Windows Vista. Для профессионалов

• EnableLLTDIO – если значение данного параметра равно 1, то работа драйвера отображения ввода/вывода LLTDIO будет разрешена.

• ProhibitLLTDIOOnPrivateNet – при установке значения этого параметра равным 0 работа драйвера отображения ввода/вывода LLTDIO в частной сети будет разрешена. Он используется лишь тогда, когда параметру EnableLLTDIO присвоено значение 1.

Служба инициатора Майкрософт iSCSI

Тип запуска: вручную.

Учетная запись: система.

Дополнительные привилегии: SeAuditPrivilege, SeChangeNotifyPrivilege, SeCreateGlobalPrivilege, SeCreatePermanentPrivilege, SeImpersonatePrivilege, SeTcbPrivilege.

Файлы службы: iscsiexe.dll.

Исполняемый файл: svchost.exe – k netsvcs.

Подраздел реестра: MSiSCSI.

Службы, необходимые для работы данной: нет.

Позволяет создавать сессии подключения к iSCSI-устройствам с помощью Интернета. После отключения данной службы вы не сможете установить связь с iSCSI-устройствами.

Настройки данной службы содержатся в ветви реестра HKEY_LOCAL_MACHINE\ SOFTWARE\MicrosoftWindows NT\CurrentVersion\iSCSI.

Служба общего доступа к портам Net.Тер

Тип запуска: отключена.

Учетная запись: локальная служба.

Дополнительные привилегии: SeCreateGLobaLPriviLege.

Файлы службы: нет.

Исполняемый файл: %systemroot%\WinFX\v3. 0\Windows Communication Foundation\SMSvcHost.exe.

Подраздел реестра: NetTcpPortSharing.

Службы, необходимые для работы данной: нет.

Управляет возможностью совместного доступа к портам TCP с помощью протокола Net.TCP.

Сетевой вход в систему

Тип запуска: вручную.

Учетная запись: система. Дополнительные привилегии: нет. Файлы службы: нет.

Исполняемый файл: lsass.exe.

Подраздел реестра: Netlogon.

Службы, необходимые для работы данной: Рабочая станция (LanmanWorkstation).

Управляет безопасным каналом между данным компьютером и контроллером домена, с помощью которого выполняется вход в систему.

Пароль безопасного канала хранится на каждом контроллере домена вместе с учетной записью компьютера. При этом пароль периодически изменяется и синхронизируется с данными LSA. В поставку операционной системы Windows ХР входила программа командной строки Netdom.exe (она не устанавливалась по умолчанию), с помощью которой можно было переустановить безопасный канал. Для этого применялась команда Netdom.exe reset <компьютер> /domain:<домен>. Например, переустановка канала была необходима в том случае, если происходила рассинхронизация пароля безопасного канала с данными LSA.

Для просмотра состояния безопасного канала в операционной системе Windows ХР также применялась программа командной строки nltest.ехе, не устанавливающаяся по умолчанию при установке операционной системы.

Если ваш компьютер не подключен к домену Active Directory, то в данной службе нет необходимости. В противном случае благодаря ее использованию между вашим компьютером и контроллером домена создается аутентифицированное соединение RPC. Оно используется для проверки такой конфиденциальной информации, например, как идентификаторы безопасности (SID) пользователей и групп.

Настройка регистрации записей

Еще одной обязанностью службы Сетевой вход в систему при работе в домене является регистрация записей типа SRV, CNAME и А, определяющих домен и глобальный каталог, в базе DNS через определенные промежутки времени. При этом список регистрируемых службой записей хранится в файле Netlogon.dns каталога %systemroot%\System32\Config.

С помощью параметров REG_DWORD-типа ветви реестра HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Netlogon\Parameters можно настроить некоторые возможности регистрации записей в базе DNS.

• UseDynamicDns – применяется только на контроллерах домена. Он позволяет запретить службе Сетевой вход в систему автоматическую регистрацию записей, идентифицирующих данный контроллер домена, в базе DNS на этом контроллере домена.

• RegisterDnsARecords – используется только на контроллерах домена. Он позволяет запретить службе Сетевой вход в систему автоматическую регистрацию записей типа А (включая обязательные записи вида gc. msdcs. имял еса, которые после отключения нужно будет регистрировать вручную). Если записи типа А регистрироваться не будут, то протокол LDAP, не поддерживающий записи типа SRV, не сможет обнаружить сервер LDAP на данном контроллере домена.

Настройка с помощью групповой политики

Настроить работу службы Сетевой вход в систему можно и с помощью групповых политик операционной системы. Для этого применяются политики, расположенные в разделе Конфигурация компьютера → Административные шаблоны → Система → Сетевой вход в систему.

Следующие политики данного раздела изменяют параметры REGDWORD-типа, расположенные в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\ Microsoft\Netlogon\Parameters.

