Реєстрація Windows 2000 в домені Windows NT 4.0, Windows, Операційні системи, статті

Паула Шерік, Професіоналам Windows NT/2000

Щоб зареєструвати системи Windows 2000 в домені Windows NT, необхідно зробити ряд установок і настройок. Перш за все, в утиліті Server Manager Windows NT Server потрібно створити облікові записи для кожної встановлюваної системи Windows 2000. Це можна зробити або до установки Windows 2000, або під час неї, але тільки при реєстрації за обліковим записом адміністратора домену. В параметрах мережі Windows 2000 потрібно правильно вказати сервери DNS і WINS, інакше встановлювана система не зможе знайти контролер домену. При установці окремих серверів Windows 2000 в домені Windows NT слід перевірити суфікс домену DNS (за замовчуванням це поле на початку установки не визначено). Крім того, якщо планується реєстрація клієнтів не тільки в Windows NT, а й в домені Windows 2000, необхідно вибрати можливість зміни суфікса системою Windows 2000 при змінах імені домена. Нарешті, щоб не перевантажувати журнал системних подій, можна заборонити динамічне оновлення DNS в Windows 2000.

Помилки при реєстрації Windows 2000 можуть виникати в разі видалення служби клієнта мереж Microsoft або при використанні в мережі сервера DNS незалежних виробників. До того ж може виявитися недоступним резервний контролер домену Windows NT, якщо настройки TCP / IP задані невірно або не повністю. Симптоми в обох випадках однакові:

 Windows 2000 видає повідомлення “The specified domain either does not exist or could not be contacted” (“Зазначений домен відсутній або з ним немає зв’язку”).

 Команда ping по IP-адресою проходить, а з зазначенням імені контролера домену – ні.

 Команда net view \ \<Ім'я контролера домену>, Видає повідомлення про помилку “System error 53 has occurred. The network path was not found” (Помилка 53 – мережевий шлях не знайдено).

Проблеми реєстрації можуть виникнути і тоді, коли на будь-якому з контролерів домену Windows NT застосовується протокол спільного використання файлів Internet (Common Internet File Sharing, CIFS) для доступу до файлів віддалених користувачів по протоколу SMB. В цьому випадку при введенні користувачем Windows 2000 невірного пароля замість пропозиції ввести правильний пароль буде видано повідомлення “Network name is no longer available “(” Мережеве ім’я більш недоступно “). Для вирішення цієї проблеми можна або наказати користувачам не помилятися, або заборонити підпису SMB на контролерах домену Windows NT. Але найкраще звернутися в службу підтримки Microsoft і замовити оновлену версію редиректора мережі для Windows NT.

Управління профілями користувачів в Windows 2000 і NT

Управління профілями припускає безліч варіантів, так що написане тут не слід сприймати як догму. Тим не менш, основні поняття з області профілів і системної політики потрібно знати. По-перше, Windows NT кешує локальні профілі користувачів в папці Profiles кореневого каталогу системи. При модернізації Windows NT до Windows 2000 вони залишаються на колишньому місці. Однак при новій установці профілі розміщуються у відповідних іменам папках в каталозі Documents and Settings на системному завантажувальному диску.

По-друге, Windows 2000 і NT по-різному працюють з дублікатами профілів. Windows NT додає цифрові суфікси, що починаються з .000, для кожного повторюваного профілю. При реєстрації користувача з ім’ям, для якого вже створено профіль, цей суфікс збільшується на одиницю. При реєстрації другої користувача в Windows 2000 профілем присвоюється суфікс, що представляє собою або ім’я домену, або назву локального комп’ютера користувача. Якщо і в цьому випадку виникає конфлікт, то Windows 2000 додає цифровий суфікс починаючи з .000, як це робить Windows NT.

При видаленні локальних кешованих копій профілю слід бути більш обережним, ніж у випадку з Windows NT, де віддалялися тільки настройки реєстру для комп’ютера і робочого столу користувача. Якщо існують копії профілів в Windows 2000, то при видаленні профілю слід звертати особливу увагу на домен користувача. До того ж слід переконатися, що при цьому відповідна папка видаляється з папки Documents and Settings, де знаходяться всі файли, підпапки і ярлики робочого столу користувача, що входять в профіль.

У Windows NT можна поміняти місце розміщення локальних копій профілів за допомогою редагування реєстру. Windows 2000 дозволяє зробити це ще на етапі автоматичної установки системи, тобто при запуску програми установки командою winnt / unattend або winnt32.exe / unattend. У цьому випадку інформація про налаштування Windows 2000 береться з файлу unattend.txt, в якому можна змінити місцезнаходження папки Documents and Settings наприклад, так:


[GuiUNattended] ProfilesDir = z: \ ДругаяПапка


У статті Q236621 бази знань Microsoft описуються два додаткові дії, необхідних для переміщення будь-якого профілю або каталогу з Documents and Settings цілком.

У тому випадку, якщо користувач зареєструвався одночасно в Windows NT і в Windows 2000, кожна з систем виконує оновлення профілю. Windows NT оновлює мобільні профілі в тому випадку, якщо користувач змінив права доступу до каталогу зі своїм профілем. У Windows 2000 сам користувач нічого не зможе змінити до тих пір, поки йому не буде дозволено повний доступ до папки в каталозі Profile.

Проблеми спільного доступу

За замовчуванням Windows 2000 присвоює однакові права доступу до всіх дисковим томів, а саме повний доступ для всіх (Full Control для групи Everyone). При цьому будь-яка нова папка успадковує той же повний доступ. Точно так же для створюваних мережевих ресурсів за замовчуванням встановлюється повний доступ. Для забезпечення хоча б мінімального рівня безпеки слід належним чином встановити права доступу NTFS до відкритих для спільного доступу папок. При створенні спільного файлового ресурсу незалежно від того, які саме дані передбачається в ньому розміщувати, слід скористатися командою Permission і призначити відповідні конкретного випадку права доступу. Таким чином можна закрити явну пролом в системі безпеки. Цю ж процедуру слід застосовувати до всіх мережевих ресурсів.

Є ще одна чудова помилка Windows NT, яка може перешкодити користувачеві підключитися до спільного ресурсу Windows 2000. Якщо в Windows NT політика облікового запису забороняє вхід в систему в певні годинник, і при цьому встановлена ​​настройка “forcibly disconnect users when logon hours expire” (“примусово відключати користувачів у заборонений для роботи час”), користувач взагалі ніколи не отримає доступ до ресурсів Windows 2000. Це непорозуміння описано в статті Q263006 Microsoft, де наводиться також спосіб вирішення даної проблеми.

Паула Шерік – Редактор Windows 2000 Magazine і консультант з питань планування, реалізації та взаємодії мереж. Її адреса: paula@win2000mag.com.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*