• PowerShell - Проверяем флаг защиты доменных OU от случайного удаления

    24.08.2011 Автор:Алексей Максимов
    10 777 Просмотров 10 комментариев

    imageВ оснастке Active Directory Users and Computers (dsa.msc) открыв свойства любого OU на закладке Object можно наблюдать флаг “Protect object from accidental deletion” (Защитить объект от случайного удаления). В библиотеке “Best Practices Analyzer for Active Directory Domain Services” есть хорошая заметка на тему управления этим флагом через PowerShell - AD DS: All OUs in this domain should be protected from accidental deletion

    Для того чтобы получить перечень всех OU на которых не установлен флаг защиты выполним скриптоблок:

    # Переменная $LDAPPathOU – ADSI путь к контейнеру внутри которого будем производить поиск OU (в формате distinguishedName)

    #

    $LDAPPathOU = "OU=ImportantOUs,DC=holding,DC=com"

    Import-Module ActiveDirectory

    Get-ADOrganizationalUnit -filter * -SearchScope Subtree -SearchBase $LDAPPathOU -Properties ProtectedFromAccidentalDeletion | Where {$_.ProtectedFromAccidentalDeletion -match "False"} | Select name, DistinguishedName | Format-Table –AutoSize


    Для того чтобы на всех незащищённых OU сразу выставить данный флаг немного изменим скриптоблок до следующего вида:

    $LDAPPathOU = "OU=ImportantOUs,DC=holding,DC=com"

    Import-Module ActiveDirectory

    Get-ADOrganizationalUnit -filter * -SearchScope Subtree -SearchBase $LDAPPathOU -Properties ProtectedFromAccidentalDeletion | Where {$_.ProtectedFromAccidentalDeletion -match "False"} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true

    При желании выполнение такого скрипта можно включить в планировщик задач чтобы в последующем быть уверенным в том, что на всех важных OU этот флаг будет включён.

  • Основные приемы работы с Key Management Service (KMS) на Windows 7 и Windows Server 2008 R2

    23.08.2011 Автор:Алексей Максимов
    35 689 Просмотров 6 комментариев

    imageДля изучения вопроса пришлось ознакомится с документами размещенными на узле TechNet Library - Volume Activation
    Из всего перечитанного можно отметить два самых содержательных и подробных гайда:

    Руководство по планированию развертывания Volume Activation ОС Windows 7 и Windows Server 2008 R2
    (    Скачать: Volume Activation Planning Guide_Windows7.docx)
    Опубликовано: июнь 2009.

    Руководство по развертыванию Volume Activation ОС Windows 7 и Windows Server 2008 R2
    (    Скачать: Volume Activation Deployment Guide_Windows7.docx)
    Опубликовано: июнь 2009 г.

    Русскоязычные версии гайдов можно найти по ссылке
    TechNet Library > Deployment > Volume Activation > Localized Content

    В данном посте тезисно выжаты основные важные моменты из документации.
    Сразу хочу отметить что приемы работы с публикацией KMS в DNS для последующей авто-активации клиентов рассматриваться не будет.

    Читать далее...

  • Не работает сканирование через HP JetDirect после установки IE9

    16.08.2011 Автор:Алексей Максимов
    4 172 Просмотров 5 комментариев

    После развертывания IE9 через WSUS от администратора одного из отделений поступило обращение о том, что перестал работать режим сетевого сканирования для МФУ HP подключенного к сети через принт-сервер HP JetDirect 175x. В новом браузере попытка соединения с принт-сервером приводила к таймауту ожидания.

    image

    После недолгого изучения вопроса стало очевидно, что при обращении к принт-серверу по IP адресу браузер воспринимал его веб-интерфейс как узел недоверенной зоны и применял к нему усиленные настройки безопасности, которые в свою очередь блокировали часть веб-функционала. Подтверждением тому стало восстановление работоспособности функции сетевого сканирования после временного отключения режима усиленной безопасности Inetrnet Explorer. 

