Тэг ‘администрирование’

Logoff удаленного пользователя сервера терминалов

Windows ползволяет пользователю удаленно подключаться к другому компьютеру. Иногда бывают ситуации, когда нужно удаленно выкинуть пользователя с сервера терминалов (Terminal Service Server). ( Если максимальное количество удаленных пользователей уже подключено, и при этом требуется подключиться)

Подключение к серверу терминалов в режиме консоли
mstsc /v:<адрес сервера> /console

> logoff /?
LOGOFF [<имя сеанса> | <ID сеанса>] [/SERVER:<сервер>] [/V]
<имя сеанса>      Имя сеанса.
<ID сеанса>       Идентификатор сеанса.
/SERVER:<сервер>  Сервер терминалов, содержащий завершаемый сеанс пользователя (по умолчанию - текущий).
/V                Отображение информации о выполненных действиях.

Reset session - сбрасываем сессии с сервера терминалов

Синтаксис
reset session {имя_сеанса|код_сеанса} [/server:имя_сервера] [/v]

Tsshutdn - удаленный ребут/выключение/выключение питания на сервере терминалов.

Позволяет администратору, пользующемуся удаленным управлением, завершить работу или перезагрузить сервер терминалов. Если компьютер поддерживает программное управление питанием от сети, то можно также выключить питание у сервера.

Синтаксис
tsshutdn [время_ожидания] [/server:имя_сервера] [/reboot] [/powerdown] [/delay:задержка_выхода] [/v]

утилита exitwin (?)

прижим клавиши Shift при логон - все автозапускаемые программы пропускаются…
если сценарий всавить в usrlogon.cmd то он всеравно отработает
%clientname% - переменная (netbios_name компа с которого входят в терминал). Когда входят с консоли %clientname% отсутствует.

Вызов на скрипт (например, c:\start.vbs) вставляется в usrlogon.cmd чтобы исключить возможность со стороны пользователя прервать автоматический запуск скрипта.
Сам скрипт start.vbs содержит следующее:
Option Explicit
Dim WshShell, objEnv
Set WshShell = CreateObject("WScript.Shell")
Set objEnv = WshShell.Environment("Process")
If objEnv("CLIENTNAME") = "" Then
If (objEnv("USERNAME") = "Administrator") Then
Else
WshShell.Popup "Локальный вход на консоль сервера может осуществить только Администратор", 5, "Внимание!", vbOKOnly & vbInformation
WshShell.Run "c:\exitwin.exe logoff"
End If
Else
End If

В MS Windows 2000 режим Remote Administration разрешал два удаленных сеанса для системного администрирования. В Windows Server 2003 вместо установки Terminal Services можно воспользоваться Remote Desktop. В Windows Server 2003, Remote Desktop позволяет создать два виртуальных сеанса RDP, а также удаленное подключение к консольному сеансу сервера.

Для включения Remote Desktop в System Control Panel, выбираем вкладку Remote и включаем флажок Allow users to remotely connect to your computer. По умолчанию удаленное соединение разрешено только локальным администраторам, но вы можно добавить нужных пользователей в группу Remote Desktop Users. Учтите, что включение Remote Desktop не активирует систему совместимости приложений, поэтому приложения могут работать некорректно

Требования для доступа к терминальному серверу

WS2K3 имеет три различных уровня защиты, которые позволяют контролировать доступ к терминальному серверу. Чтобы пользователь мог зарегистрироваться на терминальном сервере, необходимо соблюдение следующих трех условий:
* Право Allow log on through Terminal Services (разрешен вход через службу терминалов) — В Windows 2000 вам необходимо было давать право Log on locally всем пользователям, которым требовался доступ терминальному серверу. Это создавало потенциальную брешь в безопасности, поскольку позволяло регистрироваться на консоли сервера, обходя ограничения, которые вы сделали для RDP. WS2K3 разделяет право локального входа и право входа через службу терминалов. По умолчанию, на WS2K3 право Allow log on through Terminal Services дается только администраторам и членам группы Remote Desktop Users.

