата:

ys_ys:
Чтобы нельзя было перемещать содержимое папки k1, например в k2, надо разбить пользователей на группы так, чтобы имеющие доступ к k1, имели доступ только для чтения (или вообще не имели) к k2, и наоборот.

Попробую всё сделать как ты написал, тока штука в том, что пользователям разрешено во всех папках делать всё, что угодно! А зачем нужно оставлять группу System?
Ксттати, как быть, когда все папки уже есть!

[Borland]

Цитата:

Lovec:
А подскажите плиз антивирь для Win 2003 server...

ПОИСК - РУЛИТ!
http://www.imho.ws/showthread.php?t=21941
Пост удалён.

[ys_ys]

Цитата:

Сообщение от ntspider

Попробую всё сделать как ты написал, тока штука в том, что пользователям разрешено во всех папках делать всё, что угодно! А зачем нужно оставлять группу System?
Ксттати, как быть, когда все папки уже есть!

- Если пользователям дан полный доступ к содержимому всех папок, то запретить им перемещение этого содержимого куда бы то ни было с помощью настроек безопасности не представляется возможным
- Аккаунт System - самый главный аккаунт в системе, от его имени запускается большинство сервисов, он имеет доступ практически ко всему на локальном компе. Кто его знает зачем ему понадобится доступ к твоим папкам? Хотя по большому счету это не нужно и System из настроек безопасности можно безболезненно исключить
- Создавать папки заново вовсе не обязательно, советую создать тестовую структуру в другом месте, проверить, что-бы все работало, и по образу и подобию установить разрешения на рабочие папки

[kalosha]

При работе с подключенными дисками (SAMBA, подключенные диски других компьютеров) при обмене файлами диски часто отваливаются незавершив операцию пару раз нажмешь на значок сетевого диска и он снова доступен, работаешь бац снов отвалился

вот что пишут логии:
Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Активация для приложения сервера COM Server с CLSID
{BA126AD1-2166-11D1-B1D0-00805FC1270E}
пользователю NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20). Это разрешение можно изменить с помощью средства администрирования Component Services.

Как с этим бороться? Никто не сталкивался?

судя по реестру
BA126AD1-2166-11D1-B1D0-00805FC1270E это
Network Connection Manager Class

а вот, как и какие права, ему дать, возникает затык.

[ntspider]

Цитата:

ys_ys:
Создавать папки заново вовсе не обязательно, советую создать тестовую структуру в другом месте, проверить, что-бы все работало, и по образу и подобию установить разрешения на рабочие папки

Потренировался - не получается так как посоветовал ys_ys

Цитата:

ys_ys:
- Если пользователям дан полный доступ к содержимому всех папок, то запретить им перемещение этого содержимого куда бы то ни было с помощью настроек безопасности не представляется возможным

Действительно! Видимо такое невозможно на Win 2003!!!!!!!!!!!
а на NT4 проблем не было! Вот это номер! Лучшее - враг хорошего!
Полный абзац! Юзвери стёрли одну папку в Bufer пока я возился с тестовым вариантом! Вот тебе и супер новая система!
Может кто знает как проблему решить?

[xrun]

Каждый раз при загрузке выпрыгивает ниже ошибка запуска сервисов
написано смотреть лог сервисов

там нашёл вот такую вот фигню

и как с этим бороться ?
___________________________________


Event Type: Error
Event Source: NETLOGON
Event Category: None
Event ID: 5719
Date: 18.10.2005
Time: 8:40:56
User: N/A
Computer: WEB
Description:
This computer was not able to set up a secure session with a domain controller in domain DOMAIN due to the following:
The RPC server is unavailable.
This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.



ADDITIONAL INFO
If this computer is a domain controller for the specified domain, it sets up the secure session to the primary domain controller emulator in the specified domain. Otherwise, this computer sets up the secure session to any domain controller in the specified domain.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Data:
0000: 17 00 02 c0 ...À

[NetS]

Решение проблем в Windows 2003 обсуждается тут:
http://www.imho.ws/showthread.php?p=1054586#post1054586
пользуйся поиском!

[KomatoZo]

xrun
Покопался, понял, что придется задавать массу наводящих вопросов... Так что читай и ищи свою ситуацию тут:
_http://eventid.net/display.asp?eventid=5719&eventno=104&source=NETLOGON&phase=1

[Cartman]

xrun, тема в важных висит, нельзя ее было не заметить.

Объединяю...

[ntspider]

Всем доброго времени суток!
С некоторого времени на сервере Win2003 стали появлять сообщения в разделе Безопасность о сбое входа в систему от Kerberos. Причина:неизвестное имя пользователя или неправильный пароль
А у клиента при первой регистарции входа появляется сообщение по-английски (на русской XP)

Тип события: Ошибка
Источник события: Kerberos
Категория события: Отсутствует
Код события: 4
Дата: 20.10.2005
Время: 8:58:10
Пользователь: Н/Д
Компьютер: 405
Описание:
The kerberos client received a KRB_AP_ERR_MODIFIED error from the server host/temp.mf.minfinro.rsu.ru. This indicates that the password used to encrypt the kerberos service ticket is different than that on the target server. Commonly, this is due to identically named machine accounts in the target realm (имя домена), and the client realm. Please contact your system administrator.
На сайте Microsoft говорят, что трабл лечится установкой сервис пака 1 для английской версии, так он у меня стоит!
Кто что посоветует? Может сталкивались уже?

[МВА]

А вот стоит 2003, юзвери в домене, есть расшаренные папки. Все хорошо, но пользователь заходит на шару, его спрашивает имя, пароль, он вводит. Работает дальше нормально. Через какое-то время при попытке обратиться к содержимому шары опять требует авторизацию. Она что, сбрасывается по таймауту? Юзверь не перезагружался. И если это по таймауту, то можно ли его изменять?

Доброго времени.

Проблема всем известна и для многих уже решена.
К сожалени я не вхожу в их число.
У меня имеется распределенная сеть.
Часть клиентов в локалке, часть подключена через ADSL и SHDSL модемы, часть работает через GPRS. ОС самые разные от DOSa до WinXP Pro. Сервер лицензионный, к которому все подключаются - Windows 2003 EE SP1 , Лицензия выставлена на 500 подключений.
Был установлен патч EvID4226Patch.exe, снимающий ограничение на кол-во подключений, установлено значение 100.
В реестре изменены следующие ключи:
1)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\pa rameters\autodisconnect=999 - отключение при простое.
2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameter s\TcpNumConnections=512 - кол-во одновременных подключений.

Суть проблемы - Все клиенты подключают свой личный сетевой ресурс(для чтения/записи). Всего клиентов 80. Из них стабильно работают 60, т.е. сетевой диск у них не отваливается. И у 20 клиентов с разными периодами отваливаются подключенный диск. ОС у этих клиентов win2000, winXPpro, win98.

Совета прошу поскольку сам не смог побороть проблему.
Заранее благодарен за дельные советы.