Редакция Windows 2000 Magazine/RE приглашает всех желающих принять участие в диалоге. Пишите по адресу: letters@win2000mag.ru.

От: michael_kupchuk@mail.ru

В последних двух номерах журнала авторы постоянно предупреждают читателей о том, что при установке Windows 2000 совместно с Windows NT 4.0 первая модифицирует NTFS4 в NTFS5, и чтение этого раздела из NT 4.0 без SP4 или выше будет невозможно. Причем утверждается, что обратную конвертацию осуществить нельзя. Но вернуть раздел в прежнее состояние можно. Для этого необходимо проделать следующее.

1. Загрузившись в любой операционной системе, нужно открыть раздел для редактирования утилитами типа DskProbe (NT 4.0), DiskEditor из Norton Utilities for DOS/Win или подобной.

2. С помощью программы поиска (или вручную) найти строчку «$Volume» (без кавычек). Эта строка на диске записана в UNICODE, значит, редактор должен поддерживать поиск строки в UNICODE либо поиск по шестнадцатеричным кодам (напомню, что строка UNICODE на английском языке имеет нулевой байт после каждого символа). Номер сектора, в котором будет найдена данная строка, может варьироваться в зависимости от размера раздела и т.д. Теперь мы оказались в служебном файле $Volume, который отвечает за некоторые атрибуты раздела (тома), в том числе за версию NTFS.

3. Ближе к концу сектора находится метка тома, которую задавали при форматировании. Она тоже хранится в UNICODE. Либо сразу после метки тома, либо через несколько байт находится символ «p» (0x70), а ровно через 32 байт от него (точнее, начиная с 32-го байта) мы и найдем то, что ищем, а именно версию NTFS. Судя по всему, NT записывает номер версии не как WORD, а как два различных BYTE (так называемые major ver. number и minor ver. number), поэтому версия хранится на диске в «прямом» виде. Для NTFS5 эти два байта - 03 00, а для NTFS4 - это 01 02. Далее исправляем версию с 03 00 на 01 02 и запускаем chkdsk из состава Windows NT 4.0.

4. Теперь можно загрузиться в NT 4.0 (даже без SP4) и запустить chkdsk (если он не запустится сам при загрузке), который удалит дополнительные атрибуты NTFS5, добавленные Windows 2000, и приведет диск в состояние, полностью пригодное для использования NT 4.0: раздел теперь опять будет в формате NTFS4.

От: denis999@mail.ru

Я работаю по совместительству системным администратором в небольшом НПП (20 компьютеров). Хотелось бы высказаться по поводу статьи в последнем номере - «Что собой представляют динамические диски», а также по поводу организации мультисистемной загрузки (эта тема в той или иной форме «кочует» из номера в номер). Мой дипломный проект включает в себя ISAPI-модуль, и мне приходится его тестировать в различных вариациях Windows + WebServer (Win95-PWS, Win98-PWS, NT4 Workstation - IIS, NT4 Server - Apache, Win2000 IIS). Помимо этого, я использую FreeBSD, Linux и еще одну Windows 2000 для работы в Internet. Все это хозяйство прекрасно «живет» на HDD 10.2 Гбайт. Каждая система ставится на предварительно созданную для нее Primary partition (у меня на винчестере их девять), поэтому, в принципе, никаких конфликтов при установке возникнуть не может. При загрузке к базовой Ptimary partition можно присовокупить (и использовать) любые три из имеющихся на винчестере (соответственно, получается четыре диска - C, D, E, F и G (CD-ROM)), неважно, стоят там другие ОС или нет. Таким образом, используемая в данный момент ОС всегда стоит на диске С, и из нее достижимы три диска с любыми другими системами (если, конечно, ОС может читать их файловые системы). С помощью таких утилит, как PartitionMagic, можно без проблем (потери данных) двигать, увеличивать, уменьшать в размере разделы с файловыми системами FAT, FAT32, NTFS, выкраивать место для новых разделов (или удалять ненужные). В качестве мультизагрузчика, собирающего в MBR нужные разделы в определенном порядке (собираются динамически при загрузке), я с успехом использую SyMon 2.0 (http://www. symon.da.ru). Extended Partition не использую в связи с их непрактичностью: испортив суперблок (сплошь и рядом), теряем логические диски, а основной раздел почти всегда удается восстановить. Таким образом, эксплуатирую систему более года, и за это время ни разу не возникало каких-либо проблем с переустановкой/добавлением/удалением ОС (даже при полной перезаписи MBR вирусами или загрузчиком любой ОС Microsoft). Из-за особенности SyMon все данные о разделах (а значит, и они сами) сохраняются, к тому же не надо ломать голову над тем, как «прикрутить» LILO к NTLDR или BootEasy.