• Обращение к PDS в случае неудачи входа в систему – изменяет значение параметра AvoidPdcOnWan. Данная политика позволяет определить, должен ли контроллер домена при вводе пользователем ошибочного пароля контактировать с PDC, чтобы проверить, не был ли пароль данного пользователя изменен, но еще не передан на контроллер домена.

• Ожидаемая задержка при удаленном входе – дает возможность изменить значение параметра ExpectedDialupDelay. Политика позволяет определить интервал ожидания ответа от контроллера домена при выполнении входа в систему.

• Окончательный интервал попыток обнаружения контроллера домена для фоновых клиентов – изменяет значение параметра BackgroundRetryQuitTime. Данная политика позволяет определить интервал времени, в течение которого клиент может пытаться обратиться к контроллеру домена, если ответа от контроллера не поступает. Если по истечении этого интервала контроллер домена так и не ответил, то клиент прекращает попытки связаться с ним.

• Начальный интервал попыток обнаружения контроллера домена для фоновых клиентов – меняет значение параметра BackgroundRetrylnitialPeriod. Политика позволяет определить интервал времени, который должен пройти перед первой попыткой программы, пытающейся обратиться к контроллеру домена, выполнить повторное обращение к контроллеру домена (если на первое обращение контроллер домена не ответил).

• Уровень отладки файла журнала – изменяет значение параметра dbFlag. Данная политика позволяет определить информацию, которая будет помещаться в файл журнала регистрации netlogon.log, расположенный в каталоге %windir%\ debug. По умолчанию файл журнала не ведется.

• Максимальный интервал повторных попыток обнаружения контроллера домена для фоновых клиентов – меняет значение параметра BackgroundRetryMaximumPeriod. Политика позволяет определить максимальный интервал времени между повторными обращениями к контроллеру домена программой, если на предыдущие обращения контроллер домена не ответил.

• Максимальный размер файла журнала – дает возможность изменить значение параметра MaximumLogFileSize. Данная политика позволяет определить максимальный размер файла netlogon.log, расположенного в каталоге %windir%\ debug.

• Кэш-параметр негативного обнаружения контроллеров домена – меняет значение параметра NegativeCachePeriod. Политика позволяет определить интервал времени, в течение которого локатор домена все еще будет считать, что контроллер домена недоступен (если предыдущее обращение к контроллеру было неудачным). Иначе говоря, если после неудачного обращения к контроллеру домена и до истечения указанного данной политикой интервала локатору поступит еще одно требование обращения к контроллеру домена, то он автоматически ответит, что контроллер домена недоступен (без попытки обратиться к нему).

• Периодическое обновление кэша положительных ответов DC для фонового вызова – изменяет значение параметра BackgroundSuccessfulRefreshPeriod. Данная политика позволяет определить интервал обновления кэша успешных обращений к контроллеру домена для программ, обращающихся к контроллеру домена в фоновом режиме.

• Периодическое обновление кэша положительных ответов DC для нефонового вызова – меняет значение параметра NonBackgroundSuccessfulRefreshPeriod. Политика позволяет определить интервал обновления кэша успешных обращений к контроллеру домена для программ, обращающихся к контроллеру домена не в фоновом режиме.

• Интервал очистки – изменяет значение параметра Scavengelnterval. Эта политика позволяет определить интервал сбора мусора на контроллере домена.

• Имя сайта – меняет значение параметра строкового типа SiteName. Определяет имя сайта Active Directory, к которому принадлежит данный компьютер.

• Установка приоритета в DNS SRV-записях локатора контроллеров домена – изменяет значение параметра LdapSrvPriority. Политика позволяет определить значение поля приоритета в записях SRV, зарегистрированных диспетчером домена.

• Интервал обновления DNS-записей локатора контроллеров домена – меняет значение параметра DnsRefreshlnterval. Данная политика позволяет определить интервал обновления локатором контроллера домена записей ресурсов.

• Попробовать следующий ближайший узел – дает возможность изменить значение параметра TryNextClosestSite. Политика позволяет определить, будет локатор контроллера домена искать контроллер домена только в текущем сайте или также и в ближайших сайтах (если в текущем сайте локатор не нашел контроллер домена).

• Набор TTL DNS-записей локатора контроллеров домена – меняет значение параметра DnsTtl. Эта политика позволяет определить значение поля Срок жизни в записях SRV, зарегистрированных диспетчером домена.

• Установка веса в DNS SRV-записях локатора контроллеров домена – изменяет значение параметра LdapSrvWeight. Политика позволяет определить значение поля веса в записях SRV, зарегистрированных диспетчером домена.

Агент защиты сетевого доступа

Тип запуска: вручную.

Учетная запись: сетевая служба.

Дополнительные привилегии: SeChangeNotifyPriviLege, SeImpersonatePriviLege.

Файлы службы: qagentRT.dll.

Исполняемый файл: svchost.exe – k NetworkService.

Подраздел реестра: napagent.

Службы, необходимые для работы данной: Удаленный вызов процедур (RPC) (RpcSs).

Управляет работой компонента NAP.