Com ocultar una carpeta NTFS als usuaris sense permissos

Fins fa poc, en NTFS no podiem ocultar una carpeta a un usuari que no tenia permisos. La veia, i si intentava entrar, doncs li deia “access denied”.

Això és pràctic, perquè no pot entrar, però és lleig, perquè sempre estan preguntant “i jo perquè no puc entrar aquí i tu sí????”

Aquesta funcionalitat estava en Novell Netware des de fa mooolts anys, i en NTFS no ha estat mai.

Doncs bé, amb la introducció del Service Pack 1 de Windows 2003, apareix un nou concepte, el Access Based Enumeration. Aquest concepte és presisament això, la visualització de carpetes segons els permisos.

Per activar-ho en un servidor cal tenir Service Pack 1 i baixar-se una utilitat, anomenada abecmd. Un cop activat, apareix una altra pestanya en les carpetes compartides on podem activar el ABE.

Podem veure amb més detall aquesta informació en un article de Microsoft on explica perquè àixò no es feia fins ara, i al final han afegit que si es pot fer a partir del Service Pack 1.

You cannot configure NTFS permissions to hide files or folders from unauthorized users

I si ho voleu baixar directament, doncs el link està aqui:

Windows Server 2003 Access-based Enumeration

Cal tenir en compte el rendiment, que baixa si es fa servir aquesta funcionalitat, com és normal, ja que cal consultar el AD cada vegada que llistem una carpeta.

An I/O operation initiated by the Registry failed unrecoverably: error 333

Aquest error tant lleig apareix en alguns servidors Windows 2003 amb el SP1 o el SP2, i tenint instal·lats els serveis de RIS (Remote Installation Service).

El error és aquest:

Event Type: Error
Event Source: Application Popup
Event Category: None
Event ID: 333
Date: date
Time: time
User: N/A
Computer: computer name
Description: An I/O operation initiated by the Registry failed unrecoverably. The Registry could not read in, or write out, or flush, one of the files that contain the system’s image of the Registry.

Event Type: Error
Event Source: Application Popup
Event Category: Srv
Event ID: 2019
Date: date
Time: time
User: N/A
Computer: computer name
Description: The server was unable to allocate from the system nonpaged pool because the pool was empty.

Es degut a un memory leak (un problema de alliberament de memoria) del driver sis.sys.

Cal aplicar el hotfix que trobem aqui:

A nonpaged pool memory leak may occur on a Windows Server 2003-based computer when the Single Instance Storage driver (Sis.sys) processes an alternative stream

NOTA: també he trobat articles que es refereixen a altres causes, per exemple en un driver de les printers HP Laserjet:

System hangs or crashes on a Windows Server 2003 based computer that has HP LaserJet Printers installed

Articles de Storage de Microsoft

En aquesta web podem revisar tot d’articles de Microsoft sobre el tema de l’emmagatzemament.

Storage KB Articles 

 A destacar el que fa referencia al RAID-5, RAID 0+1:

Planning the Layout and RAID Level of Volumes

(mai posar RAID-5!!!, penalitza molt l’escriptura!)

i els de cluster:

How to extend the partition of a cluster shared disk, que explica com fer-ho amb el DISKPART.

Com migrar de Windows 2003 a Windows 2003 R2

Per fer la migració de Windows 2003 a Windows 2003 R2 podem seguir aquest article:

How to upgrade Windows Server 2003 with Service Pack 1 to Windows Server 2003 R2

Bàsicament és necessita el CD2 del R2, i el número de sèrie vàlid.

Després podem posar el CD2 i fer upgrade, o en cas que no coincideixin les versions, cal posar el CD1 de nou.

Versions de Windows 2003 i Citrix Presentation Server 4.x

La gran pregunta és: “Hem d’instal·lar el Windows 2003 R2 amb Presentation Server 4.x?”. O també “Què passa si posem el Service Pack 2 de Windows 2003 amb Presentation Server 4.x ?”

 Doncs la resposta és fàcil: Depèn. Depèn de si el que hi ha reportat ens afecta o no.

