Время от времени возникает необходимость писать скрипты для работы с Active Directory. И это порождает вопрос: какие имена у атрибутов Active Directory , которые мы видим в оснастке Active Directory Users and Computers (ADUC)?

Как-то в одном блоге на Technet видел описание в виде скриншотов – это показалось удобным, но когда понадобилось, найти статью не удалось. Поэтому решил потратить немного времени и сделать шпаргалку для себя и других. Целиком все охватить трудновато, и я взял только самые популярные объекты.

Скриншоты показывают только имена атрибутов. Для некоторых их них есть особенности использования, поэтому всегда сверяйтесь с документацией.

Полное описание соответствия полей и атрибутов можно найти в документации по ссылке Mappings for the Active Directory Users and Computers Snap-in.

1.       Описание соответствия атрибутов для объекта Пользователь (User Object User Interface Mapping):

2.       Описание соответствия атрибутов для объекта  Компьютер (Computer Object User Interface Mapping):

3.       Описание соответствия атрибутов для объекта  Группа (Group Object User Interface Mapping):

 Наткнулся на интересный пост в блоге  Владимира Мамыкина http://blogs.technet.com/mamykin/archive/2008/11/21/21-2008.aspx

Так как мыслей по этому поводу появилось много (из-за интересных комментариев!), то пишу не там, а в своем блоге.

1. Число уязвимостей важный параметр. Это базовый параметр. Но для оценки опасности он не совсем пригоден – нужны более синтетические параметры.
2. Например, можно умножить число уязвимостей операционной системы на число инсталляций. Это покажет потенциальную область атаки. Например, если XP имеет 100 инсталляций и 10 уязвимостей, то область атаки будет 100 * 10 = 1000. Интересно, какие цифры будут для разных ОС?
3. Помимо уязвимостей операционной системы есть уязвимости в прикладных программах вроде офиса, коммуникаторов, почтовых клиентов и другого софта обеспечивающего коммуникации пользователей. Именно эти уязвимости нынче становятся наиболее востребованными, т.к. позволяют воровать информацию и деньги людей. А какая тут область атаки?
4. Почему-то все считают, что коды программного обеспечения Microsoft абсолютно  закрыты. На самом деле это совершенно не так! Существует целый ряд программ (в смысле соглашений),  по которым Microsoft раскрывает исходные коды. Такие программы есть государственные, для партнеров, для разработчиков и т.д. Полагаю, что Microsoft проводит аудит своего кода в третьих фирмах. Но информацию об этом никто афишировать не будет, т.к. это уже безусловно коммерческая тайна.
5. Все стали специалистами по безопасности. Вот в выше упомянутой заметке комментарий: «Microsoft 7 лет закрывала критическую уязвимость (http://liberatum.ru/exclusive/microsoft-7-let-zakryvala-kriticheskuyu-uyazvimost)» Прочитал. Удивился. Оказывается в 2001 году был создан код, который демонстрировал уязвимость. И по всему интернету «крутые специалисты» пишут: «На вашей машине уже 7 лет хозяйничают, а вы об этом даже не знаете!» Думаю как же так? Почему столько времени дыру не латали?! Нашел описание MS08-069. Нашел описание уязвимости …  Ага, ситуация проясняется. Оказывается, чтобы код сработал надо соблюсти ряд условий. Одно из них – должна быть отключена подпись пакетов SMB. Но подпись пакетов SMB включена по умолчанию и эксплойт в конфигурации системы по умолчанию не сработает никогда! Если только «крутой специалист» не решил, что это «фигня и только напрасно загружает ресурсы» и не отрубил подпись пакетов. Почему же сейчас выпущен патч, да еще с уровнем «important»? Опять же внимательное чтение MS08-069, говорит нам о том, что специалисты (а не «крутые специалисты») по безопасности  рапортовали об уязвимости, а это означает, что был найден способ создания нового эксплойта (а не того семилетней давности), который может использовать эту уязвимость. Вывод: не читайте желтую прессу, а пользуйтесь официальными и авторитетными источниками информации. Ну а так же используйте мировой кризис, чтобы расстаться с «крутыми специалистами» по безопасности: пусть зарабатывают статьями в желтой прессе и пугают друг друга.
6. Вспомнился Марк Твен с его правилом для газетчиков: «Чем дальше от нас катастрофа, тем больше в ней должно быть жертв». Теперь правило звучит так: «Чем меньше в Windows уязвимостей, тем они должны быть страшней»

