RusFAQ.ru: Администрирование Windows NT/2000/XP

/ КОМПЬЮТЕРЫ И ПО / Установка и настройка ОС / Windows NT/2000/XP/2003 администратору

Выпуск № 271
от 18.09.2005, 12:43

Вопрос № 26.227

Уважаемые Эксперты! Вопрос по WinXP. Есть одноранговая сеть всего-то на 2 компа. С одного - доступ в сеть нормальный. С другого - при попытке доступа по сети, сервис System грузит сеть по полной программе. И на машине, где эти проблемы, System занимает в памяти 40 MB (вместо положенных 244 KB). Что это может быть и как с этим бороться? Заранее благодарен.

Отправлен: 12.09.2005, 20:46 Вопрос задал: Konstantin_D63 (статус: Посетитель) Всего ответов: 4 Мини-форум вопроса >>> (сообщений: 0)

Отвечает: Колбин Юрий Владимирович Здравствуйте, Konstantin_D63! 1. Переустанови сетевые компоненты, протокол. 2. не забывай про антивирус, поставь фаервол * {Защита портов компьютера} * {Если не поможет, то боюсь придётся расстаться с системой}

Ответ отправил: Колбин Юрий Владимирович (статус: 8-ой класс) Отправлен: 12.09.2005, 20:58

Отвечает: dreiko Здравствуйте, Konstantin_D63! Поставь себе Фаервол, и влёгкую очистишь свой канал от лишнего совта, доступ в сеть которому никчему, а так же отобьёшь ненужные атаки на твою тачку. Так же отскань на вирусы и черви, может у тебЯ на компе сидит незванный гость, а так же пробегись ещё раз по настройкам сети. из софта рекомендую Outpost Firewall 2.7 или Kerio winrote firewall, Avast или NOD 32, Adaware se, или spybot. --------- Старый глюк лучше новых двух!!!

Ответ отправил: dreiko (статус: Студент) Отправлен: 12.09.2005, 23:10

Отвечает: BuhCIA Здравствуйте, Konstantin_D63! Для ответа на этот вопрос нужны данные: 0. Давно ли чистили антивирусом, свежие ли антивирусные базы 1. Отключить ненужные протоколы, лучше всего оставить только TCP/IP (что-нибудь вроде IPX может затянуть опознавание надолго) 2. IP-адреса компьютеров, маски сети ИМХО лучше принудительно задать первому 192.168.0.1 (шлюз в Интернет, если есть), второму 192.168.0.2, маски сети одинаковые 255.255.255.0 3. DNS указать друг друга (на шлюзе в Интернет сначала рекомендованые провайдером) - если не помогло 4. Выполнить route print 5. Выполнить ipconfig /all 6. Написать, что означает "попытка доступа по сети": ходит ли ping , видно ли сетевое окружение, появляется ли значок сетевого соединения, есть ли еще сетевые карты и т.д. 7. Включен ли NetBIOS через TCP/IP (свойства соединения - протокол TCP/IP - свойства - Дополнительно - WINS) - и со всей этой информацией вопрос заново --------- Скажите, сколько времени? - (устало, показывая часы) Читайте, там же все написано!

Ответ отправил: BuhCIA (статус: 5-ый класс) Отправлен: 13.09.2005, 09:18

Отвечает: Игнатьев Дмитрий Здравствуйте, Konstantin_D63! Первым делом надо проверить на вирусы и трояны. Потом разобраться со службами. Ненужные убрать с загрузки (смотреть Мой компьютеруправление...службы) Какие службы нужны так сразу сказать не могу, проче в инете поискать описания. Посмотреть, что там в автозагрузке грузится (msconfig). Лишнее отключить. Перезагрузить. Если не поможет, то проще переставить Windows заново с форматированием загрузочного раздела.

