none
Реестр W2008 RRS feed

  • Вопрос

  • Доброго дня. Есть Windows Server 2008 S1 x64 контроллер домена. При попытке зарегистрировать DLL, в реестре попробовали дать разрешения Администратору (зачем это делали - не знаю). В результате снесли все разрешения (включая SYSTEM). Перезагрузили. Многие службы не работают. Вернул разрешения в реестре по образу и подобию другого сервера, однако проблемы остались такие как:
    1. Windows Instaler - Не удалось получить доступ к службе установщика (но служба запущена)
    2. В любой службе при попытке перейти на закладку "Зависимость" выдает ошибку Win32: недостаточно памяти для завершения операции.
    3. При попытке заглянуть в Приложения COM+ - Ошибка при обработке последней операции. Код ошибки 8007042C - не удалось запустить дочернюю службу. В журнале соответственно запись:
    Система событий COM+ обнаружила неверный код возврата в ходе внутренней обработки. Значение HRESULT: 80040150 (строка 202 из d:\vistasp1_gdr\com\complus\src\events\tier2\service.cpp). Обратитесь в службу поддержки Майкрософт.
    4. Система архивации Windows Server пишет: Возникла неустранимая ошибка при работе оснастки архивации данных. Сведения об ошибке: недостаточно памяти для завершения операции.
    5. Обновить не могу.
    6. Сетевых подключений не вижу. Пишет не удалось поместить список сетевых адаптеров компьютера в папку... просит проверить запущена ли служба - она работает.
    7. Активация Windows - Данная копия не активирована.
    8. Общий доступ к папке пишет - Эта программа не будет выполняться. Недостаточно памяти для завершения операции.

    9. Запускал службу DHCP - сервер. Ошибка 1068: Не удалось запустить дочернюю службу.
    И службу Публикация ресурсов обнаружения функции. Ошибка 0х8007000е: Недостаточно памяти для завершения операции. Хотя Физическая память использована на 57%.
    При этом продолжает работать как файлсервер. Восстановить из бекапа не могу, да и не добраться до него((( Прогнал cureit и AVZ - вирусов нет.
    Подскажите, пожалуйста, как исправить?


    23 декабря 2013 г. 13:42

Ответы

  • subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f /grant=system=f /grant=users=r /grant=everyone=r /grant=restricted=r /setowner=administrators >> %temp%\subinacl_output.txt

    Сделает следующее

    /grant=administrators=f - даст полные права (f) группе administrators тоже самое для system

    /grant=users=r - даст права на чтение (r) для группы users, everyone, restricted

    /setowner=administrators - установит группу administrators владельцами

    результаты запишет в лог %temp%\subinacl_output.txt (может быть большим)Все выше перечисленное проделает на ветке реестра HKEY_LOCAL_MACHINE

    У вас скорее всего произошла такая ситуация что права навернули, востановили только права Адина, а права пользователей и Всех Пользователей не востановили

    Бекап реестра можно сделать и на живую это так же как сохранить ветку реестра только у вас будет ветка большая

    Во время обработки скрипта (может занять минут 30 или чуть больше) проц будет сильно пригружен (у меня догодило до 100%) поэтому лучше манипуляции делать когда люди не работают, память при этом практически не юзается

    В логах могут быть ошибки но вас это пусть не смущает - это особенности 2008 сервера, на старых системах по типу 2003 ошибок было в разы меньше, но утилита свое дело делает

    Можете погуглить по этому поводу, есть много описаний что к чему + отзывы

    25 декабря 2013 г. 9:46
    Модератор

Все ответы

  • Привет,

    А почему нельзя добраться до бэкапа?

