Естественно сделать ничего изначально не получилось, так как Microsoft Outlook вис довольно быстро. Тут надо отметить, что по мне, так Outlook является одним из наиболее ублюдочных почтовых клиентов, хуже которого разве только Netscape и клиент Domino. К тому же у клиента Microsoft Outlook есть довольно интересные особенности- это глюки связанные с обработкой pst файла.

Начиная с версии 2003 файл pst использует Unicode формат, позволяющий файлу pst расширяться до 20Гб, против 2Гб которыми было лимитировано использование ANSI формата ost. Но, не смотря на это, при приближении к лимиту в 20Гб почта начинает дурковать, так что для нормального использования, необходимо задавать в реестре четкие параметры лимитов свыше которых файл не увеличивается, т.е 20 ГБ для MaxLargeFileSize (максимальный размер файла) и 19Гб для WarnLargeFileSize (максимальное количество данных):
MaxLargeFileSize     REG_DWORD     0×00005000
WarnLargeFileSize     REG_DWORD     0×00004C00
для Office 2007 они расположены (у 2003 окончание ветки будет выглядеть как: \11.0\Outlook\PST):
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0\Outlook\PST
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Outlook\PST

Но это данные которые необходимо настроит перед ем как экспортировать данные в файлы pst, так как для такого числа данных все равно придется заводить несколько файлов pst, чтобы подключить всю почту.

А вот далее начинаются пляски с бубнами- так как чтобы вытянуть всю почту с сервера в Outlook, необходимо произвести манипуляции над Gmail- создать специальную папку не в Inbox, куда смувить всю почту, после чего, настроив на клиенте удаление почты с сервера, опционно перекидывать по 1-2Гб почты в Inbox и вытягивать их оттуда. Иначе клиент будет залипать в любом случае.

Использовать какие либо другие почтовые клиенты не удастся, так как Outlook Express и TheBat имеют лимиты на размер одного файла папки в 2Гб, а Thunderbird 4Гб. Теоретически тащить можно с 64битной Винды, там лимиты побольше. Но также можно попробовать и клиента Mail для Windows 7, поскольку он складирует письма отдельными файликами. Теоретически затянуть из потомка Outlook Express в MS Outlook не должно составить проблемы.

Но самое веселое во всем этом, что данная уязвимость была найдена итальянским безопастником Луиджи Ориемма аж в мае 2011 года, и данные о ней были переданы в Microsoft, которые разродились срочным патчем только после того, как данные об этой дырке просочились в инет.

Но еще более забавно, что уже 15 марта на китайских сайтах уже появился эксплоит использующий данную уязвимость и по заголовкам внутри кода, имеется предположение, что ноги данного эксплоита растут из Microsoft MSRC – лаборатории мелкомягких, как раз по отлову подобных дырок.

Так что если у вас таки торчат какие то серваки в инет, то привет от майкрософта- патчите срочняком по данной ссылке с офф.сайта. Хотя конечно памятуя о работе мелкомягких по срочному устранению кртических уязвимостей- как бы эта заплатка не наделала еще больших дырок.

Так вот, уже с год у него имеется навязчивая идея использовать для почты своей конторы решение облачного сервиса  Microsoft Office 365, о котором, как мне казалось, я писал по прошлой весне (но найти данной статьи я не смог), когда изучал решение от буржуйских партнеров Microsoft – 123Together и тогда остался крайне недоволен качеством предоставляемого сервиса. В этот раз проба пера уже была через российского партнера Microsoft, некоего интегратора, от которого приехал очень приятный пресейл, все нам рассказал и показал, правда, как выяснилось, на половину интересовавших меня вопросов он не смог дать вразумительный ответ, так что досылал их уже после по мылу.

Собственно о том, что я вынес из беседы и последующего тестового периода, под катом:

Сервис предоставляется самими мелкомягкими, то есть все хостится в их облаке, а интегратор лишь является прослойкой для передачи бабок и помощи, если необходимо, при интеграции в существующую схему и переносе данных. Стоит это, по моему мнению, весьма не скромно- порядка 200 рублей за почтовый аккаунт (хотя год назад это конечно стоило 450), так что в нашем случае выходит около 15к рублей в месяц, причем надо заметить для части офиса. Учитывая, что навороченный дедик в хорошем ДЦ стоит 4-5к рублей (хотя он тут и не нужен), то как говорится- почувствуйте разницу.

Данное решение (сейчас речь про весь облачный сервис Microsoft Online Services, в который входит и Office 365) обладает всеми прелестями облачного хостинга, как Exchange, так и Sharepoint, Office Web Apps или Lync.  В данной статье я распинаюсь про Exchange, так как шарика я уже хапанул с избытком и так.

Говоря про Exchange, не могу не заметить, что его достоинства как почтового решения для меня являются не особо убедительными, но все же: то есть синхронизация с AD, поддержка службы единого  входа (правда опять же не ясно зачем это в офисе где нет перемещаемых профилей и удаленных пользователей врубающихся по VPN в AD, т.к. логин настраивается один раз сисадмином), резервирование на стороне MS, попсовая вебморда OWA, синхронизация со всякими гаджетами и работа по ActiveSync, встроенный планировщик. При этом в облачном сервисе естественно присутствует простота администрирования, когда у тебя не болит голова, отчего у тебя упал транспорт сервера если ты изменил настройки одного ящика, так как клиенту предоставляется простой веб интерефейс управления. Вот наверное только ради этого и стоит использовать решение Microsoft Office 365, хотя опять же не совсем понимаю чем он лучше например DA или даже CPanel. Точнее, про простой интерфейс говорит интегратор и сами мелкомягкие, так что я этого не понимал, пока не вгрызся в интефрейс управления сам.

Для меня вообще загадка чем Exchange лучше чем связка их dbmail + exim + mysql + clamav + dspam + horde, ибо все эти фичи можно поиметь гораздо дешевле и что главное стабильнее, но меня в этой ситуации мало слушали, так что продолжаю.

А теперь немного о минусах:

Во-первых остался не понятный баг с алиасом, когда заголовок письма адресованный алиасу перезаписывается и письмо падает на имя аккаунта. При этом списки рассылки доставляются корректно. Так что алиасы, для корректной доставки, чтобы было понятно на какой мейл было прислано письмо, следует организовывать через списки рассылки. Но при этом, для того чтобы производить отправку от лица списка рассылки (как ответ на присланное письмо), придется немного пошаманить в админке и PowerShell (это еще одна фича от мелкомягких, когда часть оп, что в Exchange, что в SharePoint включается только через консоль).

Во-вторых создание алиаса или списка рассылки выливается в час непонятного ожидания чуда, ибо эти адреса, в отличии от основного аккаунта, начинают отрабатывать то ли через час, то ли через полтора- меня обламывало ждать обычно и я ограничивался периодически отправлениями писем, на которые получал отлупы, что пользователь не найден.

В-третьих это ужасный интерфейс управления- реально архитектору разрабатывавшему этот сервис надо поотрывать руки, так как вообще управлялок аж три штуки: уровня сервиса, уровня пользователей и спам сервис на базе движка от Forefront, причем от рутового меню до управлялки спамом добираешься кратчайшим путем в 4 клика! Учитывая, что менюхи совершенно не вразумительные и навигация не фига не интуитивно понятная, то возникает ощущение, что термин юзибилити наличиствует не во вселенной Microsoft. В добавок к этому часть менюх открывается только в новом окне, даже если ты используешь FF, что естественно крайне неудобно, особенно учитывая тот момент, что правый клик мыши на них не работает.

Учитывая новый уровень юзабилити, ящик заводится манипуляцией в двух управлялках- сначала в одной вы настраиваете пользователя, алиасы, ФИО, адрес и весь фарш, после чего идете уже в другую консоль и включаете там для него лицензию сервиса. Понятно, что это происходит из-за того что в решении Microsoft Online Services реализовано несколько разных сервисов, но для ручного создания пользователей это конечно гемор.

Кстати к вопросу о едином входе: там тоже не все однозначно, так как надо доставлять несколько приблуд (ADFS 2.0 и DirSync) на доменные контроллеры и либо организовывать прокси, либо пробрасывать ssl порт на доменные контроллеры, что конечно очень не однозначное решение по безопасности, так что теоретически под это дело надо выделять отдельный сервер в DMZ.

Также для корректной работы необходимо добавлять в файл зоны SPF запись, в связи с чем возникает вопрос как будет происходить работа с почтарями не имеющими подобных настроек, так как в свое время мелкомягкие пытались навязывать всем свои RBLки, в том числе и через Hotmail, который не принимал почту с серверов не имевших данную запись. На уровне спам фильтра эта опа, отлуп без SPF есть, но это может работать также и на уровне самого движка.
Также в сервисе продолжает работать мелкомягкий феншуй- все грабли лечатся через релогон, отдельное спасибо что не через перезагрузку облака- то есть лицензия на использование сервиса, у вошедшего пользователя, подхватится только после релога, если сессия спам-фильтра Forefront истекла, то надо отключаться из основного аккаунта, так как при попытке открыть сервис снова, он в каждом новом окне будет писать, что сессия истекла, закройте окно. Возможно что это проблема именно FF, и в IE этой проблемы нет, но кто еще пользуется мелкомягкой бродилкой то?

На тему спам фильтра так я вообще не понял- судя по всему в него пользователей надо также подтягивать дополнительно, либо ручками, либо каким то механизмами- отчего так и почему, не понятно, но по дефолту двигло не знает о заведенных в систему пользователях, хотя домен оно вкуривает. Причем какие то параметры срабатывания спам-фильтра добавить можно, причем их достаточно много, а вот антивирь и проверку контента нет. Причем интерфейс у данного спам фильтра- позавидует даже dspam со своими замороченными настройками- разобраться без поллитры нереально. Самое забавное что в одной настройке система пишет что фильтрация вирей включена по умолчанию, при этом в другой статус работы стоит отключено. Кто в этом прав, а кто нет- совершенно не понятно.

