Полезные советы для Windows 200х Server

[PLAstic]

В этой теме можно собирать полезные советы по реализации каких-либо задач средствами ОС и серверного ПО.
В дальнейшем если количество вопросов по какой-либо теме будет значительным, эта тема будет выделена в отдельную.

Для начала:

Q: Как организовать удалённое управление раб.станциями, когда бухгалтерия орёт, что по соображениям безопасности не даст ставить программы удалённого управления, а управлять надо?
A: Можно использовать встроенное средство для удалённого управления - Удалённый помощник. В этом случае доступ к машине возможен только в указанное пользователем время и по утверждению им запроса на подключение. По-умолчанию доступ осуществляется в режиме только просмотр. Для получения прав управлять клавиатурой и мышью выдаётся отдельный запрос.

Q: Как выписать приглашение удалённому помощнику? (можно использовать в качестве инструкции пользователям - PLAstic)
A: (Строки с отступом выполняются только в случае, если возникает отклонение)

Код:

Пуск - Справка и поддержка
  Если пункта "Справка и поддержка" в меню нет, сверните все окна и нажмите F1.
  Если выдалось сообщение, что служба Справки не запущена или справка не может быть отображена,
    1) Зайдите Пуск - Настройка - Панель управления - Администрирование - Службы.
    2) Найдите в списке пункт Справка и поддержка, нажмите дважды на нём.
    3) В появившемся окне выберите "Автоматически" вместо "Отключено", затем "Применить", "Пуск", "ОК"
    4) Заново попробуйте открыть Пуск - Справка и поддержка
Приглашение на подключение для Удаленного помощника
Отправить приглашение
  Если выдалось "Текущие параметры системы не позволяют...",
    1) Зайдите Пуск - Настройка - Панель управления - Система.
    2) Закладка "Удалённые сеансы"
    3) Ставим галку "Разрешить отправку приглашения удалённому помощнику", ОК
Сохранить приглашение в файл
имя любое, срок - 1 день
Продолжить
Пароль 123 в оба поля
Сохранить приглашение

Q: Как запретить запись на флеш-накопители?
A: Откройте редактор реестра (regedit)
Найдите ветку HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l \StorageDevicePolicies
Если ее нет, создайте ее.
В этой ветке создайте запись типа DWORD, назовите ее WriteProtect и присвойте ей значение 1.
Закройте regedit.exe
Все. Теперь доступ к aflash дискам будет только для чтения (readonly)

Q: Как определить сервер, который обладает ролями FSMO (Flexible Single Master Operations) ?
A: Определение обладателей ролей хозяина RID, основного контроллера домена и хозяина инфраструктуры в выбранном домене
1. Нажмите кнопку Пуск, выберите команду Выполнить, введите командную строку dsa.msc и нажмите кнопку ОК.
2. На левой верхней панели правой кнопкой мыши выделите объект домена и выберите пункт Хозяева операций.
3. Чтобы определить обладателя роли основного контроллера домена, откройте вкладку PDC.
4. Чтобы определить обладателя роли хозяина инфраструктуры, перейдите на вкладку Инфраструктура.
5. Чтобы определить обладателя роли хозяина RID, откройте вкладку Пул RID.

Определение обладателя роли хозяина схемы в лесу
1. Нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите кнопку OK.
2. В меню Консоль выберите команду Добавить или удалить оснастку, нажмите кнопку Добавить, дважды щелкните оснастку
Схема Active Directory, нажмите кнопку Закрыть, а затем — OK.
3. Правой кнопкой мыши выделите на левой верхней панели оснастку Схема Active Directory и чтобы определить сервер,
владеющий ролью хозяина схемы, выберите пункт Хозяева операций.

Примечание. Оснастка «Схема Active Directory» доступна только после регистрации файла Schmmgmt.dll. Для проведения
регистрации нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду regsvr32 schmmgmt.dll и
нажмите кнопку OK. После успешного выполнения регистрации появится соответствующее сообщение.