* Права использовать RDP — Администратор может установить разрешения RDP с помощью Terminal Services Configuration. Как уже упоминалось, Microsoft изменила разрешения по умолчанию для протокола в WS2K3. Если в Win2K локальной группе Users был разрешен доступ к RDP, то в WS2K3 этот доступ ограничен только локальной группой Remote Desktop Users. Поэтому чтобы пользователи могли регистрироваться на терминальном сервере, вы должны поместить их в эту группу.

* Опция Allow logon to terminal (разрешен вход на терминальный сервер) — В свойствах каждого пользователя в AD есть опция Allow logon to terminal server, которая определяет, разрешено ли пользователю регистрироваться на терминальном сервере. По умолчанию эта опция включена.
Два из этих условий зависят от членства в группе Remote Desktop Users. Если пользователь получает сообщение You do not have permission to access this session, то одно из этих трех условий не соблюдается.

Как узнать, кто залогинен на удаленном компьютере
Чтобы узнать вошедших в систему пользователей на удаленном компьютере можно воспользоваться утилиткой psloggedon из комплекта pstools
psloggedon \\compname_or_ip
Более полную информацию  - psloggedon /? или в помощи

Поиск юзера по компьютерам домена (временно)

strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colSys = objWMIService.ExecQuery("Select * from Win32_ComputerSystem")
For Each obj in colSys
Wscript.Echo " User: " & obj.UserName
Next

Locate User от Digital Labs
IS Decisions UserLock (Единственный недостаток программы это установка на компах домена клиентских частей. Естевственно это можно сделать автоматически и централизованно для всей сети.)

Два пути: база регистрации (оной и является WINS) в любом виде от SQL до текстовых файлов или последовательный перебор всех активных станций:
1 - делается скан активных компов в домене - например net view > *.txt
2 - берется командная утилитка nete.exe
3 - текстовый файл открывается в екселе - добавляется столбец в начало, пишется строка nete (c ключами если надо), растягивается во весь список компов. Файл сохраняется в виде “dos - разделитель пробел” nete_123.cmd
4 - cmd -> nete_123 > *.txt

http://forum.sysadmins.su/index.php?showtopic=111&st=0&p=8750&#entry8750

Ссылка на скрипты windows - можно найти много полезного

http://sysadmins.ru/topic79925.html

Опубликовано Апрель 1, 2010 | автор: levik  |  Комментарии (2) »

windows - удаленная перезагрузка компьютера или перезапуск службы

В случае, когда требуется удаленно перезагрузить комьпютер, или перезапустить службу на удаленном компьютере можно воспользоваться средствами командной строки - это как раз тот случай, когда удаленное управление компьютером не требуется

Удаленная перезагрузка компьютера Windows
shutdown -r -f -m \\IP_OR_NAME -t 5

Удаленный перезапуск служб windows
Стандартная утилита windows для управления службами - sc. Команды на перезапуск нету - делаем выкл/вкл:

sc \\IP_OR_NAME stop service_name
sc \\IP_OR_NAME start service_name

или psservice из пакета PsTools

Перезапуск локальных служб
net stop service_name
net start service_name

Перезапуск iis-server
iisreset

Подробная помощь по утилитам:
shutdown /?
sc /?
hh ntcmds.chm::/sc.htm

PSTools - набор полезных утилит для администрирования локальных и удаленных систем под управлением Windows.

Использование: shutdown [-i | -l | -s | -r | -a] [-f] [-m \\<компьютер>]
[-t xx] [-c “комментарий”] [-d up:xx:yy]

Без аргументов Вывод справки по использованию (как и -?)
-i Отображение интерфейса, д.быть первым параметром
-l Выход (не совместим с параметром -m)
-s Завершение работы компьютера
-r Перезагрузка компьютера
-a Прекращение завершения работы системы
-m \\<компьютер> Удаленный компьютер, на котором выполняется действие
-t xx Таймаут завершения работы - xx сек.
-c “comment” Комментарий (не более 127 знаков)
-f Принудительное завершение приложений без предварительного предупреждения
-d [u][p]:xx:yy Код причины завершения работы
u - пользовательский код
p - код запланированного завершения
xx - основной код причины (1 - 255)
yy - дополнительный код причины (1 - 65535)

Опубликовано Март 27, 2010 | автор: levik  |  Комментарии (2) »

Диспетчер задач отключен администратором

Диспетчер задач отключен администратором - такое сообщение иногда выводится при нажатии заветных Alt-Ctrl-Del

Что это? И как от этого избавиться.