Есть уже несколько моих статей посвященных проблемам вызываемым SNP:

Обновление 948496 отключает фичи SNP

Service Pack 2 для Windows 2003 и проблемы работы сети

Проблемы с сетью в Windows Server 2008: снова SNP

Сегодня продолжение темы в связи с выходом новой заплатки для SNP в Windows Server 2003 SP2.

В статье  KB948496 приведен большой перечень (не исчерпывающий!) проявлений проблем, которые может вызывать SNP. Сюда входят проблемы связанные с NAT, firewall, router, ICS, Outlook, Exchange, SMB, ISA, SecureNAT, VPN, RDP, DHCP, FTP и т.д. Есть проблемы производительности сети (копирование файлов, RPC), low nonpaged pool и даже останов сервера. Смотрите статьи для более полного погружения в тему.

Не так давно вышло обновление SNP для Windows Server 2003.

Хотфикс KB950224 включает целый ряд заплаток выпущенных ранее и решает еще часть проблем не упоминавшихся в KB948496.

Всем, у кого Windows Server 2003 SP2 и SNP не отключен установкой KB948496 или вручную, рекомендуется установить Хотфикс KB950224 

Хочу еще раз отметить, что корень проблем в драйверах сетевых карт. Именно с них надо начинать поиск решения.

Большая часть проблем вызывается функцией Offload, меньшая часть функцией RSS.

Поэтому если вы определили тестами, что никакие замены драйверов и никакие заплатки вам не помогли решить проблему, то начинать отключение SNP следует с Offload, потом RSS при необходимости.

Удачи вам!

Что-то я пропустил выход новой версии анализатора протоколов от Microsoft Network Monitor 3.2 has arrived!

В общем-то когда-то бесполезная вещь по сравнению с Ethereal стала приобретать черты мощного инструмента.

Что нового добавлено:

• Отслеживание процессов генерирующих трафик
• Увеличена производительность при работе на быстрых интерфейсах
• Выявление протокольных сессий (Find conversations)
• Поддержка более 300 протоколов
• Управление плагинами
• Поддержка PCAP стандарта формата файлов
• Поддержка OpenSource (Да!!!) проекта разработки плагинов на CodePlex
• Открыт API для разработки собственных анализаторов (!!!)
• Поддержка архитектуры IA64 в дополнение к x32 и x64

Также добавлено обновление версий через Windows Update и через меню программы Help>Check for Updates

Безусловно исправлены ошибки предыдущей версии.,

Полный список изменений в Release Notes.

Страница загрузки: http://www.microsoft.com/downloads/details.aspx?FamilyID=f4db40af-1e08-4a21-a26b-ec2f4dc4190d&DisplayLang=en

По поводу поста AlexAG

Если сеть не имеет маршрутизатора или тест выполняется для машин в том же сегменте, то узнать MAC-адрес компьютера можно легко выполнив последовательно

ping COMPUTERNAME

arp -a

Но если на пути стоит роутер, то мы увидим только его MAC-адрес!

К счастью в составе Windows 2003/XP/Vista/2008 есть утилита GetMac.exe, с помощью которой можно определить MAC-адрес Windows-системы расположенной в любом сегменте сети. Утилита работает по RPC.

GETMAC /S computername

Physical Address    Transport Name
=================== ==========================================================
00-AA-48-1D-64-5D   \Device\Tcpip_{FC0293ED-B972-4C00-87AC-BDA217D68AA5}

На днях искал WMI класс Win32_Product на Windows Server 2003. По сведениям MSDN должен быть, а в списке классов WMI на компьютере его нет.