Определение обладателя роли хозяина именования домена в лесу
1. Нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите кнопку OK.
2. В меню Консоль выберите команду Добавить или удалить оснастку, нажмите кнопку Добавить, дважды щелкните оснастку
Active Directory — домены и доверие, нажмите кнопку Закрыть, а затем — OK.
3. На левой панели выделите оснастку Active Directory — домены и доверие.
4. Правой кнопкой мыши щелкните оснастку Active Directory — домены и доверие и чтобы определить сервер, владеющий
ролью хозяина именования домена, выберите пункт Хозяева операций.

Как определить сервер, который обладает ролями FSMO

Q: Как сменить имя домена?
A: Для 2000 это невозможно, а по 2003 вот способ от Микрософт:
Средства переименования доменов Active Directory в Windows Server 2003

[Aqulibrium]

Очень полезная штука-автовход в систему без набора пароля

1. Пуск -> Выполнить -> в поле Открыть напишите команду control userpasswords2 и нажмите OK
2. Установите курсор на том имени пользователя для которого вы хотите настроить автоматический вход в Windows (это избавит от написания имени пользователя в следующем окне - оно будет подставлено автоматически) и снимите птичку с параметра Требовать ввод имени пользователя и пароля, затем введите пароль учетной записи (если используется) и нажмите OK.

Способ 2

1. Пуск -> Выполнить -> введите коману regedit и нажмите ОК.
2. Найдите следующую ветвь реестра:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\Winlogon


3. Дважды щелкните параметр DefaultUserName (если такого параметра нет, то создайте Строковый параметр с этим именем), введите свое имя пользователя и нажмите кнопку OK.
4. Дважды щелкните параметр DefaultPassword, введите в поле «Значение» свой пароль и нажмите кнопку OK.
5. Дважды щелкните параметр AutoAdminLogon, введите в поле Значение число 1 и нажмите кнопку OK.

Примечание. В случае если компьютер является членом домена перечисленные выше способы не будут работать, необходимо немного модифицировать второй способ прописав значения входа в домен:
В реестре в ветви
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
параметру AutoAdminLogon установите значение 1
параметру DefaultUserName установите значение равное имени пользователя для которого настраиваете автоматический вход в систему
параметру DefaultDomainName установите значение равное имени домена для входа
параметру DefaultPassword установите значение равное паролю пользователя для которого настраиваете автоматический вход в систему
Если какого либо параметра нет, то его нужно создать, для всех параметров тип Строковый (REG_SZ)


Совет. Чтобы обойти процедуру автоматического входа или войти в систему от имени другого пользователя, удерживайте клавишу SHIFT после завершения сеанса или перезапуска Windows XP. Это приводит к изменению только процедуры первого входа в систему. Для применения измененной процедуры в дальнейшем вы должны настроить следующий параметр реестра:

Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Cu rrentVersion\WinlogonПараметр:ForceAutoLogonТип: REG_SZ Значение: 1

[SadAngel]

Обратное преобразование NTFS5 в NTFS4.

В операционной системе NT4 в качестве основной файловой системы используется NTFS4. Однако начиная с Windows 2000 используется файловая система NTFS5. Более того, все файловые системы NTFS4, которые обнаруживает Windows 2000 и выше, преобразовывает в файловые системы NTFS5 без каких либо предупреждений пользователя. И при этом если используется Windows NT4 до SP4, то загрузка с такого раздела окажется невозможной. (Пример - поставили жесткий диск c Windows NT4 SP3 в компьютер, на котором установлена Windows XP или Windows 2003). Как утверждает Microsoft, обратное преобразование NTFS5 в NTSF4 невозможно. Однако это не совсем так, и обратно преобразовать NTFS5 в NTFS4 все же возможно. Для этого необходимо проделать следующее:

1. Загрузившись в любой операционной системе, нужно открыть раздел для редактирования утилитами типа DskProbe (NT 4.0), DiskEditor из Norton Utilities for DOS/Win или подобной.

