Когда всё спланировано, подготовлены диски с программами, драйверами и обновлениями, можно начинать установку системы. Более правильно ( надёжно/быстро ) устанавливать систему с нуля, на пустой раздел или жёсткий диск. Оригинальный инсталляционный CD Windows 2000 или Windows XP является загрузочным.
1. Сохранение настроек пользователя при миграции с более ранней версии системы
Для того, чтобы пользователи могли продолжать работать на
вновь установленной системе без каких-либо неудобств,
связанных с потерей большого количества времени на настройку
основных рабочих пакетов, используйте утилиты для миграции
настроек и документов. В состав Windows XP входит утилита
MigWiz, которая обеспечивает перенос основных настроек и
документов на новый компьютер, кроме того, в состав MS Office
XP входит утилита Save My Settings Wizard, которая сохраняет и
восстанавливает настройки MS Office. Если у вас нет времени
для детального рассмотрения и сортировки профиля пользователя
– сохраните его целиком. После установки системы на этом или
другом компьютере вы не торопясь сможете импортировать ссылки
на избранные страницы, адресные книги ( WAB), почтовые базы,
настройки покатов дизайна и вычислений ( INI), а также
загрузить новую и сохранённую ветви реестра пользователя для
импорта важных настроек (Интернет-соединений, пакетов и т.д.).
Если пользователь использовал сертификаты подписи/шифрования,
то восстановите эти сертификаты из сохранённых папок Crypto,
Protect и SystemCertificates, которые находятся в папке
Application DataMicrosoft (в сохранённом профиле).
2. Установка windows xp
Когда всё спланировано, подготовлены диски с программами,
драйверами и обновлениями, можно начинать установку системы.
Более правильно ( надёжно/быстро ) устанавливать систему с
нуля, на пустой раздел или жёсткий диск. Оригинальный
инсталляционный CD Windows 2000 или Windows XP является
загрузочным. При старте с инсталляционного CD запускается ядро
системы с поддержкой основного оборудования – накопителей,
монитора, клавиатуры, мыши и т.п. Ядро системы поддерживает
файловые системы FAT, FAT32, NTFS. Во время установки можно
удалить и вновь создать системный раздел. Он автоматически
будет помечен как загрузочный. Кроме установки системы при
старте с CD появляется возможность восстановления повреждённой
системы. Если возможность загрузки с CD отсутствует, то можно
установить (обновить) систему из Windows 9x на Windows 2000 и
Windows XP или Windows 9x и Windows 2000 на Windows XP,
запустив программу i386WINNT32.EXE. Если никакой системы не
установлено, то можно запустить i386WINNT.EXE после загрузки
с дискеты MS-DOS. Обращаю внимание на то, что при загрузке с
дискеты должны быть запущены драйвера CDD и SMARTDRV.
Загрузочную дискету можно записать на CD (следует различать
эмуляцию загрузочного диска с копией дискеты и загрузочный
диск Windows 2000/XP, у которого другой загрузчик) . Установку
можно проводить в автоматическом режиме, подготовив
предварительно файл ответов. Файл ответов может быть размещён
как на CD, так и на дискете. Если компьютеров несколько, то
установку можно проводить в полуавтоматическом режиме, когда
необходимо будет задавать только индивидуальные настройки
каждой машины, а запрос общих настроек производиться не будет.
Начиная с версии Windows XP фирма Microsoft ввела процедуру
активации своих продуктов. Активация не требуется для
корпоративных версий. Активацию можно производить в
автоматическом режиме при повторной установке на то же
оборудование используя файл ответов. Активацию можно
производить автоматически при наличии соединения с интернет
(производится запрос на сайта Microsoft ) .
Для локализации Windows 2000/XP и MS Office существуют
пакеты MUI (Multilanguage User Interface). Установка MUI
позволяет каждому пользователю выбрать язык интерфейса (окна,
подсказки, справка, меню, сообщения и т.д.).
Установленная система содержит архив основных драйверов
DRIVER.CAB, что исключает необходимость наличия
инсталляционного CD системы при установке нового оборудования.