Вообщем впечатления от системы крайне негативные- не смотря на то что самих настроек системы Exchange Online не много, мелкомягкие смогли их так растасовать, что работать с ними крайне неудобно, к тому же если сравнивать с упомянутой выше  CPanel, то мелкомягкие мягко говоря проигрывают (DbAdmin и подавно)- ибо по своей традиции, к велосипеду они прилепили реактивный двигатель, но при этом не позаботились о брызговиках. На мой взгляд: дорого, не практично и неудобно. Еще большой вопрос относительно стабильности работы всего этого богатства, а также резервирования. Единственный плюс, что они дают порядка 25 гигов на почтовый ящик, но опять же- на мой пристрастный взгляд- это бред, хранить такое количество почты на удаленном сервере, так как максимум который может сделать пользователь за 3-4 месяца (из наиболее клинической практики)- это где то 2 гига, которые надо в любом случае держать на машине, и если делать по уму, то резервировать на отдельный сервак, откуда можно было бы вытащить эти данные в случае необходимости. Ибо максимальное количество почты что хранилось у моих клиентов- это было около 40 гигов переписки за несколько лет, необходимость в которых возникала всего пару раз за год. Опять же резервирование скульной базы данных, в случае локального сервера- банально до простого- как это делать на удаленном почтаре, мне все таки не совсем понятно, ибо размер базы будет составлять сотни гигов.

Вообщем что имеем: ошибка “-200 File is not data file” и далее точный адрес пациента. Данная проблема говорит о том, что файл базы данных бякнулся и система не может его распознать как базу данных. Так что путей лечения буквально чуть-чуть, но основной базируется на постулате, что одни админы никогда не теряли данные, а другие уже их резервируют.

Но есть несколько операций, которые возможно могут помочь в этой не простой задаче:
1. Сделать резервную копию уже порушенной базы;
2. Прочекать диск на ошибки, если вдруг выяснится что компьютер перед этим перегружали по кнопке, или он вис (хотя бухгалтеры при этом вопросе сразу начинают уходить в несознанку);
3. Прочекать базу на ошибки: Конфигуратор -> Администрирование -> Проверить на ошибки ИБ (или как то так);
4. Если с бэкапом сложно, то можно попробовать переставить программную часть, хотя мне кажется это из раздела бубнов;
5. Ну и последняя (сугубо теоретическая) надежда, которая основывается на крике бухгалтерам “РУКИ ОТ КОМПЬЮТЕРОВ!” после падения базы. Вероятнее всего, что если этого крика не было, прежде чем вам позвонить они раз 150 пытались уже запустить базу, видели ошибку и снова запускали. Но в надежде что это было все не так, можно попробовать просканить файловую структуру диска в данной папке, вполне возможно что сможете там найти удаленные хвосты переписанного файла.

И никогда не доверяйте бухгалтерам. Они ленятся делать бэкапы сами.

Дело в том, что у Windows XP SP2 имеются ограничение на число одновременных сессий tcp (а точнее сессий согласования TCP half-open), установленное в режим 10. Сделано это было мелкомягкими умышленно, для ограничения распространения червяков и дос-атак, которые с выходом Windows XP расцвели буйным цветом, и в первоначальной версии Windows XP этого ограничение отсутствовало, но мелкомягкие посчитали, по своей обычной традиции, что нет смысла бороться за живучесть системы, и проще зарезать число конкурирующих сессий.  Причем в XP это реализовано на уровне системного файла TCPIP.SYS, который необходимо патчить с помощью программы: EventID 4226 Patcher Version 2.23d которая увеличит это число до 50.

Для того чтобы увеличить до максимума число возможных сессий в виндовой сетке, следует сделать следующее: запустить глобальные политики CTRL+R -> gpedit.msc ->Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Локальные политики -> Параметры безопасности -> Интерактивный вход в систему -> выставляем его в 0 (отключение ограничения)

или же внести правки в следующий ключ реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
изменив значение CachedLogonsCount на 50 или 0

В Vista SP2 и Windows 7 это ограничение уже было убрано из драйвера протокола, но в системе имеется ограничение на использование сетки для шаринга и печати, установленное в 20 соединений. Проверить это можно, вбив в dos-promt  (CTRL+R -> cmd) команду net config server, которая выведет максимальное число пользователей.

А также максимальное число входящих подключений к IIS, которое можно настроить через ключ реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpNumConnections (тип: DWORD, задав его от 5000 до 65536)

Вообщем у клиента парк порядка 5 серваков- покупалось в виде Enterprise и Standart которые разрешено вешать в виртуальном окружении в нескольких копиях и порядка 60 тачек с Windows 7 и офисом. Собственно все покупалось в том, году и нормально работает. В итоге в начале года мелкомягкие присылают бумазяву- опросник, какие продукты есть, что используете. На вопрос мне, что делать- отвечаю, что слать лесом. Поскольку свое бабло они получили, что как и главное в какой инфраструктуре это используется- это их не касается. Но клиент решает поиграть в честный бизнес, и сажает своего айтишника писать ответ турецкому султану. Не понятно уж каким боком они упоминают о том, что в конторе присутствует VPN, при том что он естественно реализован не средствами мелкомягких, в результате чего российский офис начинает их сношать на предмет того, почему они незаконно используют терминальный сервер без приобретения самого сервака, а также лицензий на терминалы.

Причем у клиента даже куплены CAL лицензии, точнее не сами CAL, а их замена – лицензирование на базе процессоров, что имхо конечно полный бред и обдиралово, но граждане решили что так проще и спокойнее. Но как грится “не было у бабки проблем, купила бабка порося”- и мелкомягкие неистовствуют. Самое примечательное в компании Microsoft это то, что в их лицензировании не разбираются даже их продакты, что я обнаружил когда года два назад озачивался лицензированием сервака и даунгрейдом тогда еще Windows Vista. И вот эти люди запрещают нам ковыряться в носу требуют от конторы объяснений, так что людям приходится расписывать мелкомягким схему подключения, при которой клиент VPN попадает в DMZ, откуда уже коннектится к своей офисной машине и далее работает именно с неё, что естественно никаких дополнительных лицензий не требует. Мелкомягкие по итогам трехдневных переписок- перезвонов отвязались, даже похвалив за оригинальность решения.

Так что с полной гордостью можно сказать, что наше решение VPN топологии одобрено Microsoft.

Но мораль такова- не хотите излишних проблем, не вступайте в ненужные переписки с офисом вендора.

И вот случайно набрел на один форум, где зарегался, после чего полез смотреть, что пишут. И оказалось что это форум являющийся поддержкой некоего программного продукта под названием  Sandboxie. Как явствует из названия, продукт представляет собой песочницу для винды, то есть витиевато выражаясь: виртуальное, защищенное окружение эмулирующее для устанавливаемой программы или запущенного процесса полноценную работы системы, без необходимости установки в систему. При этом сам sandbox изолирует все процессы от ядра системы и выделяет ограниченную зону дискового пространства для записи в систему, тем самым повышая безопасность  работы хостовой машины, и позволяя запускать не доверенные процессы и приложения, не прибегая к помощи виртуальных машин. Также подойдет, например, для использования при браузинге в интернете, так как пробив браузера, не нанесет машине никакого урона, так как все злонамеренные действия эксплоита будут проходить в виртуальной изоляции песочницы.

Программа написана на C++ и поддерживает всю линейку продуктов рабочих станций от Win2Yk до Windows 7, как 32, так  и 64битных версий.
Выглядит убедительно, к тому же на официальном сайте программы sandboxie много положительных отзывов, и ссылок на ревьюхи, но я пока тестирую в виртуалке, от греха и ядра подальше. Приложение простое в работе и быстрое, так что даже пытался запустить какие то ломалки, но все прошло успешно.

Вообщем напарсил для одного из сайтов порядка 5к запросов, и начал их разбирать, правда средствами Microsoft Excel. Надо отметить, что в сеошной виртуалке у меня, как и на ноуте, стоит Office 2003, который я считаю наиболее удобным как в плане интерфейса, так и в плане работы, а на основной хостовой машине у меня стоит Office 2007 со всеми нужными заплатками и сервис паками.

И вот в процессе фильтрации списка, я обнаружил очень прикольный момент: в Microsoft Office Excel 2003 при выборке из листа определенных записей по фильтру, если ты их выделяешь и вырезаешь, то они переносятся в другой лист или документ, именно в составе выделенном фильтром. И когда ты ставишь в фильтре “показать все” данные высвечиваются, с пробелами на месте вырезанных.

А вот в Microsoft Office Excel 2007 при аналогичном действии, на обрабатываемом листе стираются все данные, находящиеся между первой и последней записями, удовлетворяющими условиям фильтра. Но при это переносятся и вставляются только зафильтрованные. То есть остальные данные просто куда то исчезают из таблицы.

Довольно прикольный баг, который еще раз напоминает нам о производителе софта Microsoft, у которого чем дальше в лес, тем все мутнее проги. По крайней мере для меня это лишний повод в защиту Office 2003.

Тут натолкнулся в сети на интересую тулзятину, позволяющую таки привести вид Word, Excel и PowerPoint 2007/2010 к удобоваримому интерфейсу 2003. Тулза зовется UBitMenu и после установки она превращает менюшки 2007/2010 офиса в тулбары 2003 style. Как пишут создатели проги- она полностью сохраняет функционал 2007+ офиса, но делает вид более приемлемым.

Тулзятина бесплатная для домашних пользователей, но её также можно приобрести для коммерческого использования за смешные башли: 10 евро за компанию + 0.65 евро за пользователя. Поддерживает все языки, в том числе и русский.

Скачать её можно на официальном сайте UBitMenu. И после установки вам Microsoft Office 2010 будет выглядеть как старый добрый Office 2003.

1. В том году в операционной системе Windows Vista был найден, не документированный, код канонического имени для панели управления, который с легкой руки журналистки Ины Фрид получил условное имя God Mode, за то что он выводит все настройки операционки единым списком. Оказалось что он также работает и в Windows 7. Для того чтобы получить данный листинг, необходимо создать каталог, которому присвоить имя GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}  или какое либо другое слово перед фигурной скобкой, например odminblog.{ED7BA470-8E54-465E-825C-99712043E01C} . После переименования каталог преобразуется в иконку, входя в которую получаешь доступ ко всем настройкам системы. В принципе довольно удобная штука, которую можно иметь например в главном меню. На системах x64 существует проблема стабильности, в случае если данная иконка находится на рабочем столе, результатом чего является невозможность загрузить систему в штатном режиме, кроме как безопасного, до момента удаления этой иконки.

