Выпуск N15, 14.08.2003
Всем привет. Хотел сделать выпуск еще позавчера, но 2 дня ушло на то, чтобы разобраться с очередной командой из Windows Support Tools. Сегодня в выпуске команда Dsacls.exe.
 
На сайте заработал поиск по рассылке. Поиск пока без наворотов: вводите фразу - получаете результат со ссылками на выпуски, в которых содержится эта фраза. Фразу можно набирать в любом регистре, так как процедура поиска преобразовывает искомое сочетание и тексты выпусков рассылки в нижний регистр.
Если кто-то обратил внимание, в начале выпуска теперь есть ссылки на сайт рассылки и архив рассылки. На форуме я завел новую тему "Обсуждение дизайна сайта". Некоторые ваши мнения по поводу сайта могут помочь улучшить дизайн странички. Так что заходим, не стесняемся.
Работа над разделом сайта "Windows Support Tools" близится к завершению. По мере появления новых команд в рассылке они будут появляться на сайте.
 
Новости
Корпорация Microsoft готовится начать бета-тестирование пакета Microsoft Installer 3.0 (MSI 3.0), предназначенного для организации процедуры установки программных продуктов и обновлений для них. Выпуск Microsoft Installer 3.0 станет важным шагом на избранном Microsoft пути по упрощению установки патчей для своих продуктов. Если сейчас для этой цели используются восемь различных программ, то в будущем их отстанется только две. MSI 3.0 будет полностью совместим с патчами для MSI 2.0, но вместе с тем, будет иметь и ряд преимуществ. Среди них стоит отметить значительное ускорение установки обновлений, возможность удаления любого из установленных патчей (сейчас не все заплатки от Microsoft можно удалить), а также новые возможности по управлению установкой обновлений на большое число компьютеров.
 
Windows может занимать меньше 10 Мб. Энтузиасту радиотехники Ричарду Джеймсу удалось создать действующую конфигурацию Windows 95 объёмом менее 10 Мб. Система работает в режиме защиты от сбоев (safe mode), обходится без реестра и файла подкачки и может поддерживать работу нескольких окон DOS-приложений. Используя менеджер ОЗУ xmsdsk, можно запустить Windows с виртуального диска в оперативной памяти компьютера. На страничке Джеймса (http://www.wimborne.org/richard/shrinkingwindows/) подробно описывается механизм уменьшения Windows 95 OSR2 с приведением листингов конфигурационных файлов. Там же можно найти список файлов в директории "укороченной" Windows, общий объём которых не превышает 7,5 Мб. Кроме уменьшения размеров ОС Windows 95, Ричард Джеймс известен тем, что умудрился поместить на одном загрузочном гибком диске оболочку Windows 3.11. В качестве графического интерфейса в ней выступал известный карточный пасьянс "Солитер". Касательно полноценных операционных систем Ричард придерживается того мнения, что их минимальный размер можно ещё уменьшить. По его мнению, общий объём системных файлов Windows 9x можно довести до 5 мегабайт. Усечённые ОС могут найти применение во встраиваемой и портативной технике, утверждает Джеймс.
 
Компания Microsoft предлагает новые лицензионные условия для пользователей своего офисного пакета. Согласно лицензионному плану Microsoft, с выходом пакета Office 2003 легальные пользователи приложений Word, Excel, Outlook и PowerPoint предыдущих версий смогут вместо стандартных получить профессиональные вариантов этих программ. Визитной карточкой приложений пакета Office Professional Edition 2003 станет расширенная в сравнении со Standard Edition поддержка стандарта XML.
 
Компьютерная мышь, которую готовит к выпуску компания Microsoft, будет снабжена необычным скроллером. Скроллер новой мыши обеспечивает прокрутку страниц не только по вертикали, но и по горизонтали. Достигается это за счет наклона колесика вправо и влево. Благодаря этому станет намного удобнее просматривать документы альбомной ориентации, а также широкие таблицы или вэб-страницы. Кроме того, скроллер служит третьей кнопкой, нажатим на которую можно переключаться между открытыми приложениями. Ожидается, что мышь с чудо-скроллером поступит в продажу уже в сентябре и будет выполнена как в стандартном, так и в беспроводном исполнении.
 