    Соответственно для решения проблемы в данном случае достаточно использовать при обращении к веб-интерфейсу принт-сервера вместо его IP адреса полное доменное имя (FQDN) – типа http://print-server.domain.com с учетом того, что в настройках IE9 в зону узлов местной интрасети внесено имя локального домена в формате *.domain.com

  • Forefront TMG 2010 - Отказ работы консоли после установки IE9

    04.08.2011 Автор:Алексей Максимов
    4 157 Просмотров 6 комментариев

    После установки рекомендуемых обновлений с WSUS, которые включают в себя новую версию браузера IE9 может перестать корректно работать консоль управления Forefront TMG 2010 на базе MMC - Forefront TMG Management. При попытке перехода к любому разделу управления TMG консоль будет порождать ошибку типа:

    image

    Есть жёсткий метод решения проблемы – редактирование файла C:Program FilesMicrosoft Forefront Threat Management GatewayUI_HTMLsTabsHandlerTabsHandler.htc как это описано например здесь: Технический блог Евгения Протопопова - TMG 2010 Console Error

    Но можно избавиться от этой ошибки и более простым способом – изменением региональных настроек ОС. Открываем апплет изменения региональных настроек intl.cpl и на вкладке Formats сменить Format на English (United States)

    image

    После этого консоль заработает и можно будет спокойно дождаться выхода обновления исправляющего эту проблему и после его установки вернуть региональные настройки назад.

  • SCOM 2007 R2 - Аудит изменений доменных групп безопасности

    03.08.2011 Автор:Алексей Максимов
    5 598 Просмотров 2 комментария

    imageВ больших доменных инфраструктурах имеющих несколько доменных администраторов может быть весьма актуальным вопрос аудита изменений, производимых в членстве предопределённых административных групп.

    Для решения этой задачи воспользуемся возможностями SCOM и на примере доменной группы “Domain Admins” создадим правила, которые будут отслеживать события, регистрируемые в журнале “Security” на контроллерах домена в момент добавления и удаления пользователей в эту доменную группу безопасности.

    Читать далее...

  • SCOM 2007 R2 - Странное поведение мониторов SNMP Probe при операциях сравнения.

    02.08.2011 Автор:Алексей Максимов
    5 295 Просмотров 1 Комментарий

    Если возникает необходимость мониторинга сетевых устройств поддерживающих протокол SNMP, -  в SCOM 2007 R2 мы можем через консоль “Operations Console” на закладке “Authoring” с помощью помощника “Create a unit monitor” создать SNMP Probe Based Monitor, который будет через указанные нами интервалы времени выполнять к сетевому устройству запрос определённых значений OID и на основании полученных данных изменять статус этого сетевого устройства по принципу Healthy/Unhealthy

    image

    Однако на практике вы можете столкнуться с ситуацией когда созданный вами монитор ведёт себя не совсем так как вы этого от него ожидаете. Например вы создали монитор, который раз в несколько минут опрашивает источник бесперебойного питания (ИБП) в серверной на предмет значения конкретного OUD возвращаемого текущее значение входного напряжения. Если этот OID опросить по SNMP с помощью любого стороннего приложения (например MIB Browser) то возможно мы увидим что тип возвращаемого значение – целочисленное значение – “Integer”, в то время как визард SCOM “Create a unit monitor” по умолчанию задает тип значения – строка – “String”.

    Соответственно получаемое от устройства значение будет преобразовываться в строку и уже в дальнейшем подвергаться например некорректным операциям сравнения которые могут присутствовать в нашем мониторе, что само по себе и становится причиной необъяснимых срабатываний алертов.

    Для исправления этой ситуации нам необходимо выгрузить Management Pack в котором сохранён наш SNMP Probe Based Monitor в XML файл и найти в нём секции Expression и в тэгах XPathQuery Type и Value Type в которых задаётся тип значения…

    image

    Нужно выполнить замену типа получаемого значения на тот в котором непосредственно значение отдается самим сетевым устройством, в нашем случае это будет “Integer”…

    image

    После этого сохраняем XML файл и загружаем его обратно в SCOM в качестве Management Pack.