Ответ отправил: Игнатьев Дмитрий (статус: 1-ый класс) Отправлен: 13.09.2005, 14:27

Вопрос № 26.228

Здравствуйте ув. эксперты! Подскажите пожалуйста, можно ли, если сожно то как, запретить пользователю входит в Безопасном режиме. В системе две уч. записи: встроенная Администратор и пользовательская, но тоже с правами админитратора. Нужно запретить пользовательской записи входить в с-му в безопасном режиме. WinXP Home SP2

Отправлен: 12.09.2005, 21:01 Вопрос задал: HaSH (статус: Посетитель) Всего ответов: 3 Мини-форум вопроса >>> (сообщений: 0)

Отвечает: BuhCIA Здравствуйте, HaSH! Если пользователь имеет права администратора, то все, что Вы запретите, он потом разрешит (при достаточной квалификации). ИМХО единственный выход - вывести его учетную запись из группы Администраторы и ввести в группу с меньшими правами. При этом можно попробовать сделать так, чтобы он не заметил изменений (проверить, войдя с его учетной записью и выполнив обычные его действия, при возникновении проблем осторожно добавлять ему права, пока все не станет работать) --------- Скажите, сколько времени? - (устало, показывая часы) Читайте, там же все написано!

Ответ отправил: BuhCIA (статус: 5-ый класс) Отправлен: 13.09.2005, 09:35

Отвечает: Игнатьев Дмитрий Здравствуйте, HaSH! Дать пользователю права "пользователя" или "опытного пользователя". Системе будет лучше зачищена от неправильных действий пользователя. Полазь в локальных политиках, настрой безопасность так как тебе надо. А еще лучше поставь Win2000pro или WinXPpro. На то оно и PRO, что можно настраивать, почти все что хочешь.

Ответ отправил: Игнатьев Дмитрий (статус: 1-ый класс) Отправлен: 13.09.2005, 14:38

Отвечает: Вадим Игоревич Здравствуйте, HaSH! Эта функция вроде работает только в Pro версии, нужно выполнить команду gpedit.msc и в открывшемся окне внести настройки --------- Чем могу помогу!

Ответ отправил: Вадим Игоревич (статус: 7-ой класс) Отправлен: 13.09.2005, 19:12

Вопрос № 26.230

Здравствуйте! У себя на предприятии я установил и настроил домен. Сейчас творенье рук моих вводится в эксплуатацию, в связи с этим возникло несколько вопросов с безопасностью. И необходимость исправить несколько недоделок. Ситуация: 1) Домен на основе Windows 2003 Enterprise Edition. Я знаю по крайней мере об одном сервис паке для него, не могли бы вы просветить меня в этом направлении? Сколько их всего и что они исправляют-добавляют, где можно взять. Если есть что-то почитать на русском буду крайне признателен. Спасибо. 2) На сервере функционируют: ActiveDirectory, DNS, DHCP и файловый сервер. DNS и DHCP с настройками по умолчанию, в основном. Я менял время аренды IP-адреса и всё. Что можно сделать для повышения безопасности и быстродействия в этом направлении? Я довольно смутно представляю детали их работы. Спасибо. 3) Локальная сеть на 24 клиента. На 8 утановлена Windows 95, на 1 - Windows 2000 Pro с SP 4, и на 15 - Windows XP Pro c SP 2. Что можно сделать с 95-ми клиентами, в плане обеспечения безопасности, даже не представляю 8-(. К машине с Windows 2000 Pro прицеплены принтер и сканер. С принтером всё хорошо, задал права и успокоился, пока, наверное, в серьёзном деле ещё не испытывал. А вот сканер. Пользователи, имеющие статус "Пользователь" на локальной машине, не могут им воспользоваться, необходимо локально давать им права Администратора, что чревато. По всей видимости, это связано с особенностью драйвера сканера. Mustek 12000 Plus. Спасибо. 4) В домене существуют пользователи Administrator, Admin, LocAdmin, User. Administrator - умолчальная учётная запись, никаким образом мною не попорченная 8-). Admin - Я включил его в группу "Администраторы домена". Этим его настройка и закончилась. Только вот я постоянно использую его в работе, что чревато. Вообщем то статус "Администраторы домена" мне постоянно не нужен но я не нашел как дать ему права на включение других машин в домен, без этого. Подскажите, пожалуйста, что делать. Спасибо. LocAdmin - имеет статус "Пользователь домена" и "Администратор" на одном из клиентов, на другие клиенты входить не может, я выставил запрет. Имеет полный доступ к сетевым ресурсам. User - простой пользователь, как домена, так и локальный. Не имеет доступ на машину LocAdmin'a. 5)Разное Пользователи могут входить на машины с 8 до 22 часов, кроме Администратора. Пользователям при входе в систему подключаются сетевые папки как диски. На локальным машинах установлен антивирус касперского с обновлением из сетевой папки. Хотелось бы услышать ваше мнение по поводу организации и безопасности сети. В будущем клиенты будут выпускаться в интернет, будет необходим файервол и прокси-сервер, посоветуйте пожайлуста какие можно выбрать. На сервере стоит антивирус Касперского, на что его стоит сменить, и стоит ли. Подскажите, на какие логи сервера стоит обратить особое внимание. Спасибо.

