none
Windows 2003 распространение настроек через домен RRS feed

  • Вопрос

  • Доброго времени суток!


    Начну   сперва с описания, что у меня есть!
    Устроился в фирму недавно, по этому что делали ранее неизвестно!
    Парк компьютеров из 300 машин, 4 контроллера домена. Когда то до меня было нашествие вируса Kido (configer) , теперь пытаюсь убрать последствия.
    Беру чистый комп с виндой ХР, добавляю в домен. В результате возникают проблемы: не устанавливается сервис пак 3, на середине установки пишет отказано в доступе. А так же не могу создать запланированное задание через планировщик заданий (sheduling) (это только то, что я нашел, думаю там куча всего еще). Причем придобавление в домен виндовс 2003 ситуация аналогична!

    Теперь мои достижения по устранению проблемы)))

    Чистый комп с 2003 виндой добавляю в домен, получаю вредоносные настройки. Т.е. не ставиться СП2 и не создаются задачи. Выгоняю из домена его. Вредоносные настройки остаются. Поднимаю на нем собственный тестовый домен TESTDOMEN.DC . Вредоносные настройки остались. Утилитой DCGPOFIX сбрасываю политики безопасности. Перезагружаю. Вредоносные настройки пропали!!!!! Сервис пак встал и задачи создаются. Обрадовался, думал справился)))
    Перехожу на рабочий домен фирмы DOMEN.LOCAL. Утилитой DCGPOFIX сбрасываю политики безопасности, проверяю групповые политики на всякий случай. Перезагружаю. В результате не чего не помогло. Вредоносные настройки остались!
    Возвращаюсь к тестовому домену TESTDOMEN.DC . Оказалось через некоторое время на нем снова появились вредоносные настройки.
    Не много по капался, выяснил, что если Администратору в ручную даю полный доступ на папку с системой WINDOWS и подпапки которые внутри.
    То создать задачи получается, то есть доступ типа открылся))) Но сервис пак все равно не встает...

    Вот и думаю... каким образом... настройки доступа или еще чего там... реплицируются на новую машину, учитывая, что групповые политики и политики безопасности чистые! Антивирус естественно стоит (Касперский). С пользователями игрался, добавлял во все административные группы, создавал новых и тд....



    Довольно массивный вопрос получился!))))
    Прошу помощи специалистов.... Сам уже выдохся.. не знаю что делать...)))

    • Изменено PokerFlat 3 марта 2010 г. 20:16 орфография
    3 марта 2010 г. 20:15

Все ответы

  • Проверьте результирующую политику с помощью RSOP. Может быть какой-либо доменной групповой политикой ограничиваются права на файловую систему.
    Посмотрите лог установки обновления. Из-за какой ошибки оно прерывается?

    4 марта 2010 г. 3:42
  • Я думаю, что логичнее провести ревизию вообще всех политик в домене (в том числе стандартных). Потом принять решение что с ними делать (удалить и заменить своими, сбросить в дефолт, оставить как есть).
    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    4 марта 2010 г. 15:55
    Модератор
  • А вообще, ИМХО, надежнее всего (хоть и не быстрее) будет восстановить контроллеры из бэкапа, сделанного до заражения. И откатить клиентские системы на ту же дату (если это возможно).

    И проверьте все-таки все машины домена на наличие останков данного вируса. Такое ощущение, что его в свое время не дочистили.

    Все вышесказанное является моим личным мнением, не имеющим отношения к корпорации Майкрософт.
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    10 марта 2010 г. 8:02
    Модератор
  • Посмотрите статью http://support.microsoft.com/kb/962007/ru
    Проблемы с установкой SP2 и SP3 могут быть вызваны настроенными ограничениями на раздел реестра HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
    Планировщик заданий может быть отключен или настроены ограничения на папку %windir%\Tasks
    10 марта 2010 г. 14:53
  • У нас тоже в компании было заражение вирусом Conficker. Одно из вредоносных действий этого вируса, - подбор паролей администратора. Вполне возможно, что был установлен легкий пароль, и он был успешно подобран вирусом. После этого произошло какое-то изменение в групповых политиках домена (мне известны такие случаи). Советую для начала убедится, что вируса у Вас в сети нет. Для этого создайте политику, в которой в автозагрузку поместите утилиту удаления этого вируса (например KidoKiller.exe). Политика будет применятся при загрузке пользовательских ПК, и утром у всех пользователей произойдет глобальная чистка.
    Присоединяюсь к посту Sazonov ILYA [ sie ] и советую кроме того особое внимание уделить политикам Default Domain Policy и Default Domain Controllers Policy. Как вариант попробуйте отключить все политики и загрузится без них.
    16 марта 2010 г. 12:50