2. С помощью программы поиска (или вручную) найти строчку «$Volume» (без кавычек). Эта строка на диске записана в UNICODE, значит, редактор должен поддерживать поиск строки в UNICODE либо поиск по шестнадцатеричным кодам (напомню, что строка UNICODE на английском языке имеет нулевой байт после каждого символа). Номер сектора, в котором будет найдена данная строка, может варьироваться в зависимости от размера раздела и т.д. Теперь мы оказались в служебном файле $Volume, который отвечает за некоторые атрибуты раздела (тома), в том числе за версию NTFS.

3. Ближе к концу сектора находится метка тома, которую задавали при форматировании. Она тоже хранится в UNICODE. Либо сразу после метки тома, либо через несколько байт находится символ «p» (0x70), а ровно через 32 байт от него (точнее, начиная с 32-го байта) мы и найдем то, что ищем, а именно версию NTFS. Судя по всему, NT записывает номер версии не как WORD, а как два различных BYTE (так называемые major ver. number и minor ver. number), поэтому версия хранится на диске в «прямом» виде. Для NTFS5 эти два байта – 03 00, а для NTFS4 – это 01 02. Далее исправляем версию с 03 00 на 01 02 и запускаем chkdsk из состава Windows NT 4.0.

4. Теперь можно загрузиться в NT 4.0 (даже без SP4) и запустить chkdsk (если он не запустится сам при загрузке), который удалит дополнительные атрибуты NTFS5, добавленные Windows 2000, и приведет диск в состояние, полностью пригодное для использования NT 4.0: раздел теперь опять будет в формате NTFS4.

[PLAstic]

В любой сети необходимо, чтобы время на компьютерах было синхронизировано между всеми клиентами и сервером. Например, это нужно для того, чтобы документы и прочие зависимые от времени операции записывались в БД корректно.
Итак, здесь можно прочитать статью, как настраивать службу времени в Windows 2003.

Кому доверять? Т.е. от кого брать время? Можно лазить на буржуинские сервера, но ради быстрого ответа я выбрал отечественный сервис. Здесь лежит инструкция по настройке службы времени Windows 2003 на работу с серверами времени Mobatime. Для Windows XP здесь. Однако, нам она не пригодится...
Я рекомендую синхронизировать с внешними серверами времени только DC. Все же остальные машины сети настроить на получение времени непосредственно от DC. Сделать это можно, например, с помощью логон-скрипта. Либо через параметры DHCP-области. Команда такая:

Код:

net time \\имя_сервера /set

После успешной синхронизации в эвентах появится сообщение:

Цитата: The time service is now synchronizing the system time with the time source ntp.mobatime.ru (ntp.m|0x0|78.107.225.195:123->195.182.143.162:123).

Если кто ещё не знает, протокол NTP работает по 123 UDP. Не забудьте открыть на фаерволе.

[Iskam]

Цитата: Сообщение от PLAstic Все же остальные машины сети настроить на получение времени непосредственно от DC. Сделать это можно, например, с помощью логон-скрипта. Либо через параметры DHCP-области. Команда такая: Код: net time \\имя_сервера /set

по умолчанию члены домена получают время с контроллера домена, который их авторизовал. другими словами ничего лишнего городить не надо.

[PLAstic]

Цитата: Сообщение от Iskam по умолчанию члены домена получают время с контроллера домена

В случае отсутствия DC эта схема также работает.

[Iskam]

Цитата: Сообщение от PLAstic по умолчанию члены домена получают время с контроллера домена В случае отсутствия DC эта схема также работает

Это как? если станции в группе, а не в домене (а отсутствие DC=отсутствию AD, верно я понял мысль?), то никакой штатной синхронизации нет. Вот именно в таком случае нужно использовать net time \\имя_сервера /set.

[roma_17]

Здесь можно прочитать рекомендации Майкрософта по настроике синхронизации времени с внешнего источника. От предыдущих постов эти рекомендации отличаются тем что не надо никаких логон скриптов, достаточно внести данные о протоколе, источнике и интервалах синхронизации в регистр.

[alex911k]

В многоядерных системах появилась возможность задавать привязку процесса приложения к ядру процессора. Чтобы приложение грузило только то ядро которое указано. Всё работает за некоторым исключением: если процесс выполняется от имени System, то привязку сделать неудастся. Ругается на отсутствие у меня прав.