Отправлен: 12.09.2005, 21:07 Вопрос задал: REDkiy (статус: 1-ый класс) Всего ответов: 3 Мини-форум вопроса >>> (сообщений: 1)

Отвечает: BuhCIA Здравствуйте, REDkiy! 1) http://www.microsoft.com/downloads/details.aspx?amp;displaylang=en&familyid=22CFC239-337C-4D81-8354-72593B1C1F43&displaylang=en Яндекс - windows 2003 (SP |(Service Pack)) 3) В политиках безопасности включить Аудит доступа к объектам - отказ и после попыток доступа пользователей к сканеру посмотреть журналы. ИМХО, нехватает прав доступа группы Пользователи к каким-то папкам с данными (драйвера сканера). 4) Работать желательно под учетной записью User, создать ярлыки для администраторских задач и использовать вариант Запуск от имени... администраторской учетной записи (или как-то еще добиться возможности запускать конкретное задание от имени администратора). 5) Антивирус Касперского - для сервера домена нужен серверный вариант. 6) Я пользуюсь Траффик Инспектор (и недорого). --------- Скажите, сколько времени? - (устало, показывая часы) Читайте, там же все написано!

Ответ отправил: BuhCIA (статус: 5-ый класс) Отправлен: 13.09.2005, 09:49

Отвечает: Игнатьев Дмитрий Здравствуйте, REDkiy! 2) Отключить DHCP и на клиенских машинах поставить статические IP-адреса. Зная точно IP-адрес компьютера будет проще работать с сетевыми программами. 3) Win95 по сети передает незашифрованные пароли. Если это критично, можно на эти компьютеры поставить терминалы. А лучше купить новые компьютеры. Лучше чтоб в Win2000 и WinXp народ сидел под правами пользователей, если какие-то программы не работают, надо открыть необходимые папки на запись (через свойсвабезопасность) Очень удобный в настройках файервол Oupost.

Ответ отправил: Игнатьев Дмитрий (статус: 1-ый класс) Отправлен: 13.09.2005, 15:02

