Архив за месяц: Июль 2007

Решение проблем с локальными учетными записями без пароля

По умолчанию в Windows XP и Server 2003 групповая политика настроена таким образом, что локальные учетные записи без пароля имеют лишь право локального входа, поэтому не выполняются задания планировщика, отсутствует доступ по сети к компьютерам рабочей группы и т.п.

Для решения проблемы нужно установить пароль учетной записи (пусть даже простой) или отключить параметр групповой политики: запустить gpedit.msc, перейти по пути Computer configuration — Windows settings — Security settings — Local policies — Security options (Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности) и переключить параметр политики «Accounts: Limit local account use of blank passwords to console logon only» (Учетные записи: ограничить использование пустых паролей только для консольного входа) в состояние Disabled (Отключить).

Установка параметров безопасности по умолчанию для объектов Active Directory

Setting default security permissions for Active Directory objects. Setting inheritance of security permissions for Active Directory objects.

Следующий скрипт назначает параметры безопасности по умолчанию согласно текущей схемы домена и включает наследование для объектов типа Computer, Contact, Group, User и всех их дочерних объектов, находящихся в указанном Organizational Unit.

@echo off
set query="OU=SameOrgUnit,DC=somedomain,DC=local"

dsquery.exe computer %query% > computers.txt
for /f "tokens=1 delims=" %%x IN (computers.txt) do dsacls.exe %%x /P:N /I:T /S
del /q computers.txt

dsquery.exe contact %query% > contacts.txt
for /f "tokens=1 delims=" %%x IN (contacts.txt) do dsacls.exe %%x /P:N /I:T /S
del /q contacts.txt

dsquery.exe group %query% > groups.txt
for /f "tokens=1 delims=" %%x IN (groups.txt) do dsacls.exe %%x /P:N /I:T /S
del /q groups.txt

dsquery.exe user %query% > users.txt
for /f "tokens=1 delims=" %%x IN (users.txt) do dsacls.exe %%x /P:N /I:T /S
del /q users.txt

Пересылка сообщений как вложений с помощью Microsoft Office Outlook

Если сообщений несколько, выбирать в списке сообщений и нажать кнопку «Переслать» (или Ctrl-F).
Если сообщение одно (способы работают и для нескольких):
1. Выбрать в списке сообщений, перетащить мышью в окно создания сообщения.
2. Выбрать в списке сообщений, Правка -> Копировать (или Ctrl-C), в окне создания сообщения установить курсор в тело письма, Правка — Вставить (или Ctrl-V).

Покупка железнодорожных билетов через Интернет

Вот уж не знал, что можно купить железнодорожный билет через Интернет. Оказывается, с 14 мая 2007г. ОАО «РЖД» предоставляет такую услугу. Оплата производится по картам Visa и MasterCard, билет нужно получить в любой кассе ОАО «РЖД», оборудованной терминалом системы «Экспресс», до отправления поезда.

Сказилка про лестницу

Быть лестницей — не самое интересное занятие на свете. Более того — это почти всегда очень скучно. Даже если ты чудесная и удивительная лестница из маленького городка на холмах, лестница, которая начинается у дверей чердака, спускается вниз аккуратными завитками и вытекает наружу ступеньками, сама становясь улицей. Узкой улицей-лестницей со ступеньками, которая течет вниз по холму, извиваясь меж стен, растекаясь площадками, на которые выходят двери домов и летом стоят ящики с цветами, вновь собираясь и уходя ниже, чтобы уже в самом низу разбиться на три ручейка: один впадает в площадь, другой выходит на шумную улицу и теряется под ногами спешащих прохожих, а третий ручеек ступенек втекает в тихий дворик-заводь, окруженный балюстрадой и выходящий балконом на совсем другую улицу.

Лестница была красивой, сказочно чудесной и безмолвной. Лестницы не видят и не говорят, они умеют лишь слушать и чувствовать. Эта лестница знала, что ей повезло — на нее ходят смотреть туристы, восхищенно гомонят и щелкают фотоаппаратами, снимая ее тихие заводи, ящики с цветами, скамеечки в укромных закоулках и резные перила. Лестница гордилась собой, своим разноцветием, уютной пряничностью и каждой из своих тысячи пятидесяти двух ступенек — это и вправду была очень длинная лестница в городке-на-холмах. Днем по ней бродили туристы, ночами — кошки, а по утрам по ней медленно спускались жители домов, сопя и ворча, что лестница год от года становится все длиннее и круче. Это, конечно же, было не так, но лестница любила их всех — ведь это была ее жизнь.