Если система Windows 2000/XP не может распознать или найти
драйверов к старому оборудованию ( SCSI, ISA картам, сканерам)
и производитель оборудования более не поддерживает старое
оборудование, то можно попробовать установить драйвера от
Windows NT 4.0. При этом может понадобиться изменение INF
-файлов устанавливаемых драйверов. Для того, чтобы драйвера к
старому оборудованию загружались при старте системы и
оборудование распознавалось, оно должно быть ВКЛЮЧЕНО на
момент старта системы, кроме того, не рекомендуется ВЫКЛЮЧАТЬ
включенное старое оборудование (сканеры) до завершения работы
для предотвращения зависания системы.
3 . Создание / конвертирование разделов
Использование разделов формата FAT оправдано только в тех
случаях, когда без него нельзя обойтись (не работают важные
программы, используется загрузка нескольких систем и т.д.).
Формат NTFS предоставляет много важных возможностей –
управление параметрами безопасности, квотами, атрибутами
сжатия, шифрования, индексирования, жесткими связями,
потоками, восстановлением данных при сбоях и т.д. Механизм
параметров безопасности предоставляет гибкие методы
наследования для различных объектов. Для манипулирования
разделами используется окно «Управление дисками» оснастки
«Управление компьютером». Из DOS перед установкой системы
управление разделами может осуществляться программами FDISK
(DOS), GDISK (Norton Ghost), форматирование – FORMAT, OFORMAT,
GDISK и др. Разделы можно создать непосредственно при
установке Windows XP ( интерактивно – не в автоматическом
режиме установки). Конвертировать разделы, содержащие данные
без потерь из формата FAT в формат NTFS можно командой CONVERT
Disk: /FS:NTFS, где Disk: – имя раздела для конвертирования.
Разделам может быть не присвоена буква, тогда обращение к ним
происходит по имени, хотя консольные и стары программы могут
при этом не «видеть» эти разделы. При необходимости диски
можно преобразовать в динамические. Динамические диски
позволяют организовать RAID и объединять разделы.
4 . Установка HotFix, которые не были
установлены автоматически, в т.ч. для IE
Если вы загрузили из сети обновления после записи
установочного CD, то рекомендуется создать пакетный файл
запуска списка обновлений, как это было описано выше. Запуск
установки обновлений производится после установки системы из
сеанса пользователя, входящего в группу администраторов.
Обновления в сети можно устанавливать на компьютеры домена,
используя групповую политику. Более полную информацию по этому
вопросу можно получить. вызвав справку в оснастке групповой
политики.
5. Настройка TMP/TEMP, параметров
быстродействия, видеорежима, мыши. звуков
По умолчанию Windows NT/2000/XP создаёт папку для временных
файлов в папке профиля пользователя. Это имеет смысл, если
пользователи работают с конфиденциальной информацией, но в
этом случае обычно настраиваются параметры безопасности таким
образом, что посторонние не могут получить доступ к компьютеру
как локально, так и по сети. Во многих случаях может оказаться
удобным указать расположение общей для всех пользователей
папки временных файлов на разделе, отличном от системного, или
же отдельные папки временных файлов для групп пользователей с
установкой соответствующих полномочий безопасности. В этом
случае можно написать скрипт или командный файл, удаляющий
временные файлы из папки. Некоторые программы установки не
могут работать с папкой временных файлов, имеющей длинное имя
или содержащей символы национальный алфавитов. Обычно создают
папку TMP на втором или последующих разделах. Для того, чтобы
обращение происходило к новой папке, установите
соответствующий путь в параметрах (Свойства системы/
Дополнительно/ Переменные среды/ Переменные среды пользователя
– TMP и TEMP ).
Если ваш компьютер не обладает максимальной
производительностью и раздражают некоторые оформительские
элементы, то быстродействие можно несколько повысить, отключив
соответствующие возможности в настройках быстродействия
(Свойства системы/ Дополнительно/ Параметры быстродействия). В
этом же окне (Свойства системы) есть закладка «Автоматическое
обновление». Если компьютер не подключен к сети, то эту
функцию можно отключить, как и отключить запрос на отсылку
отчётов об ошибках (Свойства системы/ Дополнительно/
Переменные среды/ Отчёт об ошибках). Не следует стремиться
достичь максимального быстродействия за счёт устойчивости
работы системы и надёжности.
