Windows 2003

Aplicar template de opções de energia (Windows Server 2003 + Windows XP)

Apesar de as opções de energia não terem tido a devida atenção nas Group Policies do Active Directory nas versões do Windows Server 2003, existe uma maneira bem solida de aplicar configurações padrão de energia, por filial, departamento, etc.

1. Efetue logon como administrador em um computador com o Windows XP;

2. Abra as Opções de Energia no Painel de Controle;

3. Configure todas as opções de energia conforme desejado;

4. Abra o prompt de comando e execute a seguinte linha de comando:

%systemroot%\system32\powercfg.exe /EXPORT MEUTEMPLATE /file c:\meutemplate.POW

5. Acesse o diretorio netlogon do domínio e crie uma pasta para os templates, EnergyTemplates, por exemplo;

6. Coloque o arquivo meutemplate.POW e o arquivo powercfg.exe no diretorio EnergyTemplates que foi criado no netlogon;

7. Crie o seguinte arquivo .bat:

\\dominio.local\netlogon\EnergyTemplates\powercfg.exe /IMPORT MEUTEMPLATE /file \\dominio.local\netlogon\EnergyTemplates\meutemplate.POW

\\dominio.local\netlogon\EnergyTemplates\powercfg.exe /SETACTIVE MEUTEMPLATE

8. Crie um GPO, adicione a permissão FULL CONTROL para os usuários do domínio usando a policy “Computer Settings > Security Settings > Registry” para as seguintes chaves do registro:

MACHINE\SOFTWARE\MIcrosoft\Windows\CurrentVersion\Controls Folder\PowerCfg;

HKEY_USERS\.DEFAULT\Control Panel\PowerCfg

8. Insira o arquivo .bat na logon do usuário através do GPO criado.

Você poderá criar templates por departamento, ou por filiais conforme a necessidade, adicionando todos na mesma pasta, e importando nos computadores conforme a localidade.

Smiley piscando

Share

Post to Twitter

Limites do Active Directory

Número máximo de objetos

Cada controlador de domínio em uma floresta AD pode criar um pouco menos de 2,15 bilhões de objetos durante sua vida.
Cada controlador de domínio AD tem um identificador único que é específico a esse controlador de domínio particular. Esses identificadores, que são chamados "Tags Distinguished Name (DNTS), não são replicados ou visível a outros DC. O intervalo de valores para DNTS é de 0 a 2147483393 (2 31 menos 255). Para cada objeto criado no DC, um único valor é usado. A DNT não é reutilizado quando um objeto é comparado, de modo que DC têm a limitação de criação de aprox. 2000 milhões de objetos (incluindo objetos que foram criados através de replicação). Este limite aplica-se à soma de todos os objetos de todas as partições (Domain NC, esquema de configuração, e qualquer outra partição de diretório de aplicativos.
Quando você chegar ao limite de DNT ao nível do banco de dados, ocorre o seguinte erro:
"Erro: Add: Erro de Operações. <1> Erro de servidor: 000020EF: SvcErr: DSID-0208044C,
problema 5012 (DIR_ERROR), os dados -1076 ".

Número máximo de identificadores de segurança

Há um limite de aprox. 1000000000 identificadores de segurança (SIDs) para a vida de um
domínio. Este limite é devido ao tamanho do conjunto de identificação relativa Global (RID) de 30 bits para criar cada SID (esta é atribuída a contas de usuários, computadores e grupos) em um único domínio. O limite atual é de 2 30 ou 1073741824 RIDs.

Participações no grupo de entidades de segurança

Os objetos de segurança (contas de usuário, grupos e computadores) podem ser membros de no máximo 1015 grupos. Esta limitação é devido ao limite de tamanho para o token de acesso que é criado para cada entidade de segurança.

Limitações comprimento – FQDN

O nome de domínio totalmente qualificado (nomes de domínio totalmente qualificado – FQDNs)
no AD não pode exceder 64 caracteres de comprimento, incluindo traços (-) e ponto (.). Por
exemplo, o nome do host que se segue é 65 caracteres, portanto, não válido em AD:
server10.branch-15.southaz.westernregion.northamerica.contoso.com

Limitações comprimento – Unidades Organizacionais

O comprimento máximo do nome para uma unidade organizacional (OU) é de 64 caracteres. Essa limitação impede que um nome de OU passe o limite de 260 caracteres no sistema de arquivos na construção de rotas UNC (Universal Naming Convention) para a Diretiva de Grupo.

