Об установке Windows Server 2008 R2 и Windows 7 с флешки написано много статей. Не думаю, что стоит рассказывать в подробностях, что установка с USB-накопителей происходит намного быстрее, чем с DVD-диска или о том, что это фактически единственный способ установки ОС на нетбук, в котором нет CD/DVD привода.

О необходимых манипуляциях для подготовки загрузочного накопителя подробно рассказывается здесь или здесь. Эти способы хорошо зарекомендовали себя, но имеют ряд недостатков: требуется вручную выполнить много действий с командной строкой, а сам процесс желательно производить из-под Windows Vista/Windows Server 2008 или выше.

Теперь появился более простой способ создания загрузочного носителя, причем этот способ работает в любых 32-х и 64-ти битных ОС. Скачиваем утилиту Windows 7 USB/DVD Download Tool (зеркало) Windows 7 USB/DVD Download tool, устанавливаем ее и запускаем. Выбираем ISO образ и устройство, куда нужно копировать данные:

Via Андрей Бешков.

Update: Microsoft восстановил страницу загрузки утилиты.

Фильтрация по именам хостов является достаточно эффективным способом борьбы со спамом на первом рубеже обороны. Согласитесь, что маловероятно получить легитимную корреспонденцию с хоста в имени которого присутствуют слова вроде adsl, pppoe, dynamic, pool, gprs. Также ни о чем хорошем не скажет несоответствие имени из HELO/EHLO обратной зоне, либо ее полное отсутствие. Разумеется, что существуют почтовые серверы, которые не соблюдают элементарные правила сетевого этикета, но это должно быть проблемой тех администраторов, которые не удосужились выделить время для правильной конфигурации почтовой системы.

В статье «Используем check_relay в Sendmail для борьбы со спамом» достаточно подробно рассматривается процесс конфигурирования фильтрации по DNS в sendmail, а также синтаксис правил проверок в sendmail.cf. Исходные коды статьи можно скачать отсюда.

По статье есть небольшое замечание: синтаксис директивы delay_checks изменился в sendmail 8.12, в базе access необходимо указывать правило в следующем формате: Spam:postmaster@ FRIEND.

В больших доменах, как правило существует неразбериха с учетными записями пользователей и компьютеров, особенно, если в организации работает несколько администраторов. Проблема несвоевренного удаления учетных записей уволившихся пользователей и несуществующих ныне компьютеров знакома многим аминистраторам. Решение этой непростой проблемы усложняется тем, что атрибут lastlogon не реплицируется между контроллерами доменов. К счастью, IT-сообщество уже написало скрипты, облегчающие администраторам жизнь. Цитировать тексты скриптов не вижу смысла,  приведу лишь ссылки:

1. Скрипт для поиска и перемещения неактивных компьютеров в организационную единицу.
2. Скрипты для отключения учетных записей пользователей, удаления отключенных учетных записей и переноса личных каталогов уволенных сотрудников в архив.
3. Скрипт, выводящий значения параметра lastlogon для всех учетных записей пользователей домена (скрипт обходит все контроллеры в домене).

P.S. Если функциональный режим домена поднят до уровня Windows Server 2003, то для поиска неактивных учетных записей можно использовать атрибут lastLogonTimeStamp, который реплицируется между контроллерами домена каждые 14 дней.

Есть пара хороших заметок, описывающих основные методы защиты от спама встроенными средствами sendmail: Help! My Mail Server Is Being DoSsed! и Mail Filtering — Sendmail Config. Конечно эти способы не панацея, защита от спама должна быть комплексной, но использование даже этих простых средств позволяет снизить поток нежелательной почты.

Иногда у администратора возникает необходимость  получить доступ к почтовому ящику Exchange, принадлежащего другому пользователю. Однако если вы вошли в систему с учетной записью администратора или как член групп «Администраторы предприятия» или «Администраторы домена», тогда вам будет отказано в доступе ко всем почтовым ящикам, кроме личного, даже если вы обладаете полными правами администратора в системе Exchange. Как обойти данный запрет рассказывается в статье kb821897.

Также иногда возникает необходимость отправить сообщение от имени другого пользователя, а чаще всего — от имени списка рассылки, т.к. почта, поступающая на отдельные адреса должна пересылаться одновременно нескольким пользователям. Как правило, при попытке отправки от чужого имени возникает ошибка «Отказано в доступе» или «У вас нет прав, необходимых для выполнения этой операции. Обратитесь к ответственному за папку или к администратору сети.» Как предоставить право на отправку от имени другого пользователя или списка рассылки рассказывается в статье kb912918.

Однажды из-за аппаратного сбоя мне потребовалось восстановить ОС на сервере с установленным MOSS 2007. Я восстановил ОС с загрузочного диска, сделал восстановление для WSS и MOSS, но ни одна веб-часть не отображалась, выдавая ошибку «Невозможно создать XmlSerializers для этой веб-части» (Cannot create XmlSerializers for this Web Part). Решение проблемы отыскалось с большим трудом: после переустановки ОС слетели необходимые права доступа на общесистемную папку %Temp%. Необходимо дать полные права группе WSS_ADMIN_WPG и права на чтение группе WSS_WPG. Подробная информация о необходимых правах здесь и здесь, а о самой ошибке — здесь.

Существует великое множество утилит для разблокировки доступа к файлам и папкам, но лучшая из них — Unlocker.

Если при попытке установить в Windows Server 2008 роль «Windows Server Update Services» возникает ошибка "The update could not be found. Either the update is not applicable to this computer or the update no longer exists. Verify that the update still exists and is applicable to this computer from your WSUS server or Windows Update.", то необходимо:

1. Установить обновление KB940518.
2. Если в сети уже установлен экземпляр WSUS, то включить категории синхронизации «Windows Server 2008 Server Manager — Windows Server Updates Services (WSUS) Dynamic Installer» и «Windows Server 2008 Server Manager Dynamic Installer» и провести синхронизацию. В противном случае проверить наличие доступа к серверам Windows Update.

Update: В блоге WSUS Product Team опубликована статья, описывающая процесс установки роли WSUS. Я опередил их на два дня 😛

via bash.org.ru

Иногда требуется внести определенные веб-сайты в какую-либо зону безопасности Internet Explorer на всех компьютерах домена. Например, внести портал на MOSS 2007 в зону Интрасети, чтобы пользователи могли прозрачно авторизоваться. Для этого следует воспользоваться групповой политикой User configuration -> Administrative templates -> Windows components -> Internet Explorer -> Internet control panel -> Security page -> Site to zone assignment list (Конфигурация пользователя -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления обозревателем -> Страница безопасности -> Cпиcoк нaзнaчeния зoны бeзoпacнocти для вeб-узлoв).
В описании политики ничего не говорится про использование масок, однако их можно использовать. Для добавления зоны domain.local необходимо указать маску *.domain.local. С IP адресами дело обстоит несколько сложнее, т.к. согласно описанию, можно использовать только диапазоны: 192.168.0.1-255, 192.168.0-255.1-255. На самом деле можно использовать и маски, но только в полной форме: 192.168.*.*. Если воспользоваться сокращенной формой, например 192.168.* (как в настройках исключений для прокси-сервера), то на компьютерах будет возникать следующая ошибка:

Event Type:     Error
Event Source:   Userenv
Event Category: None
Event ID:       1085
Description:    The Group Policy client-side extension Internet Explorer Zonemapping failed to execute. Please look for any errors reported earlier by that extension. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. (Клиентское расширение групповой политики Internet Explorer Zonemapping не может выполняться. Проверьте ранее выдававшиеся сообщения об ошибках этого расширения.)