On-Line Библиотека www.XServer.ru - учебники, книги, статьи, документация, нормативная литература.
       Главная         В избранное         Контакты        Карта сайта   
    Навигация XServer.ru






 

Регистрация Windows 2000 в домене Windows NT 4.0

Паула Шерик

Чтобы зарегистрировать системы Windows 2000 в домене Windows NT, необходимо произвести ряд установок и настроек. Прежде всего, в утилите Server Manager Windows NT Server требуется создать учетные записи для каждой устанавливаемой системы Windows 2000. Это можно сделать либо до установки Windows 2000, либо во время нее, но только при регистрации по учетной записи администратора домена. В параметрах сети Windows 2000 нужно правильно указать серверы DNS и WINS, иначе устанавливаемая система не сможет найти контроллер домена. При установке отдельных серверов Windows 2000 в домене Windows NT следует проверить суффикс домена DNS (по умолчанию это поле в начале установки не определено). Кроме того, если планируется регистрация клиентов не только в Windows NT, но и в домене Windows 2000, необходимо выбрать возможность смены суффикса системой Windows 2000 при изменениях имени домена. Наконец, чтобы не перегружать журнал системных событий, можно запретить динамическое обновление DNS в Windows 2000.

Ошибки при регистрации Windows 2000 могут возникать в случае удаления службы клиента сетей Microsoft или при использовании в сети сервера DNS независимых производителей. К тому же может оказаться недоступен резервный контроллер домена Windows NT, если настройки TCP/IP заданы неверно или не полностью. Симптомы в обоих случаях одинаковые:

 Windows 2000 выдает сообщение "The specified domain either does not exist or could not be contacted" ("Указанный домен отсутствует или с ним нет связи").

 Команда ping по IP-адресу проходит, а с указанием имени контроллера домена - нет.

 Команда net view \\<имя контроллера домена>, выдает сообщение об ошибке "System error 53 has occurred. The network path was not found" (Ошибка 53 - сетевой путь не найден).

Проблемы регистрации могут возникнуть и тогда, когда на любом из контроллеров домена Windows NT применяется протокол совместного использования файлов Internet (Common Internet File Sharing, CIFS) для доступа к файлам удаленных пользователей по протоколу SMB. В этом случае при вводе пользователем Windows 2000 неверного пароля вместо предложения ввести правильный пароль будет выдано сообщение "Network name is no longer available" ("Сетевое имя более недоступно"). Для решения этой проблемы можно или приказать пользователям не ошибаться, или запретить подписи SMB на контроллерах домена Windows NT. Но лучше всего обратиться в службу поддержки Microsoft и заказать обновленную версию редиректора сети для Windows NT.

Управление профилями пользователей в Windows 2000 и NT

Управление профилями предполагает множество вариантов, так что написанное здесь не следует воспринимать как догму. Тем не менее, основные понятия из области профилей и системной политики нужно знать. Во-первых, Windows NT кэширует локальные профили пользователей в папке Profiles корневого каталога системы. При модернизации Windows NT до Windows 2000 они остаются на прежнем месте. Однако при новой установке профили размещаются в соответствующих именам папках в каталоге Documents and Settings на системном загрузочном диске.

Во-вторых, Windows 2000 и NT по-разному работают с дубликатами профилей. Windows NT добавляет цифровые суффиксы, начинающиеся с .000, для каждого повторяющегося профиля. При регистрации пользователя с именем, для которого уже создан профиль, этот суффикс увеличивается на единицу. При регистрации второго пользователя в Windows 2000 профилю присваивается суффикс, представляющий собой или имя домена, или название локального компьютера пользователя. Если и в этом случае возникает конфликт, то Windows 2000 добавляет цифровой суффикс начиная с .000, как это делает Windows NT.

При удалении локальных кэшированных копий профиля следует быть более осторожным, чем в случае с Windows NT, где удалялись только настройки реестра для компьютера и рабочего стола пользователя. Если существуют копии профилей в Windows 2000, то при удалении профиля следует обращать особое внимание на домен пользователя. К тому же следует убедиться, что при этом соответствующая папка удаляется из папки Documents and Settings, где находятся все файлы, подпапки и ярлыки рабочего стола пользователя, входящие в профиль.

В Windows NT можно поменять место размещения локальных копий пользовательских профилей с помощью редактирования реестра. Windows 2000 позволяет сделать это еще на этапе автоматической установки системы, т.е. при запуске программы установки командой winnt /unattend или winnt32.exe /unattend. В этом случае информация о настройках Windows 2000 берется из файла unattend.txt, в котором можно изменить местонахождение папки Documents and Settings например, так:


[GuiUNattended]ProfilesDir = z:\ДругаяПапка

В том случае, если пользователь зарегистрировался одновременно в Windows NT и в Windows 2000, каждая из систем выполняет обновление профиля. Windows NT обновляет мобильные профили в том случае, если пользователь изменил права доступа к каталогу со своим профилем. В Windows 2000 сам пользователь ничего не сможет поменять до тех пор, пока ему не будет разрешен полный доступ к папке в каталоге Profile.

Проблемы совместного доступа

По умолчанию Windows 2000 присваивает одинаковые права доступа ко всем дисковым томам, а именно полный доступ для всех (Full Control для группы Everyone). При этом любая новая папка наследует тот же полный доступ. Точно так же для создаваемых сетевых ресурсов по умолчанию устанавливается полный доступ. Для обеспечения хотя бы минимального уровня безопасности следует надлежащим образом установить права доступа NTFS к открытым для совместного доступа папкам. При создании совместного файлового ресурса вне зависимости от того, какие именно данные предполагается в нем размещать, следует воспользоваться командой Permission и назначить соответствующие конкретному случаю права доступа. Таким образом можно закрыть явную брешь в системе безопасности. Эту же процедуру следует применять ко всем сетевым ресурсам.

Есть еще одна замечательная ошибка Windows NT, которая может помешать пользователю подключиться к совместному ресурсу Windows 2000. Если в Windows NT политика учетной записи запрещает вход в систему в определенные часы, и при этом установлена настройка "forcibly disconnect users when logon hours expire" ("принудительно отключать пользователей в запрещенное для работы время"), пользователь вообще никогда не получит доступ к ресурсам Windows 2000. Это недоразумение описано в статье Q263006 Microsoft, где приводится также способ решения данной проблемы.

Паула Шерик - редактор Windows 2000 Magazine и консультант по вопросам планирования, реализации и взаимодействия сетей.


Литература по Windows 2000