PS> Get-WmiObject -list | Select-String "Win32_Product"

<Empty>

Проверил запрос против компьютера с системой XP – есть такой класс. Подивился такому раскладу. Полез в Интернет искать ответ. Нашел. Оказывается класс Win32_Product не установлен по умолчанию на сервере. Для того чтобы он появился, нужно установить компонент «WMI Windows Installer Provider» из раздела «Management and Monitoring Tools».

В общем все логично: класс WMI это средство управления некой сущностью, а если эта сущность не установлена, то и класса управления нет и не может быть.

Что полезного дает класс Win32_Product?

Список установленного ПО:

PS> $get_soft = Get-WmiObject -class Win32_Product -computername ComputerName

PS> $get_soft

IdentifyingNumber : {6FB1A0A0-C279-4400-BEF4-6A08B90157BC}

Name              : Microsoft Tool Web Package : User State Migration Tool

Vendor            : Microsoft Corporation

Version           : 1.0.0.1

Caption           : Microsoft Tool Web Package : User State Migration Tool

IdentifyingNumber : {121634B0-2F4A-11D3-ADA3-00C04F52DD53}

Name              : Windows Installer Clean Up

Vendor            : Microsoft Corporation

Version           : 2.05.00.0000

Caption           : Windows Installer Clean Up

                        ………………………………..

 <список установленного ПО>

Удаление ПО:

($get_soft | Where {$_.Name -eq "Windows Support Tools"}).Uninstall()

Установка ПО:

$inst_soft = [wmiclass]"\\ComputerName\ROOT\CIMV2:Win32_Product"

$inst_soft.install("Path\Product.msi")

Как видно команды выполняются для удаленного компьютера.

Удачи в поисках и использовании WMI!

Инвентаризация удаленного компьютера из оснастки

Active Directory Users and Computers (ADUC)

Я уже писал о расширении возможностей оснастки Active Directory Users and Computers (ADUC) в своем блоге (Вызов Remote Assistance из оснастки Active Directory Users and Computers (ADUC) , Делегирование прав на скрытые атрибуты в ADUC) и Переименование удаленного компьютера из оснастки ADUC.

Сегодня продолжаю тему: добавим в ADUC опцию локального меню для получения расширенной информации об удаленном компьютере.

Для решения задачи можно использовать любую программу, которая принимает в качестве параметра имя компьютера. Штатно в Windows присутствуют две полезные для нас программы: утилита командной строки systeminfo и GUI утилита msinfo32.exe.

Вызовы выглядят так:

%SystemRoot%\system32\cmd.exe /K    SYSTEMINFO /S COMPUTERNAME

"C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo32.exe" /computer COMPUTERNAME

В первом случае результат получим в окне командной строки, а во втором откроется окно самой программы msinfo32.exe.

Алгоритм такой: вызываем меню «Manage», если открывается, то компьютер включен и доступен, затем вызываем наше меню «Inventory» или «System Info» (называйте как нравится) и смотрим результат, закрываем окно ручками.

Скрипт прилагается. Методика встраивания вызова программы в ADUC описана в моей статье  Вызов Remote Assistance из оснастки Active Directory Users and Computers (ADUC).

Удачи в обустраивании своего рабочего места! J

Пара вопросов на форуме TechNet-RU заставила задуматься над областью применения нового языка PowerShell широко рекламируемого Microsoft, и который сейчас интенсивно развивается в версии 2.0 CTP.

С одной стороны некоторые считают, что PowerShell еще рано применять для серьезной практики. С другой стороны видны попытки решать любые задачи с помощью PowerShell.

И то и другое крайности!

Во-первых, все новые продукты Microsoft будут иметь провайдер для PowerShell. Это означает, что управление продуктами переводится целиком на .Net Framework и на ее основе делается два интерфейса управления - GUI и PowerShell. Это стратегическая линия. Все продукты Microsoft  вышедшие за последний год (или полтора) уже имеют средства управления через PowerShell. Это Exchange 2007, SCOM 2007, SCVMM 2007, IIS7, SCDPM 2007 и т.д.

Это означает, что смотреть на PowerShell как на отдаленное будущее совершенно неверно – это уже настоящее. С помощью PowerShell нам даны мощные средства управления целым рядом продуктов.