Для минимального утомления при работе за компьютером, если
у вас установлен обычный (не жидкокристаллический или
плазменный) монитор, рекомендуется установить значение частоты
обновления экрана максимальным (Экран-Свойства/ Параметры/
Дополнительно/ Монитор/ Частота обновления экрана). Если вы
уверены, что ваши видеокарта и монитор поддерживают большую
частоту, чем перечисленные в списке, то уберите галочку в поле
«Скрыть режимы, которые монитор не может использовать» (
ВНИМАНИЕ! Прочитайте сначала спецификацию к оборудованию.
Изменение частоты на значение, которое действительно не
поддерживается оборудованием, может сделать изображение
искажённым или повредить оборудование!). Многие игры и
некоторые мультимедийные программы при работе выбирают
графические режимы, отличные от режима по умолчанию. Иногда
устанавливаются минимальные значения частоты обновления. Для
коррекции значений можно использовать утилиты, которые можно
загрузить из интернета. Есть как универсальные утилиты (
PowerStrip, SkyTech Display Doctor, MultiRes, ReForce, NVMax
), так и предназначенные для использования с каким-либо
определённым типом видеокарт. Для игр, использующих DirectX
достаточно настроить частоту обновления экрана с помощью
утилиты DirectX.CPL, которую можно найти и загрузить из Сети.
Пользователи обычно настраивают для себя не только вид
рабочего стола, но и вид курсоров мыши, скорость перемещения,
параметры ускорения и дополнительные возможности. Левши могут
переключить распознавание левой и правой кнопок мыши. В
настоящее время получили распространение мыши с колёсиком,
которое используется для прокрутки документов и
масштабирования графики. Параметры использования колёсика
можно настроить как в оснастке управления манипулятором, так и
с помощью утилиты TweakUI пакета Power Toys for Windows XP.
Устанавливаемая по умолчанию звуковая схема может
понравиться новичкам, но при длительном использовании
компьютера постоянные звуковые сигналы на незначимые события
могут сильно утомлять. Кроме того, излишнее звуковое
оформление работы может мешать работе сотрудникам. Оставьте
только звуки критических событий (получение почты, сообщение,
ошибка, завершение операции и т.д.).
6. Подключение к домену, если это необходимо
Для централизованной идентификации пользователя в сети
используют домены. Каждый пользователь в домене получает
(кроме имени) идентификационный код, а объекты операционной (и
файловой) системы ( NTFS) содержат списки доступа ACL,
согласно которым осуществляется контроль доступа к этим
объектам. В списки с помощью оснастки управления безопасностью
можно вносить как индивидуальных пользователей, так и группы
безопасности. Наиболее эффективно работать с группами.
Назначение параметров доступа для конкретных пользователей
имеет смысл для домашних папок и папок профилей. Подключение к
домену позволяет применять групповую политику к подразделениям
и централизованно управлять параметрами безопасности,
сертификатами, установкой обновлений и выполнением сценариев.
