• 25 Июль 2017, 05:47:17
• Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
 

Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Сообщения - itpro

Страницы: [1] 2 3 ... 23
1
В Windows Server 2016 появилась фича Временное членство в группах Active Directory
Если есть такая возможность, добавьте новый DC на 2016 и обновите версию схемы AD до 2016.

По поводу групповой политикой Restricted Groups ( Computer Configuration\Policies\Windows Settings\Security Settings\Restricted Groups). Вы настраиваете локальную или доменную политику?

Если ваша задача дать пользователю править атрибуты в AD - то достаточно будет делегировать соответствующие права на OU с пользователями, а не давать ему права администратора.

2
Ну тут либо переходить на WSUS, который как раз и предназначен для таких случаев.
Либо воспользоваться скриптом, запускаемым через GPO, вроде такого через отдельный модуль PoSH
https://gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc.
Для скрытия апдейта модуль нужно установить на компьютеры и исключать обновления такой конструкцией:
Цитировать
Import-Module PSWindowsUpdate
Hide-WUUpdate -KBArticleID KB4012218

3
Не понял, как вы все-таки ставите обновления? скриптом через GPO или приезжают напрямую с интернета с windows upadte?

Какие версии ОС на клиентах, сервере, версия AD?

4
Не важно как у вас настроены DNS на DC. Клиент должен определить свой сайт на любом DC.
Как вы определяете на коком DC оказываются пользователи?

Проверьте, привязаны ли ip подсети пользователей к нужным сайтам.
На компьютерах в разных сайтах проверьте к какому сайту они относятся командой:
nltest  /dsgetsite

5
Простой SCCM запрос для построения списка ПК, на которых отсутствует определенное обновление. В данном примере стоится список компьютеров с Windows XP, на которых отсутствует обновление от шифровальщика WCry.
 
Цитировать
select SMS_R_System.ResourceId, SMS_R_System.ResourceType, SMS_R_System.Name, SMS_R_System.SMSUniqueIdentifier, SMS_R_System.ResourceDomainORWorkgroup, SMS_R_System.Client from  SMS_R_System inner join SMS_G_System_OPERATING_SYSTEM on SMS_G_System_OPERATING_SYSTEM.ResourceId = SMS_R_System.ResourceId where SMS_R_System.Name not in (select SMS_R_System.Name from  SMS_R_System inner join SMS_G_System_ADD_REMOVE_PROGRAMS on SMS_G_System_ADD_REMOVE_PROGRAMS.ResourceID = SMS_R_System.ResourceId where SMS_G_System_ADD_REMOVE_PROGRAMS.DisplayName like "%KB4012598%") and SMS_G_System_OPERATING_SYSTEM.Caption like "%XP%"

6
Если в настройках Exchange сервера включено журналирование smtp трафика, IP/doman адрес отправителя/ либо его почтовой системой можно найти в текстовых файлах с логом.
Еще может быть полезно посмотреть информацию в служебных заголовках письма (если таковое имеется) непосредственно в Outlook

7
Оставлю тут как заметку для себя.

Чтобы в Exchange запустить перенос всех активных почтовых баз с определенного сервера на другие сервера DAG (например обслуживание сервера в профилактику), используем команду
Move-ActiveMailboxDatabase -server msk-maibox1

8
Windows 7 / Re: LAPS и пароль локального админа
« : 07 Апрель 2017, 09:09:42 »
А если сбросить пароль локального админа и установить на локальную машину LAPS? ту часть, утилиту которая показывает пароль ? ЕЙ для работы нужны будут права админа домена ? На локальной машине из хеша ничего не увидеть ?
Локально пароль с помощью нее вы не получите. Пароль  в открытом виде хранится в защищенном атрибуте AD, для его просмотра нужны права домен админа или делегации.

9
Windows 7 / Re: LAPS и пароль локального админа
« : 05 Апрель 2017, 07:23:07 »
Пароль локального пользователя как всегда хранится на машине в виде хэша, но расшифровать его затруднительно + он хранится в AD в читаемом виде, но прочитать его администраторы домена и учетки, которым были даны такие права (см. статью о настройке LAPS в домене).
При локальной смене / сбросе  пароля на контроллерах домена ничего не отобразится. Но, через какое то время  (по-умолчанию, каждые 30 дней) пароль будет автоматически сменен.
Если снести клиент LAPS , на DC тоже не будет информации. Но, тут все зависит от способа установки клиента: если через групповые политики - он через какое-то время все равно установится.
+ админы могут при желании изучить журналы с вашего ПК и выявить кто удалил клиента.

10
Приветствую!
Насколько мне известно нельзя, т.к. база жестко привязана к тому

11
С помощью GPO создайте новое задание планировщика  - Shedulet Task (At least Windows 7), которое должно запускаться при запуске компьютера (Trigger => At Startup) и с помощью таргетинга который вы уже видели настройте на отработку политики на определенных OU.

12
Похоже на стандартную проблему с разбежавшимися USNRollback.
Смотрите статью: https://support.microsoft.com/en-us/help/875495/how-to-detect-and-recover-from-a-usn-rollback-in-windows-server-2003,-windows-server-2008,-and-windows-server-2008-r2

13
Windows Server 2008 / Re: Доступ к RemoteAPP
« : 28 Декабрь 2016, 12:46:14 »
Да, в этом случае проверяются разрешения ярлыка

14
Windows Server 2008 / Re: Доступ к RemoteAPP
« : 28 Декабрь 2016, 12:19:23 »
Добрый день!
1. Сразу просится совет проверить разрешения на публикуемый exe файл. У группы пользователей, которые подключатся к RDS серверу должны быть права на read+execute.
2. В нормальной RDP сессии ( не в режиме RemoteApp ) пользователь может запустить эти же приложения?

15
Windows Server 2012 / Re: 2012 R2 - GPO в win server 2012
« : 17 Август 2016, 13:55:13 »
При централизованном хранении adm шаблоны хранятся по адресу: \\domain.com\SYSVOL\domain.com\Policies\PolicyDefinitions

Судя по ошибке, сейчас там нет этих файлов, или кто-то редактировал политику со своей локальной машины, на которой нужные adm файлы имеются.
Скорее всего можно безболезненно сбросить эти настройки политики

Страницы: [1] 2 3 ... 23