Windows Server 2008

Материал из RSU WiKi

Перейти к: навигация, поиск

Содержание

Рутина

Активация WS2008

Про MAK и KMS-активацию полно написано здесь: http://www.microsoft.com/rus/technet/windowsvista/plan/volact1.mspx

Синхронизация Windows 2008 с сервером NTP

В консоли (cmd) последовательно выполняем следующие команды: 

net time /setsntp:”ntp.rsu.edu.ru”
net stop w32time && net start w32time
w32tm /resync

Результат должен быть примерно такой: 

Microsoft Windows [Версия 6.0.6001]
(C) Корпорация Майкрософт, 2006. Все права защищены.

Z:\>net time /setsntp:”ntp.rsu.edu.ru”
Команда выполнена успешно.

Z:\>net stop w32time && net start w32time
Служба “Служба времени Windows” останавливается.
Служба “Служба времени Windows” успешно остановлена.

Служба “Служба времени Windows” запускается.
Служба “Служба времени Windows” успешно запущена.

Z:\>w32tm /resync
Отправка команды синхронизации на локальный компьютер
Команда выполнена успешно.

Z:\>

Сетевые службы

Гостевой доступ на сетевые ресурсы Windows 2008

Для гостевого доступа к общим папкам на сервере под управлением Windows 2008 помимо открытия общего доступа к папкам необходимо проделать следующие действия:

Зайти в Пуск->Администрирование->Локальная политика безопасности -> Локальные политики -> Параметры безопасности ->

И изменить значениния следующих параметров: 

Сетевой доступ: запретить анонимный доступ к именованным каналам и общим ресурсам

на Отключить 

Учетные записи: Состояние учетной записи "Гость"

на Включить

Настройка брандмауэра для работы с FTP

По умолчанию, брандмауэр Windows открывает для входящих соединений только 21 TCP порт. Этого достаточно для успешной авторизации на сервере, но мало для создания/редактирования/удаления контента из папки пользователя, так как для правильного функционирования сервиса нужно два активных подключения.

В командной строке вводим следующее: 

 netsh advfirewall firewall add rule name="FTP (no SSL)" action=allow protocol=TCP dir=in localport=21

(чтобы убедиться, что 21 порт все-таки открыт) 

 netsh advfirewall set global StatefulFtp enable

(данная команда заставляет брандмауэр динамически открывать порты для подключений типа ftp-DATA)

IIS

Основная статья: IIS

Настройка IIS для скачивания и запуска исполняемых файлов по http

  1. Запуск Диспетчера служб IIS
  2. Веб-узлы -> выбираем нужный веб-узел ->Свойства
  3. Выбираем вкладку "Домашний каталог" -> Разрешен запуск: Только сценарии
  4. выбираем вкладку Заголовки HTTP -> Типы MIME
  5. создать -> Расширение: .exe

Тип MIME: application/x-msdownload

Active Directory

Передача прав FSMO при неполадках на первичном контроллере домена

Корпорация Майкрософт рекомендует использовать получение ролей FSMO в следующих случаях:

  • В работе текущего обладателя роли FSMO возникли сбои, которые препятствуют успешному выполнению функций, присущих данной роли, и не дают выполнить передачу роли.
  • Роль контроллера домена, являвшегося обладателем роли FSMO, была принудительно понижена с помощью команды dcpromo /forceremoval.
  • На компьютере, являвшемся обладателем роли FSMO, переустановлена или не загружается операционная система.


Logon-скрипты

Путь к скриптам на контроллере домена: 

%SystemRoot%\sysvol\sysvol\<domain DNS name>\scripts

Групповая политика

Классический вид оформления Windows

User Configuration -> Administrative Templates -> Control Panel -> Display -> Desktop Themes -> Load a specific visual style file or force Windows Classic.

Дефрагментация дисков машин в локальной сети

НЕВЕРНО Создаем bat-файл следующего содержания: 

@schtasks.exe /create /SC WEEKLY /D SAT /TN fragme /TR "\"C:\windows\system32\defrag.exe\"c: -f" /ST 00:45:00 /SD 02/22/2005 /RU SYSTEM

и помещаем его в папку с logon-скриптами на сервере. Не забываем укзать его выполнение в GPO.

В свойствах Group Policy создаем задание в планировщике с заданными параметрами.

Запись cd/dvd-дисков непривелегированными пользователями

Создаем в необходимом контейнере новую GPO с релевантным названием. Правим ее. 

Конфигурация компьютера --> Политики --> Конфигурация Windows --> Параметры безопасности --> Группы с ограниченным доступом.

Добавляем новую группу (выбираем из существующих или создаем новую). В параметрах указываем, что эта группа является членов в "Опытные пользователи" (группу не выбираем, а заполняем поле вручную). Применяем настройки. Шаг второй: Открываем параметры этой же GPO: 

Конфигурация компьютера --> Политики --> Конфигурация Windows --> Параметры безопасности --> Локальные политики --> Параметры безопасности.

