[Win2003]SFC beinvloeden om dcpromo.exe weg te laten *

Titel even wat duidelijker gemaakt

Hier iig settings om het een en ander in de registry aan te passen:

quote: http://www.microsoft.com/...x#XSLTsection130121120120

Additional Registry Settings
All registry settings for WFP/System File Checker are located in HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon. By default, only Administrators and System will be able to modify these settings.


SFCDisable (REG_DWORD)


0 = enabled (default).
1 = disabled, prompt at boot to re-enable (debugger required).
2 = disabled at next boot only, no prompt to re-enable (debugger required).


SFCScan (REG_DWORD)
0 = do not scan protected files at boot (default).
1 = scan protected files at every boot.
2 = scan protected files once.

SFCQuota (REG_DWORD)
n = size (in megabytes) of dllcache quota.
FFFFFFFF = cache-protected system files on the local hard drive.

SFCShowProgress (REG_DWORD)
0 = System File Checker progress meter is not displayed.
1 = System File Checker progress meter is displayed (default).

SFCDllCacheDir (REG_EXPAND_SZ)
Path = local location of dllcache directory (default is %Systemroot%\system32\dllcache).

Als het je overigens puur erom gaat dat die file niet toegankelijk is, zou je een "Deny" ACL voor Everyone kunnen zetten.

Verwijder de file eens in "C:\*\system32\dllcache" en daarna in "C:\*\system32". kijken of dit werkt. Als de file niet in de system32 dir zit zoek dan eens met geavanceerde opties naar dit bestand als het goed vind je hem twee of drie keer.

Eventueel als je niets vindt:
Zorg wel dat je alle verborgen bestanden in kan zien, ook de Windows beveiligde, via Windows Verkenner -> extra -> mapopties -> weergave -> geavanceerde instellingen. Loop het rijtje even af, je snapt het wel en anders vraag je het even .

Hoopt dat het werkt. Weet je zeker dat dit bestand weg kan???

Download XP lite om de file protection uit te zetten, de tip hiervoor hierboven werkt niet aangezien er een nieuwe moeilijke tweak nodig is om het zelfde te bereiken dan voor heen bij Windows 2000. Daar was het makkelijker en werkte de register tweak wel. Bij de versies vanaf XP SP1 niet meer! Nieuwe beveiligingsinstellingen.

[ Voor 33% gewijzigd door stylezzz99 op 06-11-2003 15:28 ]

DCPromo is uberhaupt alleen uitvoerbaar door mensen die lid zijn van Enterprise Administrators group en administrators group. Waar zou je in godsnaam aan een server gaan lopen tweaken als je basic security nog niet in orde is. Als je eerst zorgt dat basic security in orde is. Dan kun je rustig die server gelocked laten staan want normale users kunnen er toch niet op in loggen...

Hier kan ik je dan alleen maar gelijk in geven Jay Jay. Let alleen wel op dat je documenteerd waar je Acces is Denied zet omdat dit alles overruled.

Verwijderd schreef op 07 november 2003 @ 09:33:
En @ Mutsje:

De reden is tamelijk simpel: Iemand met admin-rechten die graag experimenteert, maar er weinig van afweet. En de admin-rechten zijn nu eenmaal om bepaalde management-redenen niet af te nemen. Maw: het is iemand in de beheerders-groep, maar niet langs de windows-kant. We willen dan ook enkele voor-de-hand-liggende zaken afschermen.
En de security audit is volop bezig, maar je kan nu eenmaal niet alles tegelijk in orde hebben... spijtig genoeg.

Dan maak je toch voor elke administratieve taak een speciale groep met rechten? Zo kun je per user rechten toekennen door gewoon groepen toe te voegen, bijvoorbeeld de groep "Server Rebooters", "Backup Operators", "Account Operators", "Pagefile Creators" of "Local Workstation Administrators". Zo hoef je iemand geen volledige admin rechten toe te kennen, maar toch heeft hij voor zijn functie rechten om te kunnen beheren.

Wat je imho het beste kunt doen om te kijken of een migratie goed verloopt is gewoon een nt4 bdc installeren, deze lostrekken van het domain dan uppen naar PDC. (zodat je alle users & dergelijke hebt) Dan gewoon de 2003 cd-rom erin en upgraden dit heb ik inmiddels 2x getest en ik ga het ook gewoon keihard zo uitvoeren op het moment dat ik het JA woordt van het MT krijg. Werkte tijdens de test prima en alle users krijgen keurig 2 namen (oude en nieuwe) wat tijdens een migratie normaal is.

Verwijderd schreef op 07 november 2003 @ 10:42:

En het enige punt is dat ze momenteel voor de test-memberservers niet voor de grap Dcpromo gaan draaien want ik denk dat onze NT4 - domeincontrollers dat niet zo graag gaan hebben.