Интуиция, скорее всего, подсказывает, что это не совсем нормально.. особенно, если Вы сами являетесь администратором :)

Довольно часто - это следы присутствия вируса. Последние базы практически всех антивирусных программ отлавливают его, и излечивают компьютер от этой заразы… Однако, диспетчер задач так и остается отклчюченным. Как же включить диспетчер задач?

Запускаем редактор групповой политики:
Пуск –> Выполнить… –> в поле Открыть: вводим gpedit.msc –> OK
откроется диалоговое окно Групповая политика

Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойной щелчок левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана)
вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

Для применения изменений без перезагрузки компьютера, следует свернуть все открытые окна (быстрые клавиши Windows + D), и обновить (при активном Рабочем столе) - клавиша F5 (или щелчок правой кнопкой мыши по Рабочему столу,  в контекстном меню - Обновить).

Если не отключен редактор реестра (regedit.exe) - включить диспетчер задач можно удалив параметр REG_DWORD DisableTaskMgr, который находится в разделе
[HKEY_CURRENT_USER/Software/Microsoft/Window/CurrentVersion/Policies/System]

Опубликовано Октябрь 13, 2009 | автор: levik  |  Комментарий (1) »

Установка mc - midnight commander install

Midnight Commander - файловый менеджер для linux (а также freebsd, unix), по внешнему виду очень похож на Norton Commander, или Far (Возможно, старого доброго дедушку нортона не многие помнят…). Конечно, для полноценного администрирования без знания команд *nix не обойтись, но вот навигация по каталогам, операции с каталогами, файлами, группами файлов, а также просмотр и редактирование файлов становится намного удобнее.

Midnight Commander обычно не устанавливается по умолчанию, однако проверить недолго - набираем в командной строке
mc
если в ответ скучное “command not found” или что-то похожее - все правильно. Будем устанавливать.

Установка Midnight Commander, продолжение

Опубликовано Январь 29, 2009 | автор: levik  |  Комментарий (1) »

cacti для vps/vds или мониторим виртуальную память и диск

Cacti очень удобен для мониторинга системных ресурсов - изменения в работе сервера в буквальном смысле выделяются на графиках (резкие всплески и падения). И не станет неожиданностью очередное переполнение логами (что очень актуально для vds-vps) Читать целиком »

Опубликовано Октябрь 23, 2008 | автор: levik  |  Комментарии (4) »

Cacti и snmp или мониторим сеть

Про установку и настройку Cacti

Кроме мониторинга локальных характеристик сервера, на котором он и установлен, cacti позволяет отслеживать параметры других серверов и сетевых устройств, поддерживающих протокол snmp. Довольно удобно в одном месте иметь всю информацию о работе системы вцелом и каждой из частей, вместо того, чтобы перескакивать по разным серверам.

Итак, настраиваем Cacti для сбора данных по сети

Установка службы SNMP (snmp-агент) на наблюдаемый компьютер (проверяем, установлен ли:)
rpm -q net-snmp
и, если необходимо - ставим
yum install net-snmp

файл конфигурации искать где-то тут:/etc/snmpd.conf, /etc/snmp/snmpd.conf, /usr/local/etc/snmpd/snmpd.conf

! следует обратить внимание, что SNMP предоставляет довольно обширную информацию о системе. При недостаточном внимании к безопасности, эта информация может быть получена злоумышленником и использована “против вас” :)

Неплохая статья о конфигурации SNMP и Nagios
http://www.samag.ru/cgi-bin/go.pl?q=articles;n=11.2004;a=01

Можно воспользоваться утилитой создания файлов конфигурации:
snmpconf -g

или взять за основу готовый файл (изменить белиберду на другую не менее белибердовую - что-то вроде пароля, а адрес - на допустимый для запроса):
sysservices = 79
rocommunity IndhiNue45 localhost
rwcommunity tuI937NB92 localhost