    How do I restore security settings to a known working state?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    24 декабря 2013 г. 12:56
    Модератор
  • Попробуйте сбросить права на дефолт при помощи  subinacl

    Как это сделать написано тут

    Если возникнут вопросы пишите в коментариях


    24 декабря 2013 г. 15:03
    Модератор
  • В результате перепроверки разрешений в реестре удалось запустить все службы кроме "Публикация ресурсов обнаружения функции". Чтоб ее запустить использовал "костыли": net localgroup "Администраторы" "NT Authority\Local Service" /add.  Но терминальный доступ так и не работает. При запуске Конфигурации служб терминалов вылетает ошибка: Чтобы найти параметры на указанном удаленном сервере терминалов необходимо иметь права администратора как на локальном, так и на удаленном сервере. Судя по всему где то в реестре нет соответствующего разрешения. Вот только где и какого? Подскажите пожалуйста. 

    По поводу восстановления из бекапа, он от 2010 года. Сисадмин не делал его никогда. 

    Сбросить права на дефолт сей час не могу. На хоть как то работающей системе страшновато. Сделать образ не могу, т.к. сервер постоянно используют. Можно попробовать на праздниках, но бухгалтера меня за это время порвут (через толстый клиент 1С долго грузит отчеты). 

    З.Ы. Простите что задаю глупые вопросы. Я не сисадмин, а программист 1С.

    25 декабря 2013 г. 7:57
  • subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=administrators=f /grant=system=f /grant=users=r /grant=everyone=r /grant=restricted=r /setowner=administrators >> %temp%\subinacl_output.txt

    Сделает следующее

    /grant=administrators=f - даст полные права (f) группе administrators тоже самое для system

    /grant=users=r - даст права на чтение (r) для группы users, everyone, restricted

    /setowner=administrators - установит группу administrators владельцами

    результаты запишет в лог %temp%\subinacl_output.txt (может быть большим)Все выше перечисленное проделает на ветке реестра HKEY_LOCAL_MACHINE

    У вас скорее всего произошла такая ситуация что права навернули, востановили только права Адина, а права пользователей и Всех Пользователей не востановили

    Бекап реестра можно сделать и на живую это так же как сохранить ветку реестра только у вас будет ветка большая

    Во время обработки скрипта (может занять минут 30 или чуть больше) проц будет сильно пригружен (у меня догодило до 100%) поэтому лучше манипуляции делать когда люди не работают, память при этом практически не юзается

    В логах могут быть ошибки но вас это пусть не смущает - это особенности 2008 сервера, на старых системах по типу 2003 ошибок было в разы меньше, но утилита свое дело делает

    Можете погуглить по этому поводу, есть много описаний что к чему + отзывы

    25 декабря 2013 г. 9:46
    Модератор
  • Запустил C:\Tools\subinacl /subkeyreg HKEY_LOCAL_MACHINE /grant=Администраторы=f /grant=System=f /grant=Пользователи=r /grant=Все=r /grant=ОГРАНИЧЕННЫЕ=r /setowner=Администраторы >> %temp%\subinacl_output.txt. Винда русская переделал группы. 

    Проработав три часа, обработал около четырех миллионов записей выдал ошибку.

    Имя события проблемы: APPCRASH
      Имя приложения: subinacl.exe
      Версия приложения: 5.2.3790.1180
      Штамп времени приложения: 40ca0f5b
      Имя модуля с ошибкой: ntdll.dll
      Версия модуля с ошибкой: 6.0.6001.18538
      Штамп времени модуля с ошибкой: 4cb733e1
      Код исключения: c0000005
      Смещение исключения: 0002e15e
      Версия ОС: 6.0.6001.2.1.0.16.7
      Код языка: 1049
      Дополнительные сведения 1: 7faa
      Дополнительные сведения 2: 14d83ea1d8a7f1f3491832fe79307e51
      Дополнительные сведения 3: 030b
      Дополнительные сведения 4: f2ba072d4c675096153ad1a3ae3780c3

    Прочтите заявление о конфиденциальности:
      http://go.microsoft.com/fwlink/?linkid=50163&clcid=0x0419

    При этом лог создал на 30 Гб. Это он не смог продолжать записывать лог файл?




    • Изменено ivda25 26 декабря 2013 г. 8:45
    26 декабря 2013 г. 8:32
  • Vector BCO, спасибо огромное. Все получилось.
    28 декабря 2013 г. 13:30