| QUOTE (-=Велла=- @ 15.08.2006 - время: 15:55) | ||
Мне кто-нить поможет или нет? |
1. Файлы какого вида?
2. В лоб никак. Можно только проставлять разрешения на определенные папки - Bla-Bla-Bla Policy -> Computer Configuration -> Windows Settings -> File System. Но можно и не в лоб. Можно сделать скрипт, который засунуть в SYSVOL и через GP исполнять в нем на стартапе удаление шары (на всякий случай) и с помощью net share ... создавать опять шару с нужными пермишнами. У нас так пользователи к Domain DFS Root подключаются в насильном режиме. Зато вопросов у них нет - все на диске S.
) И вообще лучше на клиентских компьютерах ничего в открытую не шарить, а делать скрытые и все пихать в DFS. И бардака меньше, и рулить легче.
2. Дело в том, что папка не на шаре. Она локальная.. Это папка куды обновляется Dr.Web, а так как он установлен на С, а на С пользователь фиг может чего записать, акромя рабочего стола и Моих документов. Так вот поэтмоу Web не обновляется.. Приходица приходить и делать ему runas в правами администратора и одновлять. Во как.
А вот еще вопрос... Есть такая штука как обозреватель сети. ТАк вот, почему иногда (было такое два раза) какой-нить комп вдруг заявляет себя обозревателем сети и начинается голосование.. ОДин раз мой сервер его проиграл и никто не мог через сетевое окружение ничего получить. А сегодня один комп вдруг таким образом выпендрился, но голосование видать сервер выиграл, бо из сети вывалился только "проигравший".
Это сообщение отредактировал -=Велла=- - 15-08-2006 - 19:53
| QUOTE (-=Велла=- @ 15.08.2006 - время: 19:51) |
| 1. Файлы .doc. |
Отключи offline files и автоматическое кэширование документов. Word создает скрытый файл с тем же именем, который и не дает открыть на полный доступ.
| QUOTE (-=Велла=- @ 15.08.2006 - время: 19:51) |
| 2. Дело в том, что папка не на шаре. Она локальная.. Это папка куды обновляется Dr.Web, а так как он установлен на С, а на С пользователь фиг может чего записать |
Не "С", а "SystemDrive".
) Как с помощью GP поставить права на отдельные папки я уже сказал. | QUOTE (-=Велла=- @ 15.08.2006 - время: 19:51) |
| но голосование видать сервер выиграл, бо из сети вывалился только "проигравший". |
А у тебя разве не стоит WINS? Тогда мы идем к вам! Какое такое голосование... WINS ставить надо, связывать в единое целое с локальным DNS, а тот форвардить на большие сервера.
Мне так кажется тут тебе спецы понасоветовали херни всякой. Пойду читать.
upd: почитал. офигел. пойду думать.
Это сообщение отредактировал JeyLo - 16-08-2006 - 10:48
Какие большие сервера, если все локально и сервер у меня никуда выхода не имеет...
| QUOTE |
| Основной обозреватель сети получил с сервера извещение, что компьютер ХХХ объявил себя основным обозревателем домена на транспорте NetBT_Tcpip_. Основной обозреватель останавливается или объявляются выборы |
Ну я назвала это голосованием.
SystemDrive, ну ладно.. пусть будет так
А GP посмотрю.Блин... не могу найти WINS.. ох ж мне этот STD Ed, а был до этого SBS Server
- а не могу найти, потому что он не установлен 
Это сообщение отредактировал -=Велла=- - 16-08-2006 - 11:48
| QUOTE (-=Велла=- @ 16.08.2006 - время: 11:16) |
| Драсти, приехали.. WINS стоит... |
Драсти, тетенька! Проходите, чувствуйте себя как дома, мама с папой скоро вернуться. :)
Понятно. Впиши в GP (в той же ветке, где и File System, описанный выше) для клиентских компьютеров значения FALSE ветки HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser\Parameters параметров IsDomainMaster и MaintainServerList. Надеюсь для клиентов у тебя отдельная политика (и Organization Unit)? :))
| QUOTE |
| Надеюсь для клиентов у тебя отдельная политика |
Я тоже на это надеюсь
| QUOTE |
| (и Organization Unit)? |
ДА
| QUOTE (-=Велла=- @ 16.08.2006 - время: 12:31) | ||||
Так-с.. кароч WINS поставила... надо немного с ним разобраться... С групповой политикой пока не особо разобралась...
Я тоже на это надеюсь
ДА |
Для пущей уверенности используй вот эту приблуду. Очень полезна.
С винсом не надо разбираться, он и так работает. Если у тебя multihomed сервер, тогда надо.. А если одна NIC, то не надо. Только DNS'у скажи еще и из WINS'а читать.
Как его закрыть?? фаер Outpost
| QUOTE (-=Велла=- @ 22.08.2006 - время: 10:54) |
| Не пойму откуда вдруг у меня появился протокол GRE.. фаер показывает, что процесс SYSTEM открыл этот порт... насколько я поняла, это протокол для VPN, но у меня нет VPN (!)... Как его закрыть?? фаер Outpost |
1. В смысле порт???