Подключение к домену может производиться непосредственно во
время установки системы как с помощью сценария автоматической
установки, так и вручную. Необходимым условием подключение
является наличие сетевой карты, опознание её системой и
наличие встроенных или добавленных в OEM папку драйверов этой
сетевой карты. Если драйвера сетевой карты небыли установлены
при установке системы, то позднее, после загрузки и установки
драйверов администратор домена может подключить компьютер к
домену. Идентификация пользователя и рабочей станции
производится контроллером домена. Если отсутствует связь с
контроллером домена, то выполнение некоторых операций может
быть затруднено. Для исключения ситуации, когда пользователь
не может произвести вход в систему в параметрах безопасности
можно указать количество входов, выполняемых без доступа к
домену. Максимальное число регистраций – 50 . Если необходимо,
чтобы пользователь имел возможность работать на машине без
влияние на это контроллера домена, его учётную запись
администратор должен создать локально. Для обеспечения доступа
к ресурсам машин рабочей группы локальная учётная запись
пользователя должна быть создана на каждой машине, к которой
необходимо обеспечит доступ. Для получения доступа к ресурсам,
для которых назначены права доступа с помощью записей домена
из компьютеров рабочей группы, можно воспользоваться
подключением ресурса утилитой NET , которая позволяет указать
имя пользователя, домен и пароль, для который требуется
произвести подключение. В домене также происходит
автоматическая синхронизация времени. Обычно контроллер домена
синхронизирует время по времени внешнего сервера атомных часов
или с сервером провайдера, сервером почты и т.д., которые в
свою очередь проводят синхронизацию с сервером точного
времени. Для синхронизации должна автоматически запускаться
служба времени Windows. ( см. команды NET TIME, w32tm)
7. Установка программ под windows xp
Установка программ производится администратором машины.
Наиболее эффективна административная установка. Ярким примером
является установка Microsoft Office. Администратор заранее
создаёт сетевой ресурс, на который производится
административная установка, применение предопределённых
настроек, интеграция интернациональных пакетов и пакетов
обновлений. Затем сама установка непосредственно на рабочую
станцию производится максимально быстро, без выбора параметров
установки, причём по завершении установки пользователь
получает полностью обновлённый и настроенный (согласно
требованиям организации) продукт. Установку пакетов наиболее
эффективно производить согласно протоколу установки, который
составляется опытным администратором (администраторами), и
который учитывает особенности настройки программ для
конкретной организации. Наличие протокола установки позволяет
однотипно настраивать рабочие станции в организации даже
администраторам, не имеющим большого опыта. Однотипность
настроек рабочих станций позволяет сократить затраты усилий и
времени на мониторинг, обновление и управление системой. Если
возникает необходимость развёртывания однотипных пакетов, не
поддерживающих административную установку в сети, то с помощью
инструментов WinInstall можно подготовить установочные пакеты.
Инструменты WinInstall входят в состав Windows 2000 server. На
эталонном компьютере (установлена система и пакеты
исправлений) запускается программа Discover (Discoz.exe),
создаётся снимок системы до установки пакета (рекомендую
перегрузить машину и запустить пакет). Затем опять запускается
программа Discover , которая на этот раз создаёт снимок
системы после установки. Разница снимков даёт установочный
пакет. Подобный метод имеет ряд ограничений – нельзя таким
образом паковать пакеты, которые привязываются к оборудованию,
обязывают вводить индивидуальный серийный номер или код
активации для каждой (конфигурации) машины, привязываются к
сетевым настройкам и т.д. Можно объединить в один установочный
пакет несколько программ, например офисные приложения,
архиваторы, антивирусы, программы дизайна и вёрстки, причём
перед перепаковкой установочного пакета эти приложения можно
настроить для работы в вашей организации, что исключит время,
необходимое для настройки на остальных компьютерах.
Установочные пакеты приложений, привязывающихся к машине или
имеющие какие-либо ограничения установки также можно сделать,
но с целью быстрого восстановления системы при её
переустановке в случае сбоя (хотя в данном случае более
эффективным способом является восстановление из клона (образа)
жёсткого диска, см. далее). Установочные пакеты можно
назначить к установке на компьютеры домена с помощью групповой
политики.
8. Установка исправлений программ
По мере выхода пакетов исправлений необходимо обновлять
программные пакеты для обеспечения максимальной защищённости
системы и предупреждения сбоев в работе. Установку пакетов
обновлений можно производить вручную на каждой машине, но
наиболее эффективно производить обновление, используя
групповую политику. Правда, в этом случае пакеты обновлений
должны быть представлены файлами типа MSP. Для экономии
времени (чтобы не отслеживать появление пакетов обновлений на
сайте производителя) существуют специальные рассылки, из
которых вы сможете своевременно получать необходимую
информацию [ Security
UPDATE , Inroad Hi ,
BugTraq:
Rus , Inside
Security Administrator ] . Microsoft выпустила специальный
пакет Software Update Services Server ( SUS), который
позволяет развернуть на сервере организации службу обновлений.