Отвечает: Khedin Здравствуйте, REDkiy! 1. По ссылке с первого ответа можно всё найти. 2. Что можно сделать для повышения безопасности. Ну давай по пунктам. Во первых AD. Реструктуризируй. Разбей пользователей и компьютеры по логическим группам, например отделам. Для каждого отдела создай свою OU (Organisation Unit). Согласуй с отделом безопасности и непосредственными top manager'ами политику безопасности в плане хранения и использования информационных ресурсов, после чего настрой групповые политики начиная с политик на сайты (Sites) и заканчивая политиками на организационные единицы. Обязательно настрой доменную политику паролей пользователей, чтобы они соответствовали комплексным требованиям (по длине, содержанию). Так же настрой ежемесячную обязательную смену пароля для каждого пользователя, это конкретно усилит твою систему с точки зрения безопасности и понизит риск неавторизированного доступа к чувствительным бизнес-приложениям и данным компании. Обязательна настройка политик аудита, как было уже отмечено в предыдущих ответах.... и т.д. Вообще-то, чтобы описать полный комплекс мер, которые надо предпринять, понадобится очень много времени. Гораздо проще окинуть взглядом всю логическую структуру AD в реализации Windows 2003 Server и пройтись по каждому пункту в отдельности. Схема логической структуры вот: Что касается DNS. Удостоверься что у тебя корректно настроены прямая и обратная зоны, почисти их от возможного мусора и всё. Особых действий с ним производить не надо. Что касается DHCP. Крайне рекомендую тебе в настройках области прописать максимум параметров, как то dns wins (если планируешь), шлюз по умолчанию, сервер времени (ntp сервер) и другие необходимые параметры. Таким образом все необходимые настроки будут выдаваться автоматически и не будет требоваться индивидуальная настрока каждой машины. Для сетевых принтеров, ИБП и тому подобное настрой резервации. В принципе это всё очень просто делается, особенно с использованием mmc. Необходимо уделить внимание прямому администрированию баз данных DHCP (Wins так же если есть). Для этого используется утилиты Jetpack. После полной настройки DHCP рекомендуется сделать резервную копию базы. Что касается файлового сервере, то самое первое, что стоит сделать для повышения безопасности и отказоустойчивости, это настроить файловую топологию и план резервного копирования и восстановления, а так же карту доступа. Каждый шаг должен быть отдельно документирован, иначе ты моментально потеряешься в изменениях. Необходимо вывделить общую папку для всей информации, внутри настроить контейнеры по географическому признаку (например отделы), и по признаку безопасности. Например к какой то информации у большинства долже быть доступ "только для чтения", а у другой информации на записьизменение, ну и так далее. При разработке топологии, необходимо принимать во внимание и план сохранения данных. Те данные, которые будут сохраняться, в одну папку, ознакомительные в другую. и т.д... Короче говоря работы не мало. После того, как настроишь всю топологию, шары и права, необходимо сохранить её. Для этого необходимо экспортирвоать из реестра следующую ветку HKLMSystemCurrentCon trolSetServicesLanmanServerShares и сохранить её. При инциденте всегда можно импортировать её обратно, тем самым в кратчайшие сроки восстановить все общие папки с минимальными потерями для бизнеса. Отдельная история настроки резервного копирования. Для полноценной стратегии резервного копирования необходимо почитать справку по команде ntbackup и твёрдо различать все виды бэкапа: normal, differential, incremental, copy, daily.... 3. 95 системы сразу же исключай из домена и менять ось. Из соображений безопасности. Никакие заплатки не сделают эту системы полноценным членов безопасного домена. Все системы, крайне желательно, должны функционировать либо под управлением Windows 2000 Prof либо Windows XP. Аутентификацию ntlm необходимо исключить из безопасности предприятия, если ты сильно о ней заботишься. Принтера необхзодимо сделать сетевыми, для обеспечения к ним бесперебойного доступа и централизованной безопасности. Либо купить принтеры новые, либо принтсерера. Недорогое удовольствие. Поставить сервер печати. Что касается сканера. Если ты хочешь, чтобы пользователи при существующих правах могли пользоваться сканером, вероятнее всего тебе необходимо сделать одно из двух, либо дать группе Users права на изменения Programm Files либо установить от своего имени драйвера и программы для сканирования которые используются сканером в другую папку. PF - папка системная и права пользователей на неё ограничены. 4. По правам пользователей. Завести для каждого учётную запись в АД, на каждом локальном компьютере дать Права Users для группы Domain User. Все программы устанавливай сам (ну либо коллега твой если есть). Никаких лишних привилегий быть у них не должно. 5. Сетевые папки, как диски - это всё равно, главное чтобы политика безопасности соблюдаласть строго. Что касается антивируса. Никаких отдельностоящих клиентских антивирусов. Ты представляешь, сколько у тебя времени будет занимать банальный мониторинг вирусной активности на клиентских машинах? А это необходимо. Короче говоря, серверный антивирус + распространение клиентских частей через групповые политики, SMS или скрипт входа, не важно. Главное централизованное управление и антивирусная политика, чтобы были у теюя, как администратора сети, в руках. Все сканирования и отчёты - удалённо.

Ответ отправил: Khedin (статус: *Мастер-Эксперт) Отправлен: 14.09.2005, 11:22

Вопрос № 26.245

Здравствуйте. Недавно переустанавливал систему, и решил отформатировать винт чтобы избавиться от всякого мусора. При установке есть возможность выбрать: форматирование в NTFS, и форматирование в NTFS (быстрое). А вопрос такой - чем отличаются эти способы форматирования?