Во-вторых, PowerShell все же имеет свою нишу применения. Это не панацея и никто не будет на нем писать операционную систему! Ниша языка – решение задач административного управления на базе .Net Framework. В ближайшее время PowerShell не сможет заменить даже VBScript, который сейчас широко используется для решения административных задач с помощью скриптов. Например, использовать скрипт PowerShell как логон скрипт очень непрактично: на клиентском компьютере может не оказаться .Net Framework или версия .Net Framework не будет соответствовать требованиям скприпта, к тому же запуск среды исполнения PowerShell требует времени, а если еще нужно подгрузить расширения, то загрузка среды PowerShell может сильно затянуться. Аналогичные проблемы возникают, когда PowerShell скрипт нужно запускать по шедулеру. Ситуация в будущем безусловно улучшится, но базовые проблемы все равно сохранятся.

(Ниже в комментариях есть ссылка на скрипт, который ускоряет загрузку PowerShell)

В-третьих, по-прежнему существуют мощные административные утилиты. Их не может заменить ни VBScript, ни PowerShell, ни другое средство. Вот очень показательный пример из форума TechNet-RU http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=3957180&SiteID=40&mode=1

Задача копирования с условием дерева файловой системы и изменением прав доступа решена просто огромным скриптом PowerShell! Автор хорошо потрудился и это вызывает восхищение. Но тоже самое можно сделать двумя вызовами утилит!!!

Robocopy  Source Destination /S /COPYALL /MINLAD:20070101

И cacls или xcacls с ключом /D

Это хорошо демонстрирует, что удачный выбор средств позволяет решить задачу гораздо проще, быстрее и эффективнее. К тому же не надо бояться отступить от жестких рамок как постановки самой задачи, так и в выборе средств ее решения.

Удачи вам и удачного выбора!

Переименование удаленного компьютера из оснастки

Active Directory Users and Computers (ADUC)

Я уже писал о расширении возможностей оснастки Active Directory Users and Computers (ADUC) в своем блоге (Вызов Remote Assistance из оснастки Active Directory Users and Computers (ADUC) и Делегирование прав на скрытые атрибуты в ADUC)

Сегодня хочу продолжить тему и показать, как достаточно просто добавить в ADUC опцию локального меню для переименования удаленного компьютера.

Для решения задачи будем использовать хорошо известный VBScript и утилиту из Support Tools под названием netdom.exe

Эта утилита достаточно мощная и многофункциональная, но нас сейчас интересует только один из режимов работы этой утилиты.

Синтаксис переименования компьютера выглядит так:

NETDOM RENAMECOMPUTER machine /NewName:new-name

           /UserD:user [/PasswordD:[password | *]]

           [/UserO:user [/PasswordO:[password | *]]]

           [/Force]

           [/REBoot[:Time in seconds]]

Нам нужно получить примерно такой вызов:

NETDOM RENAMECOMPUTER MAZH /NewName:MAKH1 /UserD:Admin /PasswordD:* /REBoot:1

Нам нужны следующие параметры: старое имя компьютера, новое имя компьютера и пароль. Хранить пароль в теле скрипта неправильно, поэтому будем его вводить каждый раз. Также скрипт будет запрашивать новое имя компьютера и, если оно не пустое и не совпадает с прежним именем, будет запускать команду на переименование компьютера.

Алгоритм такой: вызываем меню «Manage», если открывается, то компьютер включен и доступен, затем вызываем наше меню «Rename Computer», вводим пароль и смотрим результат в окне шелла, закрываем окно ручками.

Скрипт приложен к этой статье. А методика встраивания его в ADUC описана в моей статье  Вызов Remote Assistance из оснастки Active Directory Users and Computers (ADUC).

Удачи в обустраивании своего рабочего места! J

В чем разгадка? В том, что на сервере была проведена глубокая оптимизация производительности системы.

Обычно наши сервера недогружены до такой степени, что им прямая дорога в виртуальный мир: основное преимущество виртуализации серверов это повышение утилизации мощностей оборудования физических серверов.