Windows Support Tools
Dsacls.exe
Эта консольная утилита позволяет просматривать и менять права доступа (access control entries - ACE) в ACL (access control list) объектов активного каталога.
Примечание:
Перед использованием этой утилиты вы должны хорошо разбираться в свойствах безопасности объектов Активного каталога.
DsAcls - консольная утилита, делающая то же, что и закладка Security в свойствах объекта Активного каталога утилиты Active Directory Users and Computers. Можно использовать любую утилиту для просмотра и изменения прав доступа для объектов Активного каталога.
 
Системные требования.
DsAcls работает под управлением Windows 2000, Windows XP Professional, and Windows Server 2003. Для просмотра ACL пользователь должен иметь права на чтение свойств объекта Активного каталога, для изменения ACL - соответственно права на запись свойств объекта Активного каталога.
Необходимые файлы - Dsacls.exe.
 
Синтаксис.
DsAcls использует следующий синтаксис запуска:
dsacls "[\\Computer\]ObjectDN" [/A] [/D PermissionStatement [PermissionStatement]...] [/G PermissionStatement [PermissionStatement]...] [/I:{T | S | P}] [/N] [/P:{Y | N}] [/R {User | Group} [{User | Group}]...] [/S [/T]] [/?]
Описание параметров

"[\\Computer\]ObjectDN"	Объект Активного каталога. Имя компьютера перед именем объекта нужно писать в том случае, если команда запускается не на контроллере домена, тогда имя компьютера будет именем желаемого контроллера домена. Этот параметр должен быть обязательно заключен в двойные кавычки, например: "CN=Jeff Akers,CN=Users,DC=domain,DC=test,DC=microsoft,DC=com" или "\\Server01\CN=Jeff Akers,CN=Users,DC=domain,DC=test,DC=microsoft,DC=com"
/A	Выводить информацию о владельце объекта и аудите объекта
/D PermissionStatement [PermissionStatement]...	Запретить перечисленные разрешения для пользователя или группы. Вы можете запретить разрешения для нескольких пользователей или групп одним ключом /D, например: /D Domain1\User1:CCDC Domain1\User2:DC;computer
/G PermissionStatement [PermissionStatement]...	Разрешить перечисленные разрешения для пользователя или группы. Вы можете запретить разрешения для нескольких пользователей или групп одним ключом /G, например: /G Domain1\User1:CCDC Domain1\User2:DC;computer
/I:{T | S | P}	Указать, на какие объекты распространяются указанные разрешения. Этот параметр указывает параметры наследования указанных разрешений. По умолчанию значение Т. Описание значений: T This object and subobjects. Разрешения назначаются объекту и всем наследуемым объектам. S Subobjects only. Разрешения назначаются только наследуемым объектам. P Propagate inheritable permissions one level only. Разрешения назначаются только на наследуемые объекты следующего уровня вложенности.
/N	Указывает на замену ACE, а не добавление. По умолчанию ACE добавляется в список разрешений (ACL).
/P:{Y | N}	Определяет, может ли объект наследовать разрешения от родительского объекта. Если пропустить этот параметр, наследуемые свойства объекта не изменятся. Описание значений: Y Объект защищен и не может наследовать разрешения. N Объект не защищен и может наследовать разрешения. Примечание Этот параметр изменяет свойства объекта, а не его разрешения. Для изменения разрешений используйте ключ /I
/R {User | Group} [{User | Group}]...	Удалить все разрешения для указанной учетной записи или группы. Учетные записи могут быть представлены в виде User@Domain или Domain\User. Группы могут быть представлены в виде Group@Domain или Domain\Group. Вы можете удалить разрешения для нескольких учетных записей или групп в одном ключе /R разделяя их пробелом, например: /R Domain1\User1 Domain1\User2
/S	Восстанавливает для объекта параметры по умолчанию, указанные в Active Directory schema.
/T	Восстанавливает установки безопасности в дереве объекта для каждого объекта класса. Работает только вместе с ключом /S.
/?	Вывести справку для DsAcls.