Отправлен: 13.09.2005, 06:06 Вопрос задал: Виктор (статус: Посетитель) Всего ответов: 6 Мини-форум вопроса >>> (сообщений: 0)

Отвечает: BuhCIA Здравствуйте, Виктор! Windows help: Режим Быстрое форматирование означает удаление файлов с диска без проверки на наличие дефектных секторов. Используйте этот параметр, только если диск ранее уже был отформатирован и наверняка исправен. Для получения дополнительных сведений о каком-либо из перечисленных параметров щелкните вопросительный знак в правом верхнем углу диалогового окна Форматирование и затем щелкните сам параметр. --------- Скажите, сколько времени? - (устало, показывая часы) Читайте, там же все написано!

Ответ отправил: BuhCIA (статус: 5-ый класс) Отправлен: 13.09.2005, 09:51

Отвечает: dreiko Здравствуйте, Виктор! Быстрое форматирование это форматирование винта без проверки на бэдблоки. Для проверки на бэдблоки Рекомендую MHDD. --------- Старый глюк лучше новых двух!!!

Ответ отправил: dreiko (статус: Студент) Отправлен: 13.09.2005, 11:29

Отвечает: John Freeman Здравствуйте, Виктор! Соответственно с проверкой поверхности и без неё, поэтому так долго, а быстрое только создаёт пустую файловую систему. --------- Ik bin ulien spiegel!

Ответ отправил: John Freeman (статус: Профессор) Отправлен: 13.09.2005, 12:38

Отвечает: Игнатьев Дмитрий Здравствуйте, Виктор! Быстрое форматирование отличается от обычного тем, что не происходит проверка жесткого диска на сбойные сектора, только создается файловая таблица. Лучше перестраховаться и выполнить (полное) форматирование.

Ответ отправил: Игнатьев Дмитрий (статус: 1-ый класс) Отправлен: 13.09.2005, 15:06

Отвечает: Вадим Игоревич Здравствуйте, Виктор! При быстром форматировании очищается существующая таблица размещения файлов, а при обычном она затирается и формируется заново. --------- Чем могу помогу!

Ответ отправил: Вадим Игоревич (статус: 7-ой класс) Отправлен: 13.09.2005, 19:09

Отвечает: damager Здравствуйте, Виктор! Быстрое форматирование удаляет с диска все файлы без проверки поверхности. Полное- соответственно с проверкой поверхности.

Ответ отправил: damager (статус: 1-ый класс) Отправлен: 14.09.2005, 06:49

Вопрос № 26.246

Здравствуйте. Не так давно зарегистрировал свой новый почтовый ящик в системе pochta.ru, и там есть возможность использовать протокол IMAP. Чем он отличается от протокола POP3, и как правильно настроить The Bat или Outlook Express для работы с этим протоколом?

Отправлен: 13.09.2005, 06:19 Вопрос задал: Виктор (статус: Посетитель) Всего ответов: 4 Мини-форум вопроса >>> (сообщений: 0)

Отвечает: BuhCIA Здравствуйте, Виктор! Windows help: На серверах POP3 разрешен доступ только к одному почтовому ящику, в отличие от серверов IMAP, которые предоставляют доступ к нескольким папкам на сервере. http://pochta.ru/help.php?chapter=81 --------- Скажите, сколько времени? - (устало, показывая часы) Читайте, там же все написано!

Ответ отправил: BuhCIA (статус: 5-ый класс) Отправлен: 13.09.2005, 10:20

Отвечает: REDkiy Здравствуйте, Виктор! Настроить протокол доставки писем в The Bat! (версия 3.5), можно в своиствах почтового ящика (меню Ящик=>Свойства почтового ящика), в разделе "Транспорт" в секции "Получение почты". А настройки обычно можно найти в разделе "Помощь" твоего почтового сервера. Там же можно и немного узнать о различиях POP и IMAP протоколов. --------- Русские не сдаются!