Также на сайте мелкомягких можно просмотреть канонические имена панели управления, доступные для систем Windows 7 или Windows Vista.

2. В системе Windows XP была возможность создать не видимую папку, причем не просто скрытую, которая тем не менее была видна из под специально настроенного профиля, а именно папку невидимку- которую можно расположить как на рабочем столе, так и в подпапке. Делается это путем создания папки и переименования её с использование NumPad-клавиатуры. Кто не в курсе, то это дополнительная клава с цифрами, расположенная на большой стандартной клавиатуре справа, и которая включается клавишей NumLock (её еще очень любят юзать бухгалтера, озадачивая с ходу проблемой, что у них не печатают цифры). После создания папки, переименовываем её с использованием этой самой клавы в пустое имя, путем набора Alt+ 255. Смысл этого преобразования прост- нумпадом с альтом вводятся различные символы, и в данном случае мы ставил пробле, который Windows воспринимает как символ. После этого мы идем в свойства папки:  правым кликом мышки -> свойства -> настройка -> сменить значок -> и выбираем иконку без значка (она там есть, надо просто промотать вправо), после чего папка исчезает. Если положить её куда нить в конец системной папки, или во глубине диска E: (тут главное перенести её в конец списка, иначе она будет светить в его начале пустым списком), то её не найдет никто. Естественно что она выбирается например в корневой папке командой Ctrl + A, но для этого надо знать что и где искать. На рабочем столе она будет также выбираться, либо же надо будет кликать в ту область, где вы знаете что она находится. Также её можно выбрать, если например растянуть курсор выделения на область.

Функционал полностью невидимой папки полезен для сокрытия всяких тайных знаний- естественно, что если задать поиск по диску, например доков, то в результатах поиска, если они содержатся в невидимой папке- они вылезут, так что данный вид сокрытия еще лучше использовать с систематизацией папки, путем задания ей атрибута не видимая.

Попытка поставить или обновить не увенчалась успехом, так что стал копаться и обнаружил что оказывается Chrome не дружит с веткой RHEL5, и поддерживается только в версии RHEL6. Переставлять операционку мне уже не хотелось, так что пошукав по инету, нашел пофиксенный исходник Chromium переписанный Ryoji Kamei, который можно скачать с его сайта. Ставится ручками из yum, после добавления репозитория, но там собственно все расписано довольно подробно.

Но поскольку у меня операционка была сделана для определенных задач, то места оказалось не достаточно, так как требуется около 400Мб, и в итоге я, плюнув на все с прибором, полез смотреть работу данной прилады таки в винду. Тут конечно пришлось пошайтанить с проксями и впнами, чтобы гугель не совсем понял откуда пришел данный запрос, но вообщем установил я эту приладу  с данной страницы WebStore – надо отметить, что это бета-версия и весит она 20 метров. К тому же цепляется данная тулза к вашему аккаунту в системе google.

После установки на ваш компьютер, а точнее в вашу бродилку, данная прилада генерит уникальный 12ти значный код, на основе которого и происходит инициализация сессии. Код действителен порядка нескольких минут, в течении которых вы можете инициировать подключение, введя данный код в машине с которой необходимо подключиться. После чего вы получаете совместный доступ к компьютеру, по аналогии с TeamViewer, а целевой рабочий стол получает предупреждение что к нему подключился пользователь с мылом, которое вы указывали при логине в Google. Сама сессия строиться через рандомныйID@id.talk.google.com, и на самом деле довольно ощутимо подтормаживает, именно ввиду того что вы соединяетесь не peer-to-peer, а через средства Google. И вот тут встает большой вопрос, насколько данный вид связи безопасен и закрыт для третьих глаз, поскольку сообщение идет через ssl канал и канал Google-talk, но через гуглевые серваки: 74.125.43.126:443 и 173.194.35.227:19295.

Естественно, что помимо RDP вы получаете еще и видео-чат связь, но помнится еще Гомер изрек “Бойтесь данайцев, дары приносящих”, ибо SSL вещь хорошая, но памятуя о разговорах вокруг зарождения компании Google и участия в этом министерства обороны США, есть небольшое подозрение в том, что никто не мешает ставить на стороне данайцев в смысле компании Google так называемый ssl-декодер, который занимается дешифровкой сессии, преобразуя её в удобочитаемый, для “операторов”, формат. А учитывая что люди предоставляющие данный сервис, через бродилку Google Chrome пробивают практически любые защиты- у меня были пробиты: фаервол конечной машины, виртуальный NAT и фаервол хостовой машины, а также внешний рутер, то подобная тулза становится отличным способом влезть к вам в компьютер, и что самое главное – абсолютно добровольно с вашей стороны.

Благо данная сессия закрывается вместе с Chrome, или же нажатием на кнопку разорвать соединение, но теперь надо просимофорить что случается после её закрытия, так как в моем случае дополнительных сессий после закрытия сессии я не обнаружил, но тема с таким вот доступом к своему компьютеру, причем с полными правами, вплоть до выключения, не может не радовать.

1. Если необходимо запустить какой то процесс в WIndows не прибегая к Проводнику ака Explorer, то делается это путем нажатия Win + R (то есть например dos-промт вызывается нажатием Win + R и надписью cmd)
2. Проводник запускается нажатием связки Win + E
3. Если надо быстро заблокировать рабочий стол винды, естественно при условии что у вас там установлен пароль, то сделать это можно путем нажатия Win + L
4. В винде встроена поддержка проекторов и нескольких мониторов, выводом на которые можно управлять через комбинацию Win + P
5. Win + цифра служит для вызова программ вынесенных на вашу панель задач. Если эта программа уже активна, то данная комбинация активирует окно. Нумерация идет от кнопки Пуск.
6. Сочетание Win + U вызовет из панели управления центр специальных возможностей.
7. Если вам срочно нужно свернуть все открытые окна, то на помощь придет комбинация Win + M
8. Сочетание Win + Tab свернет ваши окна в вид трехмерно отрисованных файлов, которые вы можете пролистывать- выглядит очень попсово, и мне нравится гораздо больше чем стандартные Alt + Tab

Ну вроде ничего не забыл, так что терзайте. Естественно что часть этих мулек родом из далекого просто Win95, но про вызов того же Проводника, на удивление мало кто знает и как следствие использует.

И если с первым случаем все понятно- запуcкаешь парсер, он нагибает хостинг, после чего выдает текcтовый файлик с доменами, то со вторым получался здоровенный список состоящий из имен пользователей к которому надо было приклеить livejournal.com.

Все подобные процедуры я проделывал в Notepad++, куда вставлял из Excel две колонки с именами и доменов, после чего процедурой поиска и замены, менял жж с пробелом, на жж с точкой. Но потом озадачился тем чтобы миновать эти копипасты, и сделать это же самое в Excel. При ближнем рассмотрении оказалось очень просто- достаточно объединить две колонки формулой =СЦЕПИТЬ(A1;B1) которую прокатить по всем строкам.

В результате в третьей колонке мы получим результирующие данные, которые уже можно скопировать и перенести с блокнот или чекер статов.

Поскольку ноут довольно простенький- всего с гигом оперативки, то торможение решил попытаться вылечить обновлением стоявшей на компе Windows Vista Home на Windows 7, ибо не смотря на то что семерка требовательна к железу, по любому она быстрее шуршит чем Vista. Пришлось, правда, изначально снести антивирь и фаервол, так как они ставили раком машину при установке Windows 7, после чего система установилась и даже смогла запуститься. Понимаю что обновление одной винды на другую от лукавого, ибо памятуя о хрюше, когда даже обновление на Windows XP SP3, могло стабильную систему SP2 сделать каким то глючным монстром, но переставлять все с нуля было неохота. Тем более что накатить все с нуля никогда не поздно.
После установки Windows 7 меня ждал ожидаемый, но от этого не менее неприятный, сюрприз. Машина была скорее мертва чем жива, так что мне пришлось озадачиться её разгоном. Для начала я переставил все дровишки под windows 7, удалил пару старых резидентных программ, и переставил антивирь с фаерволом.

После этого следовало отключить Media Network Sharing Service (WMNSS), так как эта служба кушает порядка 30% ресурсов, для чего запускаем Win + R -> msconfig и отключаем в службах, все связанное с ней, а также с Windows Media Center, и в принципе то что нам не особо и нужно на машине. После чего перегружаем машину и идем в Панель управления -> Администрирования -> Сервисы и отфильтровав все работающие сервисы, отрубаем всякие доступы по сетке и прочую муть, которая не пригодится на домашней машинке.

После этого запускаем Media Player и в свойствах отрубаем всякие индексирования файлов, сканирование библиотек и прочий бред. После этого открываем все библиотеки и либо проверяем правильность путей до файлов, либо просто их удаляем.

В настройке системы из Мой компьютер -> клик правой клавишей мышки -> Свойства -> Дополнительные параметры системы -> Быстродействие, отрубаем все визуальные эффекты, четко задаем своп-файл, например 4096Мб.

Ну и решили что я подключусь на стадии установки шарика и его настройки, чтобы если чем могу- тем помочь дружественному админу. Но через неделю встал вопрос о том, что винда Server 2008 x64 не видит тома больше 2Tb. Точнее она их видит, но бьет диск на том в 2Tb и  все остальное, что просто висит немым укором в управлении диска, но является не управляемым разделом. Все естественно удивились, ибо тут же у клиента пошли разговоры- что вы меня дурите- я чотко знаю, что ОНО ДОЛЖНО РАБОТАТЬ! Самое главное что мы тоже все это знали и понимали, но никакие темы с динамическими дисками и прочим не прокатывали. И все из-за того что RAID контроллер, помимо Arraw не мог сделать ничего (об этом в первом пункте).

