Užitečný přehled pro různé verze a vydání Windows od Windows 2000 po Windows 7 / 2008 R2 je na stránkách MSDN:

Memory Limits for Windows Releases:

http://msdn.microsoft.com/en-us/library/aa366778(VS.85).aspx

Nezapomínejme na jednoduché nástroje příkazové řádky! Kdysi velmi primitivní příkaz WHOAMI se ve Windows 7 vypracoval na užitečného pomocníka. Oceňuji parametry /PRIV a /GROUPS. Vše zahrnující /ALL také není k zahození.

Nástroj WhoAmI lze používat třemi způsoby:

Syntaxe 1:
    WHOAMI [/UPN | /FQDN | /LOGONID]

Syntaxe 2:
    WHOAMI { [/USER] [/GROUPS] [/PRIV] } [/FO formát] [/NH]

Syntaxe 3:
    WHOAMI /ALL [/FO formát] [/NH]

Popis:
    Tento nástroj slouží k získání uživatelského jména a informací o skupině spolu s příslušnými identifikátory zabezpečení (SID), oprávněními a identifikátorem (ID) přihlášení aktuálního
    uživatele (přístupovým tokenem) v místním systému (tj. kdo je aktuálním přihlášeným uživatelem).
    Pokud není zadán žádný přepínač, nástroj zobrazí uživatelské jméno ve formátu NTLM (doména\uživatelské_jméno).

Seznam parametrů:
    /UPN           Zobrazí uživatelské jméno ve formátu UPN (hlavní uživatelské jméno).

    /FQDN         Zobrazí uživatelské jméno ve formátu FQDN (Fully Qualified Distinguished Name - úplný rozlišující název).

    /USER          Zobrazí informace o aktuálním uživateli spolu s identifikátorem zabezpečení (SID).

    /GROUPS      Zobrazí členství aktuálního uživatele ve skupinách, typ účtu, identifikátory zabezpečení (SID) a atributy.

    /PRIV           Zobrazí přístupová oprávnění aktuálního uživatele.

    /LOGONID    Zobrazí ID přihlášení aktuálního uživatele.

    /ALL            Zobrazí aktuální uživatelské jméno a skupiny příslušnosti spolu s identifikátory zabezpečení (SID) a oprávněními přístupového tokenu aktuálního uživatele.

    /FO       formát        Určuje, který výstupní formát se má zobrazit.
                        Platné hodnoty jsou TABLE, LIST a CSV. U formátu CSV se nezobrazí záhlaví sloupců. Výchozí formát je TABLE.

    /NH              Určuje, že se na výstupu nezobrazí záhlaví sloupců. Tento přepínač je platný pouze u formátů TABLE a CSV.

    /?                 Zobrazí tuto nápovědu.

Stále něco nového se člověk učí :-)

Service Level Dashboard 2.0 pro SCOM 2007 R2 jak ho představuje ve třech krátkých ukázkách Matt Hester, vám poskytne základní informaci o tomto rozšíření SCOMu 2007. Zákazníkovi poskytuje informaci o dostupnosti systémů  a obchodních aplikací téměř v reálném čase, včetně výkonových trendů. Je možné připravit specifická rozhraní a pohledy pro různé role, například “provoz”, “finance” a podobně.

Koncem minulého měsíce se dočkal aktualizace také základní management pack Operations Manager 2007 SP1 Management Pack, který je nyní po dvou aktualizacích ve verzi 6.0.6709.0. Tato aktualizace se snaží držet krok se změnami a opravami ve SCOM 2007 R2 a odstranit podobné problémy a nekonzistence také ve SCOM 2007 SP1. Všem provozovatelům SCOM SP1, kteří nechtějí nebo nemohou v přejít v krátké době na verzi R2, DOPORUČUJI prostudovat přínosy a zvážit přechod na aktuální verzi MP.