Ответ отправил: REDkiy (статус: 1-ый класс) Отправлен: 13.09.2005, 15:47

Отвечает: Вадим Игоревич Здравствуйте, Виктор! Все настройки указаны в справке почтового сервера. IMAP работает быстрее и позволяет загружать папки, т.е. если вы создадите не сервере папку, то она появится и в почтовой программе. Подробнее читайте опять-же в справке сервера. --------- Чем могу помогу!

Ответ отправил: Вадим Игоревич (статус: 7-ой класс) Отправлен: 13.09.2005, 19:06

Отвечает: damager Здравствуйте, Виктор! http://www.pochta.ru/help.php?chapter=81 тамвсе доступно и понятно

Ответ отправил: damager (статус: 1-ый класс) Отправлен: 14.09.2005, 06:57

Вопрос № 26.259

Здравствуйте!!!! Подскажите мне пожайлуста!!! Как урезать права доступа пользователю на машину, чтобы он не мог: 1) Расшаривать/зашаривать папки и диски 2) Устанавливать/удалять программы 3) Чтобы человек работающий на этой машине не мог удалять прфили пользователей с этой машины Комп находится в домене, пользователь в АД Заранее благодарен за ответы, с уважением snoop14

Отправлен: 13.09.2005, 10:33 Вопрос задал: Snoop14 (статус: Посетитель) Всего ответов: 7 Мини-форум вопроса >>> (сообщений: 1)

Отвечает: PaRaDoX Здравствуйте, Snoop14! 1. Удалить необходимого пользователя из группы Администраторы и завести в группу Пользователи. 2. Использовать NTFS и четко разграничивать права. --------- Опыт - это то, что ты получаешь, не получив того, чего хотел

Ответ отправил: PaRaDoX (статус: 4-ый класс) Отправлен: 13.09.2005, 10:49

Отвечает: Dark Angel Здравствуйте, Snoop14! Все достаточно просто: 1) Пользователь должен быть в группе Пользователи домена и нигде более 2) На некоторые папки настройте права иолько на чтение --------- Свет в темноте

Ответ отправил: Dark Angel (статус: Специалист) Отправлен: 13.09.2005, 11:08

Отвечает: Игнатьев Дмитрий Здравствуйте, Snoop14! Ставь систему на NTFS и пользователю дать права пользователя, а на админа не забыть поставить пороль. На свежепоставленной системе все прочие политики выставлены так как надо. Более ничего такого делать не обязательно.

Ответ отправил: Игнатьев Дмитрий (статус: 1-ый класс) Отправлен: 13.09.2005, 15:12

Отвечает: John Freeman Здравствуйте, Snoop14! Выкинуть его из локальных администраторов или рулить политиками домена для данного компа/юзверя --------- Ik bin ulien spiegel!

Ответ отправил: John Freeman (статус: Профессор) Отправлен: 13.09.2005, 16:54

Отвечает: damager Здравствуйте, Snoop14! Сделай его членом группы Пользователи домена (и только), хотя судя по вопросу он таковым и является.

Ответ отправил: damager (статус: 1-ый класс) Отправлен: 14.09.2005, 06:40

Отвечает: Iskander Здравствуйте, Snoop14! во-первых, должна быть установлена НТФС во-вторых, пользователь не должен быть локальным или доменным админом в этом случае профили других пользователей он снести не сможет по определению для шар - тут все сложно обычный (опытный) пользователь может расшаривать папки, а если его перевести в простые пользователи - тут возникает вопрос работоспособности очень многих программ. не запускаются под такими правами. правда, где-то слышал про ключик в реестре, но вот найти не могу. кстати, может поможет кто.... best regards iskander

Ответ отправил: Iskander (статус: Студент) Отправлен: 14.09.2005, 12:24 Оценка за ответ: 4

Отвечает: Vadime Здравствуйте, Snoop14! Система должна быть NTFS для четкого определения прав пользователей.User должен быть членом группы USER ,и ни в коем случае не входить в группу Administrator. С уважением.

Ответ отправил: Vadime (статус: 8-ой класс) Отправлен: 15.09.2005, 22:09

© 2001-2005, RusFAQ.ru, Россия, Москва. Все права защищены.
Идея, дизайн, программирование, авторское право: Калашников О.А.