Синтакс для PermissionStatement.
Значения PermissionStatement принимают следующий формат:
{User | Group}:Permissions[;{ObjectType | Property}][;InheritedObjectType]
Параметры.
{User | Group} - Указывает пользователя или группу, для которых устанавливаются права. Учетные записи могут быть представлены в виде User@Domain или Domain\User. Группы могут быть представлены в виде Group@Domain или Domain\Group.
Permissions (Разрешения) - Можно указывать одно или несколько значений через пробел.
Общие разрешения.

GR	Чтение
GE	Выполнение
GW	Запись
GA	Все разрешения

Специальные разрешения.

SD	Удаление
DT	Удаление объекта и наследуемых объектов
RC	Чтение настроек безопасности
WD	Изменение настроек безопасности
WO	Изменение владельца объекта
LC	Вывод списка наследуемых объектов
CC	Создать наследуемый объект. Если в {ObjectType | Property} не указан наследуемый объект, то действие выполняется на все наследуемые объекты, в противном случае - только к указанному наследуемому объекту.
DC	Удалить наследуемый объект. Если в {ObjectType | Property} не указан наследуемый объект, то действие выполняется на все наследуемые объекты, в противном случае - только к указанному наследуемому объекту.
WS	Записывать для объектов своей группы. Этот параметр действует только на группу объектов, где {ObjectType | Property} это член группы.
RP	Чтение свойств. Если в {ObjectType | Property} не указано свойство объекта, то действие выполняется на все свойства объекта, в противном случае - только к свойству объекта.
WP	Запись свойств. Если в {ObjectType | Property} не указано свойство объекта, то действие выполняется на все свойства объекта, в противном случае - только к свойству объекта.
CA	Права на специальный доступ. Если в {ObjectType | Property} не указаны специальные права доступа, то действие выполняется на все специальные права доступа к объекту, в противном случае - только к указанному свойству объекта.
LO	Чтение списка объектов. Может быть использовано для разрешения просмотра списка объектов, если LC (List Children) не разрешено для родительского объекта. Так же может быть запрещенным для определенных объектов, чтобы спрятать эти объекты от учетных записей/групп, имеющих разрешение LC (List Children) у родительского объекта.

Примечание.
Активный каталог по умолчанию не проверяет эти разрешения. Активный каталог должен быть сконфигурирован для контроля этих прав.
{ObjectType | Property} - Ограничивает разрешения на определенный тип объектов или свойств. Можно ввести имя типа объекта или свойства. Если {ObjectType | Property} не указано, то разрешение распространяется на все типы объектов и свойств. Например, следующие параметры команды разрешат пользователю создавать наследованные объекты всех типов:
/G Domain\User:CC
Следующие параметры команды разрешат пользователю создавать наследованные объекты только типа computer:
/G Domain\User:CC;computer
InheritedObjectType - Ограничивает наследование разрешений на указанные типы объектов. Можно ввести имя типа объекта. Если тип объекта не указан, то разрешения могут наследоваться всеми типами объектов. Этот параметр работает только в случае, если разрешения могут быть наследуемые. Например, следующие параметры команды всем типам объектов наследовать разрешения:
/G Domain\User:CC
Следующие параметры команды разрешают наследование разрешений только объекту типа user:
/G Domain\User:CC;;user
 
Примеры правильных разрешений
SDRCWDWO;;user
Удаление, чтение настроек безопасности, изменение настроек безопасности, изменение объекта типа user.
 
CCDC;group;
Создание наследованного объекта и удаление разрешений наследованного объекта для создания или удаления объекта типа group.
 
RPWP;telephonenumber;
Разрешение чтения свойств и записи свойств.
 
Описание может показаться достаточно громоздким и непонятным. Но, как я писал ранее, все команды желательно опробовать на практике. После получасовой практике я понял принцип работы команды. Она может помочь при работе с пакетными файлами или при вызове ее из другой программы. Вариант применения - через написанный собственноручно веб-интерфейс (который несложно написать самому) на внутреннем сервере.
 