Doprovodný dokument uvádí následující přehled změn:

• Updated the layout and default filters and sort order for a number of views.
• Fixed an issue that was previously preventing all rules related to agentless exception monitoring from generating alerts.
• Added display names, descriptions, and product knowledge where missing.
• Added the rule “Collects Opsmgr SDK Service\Client Connections” to collect the number of connected clients for a given management group. This data is shown in the view “Console and SDK Connection Count” under the folder “Operations Manager\Management Server Performance”.
• Updated a number of monitors and rules to ensure that data is reported to the correct management group for multihomed agents.
• The following rules and monitors are now disabled by default as they are generally not actionable:
• A GroupPopulator module unloaded due to an unrecoverable error
• Health Service Cannot Find Management Group
• Data Validity Check
• Root Connector Data Validity Check
• Added event collection rule for events 5400, 5401, 5402, 5404 5405, and 5500.
• Updated the alert suppression criteria for the rule “Alert on Dropped MultiInstance Performance Module” in order to significantly reduce the alert volumes generated by this rule and make it easier to identify the root cause.
• The implementation that triggers the “Restart Health Service” recovery was changed to be driven by monitors as opposed to rules, to address a number of shortcomings in the previous design.
• Changed the default severity and priority of alerts raised by the “SDK Spn Registration” rule from “warning” to “critical” and updated the knowledge for the rule significantly.
• Fixed an issue in which the “RunAs Authorization Check” alert could be incorrectly auto-resolved.
• Added the “Communication Certificate Expiration Check” monitor to monitor certificate expiration for untrusted domain endpoints (agents, gateways, servers) and alert before the certificate expires.
• Added event details to the “Secure Storage Configuration Check” monitor alert.
• Changed the time-out value of the “Log Distributed Workflow Test Event” to 300 seconds.
• Fixed an issue with the “Management Configuration Service - Windows Service State” monitor so that it will properly generate alerts for the state of the “OpsMgr Config Service” on a clustered root management server.
• Fixed the “Operational Database Space Free (%)” monitor to compute free space based on maximum data file size, rather than maximum data and log file sizes combined.
• Updated the workflows that drive the state of the “Computer Not Reachable” monitor to handle the condition when the computer’s name does not resolve.
• Added additional criteria to the rule “WMI Raw Performance Counter Module Execution Failure” to account for some event IDs that were not being detected.
• Removed criteria from the rule “Performance Data Source Module could not find a performance counter” to avoid generating alerts on warning events.

Důležité změny jsou v oblasti monitorování zdravého stavu agenta a volitelná možnost automatické nápravy problému, dále monitorování problémů s Running Workflows

Local and Remote Monitoring of an Agent’s Health

• Operations Manager agents monitor themselves for events and performance indicators that signal an issue with the agent’s health.
• Management servers also maintain an external perspective of an agent’s health via the Health Service Watcher.
• The ‘Agent Health State’ view provides a side-by-side dashboard of both perspectives on the agent.

Optional, Automatic Agent Remediation Capabilities

• If the Health Service Watcher determines that an agent is unhealthy, a series of diagnostics and recoveries can be enabled to further diagnose the problem and event take actions to attempt to fix the problem (e.g. Ping the server to see if it is completely offline, start a stopped agent, trigger a reinstall, etc.). Refer to the management pack guide for more details.
• Agents are monitoring their own process to ensure that memory utilization is not sustained at unacceptable levels. If this condition is detected then the agent will automatically restart itself to force the freeing up of memory.

Detection of Problems and Misconfigurations with Run As Accounts and Profiles

• Checks are run on a regular basis to detect if any of the management group’s “Windows” type Run As Accounts have credentials which are about to expire. Alerts will be raised, and where possible this will be done in advance of the credentials expiring to avoid outages.
• Alerts will be raised if any errors are encountered during the distribution of Run As Accounts.

Monitoring of problems with Running Workflows in Management Packs

• Numerous rules are provided to detect if workflows within management packs are failing. Examples of workflows include discoveries, rules, monitors, etc. Failures can range from bad configurations on the workflows themselves, script failures, permissions problems, etc.

Minulý týden byl publikován článek KB971541 a je dostupný balík oprav Update Rollup for Operations Manager 2007 Service Pack 1 (KB971541). Protože obsahuje kombinaci dříve publikovaných oprav, je to skoro 60 MB komprimovaných dat.

Aktualizaci je nutno provést na všech rolích management serveru a na počítačích s uživatelským rozhraním. Manuální zásah je nutný také na monitorovaných serverech, na kterých byl agent instalován manuálně. Ostatní agenty systém aktualizuje automaticky:

• Root Management Server, Management Server, Gateway Server
• Operations Console
• Operations Management Web Console Server
• Agent (manually installed)
• Audit Collection Server (ACS Server)
• Reporting Server

Aktualizace se týká také podpory rolí SCOM na nových verzích operačního systému Windows 7 a Windows Server 2008 R2.