Нашёл решение на другом форуме)
Для тех кому интересно
Таскменеджер надо запускать с такими параметрами
PsExec -s -i taskmgr

PsExec качаем отсюда
http://technet.microsoft.com/en-us/s.../bb897553.aspx

[axlwor]

Запрет закрытия окна терминального подключения
(что бывает очень необходимо для защиты от юзверей )
http://infostart.ru/public/14344/

[PLAstic]

Q: Вопросы из серии (пишу для индексации поисковиками):

• У меня сервер не видится в сети, что делать?
• Я не знаю, кто у меня в сети Master Browser
• Прохо работает NetBios
• Список компьютеров рабочие группы недоступен

Ставим support tools. Как поставить читаем здесь.
В этот пакет входит утилита browstat. Запускаем её, удивляемся увиденному и изучаем его. Среди прочего замечаем строку:

Код:

DUMPNET       ( DN) - Display the list of transports bound to browser

Нам как раз надо посмотреть, на каких интерфейсах у нас включен NetBios. Вводим строку:

Код:

browstat dumpnet

Видим ответ вроде этого:

Код:

List of transports currently bound to the browser
     1 \Device\NetBT_Tcpip_{D4C82457-DC3E-48B4-B824-6BFCF694BC3A}

Нам это нужно было для того, чтобы убедиться, что интерфейс "слушается" и чтобы узнать его ID.
Теперь мы можем спросить утилиту, кто является Master Browser'ом на этом интерфейсе:

Код:

browstat view \Device\NetBT_Tcpip_{D4C82457-DC3E-48B4-B824-6BFCF694BC3A}

Т.е. подставляем в команду тот ID транспорта, который выдался нам по browstat dumpnet.
В результате видим информацию вроде этой:

Код:

Remoting NetServerEnum to \\DELTA on transport \Device\NetBT_Tcpip_{D4C82457-DC3E-48B4-B824-6BFCF694BC3A} with flags ffffffff
5 entries returned.  5 total. 31 milliseconds
\\BETA              NT   05.02 (W,S,DL,NT,SS,BBR,DFS)
\\DELTA             NT   05.02 (W,S,SQL,PDC,TS,PQ,NT,MBR,DFS)

Что значат эти флаги в скобках читаем здесь. Сразу скажу, что нам надо найти машины с этими флагами:

Код:

MBR - Master browser
BBR - Backup browser

Вот они, ваши заправлялы списком компьютеров. Если MBR болтается не на сервере, а на рабочей станции, значит на сервере отключена служба "Обозреватель сети" ("Computer browser").

На эту тему яндекс выдаёт кучу фигни. Если найду толковое описание, выложу сюда. Коллеги - тоже помогайте.

[ahjylth]

Получение доступа к папкам и файлам.

Многие уже столкнулись с ситуацией, когда необходимо получить доступ к различным, защищённым папкам или файлам. Причин, по которым пользователю необходимо получить доступ может быть множество. От самого простого, когда необходимо скопировать папку "Избранное" на другой ПК, но к папке "Documents and Settings" доступ закрыт, до редактирования файлов и т.д.
Получить доступ к защищённым папкам и файлам можно следующим образом. Для начала необходимо открыть блокнот и внести в него следующий текст полностью(можете скопировать):


Windows Registry Editor Version 5.00


[HKEY_CLASSES_ROOT\*\shell\runas]
@="Стать владельцем и задать полный доступ к объекту"
"Extended"=""
"NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="Стать владельцем и задать полный доступ к объекту"
"Extended"=""
"NoWorkingDirectory"=""

[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"

Далее сохранить его в любую папку под именем unloock.reg -> Двойной клик л.к.м на созданном файле(выглядит как синие кубики) ->
Соглашаетесь с внесением изменений в реестр. Всё. В контекстном меню файла или папки увидите – "Стать владельцем и задать полный доступ к объекту". Для того, что бы увидеть эту строку необходимо удерживая клавишу "Shift", сделать клик правой кнопкой на файле или папке, к которым хотите получить полный доступ. После этого открываете папку или файл.

[ahjylth]

Если вдруг забыл пароль...