О том, как правильно составить параметр ObjectDN. Возможно, кому-то покажется сложным задание имени объекта в таком формате "CN=username,CN=Users,DC=mydomain,DC=com". Сразу расшифрую - задано имя пользователя username из домена mydomain.com. Типы записи: CN - логин или категория объекта, DC - имя домена, причем чем больше точек в имени домена, тем на больше частей оно разбивается, OU - organization unit (это папки в активном каталоге домена Windows 2000/2003). Допустим запись домена my.subdomain1.domain2.com.ua будет выглядеть: DC=my,DC=subdomain1,DC=domain2,DC=com,DC=ua
Если вы пользуетесь Organization Unit-ами (кто использует - тот знает, что это), то дам еще пример такой: в корне - OU "Office", в нем OU "IT", в нем учетная запись администратора "Admin", все это в субдомене "filial" домена "corporation". Запись ObjectDN будет выглядеть так:
CN=Admin,OU=IT,OU=Office,DC=filial,DC=corporation
Обратите внимание на то, что перечисления OU идут от последней ветви к корню.
 
Вопросы профессионалам
000036. Вот какая проблема: есть принтер Star LC-200 и операционка ХРень. Принтер не печатает, т. е. вроде посылает на печать, в трее висит иконка с принтером и ничего не происходит. Ошибок не выдаёт... На той же машине под Win9x всё работает отлично...... -- Best regards, Horror mailto:Horror@railway.aknet.kg. Ответить...

---

Ответы профессионалов
000034. Windows 2000/XP по умолчанию запрещает не администраторамнапрямую работать с портами (COM, LPT), а очень нужно. Как пример - многие вин-принтера не печатают, если у пользователя нет прав администратора. Как разрешить обычному пользователю работать с портами напрямую. Если можно - поподробнее. Спасибо

---

Ответ от Yura. Я точно не помню, попробуй отключить очередь печати в настройках принтера

---

Ответ от Цветков Д.В.. Кто тебе сказал, что Windows 2000/XP запрещает пользователям без прав администратора работать напрямую с портами COM и LPT? Администратор он для того и поставлен, чтобы настраивать систему и иметь доступ ко всему оборудованию. Для того, чтобы к принтеру имели доступ все пользователи, надо этот доступ открыть. Делается это так: Панель Управления->Принтеры->Кликаешь правой кнопкой по иконке принтера и выбираешь "Доступ...". Затем открываешь общий доступ к принтеру и в разрешениях (конпка такая) Ставишь тех пользователей, кому можно с ним работать. А вот если ты хочешь настроить модем на общий доступ придется поставить Фаервол и немного помудрить в настройках. Желаю удачи.

---

Ответ от Tregart. Создаешь пользователя с правами администратора. потом в настройках и в локальных параметрах безопасности убиваешь этому пользователю все ненужные права. В итоге - принтер печатает, а пользователь сильно по не разгуляется там, где ему не надо лазить. Проверено - работает.

---

Ответ от maxxer. Здравствуйте, msprodfaq. Для решения этой проблемы должно вполне хватить установки соответствующих прав доступа к самому принтеру для каждого пользователя отдельно или для целой группы. Соответствующие установки Вы найдёте в свойствах принтера (меню правой кнопки мыши самого принтера в окне Cтарт / Панель Упавления / Принтеры). -- С уважением, maxxer

---

Ответ от Mihail Ivenkov. Пошарься в локальных политиках безопасности (Пуск-Выполнить-gpedit.msc). Михаил