Полазив на мелкомягких да форумах, выяснил, что это ограничение накладывается не самой виндой, а MBR разделом, который не может быть больше 2Tb (хотя у мелкомягких на сайте заявлено что до 4Tb). Почему и как расписывать не охота- просто принять за данность, что MBR не поддерживает свыше 2Tb.
А вот специально созданный, изначально под Itanium, тип партиции GPT – может (и самый лол заключается в том, что мелкомягкие советуют прибегать к этому типу разделов на дисках свыше 2Tb- как то не вяжется с 4Tb под MBR). Но Windows Server 2008 по дефолту создает раздел MBR, так что для победы над прекрасной и ужасной Windows Server 2008 надо загнать диск в GPT партицию. Надо отметить, что в GPT нельзя конвертить съемные диски, и кластерные, доступные через SCSI or Fibre Channel. И сделать это можно несколькими способами:

Обращаю внимание, что конвертить партицию одного типа в другой можно при отсутствии на ней данных, то есть все данные на ней находящиеся- будут потеряны

1. Самый, на мой взгляд, простой способ, но требующий человеческого RAID контороллера (в моем случае пришлось долго и упорно препираться с админом, чтобы доказать ему по скайпу, что такое возможно, так как пилить в офис меня ломало). Мы либо создаем два массива из имеющихся дисков, если у нас их скажем шесть и более штук, или же создаем один массив, но бьем его средствами RAID контроллера на пару виртуальных дисков VD- 150-200GB и все остальное, после чего на 200Gb ставим Windows Server и уже из винды конвертим оставшееся пространство в GPT том.

Поскольку у меня получилось все сделать с первого варианта, то остальные способы скорее теоретические выкладки, которые можно попробовать, если например RAID не дает возможности создавать виртуальные диски. Сам не пробовал, так что еще раз оговорюсь- я всего лишь предполагаю что так возможно.

2. Используя установочный диск FreeBSD 8.Х или Linux c CONFIG_LBD enabled размечаем диск, на небольшую партицию под MBR и здоровую под GPT, после чего на MBR закатываем Server 2008 и опять же из винды конвертим оставшееся пространство в GPT.

3. Данный способ родился из непоняток с оффсайта мелкомягких, так как в статье изначально грится что винда не может грузиться с GPT раздела, если она не  под Itanium, но в других доках относительно Microsoft Windows Server 2008 и дисках больше 2Tb ничего не говорится про загрузочный диск, а напротив рекомендуется делать из раздела более 2Тб партицию GPT. Собственно при начале установки Windows Server 2008 мы выходим на диске в консоль восстановления сервера и уже оттуда конвертим наш раздел в GPT.

Собственно процесс конвертации MBR в GPT выглядит следующим образом (можно конвертить и из Панель управления -> Администрирование -> Управление компьютером -> Управление дисками):
запускаем dos-promt с правами администратора (правый клик в иконку, запустить от администратора) и входим в управление партициями
> diskpart
все команды выполняются дочерними к консоли DISKPART
> list disk
смотрим что там у нас за диски и пишем нужный номер
> select disk 0
удаляем все данные с партиции
> clean
> convert gpt

Более подробно о различиях между GPT и MBR можно почитать на сайте мелкомягких.

Для того чтобы отключить автозапуск устройств в Windows 7, необходиом выполнить одно из приведенных действий:

1. Способ первый и самый элементарный, но на сколько я понимаю, не самый надежный, ибо мне не помогло ни разу справиться с автозапуском флешек на компьютере. В Windows Vistа, в Панеле управления появилась иконка Автозапуск, которая также имеется и в Windows 7. Чтобы её увидеть, надо открыть панель управления и выбрать просмотр всех элементов управления. Запускаем иконку Автозапуск и в ней прописываем что хотим запускать, а что нет, и также снимаем галку Автозапуск для всех.

2. Способ второй, чуть более продвинутый- для него жмем клавиши Win + R и пишем Gpedit.msc , запустив который заходим в Управление локальными ГП (групповыми политиками). В левом фрейме выбираем: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Политики автозапуска -> Отключить автозапуск. Переставляем радио-кнопку со здачения “не задано“, в положение “включить” и перегружаем машину.

3. Все сводится к ковырянию в реестре, как и старой доброй XP. Для отключения автозапуска CD-ROM запускаем редактор реестра: Win+R -> regedit и правим следующие ветки реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\cdrom
выставляем значение параметра AutoRun в 0
если же мы хотим отключить все устройства, то выполняем следующие команды:
REG ADD “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer” /V “NoDriveTypeAutoRun” /T “REG_DWORD” /D 0×000000FF /F
REG ADD “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer” /V “NoDriveAutoRun” /T “REG_DWORD” /D 0×03FFFFFF /F

1. Первый способ самый простой и делается в пару кликов мышом: Пуск -> щелкаем правой клавишей в Компьютер -> Свойства -> в самом низу написан статус активации и код продукта.

2. Способ использующий SLMgr.vbs – скриптик вставленный в Windows 7 и Vista и служащий для управления лицензиями, активациями и серийниками. Посольку данный скрипт является консольной командой, то нажимаем Win + R -> пишем cmd и нажимаем ВВОД. После чего в появившемся DOS-Promt вводим одну из команд:
slmgr -xpr
slmgr -dli
slmgr -dlv

В результате чего получаем следующее окошко, говорящее нам о том, что наша винда активирована.

Собственно памятуя о том, что в XP это делалось через патч драйвера termsrv.dll (если вероисповедание не позволяет использовать  какую нить GPL вроде UltraVNC или TightVNC), который был выдернут из XP SP2 beta, где ограничение на количество подключенных столов отсутствовало, то я решил погуглить на эту тему, и довольно быстро нарыл такую же приладу для Windows 7, которая собственно патчит вышеозначенную утилиту после чего многопользовательский вход через терминал становится доступен для администратора системы и группы пользователей удаленного рабочего стола. Собственно прилада для версии 32 бита и версии 64 бита. Причем судя по всему она использует те же библиотеки, так как на форумах народ пишет, что пользовали как раз старую библиотеку.

Скачиваем, запускаем, после чего перегружаем машину. Естественно что сделать это из управления сессией мы не можем, поэтому прибегаем с консоли управления, откуда просто вводим:

shutdown -r  (не перепутать с ключиком -s, иначе нам придется пилить в дальний офис)

После этого получаем полноценный сервер терминалов, но по крайней мере в XP количество максимальных соединений было ограничено 3 конкурирующими сессиями, так что разгоняться больше 3-5 пытаться не стоит. Единственно, что если мы хотим мочить удаленных пользователей из под админа терминальной машины, нам необходимо отключить контроль учётных записей UAC в Windows.

А вот тут начинается самое интересное, так как в функционале удаленных рабочих столов Windows Server 2008+ появился интересный функционал Terminal Server RemoteApp, позволяющий запускать удаленные приложения на клиентской машине, без использования терминальной консоли, что позволит нам снизить нагрузку на трафик, так как нам не придется отрисовывать все плюхи, а также обрезать дикому юзверю весь иной функционал. Собственно имея все это в Server 2008 можно было бы предположить что этот же функционал доступен и на Windows 7. Только в случае рабочей станции он отключен, и его необходимо подключить в реестре, для чего, на удаленной машине (уже сервере терминалов), идем в ветку реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\TSAppAllowList
где меняем значение параметра fDisabledAllowList с 0 на 1, после чего в этой же ветке создаем папку с названием Application (вроде можно и произвольное название) в которой создаем подпаки приложений доступных для запуска с удаленного сервера терминалов, путем создания строковых параметров:
Name – имя приложения
Path – директория приложения (именно директория, а не полный путь до файла)

После этого терминалку перегружаем и переключаемся на настройку нашей локальной машины:
запускаем терминального клиента mstsc , настраиваем адрес нашего терминального сервера, подключение, и затем в настройке расширенных параметров сохраняем настройки сессии с расширением *.rdp, после чего открываем этот файл блокнотом и добавляем или изменяем следующие строки:

remoteapplicationmode:i:1
remoteapplicationprogram:s:имя бинарника приложения
disableremoteappcapscheck:i:1
alternate shell:s:rdpinit.exe

В имени бинарника надо писать имя запускающего  файла, прописанного в строковых параметрах. Самое интересное, что этот способ дает возможность запускать приложения Windows 7 Pro и выше как на удаленных машинах под управлением Windows 7, так и под управлением Windows XP SP3. Для меня пока не функционально, но для того чтобы например ограничить доступ удаленных юзеров к их рабочим столам- весьма интересно.

Тогда приходится влезать в это болото, которое называется маршрутизация средствами Windows платформ. Для начала посмотрим что  у нас прописано в таблице маршрутизации на сервере. Входим в терминальную консоль cmd и даем команду:
> route PRINT
которая нам высветит список имеющихся в системе интерфейсов, таблицу маршрутизации и постоянные маршруты. Кстати точно эту же картинку можно получить и командой:
> netstat -rn
Теперь собственно мы можем добавить статический маршрут, средствами командной строки. Предположим что нам надо срутить пакеты в сеть 172.16.0.0/24 через внутренний маршрутизатор 192.168.10.250, для чего задаем следующую команду:
> route add 172.16.0.0 mask 255.255.255.0 192.168.10.250 if 1
на самом деле можно со спокойной совестью опустить, маршрут подцепится и без этого, просто пакеты будут рутиться через внутренний интерфейс 127.0.0.1. Для того чтобы удалить данный маршрут достаточно сказать:
> route delete 172.16.0.0
При добавлении машртура мы можем получить загадошное сервисное сообщение “Запрошенная операция требует повышения”, для чего правой клавишей шелкаем в иконку командной строки и говорим “запуск от имени администратора”.
Но вся беда с том, что такие маршруты живут до следующей перезагрузки, поэтому нам необходимо сказать чтобы маршруты сохранялись на потсоянной основе, для чего задаем ключик -p:
> route -p add 172.16.0.0 mask 255.255.255.0 192.168.10.250

Собственно для меня это наиболее удобный вариант, так как не требует ковыряния с системе, да и подходит как для Windows Server, так и для простых рабочих станций под управлением виндусни; но особо беспокойные умы могут  воспользоваться на MS Server службой Network Policy and Access Services, для чего идем в Диспетчер сервера -> Роли -> Добавить роли -> Службы политики сети и доступа -> Маршрутизация (автоматом добавится Служба удаленного доступа) после чего уже в оснастке управления маршрутизации через правый клик на имени сервера включаем машрутизацию и, зайдя в раздел Статические маршруты прописываем необходимые нам маршруты. Там же можно настроить и политики прохождения пакетов (вкладка Основное, свойства интерфейсов), а также динамическую маршрутизацию, путем добавления RIP или IGMP протоколов.