Co se týká databázového serveru, je popsán postup přechodu na SQL Server 2008 na serverech s databázemi SCOM včetně popisu aktualizace SQL Server Reporting Services. Před časem jsem se úspěšně o podobný krok pokusil, viz zde (http://blogs.technet.com/jermar/archive/2009/03/31/scom-2007-sp1-na-windows-2008-spolu-se-sql-server-2008-6.aspx). Uvedený balík obsahuje potřebné nástroje SRSUpgradeTool.exe, SRSUpgradeHelper.msi

Vzhledem k poměrně rozsáhlému zásahu je doporučeno zálohovat databáze a management servery před aktualizací tímto balíkem oprav. Vlastní aktualizaci je rozumné provádět takto:

1. Soubor - SystemCenterOperationsManager2007-SP1-KB971541-X86-X64-IA64-ENU.MSI kopírovat do sdílené složky – aby byl přístupný ze všech management serverů. Na servery s manuálně instalovaným agentem, ze kterých se nelze ke sdílené složce připojit, je nutno kopírovat instalační balík lokálně.
2. Na každém management serveru a na výše uvedených serverech s ručně instalovanými agenty spustit instalaci.
3. Vybrat příslušnou roli z dialogu aktualizace Operations Manager 2007 Software Update (dialog lze vyvolat později:SetupUpdateOM.exe)

Na serveru Windows Server 2008 nezapomenout spustit instalaci z okna příkazové řádky (CMD), která byla spuštěna s volbou Run as Administrator ! :-)

Aktualizace se dočkala také samostatná dokumentace:

• Supported Configurations Guide 
• Upgrade Guide

Odkazy

Balík ke stažení:

http://www.microsoft.com/downloads/details.aspx?FamilyID=05d7785d-fe69-48bc-8dfa-72a77c8936bf&displaylang=en#top

Popis a podrobné instrukce:

http://support.microsoft.com/kb/971541

Jedno stěhování v minulém roce a vyřazování asi tisícovky knih z mé papírové knihovny mne přinutilo zamyslet se nad čtením elektronických knih. Spousta klasických anglických knih je dostupná v elektronické podobě, cena nových publikací určených pro elektronické čtení bývá podstatně nižší než v případě papírového vydání. A Městská knihovna v Praze vydala kompletního Karla Čapka v několika elektronických formátech.

Zavrhnul jsem možnost koupě NetBooku z důvodu malé výdrže baterie ve srovnání s dále uvedeným přístrojem, ani jeho displej není pro tyto účely vhodný. Tak zvaný elektronický inkoust je naopak vynikající pro čtení, i když nenabízí barvu.

V létě jsem si pořídil “výprodejový” model SONY PRS – 505, jeho podrobný popis i s odkazy na další stránky související s problematikou zobrazování češtiny naleznete na webu grafika.

Formáty češtiny lze řešit dostupnými fonty, zvolil jsem kódování UTF-8, do kterého převádím nové texty, pokud potřebuji více fontů než nabízí formát TXT. Správa knihovny na propojeném počítači je možná pomocí dodaného SW SONY, ale česky si v něm nepočtete. O mnoho lepší správa a konverze formátů je s pomocí programu calibre.

Nejdelší “četbu” jsem zažil při 11 hodin trvajícím letu přes Atlantik (Seattle – Amsterodam), čtu po večerech dále a pomalu omezuji počet papírových knih. (Lépe řečeno, nenakupuji tak rychle a ve velkém množství nové :-) ).

Na stránkách TechNet v části Solution Accelerators  jsou k dispozici aktualizované dokumenty, které mimo jiné reflektují změny po uvedení Windows Server 2008 R2 a SCOM 2007 R2.

Stránka je zde (http://technet.microsoft.com/en-us/solutionaccelerators/ee382254.aspx).