    Решение проблемы найдено здесь: Gefufna - How to create SNMP Probe Based Two-State Monitor in SCOM?

  • Windows Server 2008 R2 RDS & Outlook – ассоциация с файлами *.eml

    01.08.2011 Автор:Алексей Максимов
    3 984 Просмотров Комментариев нет

    imageНа терминальном сервере с Windows Server 2008 R2 с установленным Office 2010 в пользовательских сессиях нет возможности открывать *.eml файлы, так как в системе по умолчанию отсутствует ассоциация этого типа файлов с каким-либо приложением. В Windows Server 2003 такой проблемы не было так как *.eml файлы были ассоциированы с имеющимся по умолчанию в ОС приложением Outlook Express. В новой же системе отсутствие ассоциации приводит к тому, что при попытке открытия такого файла пользователь получает окно выбора приложения с помощью которого ОС может открыть этот файл…и в этом окне как правило бездумно щёлкает по значку IE, так как он самый первый. К чему это всё приводит нетрудно догадаться.

    Чтобы решить эту проблему мы можем сделать ассоциацию *.eml файлов с любым доступным просмотрщиком такого формата, например если в ОС уже имеется установленный Office 2010 то сделать это можно путём добавления соответствующей информации в системный реестр. Вот пример *.reg файла:

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.eml]
    @="Сообщение электронной почты"
    "EditFlags"=hex:00,00,00,00

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.emlshell]
    @="Open"

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.emlshellOpen]

    [HKEY_LOCAL_MACHINESOFTWAREClassesOutlook.File.emlshellOpencommand]
    @=""C:\Program Files (x86)\Microsoft Office 2007\Office12\OUTLOOK.EXE" /eml "%1""

    [HKEY_CLASSES_ROOT.eml]
    @="Outlook.File.eml"

    [HKEY_CLASSES_ROOT.emlOpenWithProgids]
    "Outlook.File.eml"=""

    [HKEY_LOCAL_MACHINESOFTWAREClasses.eml]
    @="Outlook.File.eml"

    [HKEY_LOCAL_MACHINESOFTWAREClasses.emlOpenWithProgids]
    "Outlook.File.eml"=""

  • Mozilla Firefox & NTLM/Kerberos Single Sign-on (SSO)

    29.07.2011 Автор:Алексей Максимов
    11 912 Просмотров Комментариев нет

    imageПри попытке открыть в Mozilla Firefox внутренние корпоративные сайты на SharePoint Server с включённой аутентификацией Kerberos получил запрос на ввод имени пользователя и пароля. То есть прозрачная передача учетных данных текущего пользователя, как в Internet Explorer, не произошла. Просмотрел все доступные опции в меню навигации Firefox "Инструменты" > "Настройки", но с к сожалению не нашёл там ничего, касающегося безопасности передачи учетных данных текущего пользователя. После некоторых поисков в Интернете, обнаружил, что способ передачи учётных данных всё-таки имеется. Читать далее...

  • Блокировка установки Internet Explorer 9 c WSUS

    01.07.2011 Автор:Алексей Максимов
    4 368 Просмотров 3 комментария

    imageНе так давно на корпоративный WSUS-сервер прикатился Internet Explorer 9. Не смотря на то что релиз IE9 появился уже достаточно давно, на сегодняшний день в корпоративной среде могут возникнуть проблемы совместимости новой версии этого браузера с работающими с более старыми версиями IE приложениями. Например, на сегодняшний день мне известно, что Сбербанком заявлена несовместимость с IE9 их web-приложения Интернет-Банк, причём даже их тех.поддержка не даёт внятного ответа о планируемых сроках начала поддержки новой версии IE.