Но бывает и наоборот. Сервер тянет такую нагрузку, что уже не справляется с ней. Что делать? Заменить на более мощный и производительный что же еще?! Но не всегда такое решение оправдано, не всегда есть деньги на обновление. Как же быть? Ответ простой: провести анализ и выполнить оптимизацию производительности системы.

Наиболее эффективная оптимизация будет на этапе постановки задачи, потом идет алгоритм, затем реализация и только потом эксплуатация.

Пример оптимизации. Скажем вам надо защитить весь трафик вашей фирмы идущий через Интернет. Измерения показали, что трафик составляет 400 Мбит/с. Следовательно нужно дополнить стык  с Интернетом парой мощных аппаратных шлюзов, которые могут переварить такой трафик. Стоит такое решение немалые деньги.

Зададимся вопросом: а все ли надо шифровать? Оказывается, что основное бизнес приложение само шифрует свой сетевой трафик, несколько приложений используют IPSec, часть трафика это доступ к обычным публичным сайтам. В результате получается, что шифровать надо уже не 400 Мбит/с, а около 100 Мбит/с. Для решения задачи нам нужен более простой класс устройств и намного более дешевый.

Посмотрим что осталось. Из 100 Мбит/с большая часть это обмен файлами. Включим обязательное требование IPSec для файловых серверов, если клиенты за пределами локального сегмента. Осталось всего 10 Мбит/с незащищенного трафика – вот его и будем шифровать. Таким образом изменение постановки задачи уменьшило исходные требования в 40 раз (!) и позволило сократить расходы и десятки раз.

Пробуем пропустить трафик через существующее оборудование. Загрузка возрастает до предельного уровня из-за необходимости шифрования сетевого трафика.

Добавляем в сервер карту аппаратного шифрования. Загрузка оборудования существенно снижается.

Оценим, как шифруется трафик. Подбор алгоритмов и их параметров еще более убирает неоправданную нагрузку на оборудование и снижает его загрузку.

Таким образом, пройдя все этапы оптимизации, мы нашли решение с минимумом затрат, обеспечили приемлемое качество и нужную производительность.

Рассмотренный пример абстрактный, но хорошо демонстрирует механизм оптимизации системы.

Чаще всего провести оптимизацию всех этапов невозможно: все уже предопределено – системный администратор не в силах изменить прикладную задачу и приложение ее реализующую. Администратор сервера может только подкручивать параметры сервера, подгоняя его под определенное приложение. Но и этого бывает достаточно, чтобы добиться ощутимых результатов и решить проблему без существенных затрат на обновление оборудования и/или реструктуризации целого решения.

Хочется продолжить тему оптимизации системы и рассмотреть более приземленные случаи, но уже в следующих постах.

Как обычно необычные вопросы на форумах TechNet-RU, когда на них нет ответа, оставляют чувство незавершенности. И как обычно, когда ищешь информацию, она успешно прячется. И как обычно, когда ищешь что-то другое, попадается именно то, что было нужно раньше.

Так получилось и в этот раз. Речь о настройках RDP-клиента. Точнее о тех параметрах, которые можно задать в RDP-файле.

Если вы запустили RDP-клиента, то по умолчанию доступно только одно окно ввода имени сервера и кнопка Connect.

Если же нажать на кнопку Options, то появляются дополнительные возможности для настройки параметров подключения. В графическом интерфейсе эти настройки понятны, и нет необходимости их описывать.

Что для нас сейчас важно, настройки можно сохранить в RDP-файл, и использовать этот файл позднее для быстрого запуска RDP-подключения с уже выставленными параметрами. Для этого нажмите в RDP-клиенте кнопку «Save As» и сохраните RDP-файл на рабочем столе. Теперь можно выполнить предварительно настроенное подключение простым щелчком мышки на этом файле.

Откройте RDP-файл в обычном текстовом редакторе. RDP-файл это обычный текстовый файл. Формат файла прост: в каждой строке один параметр, его тип и значение, например:

desktopwidth:i:1280

Но по умолчанию в файл настроек записались далеко не все возможные параметры! А вот какие могут быть еще?