С годами лестница все больше дремала — не было ничего такого нового или интересного, что привлекло бы ее внимание. Жизнь проходила в полусне. Зимой было холодно, летом — жарко, в дождь — мокро.. Пока однажды лестница не проснулась от дикого скрежета. Кто-то царапал ее осколком кирпича. Звук был невыносимым. Впору было заткнуть уши и завизжать, но визжать лестница не умела, да и ушей у нее не было. А кто-то странный все скреб и скреб кирпичиной по самой верхней ступеньке у чердачной двери. Лестница слегка пришла в себя, прислушалась к ощущениям и поняла, что на ее спине появляются аккуратные красные буквы, складывающиеся в слова «В тридевятом царстве, в тридевятом государстве…». Лестница замерла в ожидании чуда. Но тут осколок кирпича закончился и некто, отряхнув испачканные ладошки, поскакал вниз по лестнице. Бежал он очень странно — на нечетных ступеньках звонко цокая, словно серебряной подковкой или копытцем. Лестнице в этом вопросе можно было доверять безоговорочно — уж что-что, а в звуках она разбиралась.

На следующий день неизвестный пришел с куском мягкого зеленого мела и с завитушками выписал на следующих ступеньках «…жили-были птичья клетка, книга и трость черного дерева…». Лестница счастливо замирала под буквами и ждала чуда. И каждый день приносил еще кусочек волшебства. Буквы выписывались каллиграфическим почерком синими чернилами, выбивались шляпками крошечных обойных гвоздиков на деревянных порожках, выклеивались морскими ракушками на мраморных плитах. Сказка становилась былью и врастала в плоть лестницы, вниз и вниз, от самой верхней заоблачной ступеньки. На развилке неизвестный с копытцем задумался на несколько дней, но потом решительно начал писать продолжение сказки на всех трех ручейках лестницы сразу. Лестница в изумлении поняла, что у сказки, как и у самой лестницы, будет три хвоста. Один сказочный хвостик впадал в площадь, другой выходил на шумную улицу и терялся под ногами спешащих прохожих, а третий втекал в тихий дворик-заводь, окруженный балюстрадой и выходящий балконом на совсем другую улицу.

Так лестница стала сказкой. Вернее, тремя сказками для того, кто поднимется по ней до самого верха, а потом спустится три раза, читая каждый раз новую сказку с тремя разными хвостами. Лестница теперь местная достопримечательность и туристы толкутся на ней с утра и до самой ночи, но лестница ждет только одного — странного человека, цокающего серебряным копытцем на нечетных ступеньках.

via skazilki

Используем Remote Assistance и Remote Desktop для доступа к рабочим столам пользователей

Многие администраторы используют для доступа к рабочим столам пользователей Remote Administrator, он же Radmin. Это не совсем правильный подход — ведь программа стоит денег, да и метод передачи изображения является не самым оптимальным.

Я предлагаю воспользоваться встроенными в систему возможностями по управлению: Remote Assistance (Удаленный помощник) и Remote Desktop (Удаленный рабочий стол) которые основаны на MS Terminal Services (Службы терминалов Майкрософт). Преимущества данного подхода заключаются, как минимум, в низких нагрузках на процессор удаленной станции и канал связи. Основным отличием Remote Assistance от Remote Desktop является возможность работать с консолью пользователя без отключения последнего. Ведь для того, чтобы подключиться с помощью Remote Desktop к машине под управлением Windows XP с выполненным локальным входом, вам нужно знать пароль активного пользователя (при подключении консоль будет заблокирована, а при разблокировке будет отключена терминальная сессия), в противном случае его сессия будет закрыта и вы войдете в систему под тем пользователем, которого вы указали при подключении. Т.е. терминальные службы Windows XP всегда работают только с одной консольной сессией, к которой нельзя иметь больше одного подключения, поэтому для данного случая следует использовать Remote Assistance. С другой стороны, с помощью Remote Assistance нельзя подключиться к машине под управлением Windows XP, на которой не выполнен локальный вход — в данном случае следует использовать Remote Desktop.

Я расскажу, как использовать Remote Assistance и Remote Desktop, для включения и настройки будем использовать групповую политику домена.

Включаем и настраиваем Remote Desktop.