Читателям отвечает эксперт

АЛЕКСЕЙ ГОРБУНОВ

MCT, MCSE+I, инструктор учебного центра «Академия народного хозяйства». С ним можно связаться по адресу: gav@ane.ru.

Вопрос: В нашей организации работает сеть на базе Windows NT Server 4.0. Клиенты - Windows 9x. Конфигурация сети такова, что в одном физическом сегменте расположены две логические подсети IP (172.30.5.0 с маской 255.255.255.0 и 172.30.55.0 с маской 255.255.255.128). В сети используется динамическая IP-адресация. Можно ли стандартными средствами NT Server конфигурировать одну часть рабочих станций из одного диапазона адресов, а другую, вполне конкретную часть рабочих станций, из другого?

Грубо говоря, я хочу, чтобы, допустим, пользователи, которые находятся на первом и втором этажах здания, получали адреса из одного диапазона, а те, что находятся на третьем и четвертом, - из другого. Конечно, это просто пример, но смысл именно такой.

Я пробовала включить две отдельные области в состав одной суперобласти DHCP. В этом случае адреса раздаются сначала из одной области (до тех пор, пока она не будет исчерпана), затем из второй.

Румянцева Марина, rummk@mail.ru.

Ответ: Ваша задача может быть решена только резервированием IP-адресов за конкретными клиентами.

В службах DHCP (и NT 4.0 + SP2 и Windows 2000) существует возможность создания нескольких логических IP-сетей на одном физическом сегменте. Для этого необходимо объединить в одну суперобласть (superscope) несколько созданных ранее областей (scopes). Однако регулировать, какие именно

IP-адреса и из какой IP-сети будут получать клиенты DHCP, можно, лишь закрепив IP-адрес из области за конкретной сетевой картой. Для резервирования Вам необходимо узнать адреса сетевых карт (MAC-адреса) всех клиентских машин. Для Windows NT 4.0/2000 это может быть утилита командной строки IPCONFIG, запущенная с ключом /ALL; для Windows 95/98 это может быть графическая утилита WINIPCFG. Указанные утилиты необходимо запустить на клиентских машинах (см. Экран 1).

Экран 1. Поле Physical Address показывает MAC-адрес сетевой карты.

Для сбора информации о MAC-адресах в крупной сети можно воспользоваться Microsoft Visio 2000.

После получения информации о MAC-адресах необходимо выполнить резервирование IP-адресов в DHCP Manager (см. Экран 2). MAC-адреса нужно вводить без дефисов.

Экран 2. Резервирование IP-адресов в DHCP консоле ОС Windows 2000.

При выдаче IP-адресов в сегментах, в которых не установлен DHCP-сервер, не забывайте настраивать агентов, пересылающих широковещательные запросы на получение IP-адреса от DHCP-клиентов на DHCP-сервер. Это можно сделать, настроив BOOTP Relay Agent на маршрутизаторах или DHCP Relay Agent на серверах с ОС Windows NT 4.0/2000.

Вопрос: У меня на работе есть домен на Windows 2000 в mixed mode, и я хочу дать пользователю AdvUser только права на изменение паролей всех пользователей домена. Я понимаю, что это делается через делегирование полномочий. Все пользователи находятся в разных OU. Я создаю новую OU, перемещаю туда пользователя AdvUser (он принадлежит только к группе Domain Users) и делегирую данной OU права на изменение паролей группы Domain Users. Но когда я вхожу под учетной записью этого пользователя, я не могу ничего изменить. Где я ошибаюсь?

Dmitriy.