Седня как раз ездил по причинам того, что тетеньки не смогли наладить связь между клиент-банком и программой 1С. При ом что я вроде все настроил. А секрет оказался в том, что параметры из глобальных настроек не переходят в свойства импорта/экспорта, так что там их пришлось прописывать по новой. И после этого импорт в банк-клиент Сбербанка поднялся, а вот экспорт нет. Ибо платежки выгружались нормально, а выписки никак не хотели. Покопавшись на форумах, обнаружил, что у людей существует проблема, что из системной папки пропадает файло ответственное за выгрузки – ConvIn1C.dll, причем найти они его никак не могут. Поэтому я выкладываю этот файл у себя для тех кому он действительно необходим, да простят меня хозяева Клиент-Сбербанка. Но у меня оказалось файл в папке есть, но проблема заключалась в том, что при выборе Выписок раздел Импорт/Экспорт становился неактивным. И собственно решение оказалось в том, что выписки импортируются не из раздела Выписки (левое нижнее меню), а из Выписки и операции -> Операции по счетам -> Все операции. Если курсор поставить на эту позицию, то импорт станет доступен.  В диалоге выбираем движок для импорта в 1С файл ConvIn1C.dll и все работает. Главное чтобы в обоих программах были выбраны одинаковые папки.

Если с логон скриптом все более менее понятно- выкачиваем исполняемый файл, кладем его в доступную шару, после чего прописываем в логон скрипт следующую строку:
start /wait \\сервер\шара\пакетный-файл.ехе /K /B

то через AD все делается несколько сложнее. Для начала нам нужен не обычный exe’шник, а виндовый установщик MSI- то есть мы выкачиваем дистрибутив с расширением msi или же собираем его из exe  с помощью внешних утилит (например Advanced Installer, EMCO MSI Package Builder Enterprise или Prism Deploy Editor).
Для скайпа msi доступен в разделе Загрузить Skype -> Загрузка бизнес-версии
Для Adobe- flashplayer доступен со страницы загрузки всех версий Adobe Flash Player

Получив msi дистрибутив, выкладываем его на доступную для пользователей шару (сетевой ресурс, доступный для пользователей домена AD), после чего переходим к настройке Group Policy AD.  Запускаем GP Managment после чего создаем групповую политику Computer Configuration -> Software Settings -> Software installation где указываем путь до нашей шары (не перепутать с локальным размещением файла). После применения система спросит про метод разворачивания- где мы указываем Assigned.

После этого ждем минут 10-15, или же форсим апдейт GP запуском из “Win + R” команды gpupdate /force
После этих действий- при перезагрузке участника домена, в фоновом режиме, еще до входа в систему на компы будет установлены указанные для обновления программы, и главное без участия пользователя и требования предоставления админского пароля.

Единственный момент, если надо будет переустановить новую версию, то надо будет удалить ранее созданную политику, после чего создать новую. Этот способ отлично подходит для всего многообразия пакетов, которые могут понадобиться в жизни офиса- различные adobe’вские плюшки- flashplayer, reader, аськи и квипы, skype, различные бродилки и много чего еще.

Самое интересное что об этой ситуевине я узнал собственно только от коллеги, у которого как раз skype вылетел и долго не хотел заходить, в то время как у меня все было замечательно. Поковырявшись на сайте Skype – выискал пакость из-за которой все это и происходило- файла shared.xml расположенного в папочке %appdata%\skype, собственно для избавления от которого пришлось быстренько наваять скриптик для логона, чтобы снести данную пакость:
cd %appdata%\skype
del shared.xml

Но в связи с тем, что в данный спецы Skype готовят заплатку- передо мной встала еще одна задача, как все это дело удаленно обновить для удаленного офиса, не появляясь там. В связи с чем для скайпа необходимо проделать ту же процедуру, что уже приходилось делать того чтобы обновить проигрыватель flash player в домене AD, о чем несколько выше.

З.Ы для MAC систем все это проделывается в папке ~/Library/Application Support/Skype/ где также надо снести вышеуказанный файлец shared.xml (после запуска Skype он появится снова – это нормально)
Для перехода в домашнюю директорию (если вы не пользуетесь коммандной строкой) обозначенную тильдой “~”, в Finder надо открыть Go -> Home или же воспользоваться горячими клавишами Command (яблыко)+Shift+H

Уж не знаю кого благодарить за данный косяк, сомневаюсь что новое руководство, так как мелкомягкие навряд ли бы успели столь быстро накосячить в системе Skype, особенно учитывая что проблемы со стабильность данное VoIP приложение испытывало и до того как мелкомягкие отгрузили за него 8 миллиардов зелени, но данная проблема работоспособности skype конечно есть не очень приятный звоночек, особенно случившийся с первыми же шагами нового руководства.

Настроиваем логин: K Menu -> System -> Login Screen
Во вкладке Remote, меню Style выставляем  Same as Local
Во вкладке Security, ставим галку Allow local system administrator login

После этого запускаем сервер Xming на стороне виндовой машины и настраиваем подключение, запустив программу XLaunch:
Multiple Window -> Start a program -> в Run Remote выбираем Using PuTTY и прописываем логин информацию к CentOS серверу через SSH  -> Additional parametrs можем оставить пустыми, либо прописать свойства терминала Х и ssh соединения ->  Готово

После нажатия Готово к нам вылетит окно стандартного текстового терминала юниксового сервера xterm, в котором мы можем запускать любые приложения, также как и в окне ssh сессии, с тем условием, что в случае запуска гуевых приложений, предназначенных для работы в X-окружении, в ssh сессии мы бы получили сообщение об ошибке, а в данном случае это приложение будет запущено на нашем виндовом рабочем столе. Для этого набираем любое юниксовое приложение:

# xeyes &
или
# blackjack &

Амперсенд нужен для того чтобы приложение запускалось в фоновом режиме и не вылетало когда мы снова начинаем работать в терминальной сессии.

Благодаря этому способу можно например поиграться на винде, в несвойственные ей игрушки, вроде маджонга или блэкджека. Но при работе естественно следует помнить, что такой вариант работы является одним из нестабильных и находящихся в прямой зависимости от установленного соединения,  ибо при любом обрыве связи или затыке, все наши приложения радостно вылетят, посему подобной схемой рекомендовано пользоваться все таки в пределах собственной локальной сети, для упрощения администрирования удаленных серверов, находящихся в соседней комнате, или другом этаже.

В процессе настройки в какой то момент в логах появилось неприятное сообщение о том, что пакеты дропаются стороной CentOS сервера, что вылечилось добавлением в файл X-сервера Xming виндусовой машины C:\Program Files\Xming\X0.hosts строчки, содержащей IP адрес нашего CentOS сервера. Но это скорее исключение из правил, ибо все работает и без этого.

Но в процессе запуска- выяснилось что машинка не подхватывает IP адрес по DHCP, при работе в bridged mode, а при попытке задать статический IP я получал ругань на тему того, что данный IP уже используется, при том что данный адрес был однозначно свободен. Озадачившись данной проблемой проверил на всякий случай фаервол винды, но как оказалось он был отключен. Поковырявшись в меру возможностей в серваке и vmware, решил не озадачивать клиентского админа, а переставил Player на Workstation и попробовал поднять виртуалку в таком варианте. Но проблема осталась той же самой, при этом когда я переключил сетки в NAT вариант-  поднимался внутренний IP и все начинало нормально шуршать.

В итоге обратился к админу с описанием проблемы и предположением о том, что какая то тулза препятствует нормальному прохождению пакетов, выступая видимо фаерволом. Поковырявшись, админ сказал что обнаружил что на серваке зачем то был установлен, тысячу лет назад, kerio vpn client, который он благополучно снес. После данной манипуляции все зашуршало прекрасно, так что причина крылась именно в kerio vpn client который видимо как любой ipsec клиент имеет встроенный фаервол у которого имеются свои взгляды на прохождение пакетов. У клиента от checkpoint, например, таких проблем замечено не было.

Но как было объяснить бургу, не имея под рукой английского MS Word где ему отключить просмотр исправлений, было не совсем понятно, так что единственный путь устранить этот ужасающий вид- была возможность принять эти исправления, что делается следующим образом,
для 2003 офиса:  Сервис -> Исправления -> в появившемся тулбаре выбираем Принять выделенные исправления -> Применить все изменения в документе
для 2007 офис: Рецензирование -> Принять -> Принять все изменения

После этого отправляем нормальный документ благодарному клиентозу, без излишней головной боли.

Собственно Windows 7 покупался на контору, так что софт находится на балансе. Порывшись по инетам обнаружил тыщу разных вариантов от низя, до “нам подвластны любые горизонты”, посему решил обратиться к первоисточнику, который мне и поведал следующую схему. Если продукт Windows 7 Pro приобретался по корпоративной лицензии, то он имеет право на downgrade, который можно осуществить двумя способами:

1. На сайте VLSC скачивается исходник необходимой Windows XP, но есдинственно что на сайте имеется только exe вариант, который можно либо запустить из уже установленной Windows 7, либо сторонними средствами перегнать в ISO и записав на диск поставиться с него.

2. Поставиться со старого Windows XP находящегося на балансе конторы, ибо хотя мелкомягким на это дело наплевать, тем не менее проверяющие могут вздрючить за то что у вас использован например чужой VLS ключ. Так что если у вас нет копоративной XP, либо используйте пункт 1, либо ставьтесь с любой OEM версии Windows XP и активируйте её по телефону, сообщив что это downgrade и назвав серийник Windows 7. Народ правда в инетах пишет о том что могут послать если вы пользовали забаненный серийник XP, но это опционно, ибо серийник операционки на которую вы скатываетесь у меня ни разу не спрашивали. Видимо все зависит от того, внушает ли ваш голос доверие индийскому колл-центру.