Número máximo de aplicação do GPO

Limite de GPO que se aplicam a uma conta de usuário ou computador é de 999. Isso não significa que o número total de GPO no sistema é de 999, isso significa que uma única conta de usuário ou computador não consegue processar mais de 999 GPO. Este limite existe por razões de desempenho.

Número máximo de contas de operações LDAP

Quando você escreve scripts ou aplicações que executam transações LDAP, é aconselhável não mais de 5.000 operações por transação LDAP (como adicionar, modificar e apagar). Se mais de 5.000 operações em uma única transação LDAP, está em risco de ficar sem recursos e da ocorrência de um timeout, se isso acontecer, haverá um retrocesso de toda a operação
(alterações, acréscimos e modificações) de que a transação.

Número máximo recomendado de domínios em uma floresta
Para o Windows Server 2000, o valor recomendado é de 800 domínios.
Para o Windows Server 2003, o valor recomendado quando o nível funcional do Windows Server 2003 é 1200 domínios.

Número máximo de controladores de domínio em um domínio

Devido o FRS (File Replication Service) ser usado para replicar SYSVOL em um domínio Windows Server 2003, é recomendado um limite de 1200 controladores de domínio por domínio para garantir a recuperação constante do SYSVOL.

Mais informações:
Máxima do Active Directory Limites

 

Artigo Original:
http://geeks.ms/blogs/eliasmereb/archive/2008/05/11/limites-m-225-ximos-de-active-directory.aspx

Share

Post to Twitter

Renomeando arquivos com data/hora

Não sei se todos sabem mas executando .bat o prompt não entende o que é a “/” e “:”, por isso vamos usar as variareis abaixo:

%time%
%date%

Sempre vamos pegar a hora e data local do computador que será executado o script.

Nome meu caso a Data aparece da seguinte forma.
Data atual: 10/03/2010

Para visualizar o formato da sua data, entre no prompt e digite “echo %date%” sem as aspas.

Vamos pegar como exemplo o arquivo “Teste.txt” e Renomear para a Data atual, veja o exemplo abaixo.

ren Teste.txt %date:~0,2%%date:~3,2%%date:~6,4%.txt

O arquivo será renomeado para 10032010.txt

%date:~0,2% = Aqui estou falando para o script utilizar 2 caracteres a partir da posição 0
%date:~3,2% = Aqui estou falando para o script utilizar 2 caracteres a partir da posição 3
%date:~6,4% = Aqui estou falando para o script utilizar 4 caracteres a partir da posição 6

A mesma coisa fazemos com a variável %time$, primeiro vamos ver o formato da hora, execute:

echo %time%
15:42:28,24

Vamos pegar como exemplo novamente o arquivo Teste.txt.

Digitem:
Neste caso só quero pegar “15:42″ os demais vou descartar

ren teste.txt %time:~0,2%%time:~3,2%.txt

O arquivo teste será renomeado para o 1542.txt

Agora vamos incrementar, usaremos o arquivo teste.txt novamente e renomearemos com a data e hora.

ren teste.txt %date:~0,2%%date:~3,2%%date:~6,4%%time:~0,2%%time:~3,2%.txt

100320101548.txt

Espero que tenha ajudado o pessoal que tem duvidas em desenvolver script .bat para renomear arquivo no formato de data/hora.

 

Erick Albuquerque | Microsoft MVP
MVP Profile | Twitter| Linkedin | http://iisbrasil.wordpress.com

Share

Post to Twitter

Concedendo permissões para usuário restrito em serviços do Windows

Neste artigo o colunista Erick Albuquerque irá mostrar como definir permissão para um determinado serviço no Windows 2008.

Muitas vezes enfrentamos situações que não queremos deixar o um serviço com a conta de Administrator Local e/ou outros.
Neste artigo vamos falar sobre permissões em serviços do Windows.

Cenário: Usuário Lab, está no grupo Domain Users e no grupo local Remote Desktop Users, para acesso remoto.
O usuário LAB não possui permissão para fazer exatamente nada que esteja fora do seu perfil, como exemplo iremos pegar o Service.Lab, quando o usuário Lab acessa o services.msc e tenta manipular o serviço “Service.Lab” ele nota que não possui permissão nem mesmo para fazer um stop/start no serviço.

Muitos administradores de redes simplesmente acrescentam o usuário no grupo local de Administrators pensando que irão resolver o problema, que na verdade irão, mas podem causar muitos problemas no futuros.

Ex: Vírus, deleção acidental e entre outros.

1. Primeiro passo é descobrir quais permissões o nosso serviço possui, pois na hora de definir as permissões para o usuário teremos que manter a antiga.