Tato série dokumentů má pomoci při návrhu a plánování infrastruktury s využitím technologií Microsoftu. Jednotlivé dokumenty jsou zaměřeny na typické scénáře a jejich cílem je usnadnit kritická rozhodnutí v etapě plánování a návrhu infrastruktury. V oblasti System Center to jsou dokumenty:

IPD Guides for System Center

  System Center Data Protection Manager 2007 SP1
  System Center Virtual Machine Manager 2008 and R2 (updated)
  System Center Operations Manager 2007 and R2 (updated)
  System Center Configuration Manager 2007

V oblasti Windows Server jsou aktualizované dokumenty

IPD Guides for Windows Server

   Windows Server Virtualization*
   Windows Deployment Services*
   Terminal Services
   Internet Information Services*
   Print Services*
   File Services*
   Active Directory Domain Services*
   Direct Access BETA (Live ID and registration required)

         *updated for Windows Server 2008 R2

Při této příležitosti chci také upozornit na oblast Security Solution Accelerators,  z dostupných dokumentů zejména

Applying the Principle of Least Privilege to User Accounts on Windows XP

Microsoft Identity and Access Management Series

The Secure Access Using Smart Cards Planning Guide
The Security Monitoring and Attack Detection Planning Guide
Implementing Quarantine Services with Microsoft Virtual Private Network Planning Guide
Server and Domain Isolation Using IPsec and Group Policy Guide

Fundamental Computer Investigation Guide for Windows
Regulatory Compliance Planning Guide
Security Risk Management Guide

Threats and Countermeasures Guide
The Antivirus Defense-in-Depth Guide
The Services and Service Accounts Security Planning Guide
The Administrator Accounts Security Planning Guide

Před rokem jsem začal sepisovat příspěvky na těchto stránkách, před půl rokem jsem přidal “počítadlo” a dnes byla překročena hranice 2000 přístupů. Bylo by to více, pokud bych psal pouze anglicky a nebo zvolil obsah zajímající masového konzumenta. To není můj cíl. 

Statistics updated 6 Oct 2009@06:59GMT: 2,000 visits

Osobní plán příspěvků na tento měsíc obsahuje vedle poznámek vztahujících se k použití SCOM 2007 R2 také článek o čtení elektronických knih a speciálních čtečkách. Jen si najít čas na psaní (o čtením pomlčím), když je potřeba také fotografovat, cestovat, hrát golf, trávit čas s rodinou, … :-)

Podporované konfigurace uvádí článek na Technetu: http://technet.microsoft.com/en-us/library/dd819933.aspx.

Článek 953141 se zabývá podmínkami provozu na serveru Windows 2008 a uvádí potřebné opravy. Opravy pro operační systém jsou součástí Windows Server 2008 SP2 (951327, 952664, 953290). Pokud váš operační systém není ve verzi SP2 (měl by být :-) ), je nutné opravy instalovat samostatně ještě před instalací systému SCOM 2007.

Po instalaci komponent SCOM 2007 SP1 na serveru Windows Server 2008 je nutné aplikovat opravu pro SCOM 2007 SP1, která je popsána v článku 954049 (Download the 954049 package now.)

Operations Manager 2007 R2 lze instalovat na Windows Server 2008, žádné speciální opravy nejsou nutné.

Žádné zásadní změny, oficiálně stále ve stadiu ověřování podporovaného scénáře. Pro databázový server bude zřejmě vyžadován Service Pack 1, který byl uvolněn 7. dubna 2009, viz zde.

Článek KB 958170 - Last Review: April 12, 2009, Description of System Center Operations Manager 2007 Service Pack 1 support for Microsoft SQL Server 2008 – posouvá dostupnost migračního nástroje do poloviny tohoto roku.

AKTUALIZACE (další posun a zpoždění):

Last Review: July 28, 2009 - Revision: 5.0 - We are working on a migration tool that will enable you to transition your database and your reporting platform from SQL Server 2005 to SQL Server 2008. This tool is expected to be available during the second half of 2009.

Před časem jsem ověřoval možnost aktualizace SCOM 2007 SP1 na verzi R2 (http://blogs.technet.com/jermar/archive/2008/12/17/aktualizace-scom-sp1-na-r2-beta-1.aspx). Tento týden jsem přistoupil k aktualizaci prostředí, které jsem nedávno popisoval v několika pokračováních:

(1) – operační systém Windows Server 2008 – SCOM 2007 SP1 na Windows 2008 spolu se SQL 2008 (1)
(2) – komponenty a konfigurace SQL Server 2005 – SCOM 2007 SP1 na Windows 2008 spolu se SQL 2008 (2)
(3) – reporting, roll-up aktualizace pro SCOM na serveru Windows  2008 – SCOM 2007 SP1 na Windows 2008 spolu se SQL 2008 (3)
(4) – instalace agenta, import MP pro operační systémy Windows Server, ACS – databáze, serveru ACS a reporty pro ACS – SCOM 2007 SP1 na Windows 2008 spolu se SQL 2008 (4)
(5) – aktualizace pro SCOM 2007 SP1 – SCOM 2007 SP1 na Windows 2008 spolu se SQL 2008 (5)
(6) – aktualizace SQL Server 2005 na verzi 2008 – SCOM 2007 SP1 na Windows 2008 spolu se SQL 2008 (6)

Takže výchozí konfigurace představuje operační systém Windows 2008 SP2, databázový server je SQL 2008 SP1 a dohledový systém SCOM 2007 SP1.

Samotná aktualizace nepředstavuje až na jednu drobnost žádný velký problém. Doporučuji přečíst si dokument Operations Manager 2007 Upgrade Guide a řídit se doporučeními ve vašem konkrétním případě. Kontroloval jsem hlavně následující:

• zkontrolujeme, zda databáze mají více než 50% volného místa a zjednáme nápravu
• zkontrolujeme, zda nejsou některé agenty ve stavu pending 
• odebrat agenty z počítačů, kde jsou samostatné konzoly, Operations Console 
• zablokovat subscriptions
• zablokovat konektory, pokud jsou použité.

Vyzkoušel jsem i bod Improving Upgrade Performance, i když v testovacím prostředí jsem neočekával problémy.

Samotná aktualizace spočívá ve spuštění setupOM.exe a postupného výběru příslušných položek. Na serveru RMS mám také komponenty pro reporting, webovou konzolu SCOM a ACS. Nejprve zvolíme Install Operations Manager 2007 R2

Instalační program rozpozná stav konfigurace a dovolí aktualizovat instalovaný systém:

Při kontrole podmínek chyběla komponenta ASP.NET Ajax Extension, po její instalaci aktualizaci bylo možné provést. 

Instalace měla v závěru problém se zastavením služeb, ale aktualizace byla dokončena.

Ověříme verzi v databázi OperationsManager v tabulce dbo.__MOMManagementGroupInfo__, kde DBVersion je 6.1.7221.0, stejně jako v Registry v klíči HKey_Local_Machine\Software\Microsoft\Microsoft Operations Manager\3.0\Setup hodnota ServerVersion.

Služby jsou po aktualizaci přejmenovány takto:

System Center Management Configuration (dříve OpsMgr Config Service)
System Center Data Access (dříve OpsMgr SDK Service)
System Center Management (dříve OpsMgr Health Service)

Současně byl také aktualizován server pro webovou konzolu, který sídlí na tomto serveru spolu s RMS.

Operations Manager 2007 R2 Reporting

Při aktualizaci této role jsem v okamžiku, kdy instalátor hlásí, že některé soubory se používají, zvolil nejprve chybný postup – zastavil jsem službu SQL Server Reporting Services. Instalace probíhala dále, ale v závěru ohlásila chybu a vrátila vše do původního stavu. Správná volba v tomto okamžiku je Ignore a po instalaci restart serveru:

Instalace agentů

Z konzoly schválíme aktualizaci agentů:

Použijeme účet s oprávněním Administrátora na cílovém serveru, po úspěšné aktualizaci je v konzole indikována nová verze agenta:

Aktualizace ACS kolektoru

Opět voláme setupOM.exe, volba je Install Audit Collection Server. V průběhu aktualizace použijeme existující databázi. Protože jsem před časem již nahrál nové reporty pro ACS, tento krok nyní odpadá. Postup jsem uvedl dříve zde.

-------------------------

Aktualizace systému na verzi R2 není nic složitého, že … ?

Pomocí příkazů AT a MSG docílíme jednoduše zobrazení připomínky ve Windows. Podmínkou správné funkce je běžící služba plánovače úloh (schedule) – pokud neběží, spustíme ji příkazem

net start schedule

Okno se zprávou v 15:00 naplánujeme třeba takto (msg lze použít ve Windows Vista, starší systémy mají službu messenger a příkaz net send):

at 15:00 msg * POZOR zpráva všem!

Zkontrolujeme naplánované úlohy – zadám samotný příkaz AT

C:\Windows\system32>at
ID stavu    Den                     Čas           Příkazový řádek
-------------------------------------------------------------------------------
        6   Dnes                    15:00 odp.    msg * POZOR zpráva všem!