После настройки snmpd.conf запускаем
service snmpd start
И, если все в порядке (проверим командой snmpwalk -c community_name -v 1 localhost), добавляем "автозагрузку"
chkconfig --level 3 smnpd on

пока так

Мониторим сетевые интерфейсы с помощью Cacti

Graph-management  - Add (в правом верхнем углу.. с непривычки можно не найти

Статья дополняется…

настраиваем SNMP в  (Linux/Unix):
Переходим в /etc/snmp/ и правим  snmp.conf до такого: (старый можно сохранить - мало ли)
http://www.opennet.ru/openforum/vsluhforumID1/84222.html
syslocation Test.
syscontact INF <mail@test.ru>
#      sec.name   source          community (password)
com2sec Mybox     localhost          public
com2sec cacti     <ip адрес>     public
com2sec Outside   default            public
#      group.name sec.model  sec.name
group   RWGroup    v2c       Mybox
group   ROGroup    v1        cacti
group   ROGroup    v2c       cacti
group   Others     v2c       Outside
view all     included  .1        80
view system  included  system    fe
#              context sec.model sec.level prefix  read    write  notif
access  ROGroup   ""      any    noauth    exact   all     none   none
access  RWGroup   ""      v2c    noauth    exact   all     all    all
access  Others    ""      v2c    noauth    exact   system  none   all

Опубликовано Октябрь 17, 2008 | автор: levik  |  Нет комментариев »

Установка Cacti на Linux (Unix)

Cacti  (Кактус)  - cacti.net - официальный сайт.

Cacti предоставляет удобный интерфейс для отслеживания изменений параметров сервера. Вообще-то, можно настроить на отображение чего угодно (вплоть до прогноза погоды, курса доллара), но обычно мониторят что-то вроде загрузки процессора, оперативную память,  отслеживают свободное место на диске, количество запущенных процессов, время отклика, трафик… В общем, есть, чего мониторить.

Установка Cacti на Linux сервер

В сети куча инструкций-мануалов (помимо официального) по установке-настройки Cacti

http://system-administrators.info/?p=2619
http://hostinfo.ru/articles/773
http://noty.net/tech/cacti (статья та же, зато ресурс “под рукой”)
http://www.lissyara.su/articles/freebsd/programms/cacti/
http://forum.lissyara.su/viewtopic.php?f=3&t=11256&start=75#p102179
http://belgorod.lug.ru/wiki/index.php/Cacti_-_%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D0%B8_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0

Отмечу лишь некоторые моменты при установке Cacti, которые могут оказаться полезным мне (и не только).

Не забываем отключить SafeMode
(и до кучи не забываем перезапустить service httpd restart)

Часть проблем можно снять, если запускать poller с правами Root-а. Тут уж хозяин-барин.
Не забываем дать права на файл конфигурации db.php

При запуске poll.php ошибка нет файла/директории
sh: /php: No such file or directory
sh: /rrdtool: No such file or directory

при указании cron не забываем путь к php-интерпретатору - вместо
*/5 * * * * cactiuser php /usr/share/cacti/poller.php > /dev/null 2>&1
пишем что-то вроде
*/5 * * * * cactiuser /usr/bin/php /usr/share/cacti/poller.php > /dev/null 2>&1
И не забываем пустую строчку в конце файла crontab

cacti не рисует графики

Если Cacti не рисует графики даже для Localhost.. да и вообще, если с ним чего не ладится - первым делом смотрим в логи Apache (могут быть тут: /etc/httpd/logs/error_log или тут : /var/log/httpd/error_log - чтоб наверняка - посмотреть в httpd.conf)

sh: /rrdtool: No such file or directory
следует настроить путь к rrdtool - в web-интерфейсе вкладка “console”, в меню - Configuration - Settings- нижняя вкладка paths - отсутствующие файлы выделяются красным

Cacti - settings - general исправляем версию RRDtool (1.2.x, по умолчанию 1.0.x). Если реальная версия выше, то есть шанс, что работать будет (проверялось для версии 1.3 работало)

ERROR: opening ‘/var/www/html/cacti/rra/yourfile: No such file or directory
sh: line 14: /var/www/html/cacti/log/rrd.log: Permission denied -