Ответ: Ошибка заключается в том, что при решении задачи были перепутаны понятия «участник системы безопасности» (Security Principal) и «ресурс». Ресурс - это то, НА ЧТО дают права доступа (permissions). Можно настроить права доступа к файлам, принтерам, объектам, хранящимся в Active Directory и т. д. Участник системы безопасности - тот, КОМУ дают разрешения. В Windows NT/2000 существуют только три участника системы безопасности - пользователи, группы и компьютеры. Например, группе можно дать права на доступ к принтеру. Organization Unit (OU) НЕ является участником системы безопасности. Нельзя дать право OU на доступ к чему-либо. Не путайте OU и группы! OU, так же как и папки на дисках, предназначены просто для структурирования объектов.

В Вашем решении получается, что участником системы безопасности (КОМУ) является группа Domain Users, которой дано право изменять пароль на ресурс (НА ЧТО) - ту самую OU, в которой находится пользователь AdvUser.

Итог получается парадоксальный - любой пользователь теперь вправе изменить пароль у AdvUser, а сам AdvUser сможет только просматривать информацию о других пользователях.

Правильная последовательность действий выглядит так.

Поскольку пользователи домена находятся в разных OU, делегировать полномочия нужно на уровне домена, а не отдельных OU.

1. В утилите Active Directory Users and Computers в меню View следует включить пункт Advanced Features, для того чтобы в свойствах объектов была доступна вкладка Security.

2. В контекстном меню домена (именно домена!) выбрать пункт Properties и открыть вкладку Security. На вкладке Security выбрать кнопку Advanced. Далее на вкладке Permissions нажать кнопку Add… и добавить пользователя AdvUser, после чего в поле Apply onto указать, что разрешение будет применяться только к User Objects и уже в списке Permissions дать право Reset Password (см. Экран 3).

Экран 3. Использование Active Directory Users and Computers для делегирования прав.

В результате этих действий AdvUser, как участник системы безопасности, получает определенные права на учетные записи других пользователей, которые в данном случае являются ресурсами.

Мастером Delegate Control Wizard в данном случае пользоваться не очень удобно, так как в нем при настройке разрешений на уровне домена не выводится право Reset Passwords on User Accounts.

Еще раз обращаю внимание: фраза «делегирую этой OU права ...» в корне неверна. Делегировать права можно только пользователю или группе. Например, на OU.

Кроме того, mixed mode, в котором работает домен, никакого отношения к описанной проблеме не имеет. Mixed mode служит для обеспечения возможности совместного существования в одном домене контроллеров домена Windows 2000 и NT 4.0. Этот режим просто ограничивает Active Directory при создании новых типов объектов, которые нельзя реплицировать на BDC, работающие под Windows NT Server.

Вопрос: Подскажите, возможен ли вариант миграции с Windows NT Server 4.0 на Windows 2000 Professional?

Евгений Дюбург, yed@novo.dk.

Ответ: Если в вопросе под словом «миграция» имеется в виду upgrade, то корректного способа подобной миграции не существует. Дело в том, что на NT Server могут быть установлены программные продукты, которые не будут работать на Windows 2000 Professional, например Internet Information Server.

Если же под «миграцией» подразумевается перенос учетных записей пользователей из базы SAM компьютера с Windows NT Server в базу SAM компьютера с Windows 2000 Professional, то возможен перенос пользователей без сохранения их Security ID (т. е. после переноса пользователям нужно будет заново настроить разрешения на доступ к ресурсам).

Последовательность действий в этом случае следующая.

Необходимо найти утилиту addusers.exe из Windows NT 4.0 Resource Kit и скопировать ее на дискету. Далее нужно запустить addusers.exe на сервере из командной строки

a:addusers.exe /d a:NTUsers.txt

Ключ /d производит выгрузку в текстовый файл всех пользователей, локальные и глобальные группы. Обратите внимание, что файл с пользователями будет создан на дискете. Пароли НЕ сохраняются. Если необходимо импортировать пользователей с паролями, то пароли нужно будет вручную добавить в текстовый файл. Синтаксис файла приведен ниже.

[User]
,,
,,,
,

Поделитесь материалом с коллегами и друзьями