После этого вроде как все должно начать летать и видиться, но у меня картина осталась той же самой, так что это не дало мне ни малейшего результата. После чего я решил таки рискнуть пропатчить систему найденным патчером для ядра.  Вкратце суть работы такова, на машине с процессором поддерживающим технологию PAE, данный патч  создает копию имеющегося  ntkrnlpa.exe после чего патчит его и по его мотивам создает новый файл ntkr128g.exe , который и грузит через скрипт AddBootMenu.cmd, который добавляет в boot-меню, так что при загрузке системы появится два типа загрузки – обычная и с поддержкой до 128GB . Для внесения изменений в систему запускаем патчик, говорим  ДА на тему внесения изменений, после чего в появившемся досовском окошке надо будет сказать Y, тем самым дав разрешение на вышеупомянутый патч. После этого система перегружается и при загрузке машина выдает 4GB (доступно 3,86Gb)

Для избавления от меню выбора идем в свойства «мой компьютер» там говорим Дополнительные параметры системы -> Загрузка и восстановление -> Параметры. Снимаем галку Отображать список операционных систем. Перегружаемся.

После всех этих манипуляций у меня появилась надпись в правом нижнем углу, гласившая  «Test Mode Windows 7 Build 7600» -не скажу что она мне доставляла неудобство, но чувство эстетического дискомфорта я все же при виде её испытывал, поэтому говорим WIN_окошко (что между правым Ctrl и Alt) + R и вбиваем  mcbuilder. Говорим ок, ждем выполнения и перезагружаем машину.

Собственно все- машина видит 4 гига, рапортует о том, что доступны 3.86Gb и главное что может пользовать эту область памяти для выполнения своих процессов- запустил три машины по 1.2Gb и все нормально шуршало- исключая хостовую операционку ибо она сама подтормаживала, как и должна была бы при использовании 256 метров.

Естественно что перед подобными пассами над своей многострадальной машиной- я бы настоятельно рекомендовал забацать имидж системного диска, с тем чтобы если что не так пойдет- иметь возможность откатиться на родную версию. Хотя я работаю на данный момент  третью неделю и пока тьфу-тьфу без проблем. Чего и вам желаю.

Ну делается это довольно просто: скачиваем из usercenter прошивку, подключаем к usb портам внешний DVD, заходим в BIOS нажимая кнопку TAB, выбираем загрузку с сидюка и вуаля- заливаем новую операционку. Но тут как какое то проклятие- терминал пишет какие то кракозябры, и если настойчиво нажимать клавишу TAB, то экран попросту залипает. При нажатии же остальных клавиш нормально выводит загрузочное меню, которое является первым удобочитаемым рисунком. Пообщался в чате с тех поддержкой Check Point – они посоветовали открывать реквест на эту тему, ибо случай явно RMA.

Перепробовал 4 штуки различных терминалов от встроенного до SecureCRT- всюду одно и тоже. И тут решил вдруг проверить на чужой машине- надо заметить что я работаю под Windows 2003.  Втыкаю агрегат в XP- все работает, при включении отображается нормальный экран загрузки, нормально по TAB заходит в BIOS- вообщем все прекрасно и замечательно. Перекинул себе на машину XPшный гипертерминал, хотя он ничем не отличается от родного, попробовал на нем- таже самая картина- крокозябры вплоть до начала нормальной загрузки- первые нормальные строчки- это boot menu.

В связи с чем вывел, что устройство UTM-1 130 по каким то причинам, в начале загрузки, не дружит с серверной платформой Windows 2003  :-/ хотя быть может он не дружит с переходником RS232 на USB которым мне приходится пользоваться, ибо на моей машине нет com-порта.

Собственно все достаточно просто. Напишу так, ибо так пишут все, хотя не фига я не считаю, что все так просто, ибо все мануалы в инете похожи как братья близнецы и ни по одному из них у меня ничего не заработало, так что  в итоге я провозился полдня пытаясь настроить хоть что нибудь.

Схема работы простая: есть юниксовый сервер UNIX-Server под управлением CentOS на котором крутится X-клиент/сервер; есть виндовая машинка Win-XP на которой поднимается X-сервер Xming с помощью которого мы подключаемся к клиентской части UNIX-Server и по идее должны получить картинку с X-терминалом на рабочем столе виндовой машины.

Для начала скачиваем и устанавливаем на нашу Win-XP рабочую станцию X-сервер  Xming, откуда нить с инетовского зеркала, благо их предостаточно разбросано по инету. После установки пробуем настроить работу через Xdmcp.  Это специфический незашифрованный протокол, используемый для аутентификации и подключения Х-сервера к Х-клиенту.  Поскольку он не является закрытым, то его не рекомендуется использовать в открытых сетях, но это ограничение убирается при использовании сторонних средств шифрования. Ибо это наше первое знакомство, то не будем запариваться на безопасность и попробуем хотя бы запустить данный сервис.

Для этого на UNIX-Server открываем файло  /usr/share/config/kdm/kdmrc и в разделе [Xdmcp] проверяем, чтобы активность равенства Enable=true
После этого добавляем в файлы следующие поля:

/etc/gdm/custom.conf
[xdmcp]
Enable=true

/etc/X11/fs/config
# no-listen = tcp

Настроиваем логин: K Menu -> System -> Login Screen
Во вкладке Remote, меню Style выставляем  Same as Local
Во вкладке Security, ставим галку Allow local system administrator login

Перегружаем Х-сервер
# /etc/rc.d/init.d/xfs restart
после чего переходим к настройке виндового сервера. Запускаем приложение XLaunch, в котором выбираем
One Window -> Open session via XDMCP -> в Connect to host прописываем IP адрес UNIX-Server и ставим галку Use indirect connect (народ пишет, что её надо снять но в нашем случае заработало только с ней) -> можем оставить пустыми, либо прописать свойства терминала Х, например в Remote font server наш IP UNIX-Server, а в Additional parametrs for Xming строку инициализации десктопа без кавычек “-screen 0 800×600″ ->  Готово

Если все настроили правильно, то на выходе получаем консоль с приглашением нашего X-терминала.

По утверждению Microsoft уязвимости больше всего подвержены машины через использование внешних томов, но при этом в случае отключения функции автозапуска, пользователь должен сам запустить ярлык из необходимой папки, для того чтобы система была уязвлена.  Для систем Windows 7 функция автозапуска с внешних томов отключена по умолчанию.

И хотя в данный момент мелкомягкие ведут работы по устранению этой пакостной дырки безопасности, тем не менее для систем Win2Yk и XP SP2, уже снятых с поддержки , ожидать каких либо обновлений безопасности не следует. В этой связи рекомендуется запретить винде выводить иконки для любых ярлыков, а также запретить сервис WebClient для предотвращения атаки через протокол WebDAV.

И хотя винда с отключенным рендерингом иконок выглядит более чем убого, тем не менее если вы решите отключить эту, одну их основных, фич винюка, то необходимо открыть редактор реестра regedit.exe и пройти в ветвь реестра HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler. Экспортируем данную ветку, для того чтобы зарезервировать её, после чего очищаем значение.

Также Microsoft настоятельно рекомендует ограничить пути запуска программ, сократив их до необходимых системных папок типо C:\, C:\Windows, C:\Program Files. Для этого лезем в оснастку «Локальная политика безопасности», которая находится по следующему маршруту  Пуск -> Настройка  -> Панель управления -> Администрирование. Там выбираем раздел Политики ограниченного использования программ, и так как они не определены по умолчанию, выбираем Действие -> Создать политики ограниченного использования программ, после чего выбираем дополнительные правила и в правом поле щелкаем правой клавишей мышки, выбирая Создать правило для пути. там же можно запрещать запуск программ как по их пути, так и по хэшу исполняемого файла. Также можно перечислить приложения в ключе реестра: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun, правда я не пробовал можно ли там открыть доступ к целой папке.

Ну и естественно использовать хостовые ips, фаерволы и антивирусы, на которых своевременно поддерживать актуальные обновления.

И вот здесь начинается некоторая непонятка, ибо Checkpoint обещает выпуск обновленного полнофункционального VPN клиента Secure Client, поддерживающего 64битные системы, только в конце второго квартала, и на данный момент предлагает два вида решения: использование облегченного VPN клиента Endpoint Connect (он также интегрирован в продукт Endpoint Security Client R73), входящего в комплект Connectra, но при этом поддерживающего соединение со шлюзами, начиная от NGX R65 HFA40. В данный момент единственная версия клиента  Endpoint Connect, поддерживающая 64битные системы, является  Endpoint Connect R73, который дает возможность подключения к системам выше R65 HFA40 и Connectra R66.

Для использования этой версии клиента также необходимо произвести апгрейд поддержки Endpoint Connect на шлюзах, путем установки установки патча поддержки R73. Последняя актуальная версия клиента Endpoint Connect, а также патч для шлюза VPN-1 и портала Connectra доступны для скачивания на офф.сайте Checkpoint.

Лицензируется использование этого продукта в виде Check Point Endpoint Security – Secure Access license, путем приобретения лицензии на удаленное рабочее место, то есть если два пользователя работают с одной машины, то нужна всего одна лицензия, если же один пользователь предполагает работать с двух разных машин, то две лицензии.

Другим вариантом использования VPN клиента на 64битныхз платформах, является использование продукта SSL Network Extender (SNX) для построения шифрованного туннеля 3го уровня SSL VPN. Версия SNX R71 HFA1 for Windows поддерживает 64битные платформы Windows 7/Vista/XP. Этот клиент скачивается с портала Check Point Security Gateways по запросу пользователя, пытающегося установить шифрованное соединение через протокол HTTPS. Продукт поддерживает шлюзы, начиная с версии NGX R60 и выше. Для использования версии R71, на шлюзах также должен быть установлен патч поддержки этой версии, который можно скачать на офф.сайте Checkpoint.

Лицензируется использование данного продукта путем приобретения лицензии SNX (на определенное количество пользователей: 25, 100, 250 и т.д) или также Check Point Endpoint Security – Secure Access license, которая приобретается по количеству удаленных рабочих мест.

Так что все разговоры о том, что Endpoint Connect поддеривается только VPN порталом Connectra либо развод на лишние, причем не малые, бабуськи, либо просто незнание материала.