2. RRAS поднят?
3. Отошлите ваш Firewall лесом! "netstat -a -b" все покажет.
| QUOTE (JeyLo @ 22.08.2006 - время: 12:10) |
| 1. В смысле порт??? 2. RRAS поднят? 3. Отошлите ваш Firewall лесом! "netstat -a -b" все покажет. |
1. В прямом... Как запретить использовать протокол и закрыть порт... ?
2. насколько я поняла, это Маршрутизация и удаленный доступ? и это работает только в win2000 или win2003, а у меня winXP.. Доступ в инет НЕ через VPN и никогда не было. Эты фигня появилась вчера оказывается, после перезагрузки компа.
Посмотрела, RRAS и на сервере не включено, мне просто это не нужно.3. эта команда показывает только протоколы IP, IPv6, ICMP, ICMPv6,
TCP, TCPv6, UDP или UDPv6, а протокол GRE - нет...
Это сообщение отредактировал -=Велла=- - 22-08-2006 - 12:50
| QUOTE (-=Велла=- @ 22.08.2006 - время: 12:32) |
| 1. В прямом... Как запретить использовать протокол и закрыть порт... ? 2. что это такое по -русски? 3. эта команда показывает только протоколы IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP или UDPv6, а протокол GNE - нет... |
Понятно. Протокол GRE (Generic Routing Encapsulation) - это не транспортный протокол, а просто механизм инкапсуляции произвольных пакетов в произвольный транспортный протокол. Статистика с помощью netstat демонстрирует открытые порты и их статус на транспортных протоколах. Если номер порта совпадает с одним из известных поименованных портов, то он и пишеться. К примеру LISTENING на порту 80 - с большей вероятностью это будет HTTP. :)) Так что пишет у тебя твой брэндмауер - это загадка.
Единственный, кто может использовать от имени системы GRE, да и то вместе PPTP- это системная служба "Маршрутизация и удаленный доступ" (RRAS или RemoteAccess). :)
Запретить использование протоколов, портов и прочего можно с помощью групповой политики. Computer Configuration -> Windows Settings -> Security Settings -> IP Security Settings on ... .
| QUOTE (JeyLo @ 22.08.2006 - время: 13:03) |
| Запретить использование протоколов, портов и прочего можно с помощью групповой политики. Computer Configuration -> Windows Settings -> Security Settings -> IP Security Settings on ... . |
Да, но там нету протокола GRE
блин... я ничего не понимаю
ужос Это сообщение отредактировал -=Велла=- - 22-08-2006 - 13:17
| QUOTE (JeyLo @ 22.08.2006 - время: 13:03) |
| Единственный, кто может использовать от имени системы GRE, да и то вместе PPTP- это системная служба "Маршрутизация и удаленный доступ" (RRAS или RemoteAccess). :) |
Нет такой службы... Назови точное название
Это сообщение отредактировал -=Велла=- - 22-08-2006 - 13:18
| QUOTE (-=Велла=- @ 22.08.2006 - время: 13:13) |
| Да, но там нету протокола GRE |
GRE - это IP протокол номер 47. 8/
Ты лучше ничего не запрещай, лучше выясни кто инкапсулирует и что и куда отправляет.
| QUOTE (-=Велла=- @ 22.08.2006 - время: 13:18) | ||
Нет такой службы... Назови точное название |
Routing And Remote Access
Маршрутизация и удаленный доступ
| QUOTE (-=Велла=- @ 22.08.2006 - время: 13:25) |
| а как? |
Что тебе говорит firewall дословно? И вообще, кто у тебя подрабатывает firewall'ом?
| QUOTE (JeyLo @ 22.08.2006 - время: 13:26) | ||
Что тебе говорит firewall дословно? И вообще, кто у тебя подрабатывает firewall'ом? |
я ж уже сказала Outpost Firewall подрабатывает...
По его сведениям процесс SYSTEM только лишь по этому протоколу.. Я ж и спаршиваю, КАК в этом фаере перекрыть доступ??? Я знаю, как создать правила по процессам.. но этого процесса нет в списке, бо, если верить Process Explorer , то процесс SYSTEM является корнем дерева процессов, куда входит services, svchost и прочее...
А опция Создать правило на этом процессе неактивна
Это сообщение отредактировал -=Велла=- - 22-08-2006 - 13:32
Но в журнале никогда не было упоминаний о GRE и о соединениях через него..
Это сообщение отредактировал -=Велла=- - 22-08-2006 - 13:41
| QUOTE (-=Велла=- @ 22.08.2006 - время: 13:31) |
| А опция Создать правило на этом процессе неактивна |
На сервере Outpost? Оригинально. Но это так, оффтопик.
System - это вообще-то потоки ядра.
Если процесс (в данном случае твой Outpost) не может определить владельца, то он пишет System.
И что ты там заблокировала?