---

Вопросы
000040. Здравствуйте, msprodfaq. Hi all! Проблема, аналогичная авторской из выпуска N14 от 06.08.2003. Может кто-то сможет выдать заключение (как доктор докторам), когда накопится больше подобного "материала". Итак, MB Intel D845PESV (Cel 1,7GHz, 256 Mb), сидюк CTX 50X или Benq 52X - не работает авторан с дистрибута Win XP. Кроме того, при запуске вручную - на определенном этапе копирования файлов чтение последних становится невозможным. Этот же дистриб с этих же приводов CD ROM на других машинах (i440BX, i815EP - ASUS) запускается и ставится без проблем. При обновлении же ОСи, т.е. установке ХР поверх 98-го или 2000-го с того же дистриба и на тех же сидюках - все читается и ставится без проблем. На том же железе Win2000 стартует с авторана и ставится аж бегом. Манипуляции со шлейфами (40-80 pin, мастер-слэйв, примари-сэкэндари) и с Setup'ом - не помогли. (Из опыта: однажды на серии машин (ASUS, P-III - не помню точно чип) не ставился W2k с подключенным FDD. А еще ранее (Socket7) - машина не грузилась с флопа, если был включен кэш.) Если кто сталкивался с аналогичным - пишите на gid@mailru.com. Gluck -- С уважением, Gluck Ответить...

---

000041. Ко мне ежечасно приходят обновления для программы по электронной почте. Я хотел бы написать скрипт, который открывает Outlook Express скачивает новую почту, для каждого письма проверяет адрес отправителя, тему и если они совпадают сохраняет вложения в указанную папку. Может у кого-то есть подобный скрипт, или может документация по Windows Scripting Host или по программированию для почтовой программы Outlook Express или еще что-то, что может решить эту рутинную задачу. Ответить...

---

000042. Здравствуйте! У меня есть проблема: после замены матери (взял EPoX 8RDA на чипсете NVidia n-Force2) переустановил Windows XP, и обнаружил, что теперь не могу увести комп в ждущий режим (стала не активированной кнопка "Ждущий режим"). Слышал, что что-то надо менять в реестре и всё станет O'key? Помогите, если кто в курсе. Заранее благодарен mailto:goga_vips@mail.ru Ответить...

---

000043. Мне по мобильнику на мой ящик отправляют SMS сообщения. А я не могу их прочитать. И кодировка не помогает. Мне сказали, что нужна какая-то специальная программа. Я пробовал поискать в интернете, но всё равно ничего не понимаю. Плиз помагите объясните!!! Ответить...

---

000044. у нас с отцом состоялся такой спор все ли програмы и игры можно запустить в любой ос.я утвеждаю что не все а он обратное напешите пожалуста кто из нас прав.заранее благодарен. Ответить...

---

000045. Добрый день, Купил новый комп - P4 1,8 с материнкой Albatron PX845EV1 и видео Supphire ATI Radeon 9000 (64 Mb). Продавец советовал установить сразу Win XP или 2000. Но я по привычке начал ставить Win98. При установке начались глюки типа "Обнаружено новое устройство PCI serial bus, PCI universal system bus" и т.д., хотя драйвера для материнки уже я установил. Пришлось вручную устанавливать стандартный драйвер PCI шины. Винда сказала, что драйвер не подходит , но установила и глюки прекратились. Вопрос: Кто-нибудь сталкивался с аналогичной проблемой ? Как решили ? Насколько правильно я поступил установив стандартный драйвер PCI шины ? С уважением, Vadim Limin, http://www.russpain.com/Gr-Zlag/Gr-zl-01.htm, limin_v@svitonline.com khort@i.com.ua Ответить...

---

000046. Народ! Можно ли сделать или найти в инете рамки оформления (что вставляются по краям страницы), а то стандартные вордовские уже никак не тянут (стремные боле). Заранее благодарен Ответить...

---

000047. Мужики! Кто-нибудь знает, в каких файлах Windows 98, находиться информация о файлах автозагрузки (только не тех, которые в меню Пуск / Програмы / Автозагрузка, а тех, которые на панели задач внизу в правом углу экрана. Заранее спасибо! Ответить...

---

000048. Hello msprodfaq, Поделитесь опытом установки и настройки SCSI или RAID контроллера под ХР или Win2000Server. И как это должно работать. (У меня под ХР стала вылетать ошибка на: "Отложенная запись на j:, не удалось сохранить MFT$". В результате после перезагрузки этот диск проскандискала ХР перед загрузкой, но когда загрузилась, то буква есть, а раздела нет. Винты исправны, но будучи подключены к RAID выкидывают такие ошибки. PS. Для общего развития: Файловая система NTFS представляет собой выдающееся достижение структуризации: каждый элемент системы представляет собой файл - даже служебная информация. Самый главный файл на NTFS называется MFT, или Master File Table - общая таблица файлов. Именно он размещается в MFT зоне и представляет собой централизованный каталог всех остальных файлов диска, и, как не парадоксально, себя самого. -- Best regards, John mailto:Johnpol@mail.ru Ответить...

