21:02 

Windows Automatic Updates #2

Hikedaya
В Dash'e под Chronostasis'ом.

Итак, после атаки Kido эту службу требуется снова поднять из пыли, отряхнуть и поставить на место. Проблема решаема при помощи принудительной установки типа запуска службы в "Автоматически". В этом случае после перезагрузки компьютера служба поднимется сама.
Easier said than done. На выходе получаем ошибку следующего содержания: Ошибка 0x80004015: Класс настроен на использование идентификатора безопасности, отличного от используемого вызывающей стороной.
После чего служба послушно становится автоматически запускаемой, но запускаться не желает, в списке служб гордо красуется надпись Stopped.
С этой проблемой я столкнулся еще ранее, как раз пытаясь службу включить принудительно, но поняв, что политика рушит функционал, просто снял ее, тем самым восстановив статус-кво. На этот раз надо все же докопаться до причины. В прошлый раз у меня на руках не было кода ошибки, теперь же он есть.
Что делать? Правильно, спросить решение у всемогущего Google. Великий и тут не подвел, ответ нашелся довольно быстро:
WU client failed to initialize with error 0x80004015 - Клац!
Если по-русски, то получается следующее.
При принудительном включении службы через доменные политики изменяется набор прав на эти самые службы. Политика по умолчанию предлагает проставить следующие разрешения:
Система (System) - полный доступ;
Администраторы (Administrators) - полный доступ;
Интерактивный вход (Interactive, читай, зашедший пользователь, не относящийся к первым двум категориям) - только чтение состояния.
Все. А на деле нужно проставить еще одну сущность, имя которой NetworkService:
В результате должно получиться:
System - полный доступ;
Administrators - полный доступ;
NetworkService - полный доступ;
Interactive - только чтение состояния.
Дальнейшее - тривиально. Определить область действия политики, подключить ее к домену и просто подождать, пока перезагрузятся системы.

Важно! Функционал автоматического обновления системы использует в своей работе две службы - Automatic Updates (Автоматическое обновление) и Background Intellegent Transfer Service (Фоновая интеллектуальная передача данных). Соответственно, принудительно включать надо их обе.

@музыка: Nickelback - If Today Was Your Last Day

@темы: WSUS, Security

URL
Комментарии
2009-05-07 в 08:36 

я начинающий сисадмин, выходит такая же ошибка при старте службы авт.обн-я

Подскажите плиз, где ставятся разрешения для служб???? т.е. по пунктам если можно.

URL
2009-05-07 в 16:25 

Hikedaya
В Dash'e под Chronostasis'ом.
Гость В общем случае - настройки безопасности для служб задаются в групповых политиках. Для их редактирования удобнее всего пользоваться консолью управления групповых политик - gpmc - Group Policy Management Console - Взять с Microsoft.com. При создании нового объекта политики (GPO - Group Policy Object) нужно будет задать следующие параметры:
1. Область действия политики. Это список тех объектов домена, к которым будет данная политика применяться. Это может быть набор компьютеров, пользователей.
2. Точка подключения политики. Это та область домена в которой будет применяться политика. На примере это можно объяснить так:
Есть домен, в котором существует несколько организационных единиц (OU - Organizational Units). Если политика подключена к корню домена, а областью действия назначены пользователи домена, то политика будет применена ко всем пользователям домена. Именно всем. Если же политика подключена только к какой-то определенной организационной единице, то действовать она будет на пользователей только этой организационной единицы, а не всего домена.
3. Собственно, параметры политики. Для их задания нужно нажать на новосозданной политике правой кнопкой мыши, выбрать пункт Edit, после чего можно приступать к заданию параметров политики. Для включения службы автоматического обновления нужно будет сделать следующее: пройти по следующему пути - Computer Configuration, Windows Settings, System Services.
На экране появится список стандартных служб Windows, среди которых нас интересуют две - Background Intellegent Transfer Service и Automatic Updates. Обе будут в состоянии Not Configured. Щелкаем каждую из них, выбираем выбираем галку Define this Policy Setting. Если появляется окно с назначением прав на службы, вносим все необходимые права на всех нужных пользователей, это было описано выше. После того, как права будут заданы, выбираем тип запуска службы "Automatic", и подтверждаем изменения.
Далее просто ждем перезапуска систем, для которых эта политика будет действовать.

URL
2009-07-17 в 15:43 

Сейчас разворачиваю WSUS в корпоративной сети, столкнулся с той же проблемой. Мелькнула мысль о Network Service, но решил проверить. Удручает то, что многие вещи приходится напильником самостоятельно ((.
Автору огромное спасибо! :)

URL
   

Записная книжка

главная