Например хорошо известно, что можно подключиться к консоли сервера по RDP вызывая клиент с ключом /console:

mstsc.exe /v:<ServerName>  /console

(Кстати если поставить ключ /console первым, то он игнорируется!)

А можно ли сделать тоже самое через RDP-файл? Если обратиться к официальной статье KB885187 Remote Desktop Protocol settings in Windows Server 2003 and in Windows XP, то такого параметра там нет…

Но, как я уже сказал, информация попадается совершенно в неожиданное время и в совершенно неожиданном месте.

Так мне попалось более полное описание параметров RDP-файла в библиотеке MSDN (во время поиска информации по DNS!), причем сразу к трех местах:

Terminal Services Client Configuration through the .rdp File (Platform Builder for Microsoft Windows CE 5.0)

Configuring the Terminal Services Client (Microsoft Windows CE 6.0)

Terminal Services Client Configuration through the .rdp File (Microsoft Windows CE 6.0)

Собственно для текущей версии RDP-клиента нужно смотреть параметры от CE 6.0.

Казалось бы, вопросов после этого не должно быть. Однако некоторые параметры в этих описаниях отсутствуют! Например, параметр password. Если при сохранении параметров подключения в RDP-файле указать пароль и поставить галочку «Save my password», то в RDP-файле появится параметр password с зашифрованным паролем (это ненадежное шифрование!) Возникает вопрос: какие еще параметры не описаны?

Для опции подключения к консоли в выше приведенных документах написано, что параметр игнорируется в XP… Неужели нет возможности указать параметр в XP? Проверил на Windows Server 2003 – работает. (Проверить на XP возможности не было: напишите в комментариях работает параметр или нет.)

Строка параметра выглядит так:

connect to console:i:1

После добавления этой строки в RDP-файл запуск RDP-файла приведет к подключению к консоли удаленного компьютера.

На этом история не заканчивается. Оказывается в новой версии RDP-клиента под номером 6.1 , которая поставляется с Vista и Windows Server 2008 (ее можно установить на XP/Windows Server 2003 как обновление KB952155), параметр командной строки /console заменен на /admin, а параметр RDP-файла «connect to console:i:1» соответственно на «administrative session:i:1» Невероятно, но информацию от Microsoft об этом удалось найти только на форуме TechNet, а также в блоге Terminal Services Team Blog.

Если вы постоянно используете в своей работе RDP-клиент, но никогда не пользовались RDP-файлами, то самое время их попробовать!

Я уже писал в своем посте Вызов Remote Assistance из оснастки Active Directory Users and Computers (ADUC) о возможности расширения функционала ADUC достаточно простыми манипуляциями.

Но ADUC хранит еще немало интересного J

Вот, например, задача делегирования прав на объекты Active Directory. Для этого существует специальный визард под названием Delegate Control Wizard.

Если администратору нужно выполнить стандартные действия по делегированию прав, то с помощью визарда все делается очень быстро. Если нужно выставить права на некоторые атрибуты объектов, то опять же нет проблем – есть такой режим в визарде… Вот только почему-то визард показывает далеко не все атрибуты объектов!

Например, вы хотите делегировать право на установку атрибута пользователя User must change password at next logon. - визард вам не покажет атрибут pwdLastSet для объекта Computer! А вот почему? J

Ответ на это дает статья How to modify the filtered properties of an object

Откройте файл %systemroot%\System32\dssec.dat , найдите нужный атрибут и замените =7 на =0, чтобы получить полные права на атрибут.

Теперь визард делегирования в оснастке ADUC покажет вам этот атрибут и позволит назначить на него права.