Příkaz AT

C:\Windows\system32>at /?
Příkaz AT plánuje spouštění příkazů a programů v počítači v zadaném
čase a datu. Aby bylo možné příkaz AT použít, musí být spuštěna služba
Plánovač úloh.

AT [\\název_počítače] [ [id] [/DELETE] | /DELETE [/YES]]
AT [\\název_počítače] čas [/INTERACTIVE]
    [ /EVERY:datum[,...] | /NEXT:datum[,...]] "příkaz"

\\název_počítače   Určuje vzdálený počítač. Není-li tento parametr zadán,
                   budou příkazy plánovány v místním počítači.
id                 Udává identifikační číslo, které bude přiřazeno
                   plánovanému příkazu.
/delete            Zruší plánovaný příkaz. Není-li zadán parametr id, budou
                   zrušeny všechny příkazy naplánované v počítači.
/yes               Používá se u příkazu pro zrušení všech úloh, když není
                   požadováno další potvrzování.
čas                Určuje čas, kdy má být příkaz spuštěn.
/interactive       Umožňuje úloze komunikovat s plochou uživatele
                   přihlášeného v okamžiku spuštění úlohy.
/every:datum[,...] Spouští příkaz ve všech stanovených dnech týdne nebo
                   měsíce. Není-li datum zadáno, předpokládá se aktuální den
                   daného měsíce.
/next:datum[,...]  Spustí zadaný příkaz při dalším výskytu stanoveného
                   dne (např. příští úterý). Není-li datum zadáno,
                   předpokládá se aktuální den daného měsíce.
"příkaz"           Určuje příkaz systému Windows NT nebo dávkový
                   program, který má být spuštěn.

Příkaz MSG

C:\Windows\system32>msg
Odešle zprávu uživateli.

MSG {uživatelské_jméno | název_relace | ID_relace | @název_souboru | *}
    [/SERVER:server] [/TIME:sekundy] [/V] [/W] [zpráva]

  uživatelské_jméno   Určuje uživatelské jméno.
  název_relace            Název relace
  ID_relace               Číslo ID relace
  @název_souboru      Označuje soubor obsahující seznam uživatelských jmen,
                      názvů relací a ID relací, na které bude zpráva odeslána.
  *                   Odeslat zprávu všem relacím na zadaném serveru.
  /SERVER:server      Server, který má být kontaktován (výchozí je aktuální server).
  /TIME:sekundy       Doba čekání na potvrzení zprávy přijímačem.
  /V                  Zobrazí informace o prováděných činnostech.
  /W                  Čeká na odpověď uživatele, užitečné s parametrem /V.
  zpráva              Zpráva k odeslání. Pokud není zadána, bude o ní požádáno
                      nebo čte ze vstupu stdin.                    

… s cílem načerpat informace o aktuálních a budoucích verzích produktů, které nás živí. Většinou jde o neveřejné informace, které budou publikovány se zpožděním (s malým zpožděním, vše je relativní), ale jistě bude možné napsat pár poznámek a postřehů ke známým skutečnostem. Ostatní “cestovní” postřehy a fotografie budu posílat do osobního prostoru (zde).

Howgh.

Co se stane, když nelze zapisovat data do databáze Operations Manager Data Warehouse?

Agent sbírá data a ukládá si je do své lokální datové fronty – což je HealthService.edb s výchozí kapacitou 15 MB, ve složce, kde je agent instalován. Proces HealthService.exe čte jednotlivé položky z fronty a odesílá je příslušnému Management serveru.

Management Server udržuje frontu požadavků na zápis do obou databází ve své paměti. Pokud je některá z databází OperationsManager nebo OperationsManagerDW nedostupná, fronta v paměti se zaplní při dosažení počtu 20 tisíc jednotlivých položek. Po dosažení tohoto limitu oznámí Management server agentům, které ho zásobují dalšími daty, aby si data držely ve svých dočasných lokálních frontách, protože není schopen je zpracovat.

Agent nyní data uchovává ve výše zmíněné frontě procesu HealthService (soubor HealthService.edb) a postupně plní vyhrazený datový prostor až do objemu 15 MB. Jakmile dosáhne limitu 15 MB, začne služba vyřazovat nejstarší data, aby se uvolnil prostor ve frontě. Nejprve jsou vyřazována data kategorie Performance. Naopak alerty mají nejvyšší prioritu a zůstávají ve frontě nejdéle.