 Tenim diversos llocs on mirar:

CTX113035  Microsoft Windows Server 2003 Service Pack 2 Known Issues

O bé:

CTX109680 Microsoft Windows Server 2003 R2 Known Issues

Per tant, el millor és revisar la llista abans de fer res. La recomanació a Desembre de 2003 és quedar-se amb Windows 2003 SP1, o bé Windows 2003 R2, però sense el SP2 de moment.

Problemes amb SIDHistory després d’un ADMT v3

Després d’una migració dels usuaris i grups d’un domini a un altre, ens trobem que no podem accedir als recursos anteriors, tot i que el SID History s’ha migrat correctament.

Primer el que cal fer és revisar que el SID History s’hagi migrat correctament. Per comprovar-ho, arrenquem el ADSIEDIT.MSC, desde Inici / Ejecutar.

Un cop a l’ADSIEDIT, busquem el nom de l’usuari a la part del DOMAIN, baixant per l’estructura d’arbre. En el usuari, baixem fins el valor Object SID. L’anotem.

Després anem a l’usuari ja migrat i fent el mateix procediment, busquem el SIDHistory. El valor d’aquest atribut ha de ser el mateix que hem trobat a Object SID.

Si està en blanc, cal que revisem els passos de la migració amb ADMT v3:

- Activar les auditories de “Account Management” en dos dominis

- Que els dos dominis estiguin en Mode Nadiu de 2000 o 2003.

- Crear un grup (sense usuaris) anomenat <domini_vell>$$$

- Que els dos servidors tinguin una relació de confiança en un sentit i en l’altre

- Que els dos servidors es puguin fer PING amb el nom NETBIOS i el nom DNS.

Si tot i així no va, podem revisar el SID Filtering.

Cal revisar amb la comanda NETDOM TRUST com està el SIDFiltering i el QUARANTINE.

Han d’estar el QUARANTINE desactivat ‘no’ (per defecte) i el EnableSIDHistory a ‘yes’

Les comandes són:

NETDOM TRUST <origen> /domain:<destí> /enableSIDHistory –> per veure l’estat

NETDOM TRUST <origen> /domain:<destí> /enableSIDHistory yes –> per activar

NETDOM TRUST <origen> /domain:<destí> /enableSIDHistory no –> per desactivar

NETDOM TRUST <origen> /domain:<destí> /quarantine –> per veure l’estat

NETDOM TRUST <origen> /domain:<destí> /quarantine yes –> per activar

NETDOM TRUST <origen> /domain:<destí> /quarantine no –> per desactivar

cal posar-les als dos servidors dels dos dominis.

En ISA Server 2006 no podem afegir usuaris del Active Directory

En algunes instal·lacions de ISA Server 2006 apareix un error quan volem afegir un usuari o un grup de l’active directory en una de les regles. Després d’un temps d’espera d’uns segons, apareix un missatge que diu:

"El servidor RPC no responde" o "The Remote procedure call failed an did not execute"

I al visor d’events trobem aquest error:

Event ID 5719 NETLOGON
Este equipo no pudo establecer una sesión segura con un controlador de dominio en el dominio D_COFIDE debido a lo siguiente: Se ha cancelado la llamada a procedimiento remoto. Esto puede derivar en problemas de autenticación. Asegúrese de que el equipo esté conectado a la red. Si el problema persiste, póngase en contacto con el administrador del dominio

Després de revisar que la connexió amb el AD en les polítiques de les directives del ISA Server 2006 està habilitat. També cal comprobar que el port TCP/135 está obert entre el ISA i el DC. Un cop revisat això, veiem que segueix fallant. Cal revisar si el Windows 2003 té aplicat el service pack 2. En aquest cas cal buscar el paràmetre DWORD EnableRSS en la ruta:

HKEY_LOCAL_MACHINE/SYSTEM/Services/Tcpip/Parameters

I posar-lo a zero, ja que per defecte en Service Pack 2 està posat a 1.

Reiniciem el servidor, i ja funciona.

Podem trobar això en aquest article de Microsoft:

You cannot host TCP connections when Receive Side Scaling is enabled in Windows Server 2003 with Service Pack 2