Computer configuration — Administrative templates — Windows components — Terminal services (Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы терминалов).
Включаем доступ: Allow users to connect remotely using Terminal services (Разрешать удаленное подключение с использованием служб терминалов) — Enabled (Включено).
Настраиваем на случай, если потребуется подключиться к активной сессии: Set rules for remote control of Terminal services user sessions (Устанавливает правила удаленного управления для сеансов пользователей служб терминалов) — Enabled (Включено).
Предоставлять права на доступ к Remote Desktop обычно не требуется, т.к. по умолчанию в политике Computer configuration — Windows settings — Security settings — Local policies — User rights assignment — Allow logon through Terminal services (Конфигурация компьютера — конфигурация Windows — Параметры безопасности — Назначение прав пользователя — Разрешать вход в систему через службу терминалов) указаны локальные группы Administrators (Администраторы) и Remote Desktop users (Пользователи удаленного рабочего стола), что является достаточным.

Включаем и настраиваем Remote Assistance.

Computer configuration — Administrative templates — System — Remote Assistance (Конфигурация компьютера — Административные шаблоны — Система — Удаленный помощник).
Включаем доступ: Offer Remote Assistance (Разрешить предложение удаленной помощи) — Enabled (Включено) — Allow helpers to remotely control the computer (Помощники могут управлять компьютером), Show (Показать) — добавляем пользователей или группы домена, которым будет разрешено подключаться без приглашения. При этом на машинах будет автоматически создана локальная группа Offer Remote Assistance Helpers (Группа удаленных помощников), членами которой будут являться указанные в групповой политике пользователи.
Если требуется включить возможность отправки приглашений пользователями, то: Solicited Remote Assistance (Запрошенная удаленная помощь) — Enabled (Включено) — Allow helpers to remotely control the computer (Помощники могут управлять компьютером), Maximum ticket time (value) (Максимальное время билета (значение)) — 30, Maximum ticket time (units) (Максимальное время билета (единиц)) — Days (дн.).

На этом основные этапы настройки закончены. Следует отметить, что для работы Remote Assistance требуется, чтобы служба Help & Support (Справка и поддержка) была запущена, а службы Terminal services (Служба терминалов) и Remote Desktop Help Session Manager (Диспетчер сеанса справки для удаленного рабочего стола) имели возможность запуска (не отключены).

Для подключения к пользовательской машине с помощью Remote Desktop необходимо использовать приложение Remote Desktop Connection (Подключение к удаленному рабочему столу).

Для подключения к пользовательской машине с помощью Remote Assistance необходимо использовать Help and Support Center (Центр справки и поддержки), страница подключения спрятана в разделе Tools (Служебные программы). Для прямого перехода можно использовать ярлык: hcp://CN=Microsoft%20Corporation,L=Redmond,S=Washington,C=US/Remote%20Assistance/Escalation/unsolicited/unsolicitedrcui.htm

Теперь стоит упомянуть об одном не очень приятном моменте. Remote Assistance всегда запрашивает у пользователя разрешение на подключение и переход в режим управления. Microsoft однозначно утверждает, что путей для отключения запроса не существует. Это очень неудобно, ведь иногда пользователя нет на рбочем месте и некому разрешить подключение. Но на самом деле лазейка есть. Суть заключается в следующем: в файл C:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\helpeeaccept.htm в конец функции LoadVariables (после btnDecline.focus()) необходимо добавить строку «DoAccept();» (без кавычек), а в файл C:\WINDOWS\PCHealth\HelpCtr\System\Remote Assistance\Interaction\Server\TakeControlMsgs.htm в конец функции InitiateMsg (перед последним return, если он есть) — «onClickHandler(0);» (так же без кавычек). Теперь подключение и переход в режим управления будут осуществляться без запросов. Для того, чтобы завершить подключение не оставляя на рабочем столе пользователя окна Remote Assistance, просто закройте его в режиме управления 🙂

О правильной настройке брандмауэра Windows для приема удаленной помощи можно почитать в статье KB301527.

Вот, пожалуй, и все, что я хотел рассказать. Комментарии и вопросы приветствуются.

Update: Настоятельно рекомендую прочитать все комментарии к этой статье.

Update2: Я обнаружил, что в переводе статьи KB301527 отсутствуют два раздела, приведенные в англоязычном варианте. Ключевой момент: т.к. для предложения удаленной помощи используется RPC, то помимо портов TCP/135 и TCP/3389, необходимо открыть все порты TCP выше 1024. Можно, конечно, воспользоваться KB300083 и ограничить диапазон портов DCOM.