Итак UAC отключается двумя способами, из командной строки и используя панель управления, так что каждый выбирает для себя более простой способ.
По мне командная строка быстрее так как вызывается она набором клавиш <Win> + <R> и в открывшемся окошке пишем:

Отключение UAC
C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

Включение UAC
C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

После этого перегружаем компьютер, чтобы изменения реестра вступили в силу

То же самое можно произвести из панели управления, путем кликанья по разным кнопкам:

Открываем панель управления, в строке поиска, находящейся в правом верхнем меню, набираем uac, и нажимаем на появившийся пункт Изменение параметров контроля учетных записей, после чего у нас открывается бегунок настройки выдачи уведомлений (см. рисунок), используя который, мы выбираем тот уровень реакции который нас устраивает (читай минимальный), исходя из того что полное отключение контроля несет с собой ослабление уровня защиты операционной системы Windows 7.  Опускаем слайдер, и наслаждаемся отсутствием глупых вопросов.

Поэтому для этой процедуры постоянно приходится щелкать правой клавишей мышки, с отжатой клаившей Shift, чтобы выбрав “Открыть с помощью”, пролистнуть до необходимого нам Notepad. Так почему бы нам не сделать менюшку, для открытия в Notepad, избавив себя от многочисленных кликов, которые после 2-3 подобных процедур начинают вызывать раздражение.Собственно что я сделают в своей новенькой Windows 7.

Для этог открываем реестр и идем в ветку: HKEY_CLASSES_ROOT\*\shell
Здесь щелкаем правой клавишей на подпапку shell и выбираем создать новый ключ, называем его Open with Notepad и под ним создаем подпапку command. Открыв эту подпапку дважды щелкаем в дефолтный параметр, находящийся в правом окошке и в открывшееся значение строкового параметра вводим  notepad.exe %1

Сохраняем, закрываем реестр, после чего при правом щелчке мышью по файлу нам становится доступным новая команда Open with Notepad

Итак, что я могу сказать по %subject%. Приятный интерфейс установки, явно видно, что создатели постарались над базой драйверов, которая без лишних вопросов увидала мой SCSI винт, хотя я и скачал с офф.сайта все возможные драйвера для него, но довольно долгая загрузка системы и задумчивость в процессе. Установка упрощена до максимума, так что от пользователя, в данном варианте, требуется только жать на next, тем более что других кнопок там и нет. И вот тут то, база драйвером сыграла со мной злую шутку: система на окончании установки стала просто безвозвратно залипать, то есть пишется Completing installation, система минут 5 шуршит винтом, определяет видео карточку, снова шуршит, а потом наглухо виснет. После перезагрузки, система говорит, что раз установка завершилась некорректно, то начните её снова, то есть таким образом, тем более если учитывать, что сама установка от и до идет порядка 40 минут (на виртуалке все ставилось само собой в разы быстрее), я просто потерял 2 часа, пока не скумекал отключить все что можно и только после этого загрузка завершилась удачно.

Сама система конечно крайне зализана, интерфейс крайне приятно выглядит, но- пока я еще не настроил систему и не подключился к инету, чтобы скачать все возможные обновления, так что дрова от мелкомягких работают несколько криво- система определила видюху, монитор, чем меня порадовала, поскольку про LaCie мало кто знает вообще, не то чтобы определять монитор.  Но, при этом устройства, подключаемые к usb на морде, не определяются и поэтому приходится довольствоваться только имеющимися локальными дисками. Куча настроек в которых я пока особо не разбирался, ибо не хватило времени, так как и без этого провозился с установкой до трех ночи.

Вобщем, ощущения пока на слабенькую четверочку и завтра продолжу свои изыскания на ниве исследования операционки Windows 7.

Отвечаю, главное не отчаиваться, а внимательно изучить написанное ниже и выбрать один из двух различных способов.

Способ первый, использование  утилиты AVZ.
Загружаем утилиту с офф.сайта (http://z-oleg.com/secur/avz), затем в ней говорим Файл -> Восстановление системы. В открывшимся окне настроек включаем 10 пункт меню Восстановление настроек загрузки в SafeMode.  Помимо этого можем включить еще массу удалений различных блокировок, главное четко понимать, что мы хотим сделать. Говорим, ОК, после чего утилита вместе с системой на какое то время задумываются над своей непростой судьбиной, и после этого предлагают нам перегрузиться. Что мы и делаем, после чего не безуспешно пытаемся зайти в безопасный режим SafeMode.

Способ второй для любителей ковыряния в реестре:
Не спокойный бельгийский специалист по безопасности Didier Stevens создал импорт ветви реестра, находящейся по адресу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot и включающей все возможные варианты загрузки безопасного режима и выложил получившийся файлик для всеобщего обозрения на своем сайте http://blog.didierstevens.com.  В файлике, на данный момент доступны 4 вариации на тему реестра: Windows 2003  SP2, Windows XP SP2, Windows XP SP3, Windows 2000  SP4. Скачиваем, распаковываем и запускаем необходимую для вашей версии Windows.

Для начала почти сразу появилась информация о том, что компания Fujitsu уже выпускает устройства под брендом iPad, причем аж с 2003 года. Эти устройства работают под управлением Windows CE, базируюясь на платформе с процессором Intel, и являются сканерами штрих-кодов, которые стоят гораздо дороже предполагаемой цены продукции Apple. В среднем один такой сканер стоит порядка $2000. История такова, что в 2003 году компания Fujitsu подавала заявку на регистрацию товарной марки iPad, но эта заявка была отклонена, однако после вторичной попытки в 2009 году заявка была принята на рассмотрение, в то время как компания Apple подала свою заявку на месяц позже. В данный момент компании Apple предстоит решить, до 28 февраля 2010 года, будут ли они и далее претендовать на данный товарный знак. В этом случае компания Fujitsu может предъявить им судебный  иск.

Точно такая же ситуация была у Apple при выпуске коммуникаторов iPhone, после выпуска которых им предъявила иск компания Cisco которая являлась правообладателем данного бренда, как правоприемница, купленной ими в 200 году, компании Infogear. Под этим брендом Cisco выпускала VoIP-аппараты. В результате судебных разбирательств компании пришли к мировому соглашению, по которой обе получали право использовать бренд iPhone для своей продукции.

Вторым приятным сюрпризом оказались китайсы, которые по обычной практике сперли за год до релиза и начали выпускать свое “ноу-хау”, а в данный момент поднимают бучу о том,  что Apple украли их идею. И действительно, iPad выглядит как младший брат устройства Shenzen P88 tablet, выпускаемого с конца лета прошлого года, и работающего под управлением Windows XP (хотя, по некоторым данным, уже демонстрировалась работа устройства под управлением Windows 7). Причем по своим параметрам китайский аналог значительно превосходит своего американского брата: 10.2″ тачскрин WXGA 1024×600, Intel Atom Mobile N270 1.6 GHz CPU, 1 Gb DDR2, 160 Gb жесткий диск, VGA, card rider, 2 порта USB, Wi-Fi, LAN, GPS и модуль 3G. Единственное в чем оно уступает iPad, так это в том, что работает без зарядки всего 1.5 часа (тогда как iPad со слов разработчиков должно работать 10, хотя как все мы знаем, должно и будет совершенно разные слова), и будучи толще почти в два раза (22 мм против 13.4), весит 1.03 кг.
Но при этом стоимость устройства составляет всего $338.

Как пишут, президент компании Shenzhen Great Long Brother Industrial Co (сайт компании) выпустившей устройство P88, Wu Xiaolong весьма озабочен выходом устройства Apple на китайский рынок, и в интервью возмущается тем непреложным фактом, что америкозы сперли их идею и дизайн на прошлогодней выставке достижений электроники в Берлине (“I was very angry and flabbergasted when I saw the news of the iPad presentation two days ago… It is certainly our design. They’ve stolen because we present our P88 to everyone six months ago at the IFA (International Electronics Fair in Berlin).”)

Тем более что поданные патентные документы будут подтверждены, в лучшем случае, не раньше конца мая, поскольку процесс получения патента в Китае является довольно сложной процедурой.

Для сравнения привожу параметры обоих устройств (ниже на картиночке изображен как раз большой китайский брат):

Процессор:
P88: Intel Atom 1.6GHz
iPad: 1GHz Apple A4 custom-designed chip

Оперативная память:
P88:1GB

Вес:
P88:1.03kg
iPad: 0.73kg для устройств с Wi-Fi и модулем 3G

Объем жесткого диска:
P88: 160GB HDD
iPad: масксимум 64GB флеш-накопитель

Размер диагонали
P88: 10.2″
iPad: 9.7″

Порты
P88: 3 USB, VGA, RJ-45, car reader, выход под наушники и микрофон
iPad: Куча адаптеров, и на самом устройстве только наушники и микрофон

Батарея
P88: порядка 1.5 часов
iPad: как было заявлено 10 часов

Цена
P88: от 340 до $440
iPad: начинается от $499

Хорошая система, но все таки серверная, хотя многие её и используют как настольную станцию Собственно как сделать её еще более дружелюбной по отношению к одинокому пользователю и превратить в полноценную рабочую операционку, без серверных загонов.

Итак обстригаем когти рыси:

Больше всего достает менюшка в которой необходимо, как провинившемуся школяру, объяснять почему вы планируете перегрузить машину, зачем выключаете, отчего она упала и прочее. Зовется эта пакость Shutdown Event Tracker- и вот её мы почикаем в первую очередь:
Открываем Пуск -> Выполнить -> вводим в строку GPEDIT. MSC
В открывшемся Редакторе групповых политик отщелкиваем:
Левое окно -> Политика “Локальный компьютер” -> Конфигурация компьютера -> Административные шаблоны -> Система и в правом окне щелкнем на Отображать диалог слежения за завершением работы. Переключим радио-кнопку в положение Выключено.

Жить после этого станет проще, но не совсем, ибо поиграть нам на данной системе не удастся, а чем еще заниматься в процессе пересборки ядра или OMG!!!1 мира, как не побегать в WoW или кваку?