Параметры rawsocket.. запретить протокол GRE и PPTP соединение...
| QUOTE |
| Если процесс (в данном случае твой Outpost) не может определить владельца, то он пишет System. |
а кто может это сделать?
И почему-то скорость закачки резко упала... Если обычно я качаю с инета со скорость 300-350 Кб/с, то сегодня начинается со 100 и резко падает до 10 кб/с
Не пойму....
Это сообщение отредактировал -=Велла=- - 22-08-2006 - 13:51
| QUOTE (-=Велла=- @ 22.08.2006 - время: 13:46) |
| а кто может это сделать? И почему-то скорость закачки резко упала... Если обычно я качаю с инета со скорость 300-350 Кб/с, то сегодня начинается со 100 и резко падает до 10 кб/с Не пойму.... |
Посторонний процесс получает статистику UDP/TCP через MIB (iphlpapi.dll), а информацию о процессах через PS API (psapi.dll). Брэндмауэры за счет того, что живут в стеке, информацию о соединениях берут у себя, однако информацию о процессе получают таки через PS API. Можно еще через PsSetCreateProcessNotifyRoutine, но через эту @пу никто не ползает. :) Так что остается только PS API, а оно от диавола :) и частенько может в ответ просто послать лесом, права еще никто не отменял, да и структуру ОС тоже.
Смотри чистый канал, а потом ищи проблему.
| QUOTE (JeyLo @ 22.08.2006 - время: 15:05) |
| Смотри чистый канал, а потом ищи проблему. |
Что ты имеешь в виду?
В общем ничего из сказанного тобой я не поняла....
| QUOTE (-=Велла=- @ 22.08.2006 - время: 15:47) | ||
Что ты имеешь в виду? В общем ничего из сказанного тобой я не поняла.... |
Не страшно. Вкратце - все зовут одни и те же системные процедуры.
Чистый - это означает, что необходимо изъять из посредников между тобой и удаленным шлюзом всех, кто не нужен. И на чистом канале (без трансляции, роутинга и прочее, грубо - шлюз-шлюз) пинговать нефрагментированными пакетами разного размера достаточное время. Если даже пингами размером с MTU канал стабилен, то или все у провайдера, или у тебя. Тестируешь провайдера, то есть до одной из площадок (М10, М9) запускаешь ту же процедуру. А дальше поднимая каждый из сервисов найдешь проблему.
Дай я тебя поцАлую!!!!!!
Это действиетльно были службы Диспетчер подключений удаленного доступа и Телефония!!! Откуда только оно поднялось - неизвестно
, но я их из загрузки выключила и все поехало!!! И опять мои 400 Кб/с!!!! 
А вот про последнее - это интересно.. нужно углубить и расширить...
| QUOTE (-=Велла=- @ 22.08.2006 - время: 16:13) |
| что такое MTU? |
В интернете пакетики целиком не передаются, а разбиваются на части. :)Фрагментацией (разбиванием на запчасти) и сборкой занят транспортный протокол IP. Существуют ограничения на максимальный размер единицы передаваемой информации, то есть до какого размера нужно разбивать пакет. Вот этот размер и называют максимальной единицей передачи MTU — Maximum Transfer Unit.
извиняюсь... за офтопик :)Велла как ты со всем этим хозяйством справляешься ??????
Не пойму что за фигня такая.. что я на серваке сделала не то... у всех юзверей на клиентах в логах такое
Тип события: Ошибка
Источник события: Userenv
Категория события: Отсутствует
Код события: 1054
Дата: 23.10.2006
Время: 9:09:29
Пользователь: NT AUTHORITY\SYSTEM
Компьютер: ХХХХ
Описание:
Не удалось получить имя контроллера домена в этой сети. (Указанный домен не существует или к нему невозможно подключиться. ). Обработка групповой политики прекращена.
Причем эта ошибка не каждый день появляется...
О своем компе вообще молчу... Там вообще попа полная, я и к серваку то не всегда доаступ к расшареным папкам имею... Скока по сайту Microsoft лазила, объяснение нашла только одно - потому что у меня две сетевухи смотрят в разные сети.
По-моему это как-то связано с политикой домена. Попробуй зайти в "Администрирование" - "Политика безопасности домена" и открыть ветку "назначение прав пользователей". Далее находишь там политику "Доступ к компьютеру из сети" и смотришь включена она или нет. Если нет, то прописываешь туда админа (т.е. себя), и если надо пользователей. Также смотришь политику "Локальный вход в систему", делаешь то же самое. Про остальные политики не знаю, у меня они отключены, и это проблем не вызывает.Вроде так я делал...
точно не вспомню, т.к. эта ошибка у меня была ~1,5 года назад.
| QUOTE (-=Велла=- @ 25.10.2006 - время: 11:42) |
| Скока по сайту Microsoft лазила, объяснение нашла только одно - потому что у меня две сетевухи смотрят в разные сети. |
Напомни мне, у тебя DNS или WINS подняты?