Необходимо загрузить со страницы Software
Update Services Server 1.0 with Service Pack 1 файл SUS10SP1
.exe, который является серверной частью службы и
установить его на сервере предприятия. Затем со страницы SUS
Client Download загрузить файл WUAU22rus
.msi (Windows 2000 SP3 содержит это обновление) и
установить его. Загрузите также административный шаблон wuau.adm
, который позволяет адаптировать функциональность клиента
SUS SP1. Более подробную информацию по использованию
автоматического обновления смотрите на странице Deployment
Guide .
9. Установка программ для проверки безопасности системы
Microsoft лицензировала и выпускает пакет Microsoft Baseline
Security Analyzer ( MBSA
) – упрощённую версию программы QuickInspector ( Shavlik Technologies, LLC )
, проверяющую установленные пакеты обновления и критичные для
безопасности настройки. Периодически обновляется база mssecure.cab
, содержащая список выпущенных обновлений и проверяемых
настроек безопасности mssecure.xml. Кроме указания ссылок на
критические пакеты обновлений системы этот список содержит
комментарии, объясняющие назначение той или иной заплатки.
10. Настройка программ
Устанавливаемые программы загружаются с настройками,
созданными по умолчанию. Ряд задач выполняется более
эффективно, если установленные программы настроены специально
для этого. Настраиваются панель быстрого запуска, меню, панели
инструментов, режимы предварительного просмотра, печати,
сохранения и автосохранения, автозамены. Указываются папки
шаблонов, проектов и т.д. Общие для всех пользователей
настройки сохраняются в системном реестре и в папках установки
пакетов. Для того, чтобы при создании профиля пользователя
этот пользователь получал уже настроенные программы,
необходимо пользовательские настройки (хранятся в ветке
реестра пользователя и в папках профиля) экспортировать в
профиль Default User, являющийся шаблоном для создания новых
профилей пользователей и профилей гостя .
11. Установка антивирусного обеспечения
Для обеспечения конфиденциальности и безопасности работы
рекомендуется продумать антивирусную политику компании. Более
эффективным является подход, когда пользователей информируют о
возможных вирусах и их проявлениях, а также проводят
инструктаж о методах безопасной работы. Даже очень эффективное
антивирусное обеспечение не в состоянии полностью обезопасить
систему, если пользователь пренебрегает элементарными
правилами безопасной работы. Из антивирусного обеспечения
можно выбрать (согласно пресс-релизам и обсуждениям в группах
новостей и в форумах) тот пакет или те пакеты, которые
наиболее полно удовлетворяют потребности работы. Для
индивидуальных пользователей наиболее удобны антивирусные
программы, обеспечивающие обновление баз с минимальными
затратами, не имеющие конфликтов с установленными пакетами и
имеющих локализованный интерфейс. Для организаций добавляются
требования централизованного управления, службы защиты почты,
трафика, web-сервера, а также возможность централизованного
аудита и обновления баз. Согласно статистике на момент
написания (дополнения) статьи в русскоязычном регионе
преобладают Norton Antivirus ( Скачать Norton Antivirus 2005) и
AVP ( Скачать Антивирус Касперского Personal 5.0.303 beta 2),
многим индивидуальным пользователям нравится Dr.Web ( Скачать Dr.Web 4.32.5) .