Cacti отображает пустые графики

Похоже, проблема в “исходных” данных для cacti (а точнее для RRD) - если скрипт ничего не нашел, то cacti ничего и не покажет. Будем разбираться, почему “нет данных”

Если в логах (или при запуске вручную  “#/usr/bin/php /usr/share/cacti/poller.php” (лучше от cactiuser)
su cactiuser
/usr/bin/php /usr/share/cacti/poller.php
появляется сообщение про 300 секунд - значит или не запускается cron или… не пишет данные скрипт. Кстати, на момент отладки можно убрать из cron-а “> /dev/null 2>&1″ и добавить чуть выше MAILTO=my@email-addres.tld

POLLER: Poller[0] WARNING: Cron is out of sync with the Poller Interval!  The Poller Interval is ‘300′ seconds, with a maximum of a ‘300′ second Cron, but 637 seconds have passed since the last poll!

Если удалось добиться отображения графиков для Localhost - полдела сделано. :)
Осталось ещё полтора!

Опубликовано Октябрь 9, 2008 | автор: levik  |  Комментарий (1) »

Plesk и open_basedir

Столкнулся с таким положением дел: при попытке заинклудить какой-нибудь файлик командой типа include (’include/inc.inc’) - с указанием каталога относительно текущего, сервер выдал что-то вроде
blablabla open_basedir restriction in effect. blablabla ...
Мол не могу и всё.
Недоразуменьице получается. В плеске по умолчанию open_basedir включено. (если кому интересны подробности - пошукайте или в переводе). Как вариант лечения предлагаю подсмотренную на каком-то забугорном сайте пилюльку:

  1. Заходим по  (SSH)
  2. Создаем новый файл:
    vi /etc/httpd/conf.d/blabla_openbasedir_removal.conf
  3. Тыкаем [INS]ert на клавиатуре, чтобы перейти в режим ввода текста и пишем:
    <DirectoryMatch /var/www/vhosts/(.*)/httpdocs/>
         php_admin_value open_basedir none
    </DirectoryMatch>
  4. Тыкаем в кнопку (ESC) - переходим в командный режим; 
  5. Нажимаем [:wq] чтобы сохранить файл и выйти 

Теперь open_basedir нас беспокоить не должна…

Чуть не забыл.. после всего этого надо веб-сервер перезапустить. Либо service apache restart, либо service httpd restart… (Конечно, не исключено, что “служба” называется по-другому… Тогда должен помочь reboot :)

Думаю, понятно, что, если вместо (.*)  написать mydomainname.ru, то сработает это только для конкретного домена.

Кстати, Warning!!! :) Safe Mode was removed in PHP 6.0.0.

Опубликовано Август 15, 2008 | автор: levik  |  Комментарии (5) »

Office Outlook - Ошибка Symantec Antivirus

При запуске MicroSoft Outlook 2000 Появляется сообщение об ошибке:

Надстройку “C:\Program Files\Symantec_Client_Security\Symantec Antivirus…” не удается установить и загрузить. Устраните неполадку с помощь команды “найти и восстановить” из меню “справка”. Не удается загрузить “C:\Program Files\Symantec_Client_Security…”.  возможно, не хватает памяти, системных ресурсов или файла dll.

Судя по всему, ранее на машине стоял Symantec Antivirus, библиотеки которого подгружаются в MS Outlook при запуске.

Пробуем найти библиотеки в “Настройки - дополнительно - Дополнительно - Приложения (или COM ) (В моем случае название было не совсем похожим на Symantec - что-то вроде LDVP) и снимаем галочку

Если не помогает - открываем реестр и пытаемся найти все, что связано со словом Symantec (обнаружил это дополнение в ветке HKLM/Software/Microsoft/Office/Outlook/Addins/ - где и был прописан путь к библиотеке DLL “C:\Program Files\Symantec_Client_Security\Symantec Antivirus…”

Да и вообще, периодически, стоит подчищать реестр компьютеров.
Кто чем пользуется?

upd. можно воспользоваться одной из утилит для удаления антивирусов - в конкретном случае см. пункт Norton Antivirus

Опубликовано Декабрь 7, 2007 | автор: levik  |  Комментарии (2) »