Ломаем пароль в Windows XP!
Это руководство подскажет, как поступить, если вы забыли пароль Windows XP и как решить эту проблему без переустановки операционной системы. Кроме того, мы рассмотрим и другие возможные проблемы с паролями.
Операционные системы Windows 2000 и Windows XP обладают улучшенными возможностями безопасности по сравнению с более ранними системами Windows 9x/Me.
У них более эффективная система паролей, рассчитанная на применение в бизнесе, чтобы никто без необходимых полномочий не смог получить доступ к информации на вашем компьютере. Это палка о двух концах. Большинство пользователей хотя бы раз забывает какой-то важный пароль. И тогда "врагом без прав доступа" для своего компьютера становится сам пользователь.
Естественно, для каждого способа защиты есть способ его обойти, особенно, если у вас есть физический доступ к компьютеру.
В этой статье мы рассмотрим различные методы защиты компьютера с помощью пароля и способы их обойти. Начнем мы не с паролей учетных записей пользователей, но с не менее важных паролей, таких, как пароли BIOS и Internet Explorer.
Как "обойти" пароль BIOS?
Пароль BIOS - один из самых старых способов защиты компьютера от несанкционированного доступа и один из самых распространенных. Почему? Это одно из самых эффективных средств, если пользователь не имеет доступа к системному блоку. В противном случае, это все равно, что запереть дом на множество замков и оставить открытым окно.
Установки BIOS по умолчанию во всех системных платах не хранят информацию о паролях. Так что все, что нужно сделать, чтобы убрать пароль BIOS, - просто сбросить текущие установки, восстановив конфигурацию по умолчанию. Но помните, что сброс текущих настроек BIOS уничтожит не только пароль, но и все те настройки, которые вы устанавливали самостоятельно.
Есть два способа сбросить настройки BIOS. У большинства системных плат есть специальный джампер для очистки CMOS (память, в которой хранятся настройки BIOS). Обычно этот джампер находится около батарейки на системной плате, но для полной уверенности желательно обратиться к инструкции от материнской платы. На некоторых материнских платах вместо джампера есть просто два контакта, которые для сброса CMOS нужно замкнуть металлическим предметом, например, отверткой.
Если на вашей плате есть джампер, то для очистки CMOS выключите компьютер, установите перемычку так, чтобы она замыкала контакты джампера, и нажмите кнопку включения компьютера. Ваш компьютер не начнет загружаться, но установки в CMOS будут сброшены. Уберите перемычку и снова включите компьютер. Скорее всего, вы увидите на экране просьбу нажать F1, чтобы произвести установку параметров BIOS. Если вас устраивают установки по умолчанию, нажмите F1, а в меню BIOS выберите пункт 'Save and exit' (сохранить и выйти). После этого компьютер загрузится как обычно, за исключением пароля BIOS.
Если вы не знаете, где на вашей плате находится необходимый джампер или его вообще нет, что вполне возможно, придется пойти другим путем. На каждой системной плате есть батарейка, которая является источником питания для памяти CMOS, позволяя сохранять информацию. Как правило, это стандартная батарейка CR2032.
Чтобы очистить CMOS, выключите компьютер и извлеките батарейку (возможно, вам понадобится тонкая отвертка). Через 5-10 минут установите батарейку на место и включите компьютер. В BIOS будут установлены параметры по умолчанию, а пароля не будет. Для продолжения загрузки нужно будет нажать клавишу F1, и если вас устраивают установки по умолчанию, выбрать в появившемся меню BIOS пункт 'Save and exit'.
Как вы убедились, все это очень просто на настольном компьютере, а вот с ноутбуком пароль BIOS может стать серьезной проблемой. Из-за частых краж портативных компьютеров, производители позаботились о том, чтобы получить доступ, минуя пароль, было практически невозможно. Так что, если вы забыли пароль BIOS у своего ноутбука, скорее всего, вам придется обратиться в сервисный центр производителя.
Просмотр паролей, которые хранит Windows
Кроме паролей доступа различных пользователей Windows хранит и ряд других, не менее важных: пароль соединения с интернет, пароли почтовых ящиков или доступа к web-сайтам. Их, как правило, достаточно много, так что вполне естественно, что они со временем забываются.
Операционная система предлагает функцию "автозаполнения" для паролей и другой часто вводимой информации в Internet Explorer. Так что не редки ситуации, когда пользователь вводит пароль один раз, а через несколько месяцев, естественно, не может его вспомнить. Все понимают, что важные пароли нужно записывать, но делают это далеко не все. А если вы уже не помните пароль, как его узнать, ведь он отображается в виде ряда звездочек: ******?