1 2 . Регистрация пользователей
Если компьютер входит в состав домена, то пользователи
регистрируются один раз, в домене. Если же настраиваемый
компьютер не подключен к электронной сети или входит в состав
рабочей группы, то пользователей приходится регистрировать на
каждой рабочей станции. Обычно регистрация производится
администратором вручную, но при наличии нескольких машин в
рабочей группе имеет смысл написать командный (пакетный) файл
или сценарий, который будет регистрировать пользователей по
списку, а также создавать рабочие папки вне системного диска с
назначением соответствующих полномочий. Регистрация
пользователей из командной строки может производиться командой
NET, а назначение полномочий командой CACLS. После регистрации
можно изменить настройки учётных записей пользователей. Если
политикой организации не предусмотрено другое, то можно снять
(или установить) ограничения на время действия пароля. Если
пользователи работают с конфиденциальной информацией, то имеет
смысл с помощью политики безопасности вынудить их периодически
менять пароли и запретить их повторное использование, кроме
того, можно указать минимальное количество символов в пароле,
а также блокировку учётной записи на некоторое время при
введении определённого количества неверных паролей, это
радикально затруднит подбор паролей злоумышленниками. При
вхождении компьютера в домен все параметры безопасности можно
задать централизовано. По умолчанию настройки безопасности
домена имеют приоритет над локальными. Для миграции
пользователей домена при обновлении (с NT 3.51, NT4, W2k) или
слиянии домена воспользуйтесь утилитой Active
Directory Migration Tool ( ADMT
)
1 3 . Профили
В системах Windows NT/2000/XP ( и в урезанном виде в
Windows 9x) все настройки пользователей хранятся в т.н.
профилях – папках, к которым имеет доступ система,
администраторы и пользователь-владелец. В Windows NT обычно
это папки в % WinDir%Profiles, а в Windows 2000/XP /2003 это
« C:Documents and Settings » (на профиль пользователя
ссылается переменная окружения %USERPROFILE%) . Папки профиля
создаются при первом входе пользователя в систему и
соответствуют сетевому имени пользователя. В профиле хранится
персональная ветка реестра HKEY_Current_User (HKCU) в файле
NTUSER.DAT (USER.DAT для Windows 9x). Также в профиле
располагаются меню пользователя, рабочий стол, папка
«Избранное» , персональные настройки пакетов, кэш загруженных
из инетрнета страниц, файлы Cookies, задания печати, список
недавно открытых файлов, ссылки команды оболочки «Отправить»,
ссылки на сетевые ресурсы. Профиль позволяет настроить систему
и программы индивидуально для каждого пользователя. Из
настроек общими для всех пользователей является разрешение и
частота обновления экрана. Система также содержит общие для
всех пользователей настройки и ярлыки главного меню и рабочего
стола. которые находятся в папке « C:Documents and
SettingsAll Users » (переменная окружения %ALLUSERSPROFILE%
).
В папке профилей находится папка шаблона для вновь
создаваемых профилей пользователей – Default User . Если вы
хотите, чтобы новые пользователи получили настроенные
программы, то можно скопировать все необходимые настройки в
эту папку (необходимо проверить, чтобы пути в INI- файлах,
копируемых в профиль-шаблон не ссылались на ваши папки, эти
строки можно просто удалить), а также необходимо внести
соответствующие изменения в файл реестра шаблона. Для этого
необходимо экспортировать ветку реестра пользователя, которую
берёте в качестве эталона, а затем включить её в
профиль-шаблон. Делается это так: в программе REGEDIT
(REGEDT32 для Windows 2000) загружается куст реестра
пользователя, который принят за эталон (при этом должна быть
выбрана ветвь HKLM), в качестве имени задайте «1», выделите
подключённую ветвь и экспортируйте её в файл (при экспорте
укажите текстовый формат REG- файла для Windows NT4) . В
текстовом редакторе удалите все строки, которые не должны
попасть в шаблон (обычно это ссылки на личные папки, настройки
почты и сети). Выгрузите куст эталона и под тем же именем
загрузите куст шаблона из « Default UserNTUSER.DAT » ,
запустите экспортированный и изменённый REG- файл, его
содержимое будет включено реестр шаблона.