Ve Windows Vista a Server 2008 byla zavedena nová funkce, umožňující monitorovat přihlášení uživatele – člena některé sledované skupiny, na zvoleném počítači. Tato funkce (Special Groups) používá záznam v Registry, jde o seznam identifikátorů SID sledovaných skupin. Událost je zaznamenána, pokud jsou splněny následující podmínky:

• některý z identifikátorů SID sledovaných skupin byl přidán do přístupového tokenu uživatele, který se právě přihlásil. (Přístupový token obsahuje bezpečnostní informace pro přihlášení – identifikuje uživatele, jeho členství ve skupinách a oprávnění.)
• Audit je nastaven tak, že je povolena kategorie Special Logon.

Identifikátory SID zjistíme například pomocí nástroje PsGetSid, nebo jiným způsobem. Například příkazem whoami /groups získáme výpis skupin včetně identifikátorů SID podle členství právě přihlášeného uživatele:

Group Name                             Type             SID                                           Attributes                                        
====================================== ================ ============================================= ==================================================
Everyone                               Well-known group S-1-1-0                                       Mandatory group, Enabled by default, Enabled group
BUILTIN\Users                          Alias            S-1-5-32-545                                  Mandatory group, Enabled by default, Enabled group
BUILTIN\Administrators                 Alias            S-1-5-32-544                                  Group used for deny only                          
NT AUTHORITY\INTERACTIVE               Well-known group S-1-5-4                                       Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\Authenticated Users       Well-known group S-1-5-11                                      Mandatory group, Enabled by default, Enabled group
NT AUTHORITY\This Organization         Well-known group S-1-5-15                                      Mandatory group, Enabled by default, Enabled group
LOCAL                                  Well-known group S-1-2-0                                       Mandatory group, Enabled by default, Enabled group
SIN\Domain Admins                      Group            S-1-5-21-3904952036-1413160497-612250345-512  Mandatory group, Enabled by default, Enabled group
SIN\Enterprise Admins                  Group            S-1-5-21-3904952036-1413160497-612250345-519  Group used for deny only                          
Mandatory Label\Medium Mandatory Level Unknown SID type S-1-16-8192                                   Group used for deny only                          

Záznam v Registry vytvoříme pro skupiny Administrators – lokální skupina, doménové skupiny SIN\Domain Admins a SIN\Enterprise Admins následujícím způsobem:

1. Spustíme Regedit
2. Vyhledáme klíč HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Audit
3. Vytvoříme novou položku – Edit | New | String Value.
4. Jméno položky je SpecialGroups, v poli Value data uvedeme identifikátory SID skupin, v našem příkladu to jsou S-1-5-32-544;S-1-5-21-3904952036-1413160497-612250345-512;S-1-5-21-3904952036-1413160497-612250345-519. Jako oddělovač používáme středník:

Nejsou uváděna žádná omezení počtu SID, které můžete zaznamenat v této položce. Kontrolujeme podmínku nastavení kategorie auditu, zajímá nás kategorie Special Logon

C:\Windows\system32>auditpol /get /category:* | find /i "special logon"
  Special Logon                           Success

Jakmile se přihlásí člen některé sledované skupiny, je v protokolu Security Log zaznamenána událost 4964:

Log Name:      Security
Source:        Microsoft-Windows-Security-Auditing
Date:          2.7.2009 14:28:58
Event ID:      4964
Task Category: Special Logon
Level:         Information
Keywords:      Audit Success
User:          N/A
Computer:      FAMULO.sin.cz
Description:
Special groups have been assigned to a new logon.

Subject:
	Security ID:		SYSTEM
	Account Name:	FAMULO$
	Account Domain:	SIN
	Logon ID:		0x3e7
	Logon GUID:	{00000000-0000-0000-0000-000000000000}

New Logon:
	Security ID:		SIN\dcadmin
	Account Name:	dcadmin
	Account Domain:	SIN
	Logon ID:		0x2b15ab
	Logon GUID:	{df9e79ad-2e42-74b2-1cd6-04b0395035d4}
	Special Groups Assigned:	
		SIN\Domain Admins
		SIN\Enterprise Admins

(Viz článek 947223 – Description of the Special Groups feature in Windows Vista and in Windows Server 2008)