Решение предлагают программы разных производителей, которые могут получить пароль из этой строки звездочек. Существует достаточно много свободно распространяемых программ для расшифровки паролей Windows или скрытых паролей из строк ввода Internet Explorer.
Мы будем использовать программу Asterisk Key от компании Passware. Это удобная в обращении свободно распространяемая программа, которая анализирует скрытые звездочками пароли и сообщает их вам. С ней очень просто работать. Достаточно выделить строку с паролем и нажать кнопку 'recover'.
Конечно, есть и коммерческие версии программ, которые, как правило, обладают большим набором функций. Например, программа Password Recovery Toolbox сканирует систему и определяет сохраненные пароли, данные, сохраненные для автоматического заполнения, пароли Outlook Express, пароли для соединения с интернет и т.д. Эта информация потом представляется в удобной форме.
Пароли пользователей Windows XP
Windows XP хранит пароли пользователей в измененном виде. Например, пароль "password" будет храниться в виде строки, подобной этой: 'HT5E-23AE-8F98-NAQ9-83D4-9R89-MU4K'. Эта информация хранится в файле c названием SAM в папке C:\windows\system32\config.
Эта часть файла SAM шифруется системной утилитой syskey, чтобы улучшить защищенность паролей. Данные, необходимые для расшифровки информации после syskey, хранятся в файле system в той же папке. Но эта папка недоступна никому из пользователей. Доступ к ней имеет только сама операционная система во время своей работы. Получить доступ к файлам SAM и system можно только под управлением другой операционной системы или подключив диск к другому компьютеру с системой Windows.
Сброс паролей пользователей в режиме администратора
Все версии Windows XP имеют учетную запись "administrator". Это имя дает пользователю полный доступ к системе и возможность сбрасывать пароли всех остальных пользователей. Это может вас спасти, если вы по какой-либо причине не можете зайти под своим обычным паролем пользователя. Специфика использования пароля администратора зависит от версии Windows XP:
XP Professional.
Пароль администратора задается во время установки операционной системы. Если вы его записали или просто нажали enter, оставив его пустым, то вы легко войдете в систему как администратор и сбросите пароли пользователей. Чтобы войти в систему в режиме администратора, на экране с приветствием системы нажмите два раза CTRL+ALT+DEL, появится окно для ввода пароля администратора.
Когда компьютер загрузится, зайдите в 'start\control panel\user accounts' (пуск\панель управления\учетные записи пользователей) и измените необходимый пароль. Коль вы уже здесь, это хорошая возможность исправить свою ошибку, если вы оставили пароль администратора пустым. Кроме того, желательно изменить название учетной записи 'adminisrator'. Это название известно всем, и его используют первым, чтобы получить доступ к вашему компьютеру. Для изменения названия учетной записи нажмите правой кнопкой мыши на 'my computer' (мой компьютер) и выберите 'manage' (управление). Раскройте 'local users and groups' (локальные пользователи и группы) и откройте папку 'users' (пользователи). Нажмите правой кнопкой мыши на запись 'administrator' и измените ее.
XP Home.
Эта система не даст вам просто так получить доступ к компьютеру в режиме администратора. Сначала понадобится загрузить компьютер в режиме защиты от сбоев. Для этого: перезагрузите компьютер; сразу же после тестирования BIOS нажмите несколько раз F8; в появившемся меню выберите 'start Windows XP in safe mode' (загрузить Windows XP в режиме защиты от сбоев). Когда компьютер загрузится, зайдите с именем пользователя 'administrator'. Пароль по умолчанию отсутствует. Теперь вы можете изменять пароли пользователей, зайдя в 'start\control panel\user accounts' (пуск\панель управления\учетные записи пользователей). Когда вы закончите, перезагрузите компьютер обычным способом.
Создание диска, сбрасывающего пароли
Windows XP позволяет записать на обычную дискету информацию, которая предоставляет возможность сбросить пароль. Естественно, если вы уже забыли пароль и не можете получить доступ к системе, то никакого диска вы создать не сможете, а вот завести такую дискету заранее, чтобы обезопасить себя от подобных случайностей, стоит.
Для создания дискеты: зайдите в 'start\control panel\user accounts' (пуск\панель управления\учетные записи пользователей); выберите имя, под которым вы вошли в систему; в меню связанных задач выберите 'prevent a forgotten password' (предотвратить забывание паролей); следуйте инструкциям запустившегося мастера.