Полный пример в статье:

Minimum permissions are needed for a delegated administrator to force password change at next logon procedure

Надо отметить, что фильтрация работает по-разному в Windows 2000 и Windows 2003: последний по умолчанию видит гораздо больше атрибутов без модификации файла dssec.dat

Не так давно писал о проблемах, которые вывызывает установка обновлений для DNS сервера Проблемы с security bulletin MS08-037 (KB951746 и KB951748)

И вот появилась официальная статья по этому вопросу:

You experience issues with UDP-dependent network services after you install DNS Server service security update 953230 (MS08-037)

Собственно, как я и писал, проблема в том, что DNS сервер захватывает порты нужные другим сервисам и те не могут запуститься, а решение в резервировании портов через ключ реестра ReservedPorts и изменении стартовой границы диапазона пула захватываемых портов через ключ реестра MaxUserPort.

Новое в статье это использование ключа реестра SocketPoolSize для указания размера пула захватываемых портов.

   В начале июля 2008 года Microsoft выпустила обновления KB951746 и KB951748, которые устраняют возможность некоторых видов атак на DNS сервер и на DNS клиент.

   Установка этих обновлений в некоторых случаях, как оказалось, вызывает паралич сервера.

1. Первая, официально указанная, проблема - наличие на сервере продуктов ZoneAlarm или CheckPoint.

Решение простое: установить обновления продуктов ZoneAlarm или CheckPoint

Описание: http://blogs.technet.com/networking/archive/2008/07/10/dns-name-resolution-issues-after-installation-of-windows-update-discussed-in-bulletin-ms08-037.aspx

2. Вторая проблема наличие в реестре параметра MaxUserPort

   Этот параметр может присутстввовать в SBS 2003, в Windows Server 2003 и в Windows Server 2000.
(В Windows Server 2008 и в Windows Vista этот параметр ведет себя совершенно иначе!)

Симптомы: не работает DNS, отказ DC, не работают многие службы RPC и иные службы использующие динамическое распределение портов.

Решение: удалить из реестра параметр MaxUserPort.

   Но... иногда он все же нужен и тогда придется читать теорию и искать приемлемые значения параметров MaxUserPort и ReservedPorts или просто ожидать официальный workarround.

   По моему мнению, надо удалить параметр MaxUserPort и установить значение параметра ReservedPorts в 49152-65535

3. Возможно есть еще проблемы с этими обновлениями.

   Если вы столкнулись с подобными проблемами и нашли решение - пишите тут для потомков.
  Если проблема есть, но нет решения, то пишите на форуме TechNet-RU - будем искать решение все вместе.

Ссылки:

Главная статья MS08-037: Vulnerabilities in DNS could allow spoofing
http://support.microsoft.com/kb/953230

Сам бюллютень Microsoft Security Bulletin MS08-037
http://www.microsoft.com/technet/security/bulletin/ms08-037.mspx

Описание параметра MaxUserPort
http://technet2.microsoft.com/windowsserver/en/library/730fb465-d402-4853-bacc-16ba78e9fcc01033.mspx?mfr=true

Описание параметра ReservedPorts
http://support.microsoft.com/kb/812873/

Полезне обсуждение:
http://forums.techarena.in/showthread.php?t=1000629

Появилось обновление для XP и Server 2003, которое делает доступным Group Policy preferences. Это добавляет в GPO фичи, появившиеся в Windows Server 2008:

• Folder options
• Mapped drives
• Printers
• Scheduled tasks
• Services
• Start menu settings

Конечно обновление ставит только клиентское расширение GPO, а AD должна быть на базе Windows Server 2008. Соответственно Group Policy preferences можно настраивать либо через Windows Server 2008, либо через RSAT из под Vista SP1.

Group Policy preferences in Windows Server 2008 - описание обновлений и загрузка

Group Policy Preferences Overview - документация

FAQ

Главное отличие от GPO заключается в том, что Group Policy preferences позволяют пользователю изменять настройки регулируемые политикой, в то время как GPO блокирует такое поведение.

Например, если Group Policy preferences установит принтер по умолчанию для пользователя, то пользователь может назначить другой принтер принтером по умолчанию, если же принтер по умолчанию задать через GPO, то пользователь не сможет изменить такую настройку.

Group Policy preferences предназначены для настройки тех параметров, которые не целесообразно (или не возможно) устанавливать через GPO.

Таким образом Group Policy preferences дополняют и расширяют механизм GPO.