Hm, dus jij draait test in een produktieomgeving... lijkt met niet zo heel verstandig...

En waarom zouden de nt4 controller dat niet zo graag hebben? In mixed mode is er niets aan de hand lijkt me.... Security is zo te zien geen belangrijke issue bij jullie ...

[ Voor 63% gewijzigd door ArCadE op 07-11-2003 11:39 . Reden: edit ]

Gezien ieder's reacties lijkt mij de beste oplossing om DCPROMO.EXE bij de denied programs te knallen. Alleen als een admin kwade bedoelingen heeft dan zal hij de policy gewoon verwijderen en DCPROMO.EXE uitvoeren.

Zodra de testomgeving als productieomgeving wordt uitgerold, dan plaats je alle groepen, en dan verwijder je de policy weer

een testomgeving als productie omgeving uitrollen is wel erg ondoordacht om eerlijk te zijn. Je loopt te testen toevoegen verwijderen wordt brakker en dan als productie promoten . Imho is een testomgeving om te testen hoe je een productie omgeving goed om kunt zetten naar een nieuw operating system.

ArCadE schreef op 07 november 2003 @ 11:36:
[...]
En waarom zouden de nt4 controller dat niet zo graag hebben? In mixed mode is er niets aan de hand lijkt me....

Als je die 2k dc in hetzelfde domein hangt zal de NT4 PDC daar toch heel anders over denken hoor......

Verwijderd schreef op 07 november 2003 @ 12:03:
Degene waar we dit van willen beschermen kennen niets van policy's. Het gaat er gewoon om dat ze niet op dat exe'tje kunnen klikken

In dat geval is de Restricted Programs List de beste uitkomst

Verwijderd schreef op 07 november 2003 @ 12:03:
Degene waar we dit van willen beschermen kennen niets van policy's. Het gaat er gewoon om dat ze niet op dat exe'tje kunnen klikken :-)

en die nono's hebben administrator rechten op het domain? zo niet, dan kunnen ze het zowieso niet runnen

Verwijderd schreef op 07 november 2003 @ 12:03:
Degene waar we dit van willen beschermen kennen niets van policy's. Het gaat er gewoon om dat ze niet op dat exe'tje kunnen klikken :-)

En effe overlopen want ik krijg hier vanalles naar mijn kop:

2003 draait niet als TEST in de productieomgeving. Er draaien gewoon al een aantal MEMBER-servers op 2003, zoals de AV-server, de printserver,....
Daarbuiten gaan we, aangezien de geringe grootte van onze omgeving hoogstwaarschijnlijk niet upgraden, maar met een schone lei proberen te beginnen.
En nog eens daarbuiten, op gebied van security hangen sommige dochterondernemingen nu eenmaal vast aan het beleid van hogerhand, en hoewel we dat graag zouden willen, zullen sommige dingen niet rap doorgevoerd worden.

En van die mixed-mode... sorry hoor, maar zo maar ineens een dcpromo doen, met daarbij dus de activatie van Active-dir zou hier rampzalig aflopen, omwille van de complexe structuur van trusts waar wij mee samenhangen naar boven toe :-)

Je moet natuurlijk wel kijken waar jij je ROOT domain controllers neer gaat zetten en de rest van de sites kun je gewoon working domain controllers met working global catalog servers maken (dus sites). Heb je niet eens meer trusts nodig maar krijg je een mooie transparante omgeving. In Exchange 2003 ga je dan Universal Distribution Lists of nog beter Query-bases Distribution Lists gebruiken(ook universal).

Verwijderd schreef op 07 november 2003 @ 13:17:
Ze hebben dit inderdaad, ze zijn beheerder van de andere omgevingen zoals oa as/400. En zoals vermeld kan ik niet zomaar hun domain-admin rechten afpakken.

Hm, toevallig ook een OS/390 omgeving? Zeker tivoli ook draaien? In dat geval kunnen ze vanaf de OS/390 omgeving vanalles doen zonder Admin te zijn op het NT4 domein....

Verwijderd schreef op 07 november 2003 @ 11:40:
Gezien ieder's reacties lijkt mij de beste oplossing om DCPROMO.EXE bij de denied programs te knallen. Alleen als een admin kwade bedoelingen heeft dan zal hij de policy gewoon verwijderen en DCPROMO.EXE uitvoeren.

Zodra de testomgeving als productieomgeving wordt uitgerold, dan plaats je alle groepen, en dan verwijder je de policy weer

Verwijderd schreef op 07 november 2003 @ 12:24:
[...]
In dat geval is de Restricted Programs List de beste uitkomst

En dan kijken of dit nog werkt:
Start - run
tiep in CMD en druk op OK
op de command prompt even DCPROMO.EXE intypen....

Klein bugje is Windows.

[ Voor 14% gewijzigd door bolke op 09-11-2003 21:00 ]