Для сбрасывания паролей с помощью дискеты: если вы введете пароль при входе в систему неправильно, система спросит, или вы его не забыли; на этом этапе вы сможете использовать свою дискету, следуя пошаговым инструкциям операционной системы.
Будьте осторожны: если вы использовали встроенные возможности Windows по шифрованию файлов и папок, но не устанавливали обновление операционной системы (service pack 1), удаление пароля приведет к потере зашифрованной информации.
Утилиты для изменения паролей Windows NT/2000/XP
Существуют специальные утилиты, позволяющие редактировать или сбрасывать пароли пользователей Windows NT/2000/XP. Принцип работы большинства из них заключается в загрузке минимальной версии альтернативной операционной системы, например DOS или Linux, под управлением которой можно получить доступ к файлам с паролями.
Пример подобной утилиты можно найти по этому адресу: http://home.eunet.no/~pnordahl/ntpasswd/ Инструкции по работе, так же как файлы для создания загрузочного диска Linux, доступны на этом же сайте.
Обращаем ваше внимание, что если вы использовали функции операционной системы по шифрованию файлов и папок, изменив пароль с помощью какой-либо программы, вы лишитесь доступа к зашифрованным данным. В этом случае может помочь следующий метод, позволяющий не заменять забытый пароль новым, а узнать старый.
Подбор и расшифровка паролей
Если ничто другое не помогает, но у вас есть физический доступ к компьютеру, значит еще не все потеряно. Можно переписать файлы config и SAM и попытаться расшифровать пароли, которые в них хранятся, с помощью специальных утилит сторонних производителей. Как мы уже говорили, для этого придется использовать альтернативную операционную систему, например DOS или Linux. А когда файлы будут в вашем распоряжении, можно использовать одну из программ для расшифровки паролей, например, LC4 или Proactive Windows Security Explorer.
Вам понадобятся:
o 1. Доступ к другому компьютеру.
o 2. Как минимум две пустые дискеты.
o 3. Архиватор, рассчитанный на работу с командной строкой, например, RAR.
o 4. Загрузочный диск DOS или Windows 98 (имидж необходимого диска можно получить по адресу http://www.bootdisk.com/) или минимальная версия Linux (например, Knoppix). Необходимость в загрузочных дисках отпадает, если вы можете просто подключить к другому компьютеру свой жесткий диск. Если вы используете загрузочный диск DOS, а разделы на вашем жестком диске используют файловую систему NTFS, то для доступа к ним вам понадобится программа, позволяющая под управлением DOS просматривать разделы в формате NTFS, например, NTFSDOS.
o 5. Программа для получения паролей. Мы рекомендуем использовать Proactive Windows Security Explorer, так как бэта-версия этой программы является бесплатной, а бесплатная версия LC4 очень ограничена.
Использование загрузочной дискеты DOS:
o 1. Если на вашем жестком диске есть разделы в формате NTFS, скопируйте файл NTFSDOS на вашу загрузочную дискету.
o 2. Скопируйте на загрузочную дискету архиватор (RAR).
o 3. Загрузите компьютер с этой дискеты. Если есть разделы с NTFS, наберите команду NTFSDOS, эта программа покажет, какая буква присвоена вашему системному диску, ее и нужно будет использовать вместо буквы C в следующем пункте.
o 4. Поместите в архив системные файлы с паролями. Например, если вы используете архиватор rar32, соответствующая команда будет выглядеть так: Rar32 a -v a:\systemandsam c:\windows\system32\config\system c:\windows\system32\config\sam Если файлы не поместятся на одну дискету, архиватор попросит вас вставить вторую.
Взлом паролей
Каждая из выбранных вами программ выведет список обнаруженных в файле SAM учетных записей. Выберите те из них, пароли к которым вам нужно определить. Если вы используете Proactive Windows Security Explorer, выберите Atack type: Brute-force. Если вы использовали в пароле только цифры, отметьте пункт 'all digits (0-9)'. Начните процесс подбора пароля с помощью команды из меню Recovery.
Подбор пароля может длиться от 10 минут до нескольких часов, а то и нескольких дней, и может закончиться неудачно. Особенно, если в пароле используются буквы в различных регистрах, цифры и специальные символы.
Это хороший способ проверки надежности своих паролей. Если вы хотите просто проверить свой пароль, проделайте описанные выше шаги и посмотрите, сколько времени займет его подбор.
Выводы
Мы надеемся, что вам не придется прибегать к описанным нами методам. Чтобы такая необходимость не возникала, помните, что все важные пароли нужно записывать. А если есть реальная необходимость защищать информацию на вашем компьютере, то используйте пароли из символов в обоих регистрах и цифр и не используйте обычных слов. В этом случае ваши пароли будет очень трудно взломать.