Для того чтобы это стало хоть как то возможно, нужно включить, отлюченную по умолчанию, аппаратную акселерацию видеоконтроллеров. Щелкаем правой клавишей мышки по рабочему столу -> вкладка Параметры -> кнопка Дополнительно -> вкладка Диагностика -> переводим бегунок Аппаратное ускорение в положение Полное. Поскольку функционал трехмерного ускорения DirectX отключен также, то из Пуск -> Выполнить запускаем команду dxdiag.exe и во вкладке Дисплей включаем DirectDraw и Direct3D, а также, если имеется поддержка и AGP Texture Acceleration. После этого обновляем Direct X, хотя в SP2 он идет в комплекте поставки в версии DirectX 9.0c. также рекомендуется обновить драйверы видеоконтроллера.

При установке серверной версии Windows 2003 Server мы не можем выбрать необходимые или отключить не нужные сервисы, а после установки многие из них также нельзя удалить, поскольку они закамуфлированы системой, и при открытии панели добавления системных компонент Панель управления -> Установка или удаление программ -> Установка или удаление компонентов Windows многие из них недоступны, чтобы очумелые ручки не поотключали того что не надо.
Но мы то папы и нам надо больше всех, поэтому открываем файлик из виндовой папки %SystemRoot%\Inf \sysoc.inf и вычищаем файл от директив hide, ничего не трогая кроме этиго параметра.
Было:
WBEM=ocgen.dll,OcEntry,wbemoc.inf,hide,7
Стало:
WBEM=ocgen.dll,OcEntry,wbemoc.inf,,7

После этого сохраняем sysoc.inf и по открытии Установка или удаление компонентов Windows лицезреем уже гораздо более внушительный список приложений и компонент.

Служба индексирования, крайне удобный и ускоряющий работу сервис, позволяющий ускорять поиск на дисках и в теле документов. Этот сервис просто незаменим для файл сервера, но точно не нужен для рабочей станции, если пользователь, конечно, не страдает болезнью альцгеймера. К тому же данный сервис довольно прожорлив и непредсказуем в своих запусках, поэтому лучши способ несколько ускорить машину- отключить его.
Для этого идем:  Панель управления -> Установка или удаление программ -> Установка или удаление компонентов Windows в окне сервисов находим Службу индексирования и отключаем её.

После этого, чтобы не плодить мусор на диске, загоняем все временные файлы в одно место. Для этого щелкаем правой клавишей мышки в Мой компьютер -> Свойства -> Дополнительно -> Переменные среды -> в окне Переменные среды.. меняем пути для файлов TEMP и TMP на С:\temp

Коли мы уж зашли в Мой компьютер заодно переключим пару фич:

Поскольку система у нас одна, а приглашение выбора операционки висит 30 секунд, то считаем это потерянным временем, и чтобы впредь не тратить время на раздумия, отключаем эту возможность:
Мой компьютер -> Свойства -> Дополнительно -> В разделе Загрузка и восстановление щелкаем Параметры -> снимаем галку Отображать список операционных систем или выставляем максимально малое время

Также задаем четкий размер файла подкачки, причем желательно не на системном диске, для этого: Мой компьютер -> Свойства -> Дополнительно -> Быстродействие -> Дополнительно -> Виртуальная память -> Изменить  на диске C отключаем файл подкачки, включив Без файла подкачки. Для диска D ставим Указать размер и выставляем одинаковые размеры от и до, я обычно ставлю двойной размер  оперативки.

Надеюсь это поможет сделать и без того удобную операционную систему Server 2003 более дружелюбной и удобной для использования одинокими пользователями, если вспомню что -нибудь еще, то отпишусь..

Для того есть несколько способов.

Через таблицы управления доступом к файловой системе
Вызываем MS-DOS promt и там задаем команду управления ACL:     cacls FILE_XXX /t /p everyone:n
которая обнулит права доступа к файлу, т.ч. после перезагрузки он станет доступным к удалению

Через убийство explorer.exe
Проводник являясь систеой программой собственноручно лочит многие файлы причисляемые им к системных, собственно поэтому часто, в процессе лечения какой нибудь пакости необходима перезагрузка- explorer принимая файл за системный, запрещает какому либо процессу убить его. Панацеей в этой ситуации будет убийство самого explorer.exe
Открываем MS-DOS promt: Пуск -> Выполнить -> cmd -> переходим в директорию где находится залоченный файл cd c:\XXX
Вызываем диспетчер задач, для этого отжимаем CTRL-ALT-DEL -> Диспетчер задач -> вкладка Процессы
Выделяем процесс с гордым именем explorer.exe и нажимаем “Завершить процесс”
Возвращаемся в окошко MS-DOS и убиваем файл: del c:\XXX
Перегружаемся, или переключаемся снова в Диспетчер задач -> вкладка Приложения -> Новая задача -> explorer.exe

Через консоль восстановления Windows
Для этого нам понадобится загрузочный диск Windows CD. Вставляем, выставляем в BIOS загрузку с CD, жмем клавишу на промте и ждем загрузки меню, где одним из пунктов нам будет предложено выбрать консоль восстановления нажатием клавиши “R“. Нас выкинет в окно подобное MS-DOS promt где мы переходим в необходимую директорию и удаляем файл из коммандной строчки. Поскольку система в тот момент не загружена, файл будет разблокирован и должен удалиться без проблем.

Через загрузочный диск Live CD (я использовал дистрибутив Knoppix Live CD который очень хорошо подходит для работы с виндовыми партициями)
Нарезаем iso’шник на болванку, и грузимся с неё. В меню вы бираем либо File Manager либо Graphical Programs.
1. Выбираем File Manager в разделе Mount Devices выбираем нужный нам диск -> mount contents -> browse files и попадаем в окно Midnight Commander, идентичный Norton Cammander файловый менеджер. Там находим нужный файл и удаляем его нажатием F8, единственное что моугт возникнуть трудности с русскими кодировками, тогда надо использовать графический интерфейс. Обратное перемещение по меню осуществляется нажатием CTRL + C
2. Выбираем Graphical Programs -> Full X Session , ждем загрузки системы и жмем в иконку на рабочем столе My documents. В левом фрейме находим свой диск и привычным кликаньем мыши удаляем ненужный и опостылевший, уже к этому моменту, файл. На самом деле Knoppix Live CD судя по заверениям авторов также подходит и для восстановления слетевших партиций, т.к. без проблем считывает битые файлы в связи с тем, что не видит виндовых блокировок и разрешений. Не думаю, что он может стать хорошей альтернативой программам и утилитам восстановления, тем более что удаленные файлы он все таки не видит, но для выполнения небольших задач вроде того как снести битый или лоченный файл подходит вполне. У него еще куча всяких разных фич, но о них я напишу позднее.

Нужно еще также упомянуть программу Unlocker, она правда не доступна с сайта разработчика, но в инете достаточно зеркал которые предлагают её закачать. Вроде бы как с её помощью также возможно удалить любой файл, недоступный для стандартного удаления. Но, говоря откровенно, я не очень люблю ставить различный неизведанный мусор, тем более который отсутствует у создателя, да и Eset у меня что то на неё ругнулся, т.ч. все остальные кроме установки левого софта мне кажутся наиболее привлекательными для использования.

Критические
MS09-071 – Уязвимость в Internet Authentication Service дающая возможность выполнения удаленного кода (974318)
MS09-072 – Кумулятивное обновление для Internet Explorer (976325)
MS09-074 – Уязвимость в Microsoft Office Project позволяющая выполнить удаленный код (967183)

Важные
MS09-069 – Уязвимость в Local Security Authority Subsystem Service приводящая к отказы в обслуживании (Denial of Service) (974392)
MS09-070 – Уязвимость в Active Directory Federation Services позволяющая выполнить удаленный код (971726)
MS09-073 – Уязвимость в WordPad и Office Text Converters позволяющие выполнить удаленный код  (975539)

В настоящее время технология VDI (Virtual Desktop Interface) использует RDP для доступа на VM сервера с тонких клиентов или обычных рабочих станций, что позволяет упростить администрирование и управление дата-центрами. Сам протокол RDP является защищенным и использует 128битное шифрование (RC4). Но при этом основной проблемой RDP является именно шифрование, поскольку по умолчанию используемые сертификаты подписаны RSA приватным ключом, который хранится в файле mstlsapi.dll и каждый сервер и клиент имеет его в стандартной установке. То есть получается, что по умолчанию, все клиент сервера в мире используют один и тот же ключ, для шифрования своих сессий.

Этот факт дает повод для размышления, что некий гадкий человек может воспользоваться этим для атаки изнутри системы MITM (Man-in-the-Middle), путем внедрения в диалог двух систем с подписанным корректным образом сертификатом, перехвата диалога и его дешифрации, причем все будет произведено без каких либо аллертов на стороне клиента или сервера, поскольку все будет проводиться с использованием корректных сертификатов.

В теории атака выглядит таким образом, что злоумышленник подключается на момент установления RDP сессии и расшифровав пакет получает полный доступ к удаленной системе. Ниже приводится ролик о том, как данная процедура может быть реализована.

По просмотру ролика, становится понятно, что использование любых сервисов с настройками по умолчанию допустимо только в случае использования для открытых целей, будь то виндовый сервер, или юниксовая рабочая станция. Если же предполагается использовать сервис для каких то частных или коммерческих целей, то однозначно необходимо перенастраивать систему с целью повышения её защиты. Для того чтобы получить более подробную информацию по вендорам, для начала можно погуглить с его наименованием в связке с термином “hardening guide”.

Стоит ли использовать RDP во избежании подобных атак? Естетственно стоит, поскольку сам по себе протокол удобен и хорошо сконструирован.
Есдинственно что. данный протокол необходимо более тщательно закрывать, либо инкапсулируя его в зашифрованный канал VPN, либо используя ключи отличные от стандартных. На сайте Microsoft имеется хороший документ, рассказывающий об использовании PKI (Public Key Infrastructure) и построении соединения RDP с помощью TLS (Transport Layer Security).

В системе Windows Server 2008 имеется новый функционал называющийся NLA (Network Level Authentication) который обеспечивает более сильную защиту от подмены ключей путем реализации аутентификации во время сессии. Для работы с данным сервисом требуется клиент 6 версии и выше.

Или же использовать сторонние средства удаленного администрирования, например системы удаленного доступа RAdmin или DameWare NT Utilities.