2. Iniciar > Executar > cmd > OK

3. Lembrando que é necessário executar o CMD como Administrator.

4. Digite: sc sdshow “nome do serviço”.

A saída do comando será algo parecido com isso:

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Essas são as permissões que o serviço já possui.

Vamos pegar esse trecho “D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)” para entender como funciona a nomenclatura das permissões.

D: – Discretionary ACL (DACL), Controle de permissões.
A:- Allow – Aqui você passa parâmetros que está liberando as permissões de controle e de grupos/usuários.
CCLCSWRPWPDTLOCRRC= São as permissões que está liberado para o usuário trabalhar com o serviço. Ex: stop/start do serviço.

CC – SERVICE_QUERY_CONFIG – ask the SCM for the service’s current configuration
DC – Delete All Child Objects
LC – SERVICE_QUERY_STATUS – ask the SCM for the service’s current status
SW – SERVICE_ENUMERATE_DEPENDENTS – list dependent services
RP – Read all properties
WP – SERVICE_STOP – stop the service
DT – SERVICE_PAUSE_CONTINUE – pause / continue the service
LO – SERVICE_INTERROGATE – ask the service its current status
CR – SERVICE_USER_DEFINED_CONTROL – send a service control defined by the service’s authors
SD – Delete
RC – READ_CONTROL – read the security descriptor on this service.
WD – Modify permissions
WO – Modify owner
BA- Built-in administrators

Abaixo algumas siglas nos quais podemos usar para dar permissão por grupo:

“AO” Account operators
“RU” Alias to allow previous Windows 2000
“AN” Anonymous logon
“AU” Authenticated users
“BA” Built-in administrators
“BG” Built-in guests
“BO” Backup operators
“BU” Built-in users
“CA” Certificate server administrators
“CG” Creator group
“CO” Creator owner
“DA” Domain administrators
“DC” Domain computers
“DD” Domain controllers
“DG” Domain guests
“DU” Domain users
“EA” Enterprise administrators
“ED” Enterprise domain controllers
“WD” Everyone
“PA” Group Policy administrators
“IU” Interactively logged-on user
“LA” Local administrator
“LG” Local guest
“LS” Local service account
“SY” Local system
“NU” Network logon user
“NO” Network configuration operators
“NS” Network service account
“PO” Printer operators
“PS” Personal self
“PU” Power users
“RS” RAS servers group
“RD” Terminal server users
“RE” Replicator
“RC” Restricted code
“SA” Schema administrators
“SO” Server operators
“SU” Service logon user

Lembrando que podemos ser mais restritivo e dar a permissão por SID do usuário.

Para pegar o SID de um usuário use o comando dsget em seu Active Directory:
Exp: dsget user “CN=Lab,OU=Users,DC=lab,DC=local” –sid

5. Agora vamos setar a permissão apenas para o usuário Lab

Sintaxe: sc sdget “nome do serviço” <permissões>
Sc sdget “Service.Lab” D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

Notem que estamos mantendo as permissões antigas e agora iremos dar a permissão para o usuário Lab.

Sc sdget “Service.Lab” D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCR
RC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD) (A;;CCLCSWRPWPDTLOCRRC;;; S-1-5-21-1607579371-585640051-1745129182-1147)

Executado com sucesso.
Agora peça para o usuário entrar no servidor e tentar manipular o serviço.

Lembrando que este procedimento serve para outros serviços do Windows.

Até a próxima.

Conclusão

Neste artigo aprendemos a dar permissões para serviços do Windows sendo que o usuário não possui nenhum outro tipo de permissão que não seja Domain Users.

Post original: http://erickalbuquerque.com.br/?p=211

Erick Albuquerque | Microsoft MVP
MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com

 

Share

Post to Twitter

Configurando mais de um endereço de IP a uma conexão de rede.

Introdução

Pode surgir a necessidade de se ter mais de um endereço de IP configurado em uma única conexão de rede. Um dos motivos para se ter vários endereços de IP em uma única placa de rede é no caso de um firewall, você possui um range de IP validos e precisa configurar todos eles em uma única conexão de rede.

 

Objetivo

O objetivo deste tutorial é mostrar como se configura vários endereços de IP em uma única conexão de rede.