[bons]

Установка/удаление ролей DNS-сервера и/или DHCP-сервера из коммандной строки.

Необходимость может возникнуть при переносе контроллера домена (или понижении ролей PDC - BDC и т.п.) на новый комп из системы с сильными вирусными повреждениями. У меня реально была необходимость... Так же может быть необходимо при доступе к серверу только в режиме коммандной строки.

DNS сервер.
Создать 2 текстовых файла. В примере они создаются в корне диска C:
dns_deinst.cmd

sysocmgr /i:%SystemRoot%\inf\sysoc.inf /u:c:\dns_deinst.txt

dns_deinst.txt

[netoptionalcomponents]
dns=0

Запустить dns_deinst.cmd и ждать... Создавать файлы, естественно, можно и из коммандной строки. А dns_deinst.cmd - отредактировать или просто выполнять эту комманду. Точно так же можно и установить службу DNS (заменив в файле dns_deinst.txt dns=0 на dns=1)

DHCP сервер.
Комманда -
Netsh DHCP Delete Server <server name> <server IP address>
Может выполнятся удаленно. Естественно, от пользователя с правами администратора домена. А с помощью комманды:
netsh dhcp show server
можно узнать какие сервера DHCP в AD есть и какими зонами они рулят.

[powermac]

Цитата: Сообщение от Dr_Alexis А при лицензировании, что понимает MS под словом CPU? ядро процессора, или физический процессор, независимо от количества ядер?

Зависит от вида лицензирования.... но в общем случае Microsoft считает ядра у процессора.
А забавность в том, что HyperTrading считается как 1,5 CPU.
Т.е. 1 х Сore i7 = 6 CPU, а не 4 или 8...

Тут писали еще по поводу десктопных ОС... хоть эо и оффтоп...
на десктопах считают только физические процессоры и ХР прекрасно работает на Core i7, в чем многие уже убедились...

[Doc83]

Цитата: Сообщение от sao_hermes Служба Computer Browser должна быть запущена только на контроллере домена,если в сети <31 компьтера иначе сыпятся ошибки, иногда критичные от не могу найти домен, до появления выборов в домене(на роль обозревателя сети). На остальных компьютерах нужно эту службу отключать. Эта ситуация происходит при использовании нескольких протоколов TCP/IP и NetBIOS. При >31 компьютера в сети нужно делать по +1 Обозревателю сети для каждых 30 дополнительных компьютеров со ссылкой на уже существующие обозреватели сети. Похожая проблема наблюдается и при установке ISA Сервера на КД.

Данный совет уместе только для домена 2003 уровня, если выше то это можно вообще не учитывать.