---

Ответы на вопросы
000037. Где можно взять дистрибутив ISA сервера?

---

Ответ ведущего. На сайте Microsoft я не нашел ссылку для выкачки этого продукта, хотя, вполне возможно, что для подписчиков MSDN такая возможность есть. Получить инсталлятор ISA Server можно: подписавшись на MSDN, тогда вам на адрес подписки будут приходить диски с продуктами Microsoft и ISA в том же числе; комплект Microsof Back Office 2000 и комплект Small Bussines Office содержат в себе дистрибутив Internet Security and Acceleration Server 2000; на специализированных курсах так же можно получить 120-дневную ознакомительную версию этого продукта; к книге "MCSE Учебный курс Microsoft Internet Security and Acceleration Server 2000. Сертификационный экзамен 70-227. Издательство Microsoft Press" прилагается диск с ознакомительной 120-дневной версией; можно найти инсталлятор в интернете (там вообще можно найти что угодно) полазив, например, по форумам (на http://forum.ru-board.com в разделе "Варезник" можно найти ссылки на многие программы). Удачи.

---

000038. Здравствуйте! У меня с написанием электронного письма и с созданием документа Word проблемы. Я хочу сделать цветной фон или цветн6ой шрифт, но ничего не получается, всё остаётся чёрно-белым. Вроде бы все настройки проверяла (у меня XP). С уважнием, Катя. kate@kataisk.zaural.ru

---

Ответ от maxxer. Здравствуйте, msprodfaq. Если речь идёт о емайле, то даже если это и MSWord проверьте установки Вашей почтовой программы на предмет формата отправляемых писем. Цвет и фон передаётся только в том случае, если форпмат письма установлен HTML. Если же речь идёт о написании отдельного документа Word, то это укзывает на то, что причина другая. -- С уважением, maxxer mailto:news@maxxer.de

---

000039. В IE6 XP при наведении курсора на картинку появляется панелька (сохранить, печать...). Как ее перенести из левого верхнего угла в правый нижний и убрать неиспользуемые кнопки?

---

Ответ от maxxer. Здравствуйте, msprodfaq. в Дополнительных Свойстах IE6 в разделе Мультимедия Вы найдёте соответсвующие установки. -- С уважением, maxxer mailto:news@maxxer.de

---

Из собственного опыта...
От чего зависит скорость обмена данными по сети? От оборудования, настройки протоколов, качестве прокладки коммуникаций и еще много других факторов. Я хочу рассказать о некоторых нюансах, с которыми лично я встретился на практике:
1) если у вас все оборудование 10/100 мбит и поддерживаются все дуплексные режимы, то скорее всего лучше будет в настройках жестко указать сетевым карточкам использование режима "100 Mbit Full duplex". Замечено, что иногда (по непонятным причинам) сетевые карты, свитчи и хабы (особенно если они не от одного производтеля) занижают скорость передачи данных;
2) это же автоопределение скорости может сыграть еще более злую шутку. Расскажу случай: работал я в крупной организации, было у меня 15 компов в своей подсети, на сервере 2 сетевухи от ASUS 10/100: одна смотрела во внешнюю сеть, другая во внутреннюю, обе сами устанавливали скорость соединения. В один прекрасный день пропала связь с внешней сетью. Как мы только не бились с главным админом, даже кабель новый протянули, но ничего не помогало. Как оказалось, свитч, стоявший в админской, к которому подключалась наша сеть был только 100 Мбитный, а сетевухе пришло в голову установить режим 10 мбит, который свитчем не поддерживался. Когда после долгих поисков "граблей" я изменил в параметрах сетевухи "Link Speed" с Autoselect на 100 Mbit Full duplex все заработало.