Если организация оснащена однородным оборудованием и
системами, то имеет смысл использовать ПЕРЕМЕЩАЕМЫЕ профили
пользователей. Это значит, что пользователи, настроившие свои
программы и систему получат эти настройки на всех других
машинах. Для реализации на сервере создаётся ресурс Profiles,
в нём папки пользователей (пользователям должны быть
предоставлены полномочия полного доступа к своим папкам), в
оснастке управления пользователями Active Directory
контроллера домена в свойствах пользователей указывается
сетевой путь к папке профиля. При завершении сеанса профиль
пользователя домена будет скопирован на сервер, при создании
нового сеанса будет произведена синхронизация локального и
сетевого профилей. На компьютерах, для которых нет
необходимости или возможности использовать перемещаемый
профиль, тип профиля можно указать в менеджере профилей
оснастки «Свойства системы». В окне назначения профиля есть
ещё одно полезное свойство – подключение домашней папки.
Уведомите пользователей, что создаваемый виртуальный раздел
является сетевым и подключает на всех компьютерах одну и ту же
сетевую папку с документами. Это свойство позволяет не только
отделить папку документов от папки профиля, но и разместить её
на другом сервере. Для создания рабочих папок пользователей
удобно пользоваться командным файлом, который также назначает
полномочия для пользователя. Пример командного файла
AddHome.cmd ( создаёт домашние папки пользователей в текущей,
имена пользователей задаются в качестве параметров ):
@echo off
rem Создание папки по имени пользователя
rem и добавление прав этого пользователя на изменение
:start
if "%1"=="" goto end
MD %1
cacls %1 /e
/G %1:c
shift
goto start
:end
В некоторых случаях можно применить ОБЯЗАТЕЛЬНЫЙ профиль.
Если в системе присутствует пользователь, под именем которого
работают несколько людей и который обычно используется в
образовательных целях, изменения вносимые в профиль могут
привести к неузнаваемости или неработоспособности пакетов.
Профиль создаётся и полностью настраивается, затем полученный
шаблон копируется локально в папку или на сетевой ресурс.
Необходимо проверить, чтобы владельцем папки и её содержимого
являлась группа администраторов, а не пользователь (группы
администраторов), иначе могут возникнуть проблемы при создании
текущего профиля из шаблона обязательного профиля. Файл
NTUSER.DAT в папке шаблона переименовывается в NTUSER.MAN
(Mandatory – обязательный, англ.). Пользователи, которым будет
назначен обязательный профиль должны иметь полномочия для
чтения. У пользователей, которым необходимо назначить
обязательный профиль в настройках пользователей (локально или
в домене) в окне закладки «Профиль» указывается путь к папке
шаблона. При входе пользователя каждый раз создаётся его
профиль из шаблона. Тем самым экономится время для
восстановления настроек системы после каждого сеанса работы и
исключает необходимость установки дополнительных ограничений.
Некоторые ограничения обязательному профилю всё же
рекомендуется сделать – запретить кнопку блокирования рабочей
станции ( к сожалению , не запрещает блокировку комбинацией
клавиш Windows+L) , запретить установку блокировки при запуске
хранителя экрана, скрыть закладку изменения параметров
дисплея, запретить пользователю изменять пароль. Также
желательно назначить пользователю, для которого используется
обязательный профиль, выполнение командного файла при входе в
систему, который будет очищать папку временных файлов. Пример
файла M_USER.REG для внесения ограничений и вызова командного
файла ( ClearTMP.cmd ):
REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableLockWorkstation"=dword:00000001
"NoDispSettingsPage"=dword:00000001
[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsControl
PanelDesktop]
"ScreenSaverIsSecure"=dword:00000000
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
"ClearTMP"="C:WINDOWSSystem32ClearTMP.cmd"
1 4 . Загрузка в режиме консоли восстановления и
архивирование файлов system и software
Иногда, при сбоях электропитания или накопителя возникает
ситуация, когда испорчен один из файлов реестра. При старте
машины при этом выдаётся синий экран с сообщением, что
невозможно загрузить файл реестра SYSTEM или SOFTWARE. При
восстановлении файлов реестра из папки REPAIR
восстанавливается реестр, который был сохранён на момент
окончания установки системы, все настройки программ при этом
будут утеряны. Для исключения подобной ситуации можно сделать
резервные копии файлов реестра после того, как настройка
системы и программ завершена, а также зарегистрированы (и
произвели единожды вход) локальные пользователи. Во время
старта загрузки системы нажмите клавишу F8 , из списка
выберите консоль восстановления (должна быть установлена
предварительно), введите имя и пароль пользователя с правами
администратора, зайдите командой CD в папку конфигурации
(обычно это C:WINDOWSSYSTEM32CONFIG) и создайте копии
файлов SYSTEM, SOFTWARE, DEFAULT, SAM, SECURITY. Для резервных
файлов можно использовать расширение SAV или дату в формате
ГГММДД, например SOFTWARE.021030. Задайте в параметрах
безопасности параметры полного доступа только для группы
администраторов. Остальных пользователей вообще можно
исключить из списка доступа к резервным файлам. Если вы не
установили консоль восстановления в систему, то загрузить её
можно с загрузочных дискет или при старте системы с
установочного компакт диска.