 

Como fazer

O primeiro passo é acessar as propriedades da conexão de rede e nessa tela você deve selecionar a opção “Protocolo TCP/IP Versão 4 (TCP/IPv4)” e clicar em “Propriedades”.

image

Você só terá a opção de atribuir mais de um endereço de IP a uma conexão de rede caso essa conexão esteja configurada com IP fixo. Na tela das propriedade do “Protocolo TCP/IP Versão 4 (TCP/IPv4)” e clicar em “Avançado…”

image

Nas configurações avançadas você tem na seção “Endereços IP” nessa seção você tem o botão “Adicionar…” clique nele para adicionar um novo endereço de IP.

image

Na tela “Endereço TCP/IP” você deve informar o endereço IP e Máscara de sub-rede a ser adicionado. Após fornecer as informações clique em “Adicionar”.

image

Você já poderá ver o novo endereço de IP adicionado a essa conexão de rede.

image

Nas configurações avançadas de TCP/IP você pode adicionar também Gateways e servidores DNS para a conexão de rede.

Share

Post to Twitter

Erro de Active Desktop

É muito comum ocorrer erro de Active Desktop quando você aplica política de papel de parede por GPO e o usuário acaba desligando o computador incorretamente. Para resolver o problema alguns até mesmo chegam a recriar o perfil do usuário. Segue um script que corrige esse problema. Você deve salva-lo em .vbs e executá-lo na estação de trabalho com problema. O script deve ser executado apenas uma vez, caso o problema ocorrer novamente, você deve executá-lo novamente.


‘***************************************************************************
‘ WMI Script – ActiveDesktop.vbs

‘ Corrige error en el active desktop

‘***************************************************************************
Rem Definiciones
Dim objShell, RegLocate, RegLocate1
Const EWX_LOGOFF   = 0
Rem Librerias
Set objShell = WScript.CreateObject("WScript.Shell")
Set objShell = CreateObject("Wscript.Shell")
On Error Resume Next
Rem Cambia el valor del DWORD (Clave del registro)
RegLocate = "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\SafeMode\Components\DeskHtmlVersion"
objShell.RegWrite RegLocate,"0","REG_DWORD"
Rem Advierte del deslogeo
intReturn = objShell.Popup("Se va a cerrar la sesion para guardar los cambios, presione aceptar", _
    20, "Auto LogOff", wshYesNoDialog + wshQuestionMark)
If intReturn = wshYes Then
For Each objPC In GetObject("winmgmts:{(shutdown)}").ExecQuery("Select * from Win32_OperatingSystem")
    objPC.Win32Shutdown LOGOFF + FORCE
Next
ElseIf intReturn = wshNo Then
    wscript.Quit
Else
Rem Si no responde se forza el deslogeo   
For Each objPC In GetObject("winmgmts:{(shutdown)}").ExecQuery("Select * from Win32_OperatingSystem")
    objPC.Win32Shutdown LOGOFF + FORCE
Next
End If
WScript.Quit


Share

Post to Twitter

Configurando mais de um endereço de IP a uma conexão de rede.

Introdução

Pode surgir a necessidade de se ter mais de um endereço de IP configurado em uma única conexão de rede. Um dos motivos para se ter vários endereços de IP em uma única placa de rede é no caso de um firewall, você possui um range de IP validos e precisa configurar todos eles em uma única conexão de rede.

 

Objetivo

O objetivo deste tutorial é mostrar como se configura vários endereços de IP em uma única conexão de rede.

 

Como fazer

O primeiro passo é acessar as propriedades da conexão de rede e nessa tela você deve selecionar a opção “Protocolo TCP/IP Versão 4 (TCP/IPv4)” e clicar em “Propriedades”.

image

Você só terá a opção de atribuir mais de um endereço de IP a uma conexão de rede caso essa conexão esteja configurada com IP fixo. Na tela das propriedade do “Protocolo TCP/IP Versão 4 (TCP/IPv4)” e clicar em “Avançado…”

image

Nas configurações avançadas você tem na seção “Endereços IP” nessa seção você tem o botão “Adicionar…” clique nele para adicionar um novo endereço de IP.

image

Na tela “Endereço TCP/IP” você deve informar o endereço IP e Máscara de sub-rede a ser adicionado. Após fornecer as informações clique em “Adicionar”.

image

Você já poderá ver o novo endereço de IP adicionado a essa conexão de rede.

image

Nas configurações avançadas de TCP/IP você pode adicionar também Gateways e servidores DNS para a conexão de rede.

Share

Post to Twitter

Transferindo FSMO de um servidor que não existe mais para um novo

Introdução

Podem surgir a necessidade de mover as FSMOs que pertence a um DC. O processo de mover as FSMOs de um domínio pode ser feito de forma gráfica. Porem em alguns casos é preciso mover as FSMOs que estão em um DC que não pode mais ser iniciado por algum motivo. Nesse caso surge a necessidade de seqüestrar as FSMOs, esse processo deve ser feito utilizando a ferramenta de linha de comando NTDSUTIL.