Здесь нас интересуют два параметра: "Устройства: разрешить доступ к дисководам компакт-дисков только локальным пользователям" - Включен. "Устройства: разрешить форматирование и извлечение съемных носителей" - Администраторы и опытные пользователи. Применяем параметры политики. Профит.

Делегирование прав локального администратора пользователям домена

На предприятии с крупной локальной сетью и внутренней службой технической поддержки правами "Администратор домена" обладают единицы из технического персонала, когда остальные сотрудники используют учетную запись локального администратора для различных манипуляций с операционной системой и ПО, что вызывает некоторые неудобства, такие как отсутствие распеределяемого групповой политикой программного обеспечения в оснастке "Установка и удалении программ" и т. д. В данном случае удобным является получение членами определенной группы технического персонала, являющимися пользователями домена, прав локального администратора. Сделать это можно следующим образом:

Создаем в необходимом контейнере новую GPO с релевантным названием, правим ее: 

Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом

Выбираем созданную группу, в параметрах указываем, что эта группа является членом в "Опытные пользователи" (группу не выбираем, а заполняем поле вручную). Применяем настройки на сервере: 

gpupdate /force

и на клиенте с последующей перезагрузкой: 

gpupdate /force /boot

При таком способе делегирования прав пользователи этой группы не получают прав "Администратор домена", не могут выполнять вход на контроллер домена локальный или через терминал, не могут удаленно через различные оснастки менять параметры контроллера и управлять службами, и при этом получают права локального администратора на ПК, на которые они могут выполнить вход.

Применение параметров GPO

Чтобы незамедлительно применить параметры GPO пользуемся следующей командой: 

gpupdate /force

Посмотреть на результаты применения GPO на клиенской машине необходимо выполнить команду: 

gpresult

WSUS

Запуск обновлений на клиентах, которые не подключены к домену

C помощью reg файла: Создаем reg файл, например wsus.reg 

 Windows Registry Editor Version 5.00
 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
 "WUServer"="http://wsus.srv.rspu"
 "WUStatusServer"="http://wsus.srv.rspu"
 "TargetGroupEnabled"=dword:00000001
 "TargetGroup"="all"
 "ElevateNonAdmins"=dword:00000000

 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]
 "NoAutoUpdate"=dword:00000000
 "AUOptions"=dword:00000004
 "ScheduledInstallDay"=dword:00000000
 "ScheduledInstallTime"=dword:0000000e
 "NoAutoRebootWithLoggedOnUsers"=dword:00000001
 "AutoInstallMinorUpdates"=dword:00000001
 "RebootRelaunchTimeoutEnabled"=dword:00000001
 "RebootRelaunchTimeout"=dword:0000003c
 "RescheduleWaitTimeEnabled"=dword:00000001
 "RescheduleWaitTime"=dword:0000000f
 "DetectionFrequencyEnabled"=dword:00000001
 "RebootWarningTimeoutEnabled"=dword:00000001
 "RebootWarningTimeout"=dword:0000001e
 "UseWUServer"=dword:00000001
 "NoAUShutdownOption"=dword:00000000
 "NoAUAsDefaultShutdownOption"=dword:00000000

В командной строке пишем: 

net stop "wuauserv" (останавливаем службу автообновления)

Далее запускаем наш reg-файлик и снова пишем в командной строке: 

net start "wuauserv"

Форсируем применение настроек: 

wuauclt /detectnow

Вместо последних действий можно запустить следующий bat-файл: 

@echo off
net stop "wuauserv"
Echo Importing WSUS.reg
%windir%\Regedit.exe /s WSUS.reg
Echo WSUS.reg imported succesfully
net start "wuauserv"
Echo Forcing update detection
wuauclt /detectnow

Создание автоматического установочного пакета 

;!@Install@!UTF-8!
Title="WSUS Policy Unattended Installer"
ExecuteFile="wsus.bat"
;!@InstallEnd@!
  • В командной строке из папки выполняем следующую команду: 
copy /b 7zs.sfx + sfxconfig.txt + wsus.7z wsusinstaller.exe

Добавление машин в домен

По умолчанию любой пользователь домена имеет право на присоединение к домену не более 10 компьютеров. Администраторы домена лишены этих ограничений.

Чтобы дать определенным пользователям неограниченные права на добавление машин к домену поступаем следующим образом: Создаем группу пользователей с характерным названием, например "ПравоДобавлятьКомпьютерыВДомен". Далее открываем оснастку Управления групповой политикой.

Правим целевую групповую политику с распространением на нужный контейнер: 

 Конфигурация компьютера --> Политики --> Конфигурация Windows --> Параметры безопасности -->
 Локальные политики --> Назначение прав пользователя --> Добавление рабочих станций к домену

Определяем эту политику включением в нее группы пользователей, о которой говорилось выше.

Обновляем настройки групповой политики.

Ссылки

Источник — «http://wiki.rsu.edu.ru/index.php/Windows_Server_2008»