15. Клонирование накопителей
Для сохранения резервных копий системы или для дублирования
настроенной системы на схожее оборудование, при переносе
системы при смене жёсткого диска на новый можно использовать
клонирование накопителей. В качестве программ клонирования
хорошо зарекомендовали себя Drive Image (PowerQuest) и Norton
Ghost (Symantec). Персональная или пробная версия Norton Ghost
записана на CD драйверов, поставляемых в комплекте ко многим
материнским платам, кроме того её можно загрузить из
интернета. В процессе клонирования создаётся архив точной
копии или копия раздела или всего диска. Архив можно
создавать/хранить в сети, на CD или ленте. При необходимости
производится восстановление образа раздела или всего диска из
архива. Программы клонирования поддерживают диски большого
размера и разделы с различными файловыми системами. При
создании копии можно менять размеры разделов (обычно в большую
сторону).
Если клонируется система компьютера, который не подключен к
сети или создаётся клон при замене жёсткого диска, то после
завершения процесса никаких действий обычно производить не
надо. Если компьютеры подключены в сеть, то при включении
систем-клонов возникнет конфликт, т.к. копии будут иметь
одинаковый SID, IP и др. Для исключения подобной ситуации
Microsoft выпустила утилиту SysPrep , которая удаляет из
системы SID и другую индивидуальную информацию. Чем однороднее
оборудование в организации, тем меньше проблем с клонированием
может возникнуть. Для клонирования выбирают компьютер,
наиболее схожий с остальными. Порядок клонирования такой:
полностью устанавливается и настраивается Windows 2000/XP,
устанавливается программное обеспечение, которое должно быть
на ВСЕХ машинах, в оснастке Управление компьютером/Диспетчер
устройств удаляются сетевые карты, модемы, если у материнских
плат компьютеров организации различные чипсеты, то
устанавливается стандартный IDE контроллер в пункте IDE/ATAPI
контроллеры, запускается программа SysPrep и компьютер
выключается. Для клонирования подключается второй жёсткий
диск, в настройках BIOS указывается загрузка с дискеты ( CD),
загружается система и программа клонирования. Выполняется
операция клонирования (или архивирования). Компьютер
выключается и носитель отключается. Настоятельно не советую
включать машину и загружать систему с клонированного жёсткого
диска, когда подключен клон. Сразу работать должно, но обычно
возникают проблемы ПОСЛЕ отключения клона из-за искажённых
значениях в разделе реестра HKLMSYSTEMMountedDevices. После
клонирования может понадобиться присвоение имён дисков
разделам в оснастке Управление компьютером/Управление дисками.
Также после клонирования необходимо задать имя компьютера,
параметры сети, подключить компьютер к домену. Если
оборудование, куда устанавливается клон системы отличается от
оригинала, то может понадобиться установка дополнительных
драйверов. Настройки клонов можно проводить в автоматическом
режиме, как и установку системы. Для этого создаются файлы
ответов. В файлах ответов можно указать настройки нескольких
машин. Применение нужной настройки для конкретной машины
указывается пользователем. С помощью файлов ответов можно
установить дополнительные драйвера, пакеты, настроить сеть и
т.д.
Источник: www.servicecomp.ru