Importante: Após seqüestrar as FSMOs de um DC ele não pode mais ser adicionado a rede caso ele contenha as seguintes funções: Mestre de esquemas, nomeação de domínios ou RID. Caso você retorne a rede o DC de qual foi seqüestrado essas funções, você poderá ter problemas.

 

Objetivo

O objetivo desse artigo é mostrar como utilizar o comando ntdsutil para mover as FSMO de um DC para outro.

Como fazer

O procedimento é:


Iniciar – Executar – cmd

ntdsutil

roles

connections

connect to server servidor.domínio.local (Servidor que assumira as funções)

quit

seize PDC

seize RID master

seize infrastructure master

seize schema master

seize domain naming master


Agora é só configurar o novo servidor como Global Catalog e está pronto ele é o novo portador das FSMO.

Share

Post to Twitter

Utilizando a ferramenta Klist para deletar tickets Kerberos que estão em cache

Como já sabemos, o protocolo Kerberos é o principal protocolo de autenticação utilizado em domínios do AD, algumas vezes podemos encontrar problemas relacionados com os tickets Kerberos distribuídos na rede.

A Microsoft disponibiliza uma ferramenta de linha de comando chamada “Klist.exe” que faz parte do resource kit do Windows Server. Utilizamos essa ferramenta principalmente para deletar tickets Kerberos que estão em cache e suspeitamos de problemas com esse ticket.

Para utilizar essa ferramenta precisamos primeiro fazer o download do resource kit do Windows Server, e instalar no Servidor. Após ter instalado o resource kit, vá em iniciar > todos os programas > Windows Resources Kit Tools > selecione command shell, isso irá abrir o prompt de command.

Agora basta digitar > klist purge, ele irá mostrar quantos tickets estão em cache, para deletar digite “y” para cada ticket.

Use esse comando com cautela, pois após deletar um ticket a máquina pode não conseguir se autenticar para os recursos, se isso acontecer faça um logoff e logon.

[]´s

Diogo Molina

Share

Post to Twitter

Migração DHCP Windows 2003 para 2008 R2

Segue um processo que documentei de uma migração de DHCP de um Windows Server 2003 Enterprise x86 para Windows Server 2008 Enterprise R2. O processo que fiz foi importando/exportando pelo NETSH, que é o processo recomendado pelo time de suporte à DHCP da Microsoft, veja links de referência no final do artigo.

Acho que vai ajudar quem está precisando de um guia para executar esse serviço.

Introcução

Documentação do processo que fiz recentemente de migração do serviço DHCP do Windows 2003 para 2008 R2. As imagens do ambiente do cliente foram preservadas.

Solução

PARTE I

Servidor de Origem – Windows 2003

  1. Faça o backup do escopo DHCP na console DHCP e por segurança salve em algum diretório separado como cópia de segurança.
  2. Exportar o arquivo de configuração do DHCP para disco por NETSH.No prompt do servidor de origem (Windows 2003) digitar:

    netsh <enter>
    dhcp <enter>
    server <enter>
    export c:\dhcp.txt 192.168.112.0 (ou ALL caso tenha mais de um scopo) <enter>

  3. Parar o serviço DHCP Server e deixar como Disabled.
  4. Copiar o arquivo exportado para o C: (ou algum diretório da rede que possa ser acessado pelo 2008 depois) do servidor de destino.

PARTE II

Servidor de Destino – Windows 2008 R2

  1. Instale a feature DHCP server via powershell (fiz pelo powershell, mas pode ser pelo server manager).No powershell digite: Add-WindowsFeature DHCP

  2. Verificar se a feature foi instalada. Para isso importe o modulo ServerManager para o powershell.No powershell digite: Import-Module ServerManager

    Depois digite: Get-WindowsFeature
    Veja que está habilitada na lista [X]

  3. Suba o serviço DHCP Server em Services.msc
  4. Importe os dados exportados no 2003 pelo NETSHnetsh <enter>
    dhcp <enter>
    server <enter>
    import c:\dhcp.txt <enter>

    IMPORT

  5. Autorize o novo servidor DHCP.
  6. Na figura abaixo já havia sido autorizado.
    Caso contrário ao invés de Unauthorize iria aparecer Authoriza 

  7. Verifique se a importação foi feita com sucesso acessando o scopo
  8. Verifique o Address Pool
  9. Verifique as reservas
  10. Verifique o Scope Options
  11. Verifique as concessões

Validação

Teste as estações de trabalho e verifique se o novo servidor aparece quando digitado IPCONFIG /ALL.

Links de referência

[]s
Tiago Souza

Share

Post to Twitter