    Чтобы не останавливать жизненный цикл ОС на ПК где встречается потребность отмены установки IE9, можно воспользоваться средством предоставляемым самой компанией Microsoft для блокировки установки конкретно только IE9 - Toolkit to Disable Automatic Delivery of Internet Explorer 9

    Фактически это средство представляет из себя самораспаковывающийся архив, содержащий командный файл для правки реестра и шаблон групповой политики для централизованного управления настройками блокировки установки IE9 с WSUS.

    Командный файл фактически занимается правкой ключа реестра DoNotAllowIE90 в ветке HKLMSOFTWAREMicrosoftInternet ExplorerSetup9.0

    Если перед нами стоит задача выполнить блокировку на каком-то конкретном компьютере, - мы вполне можем обойтись и без этого скрипта добавив соответствующий ключ простой командой:

    Reg Add "HKLMSOFTWAREMicrosoftInternet ExplorerSetup9.0" /v DoNotAllowIE90 /t REG_DWORD /d 1 /f

    При этом на такой компьютер IE9 с WSUS установлен не будет, хотя статистика WSUS и будет показывать что для него требуется установка IE9.

    Для отмены блокировки установки достаточно удалить этот ключ реестра.
    Сделать это можно командой:

    Reg Delete "HKLMSOFTWAREMicrosoftInternet ExplorerSetup9.0" /v DoNotAllowIE90 /f

    Надо понимать, что блокировка  это лишь временное решение и в конечном итоге новую версию рекомендуется установить на всех ПК где используется этот браузер.
    Обратите внимание на то, что IE9 будет устанавливаться только на компьютеры выше Windows Vista/Windows Server 2008, то есть всё сказанное выше не относится к компьютерам с Windows XP/Windows Server 2003…что в общем-то само по себе оправданно, так как это уже отмирающие системы, жизненный цикл поддержки которых стремительно движется к своему логическому завершению.

    Дополнительная информация:
    Internet Explorer TechCenter - Internet Explorer 9 Blocker Toolkit: Frequently Asked Questions

  • SCCM 2007 R2 - Создаем коллекции компьютеров 32-bit/64-bit

    10.06.2011 Автор:Алексей Максимов
    5 608 Просмотров 2 комментария

    В процессе развертывания программного обеспечения через SCCM может возникнуть необходимость создания отдельных коллекций компьютеров в зависимости от битности используемой на них ОС, так как сейчас многие приложения имеют отдельные инсталляционные пакеты для разных платформ. Пример запроса на создание коллекции компьютеров по маске имени (например выбираем только ноутбуки и рабочие станции) и битности ОС для 32-битных систем Windows:

    select

    SMS_R_SYSTEM.ResourceID,

    SMS_R_SYSTEM.ResourceType,

    SMS_R_SYSTEM.Name,

    SMS_R_SYSTEM.SMSUniqueIdentifier,

    SMS_R_SYSTEM.ResourceDomainORWorkgroup,

    SMS_R_SYSTEM.Client

    from SMS_R_System   

    inner join SMS_G_System_COMPUTER_SYSTEM

    on SMS_G_System_COMPUTER_SYSTEM.ResourceId = SMS_R_System.ResourceId     

    where (

    SMS_R_System.NetbiosName like "KOM-%-NB%"

    or SMS_R_System.NetbiosName like "KOM-%-WS%"

    ) 

    and SMS_G_System_COMPUTER_SYSTEM.SystemType = "x86-based PC"

    И соответственно тот же запрос только для 64-битных систем Windows будет отличаться лишь последней строкой: 

    and SMS_G_System_COMPUTER_SYSTEM.SystemType = "x64-based PC"


    Компьютеры под управлением Windows в среднестатистическом рабочем окружении могу иметь три основных типа существования:

    • 32-битная ОС установлена на x86 процессор
    • 64-битная ОС установлена на x64 процессор
    • 32-битная ОС установлена на x64 процессор

      Мы можем наглядно получить информацию о распределении таких типов существования в нашем окружении сформировав на SCCM отчет с запросом:

    select distinct sys.netbios_name0,

    case when pr.addresswidth0 = 64 then '64bit OS'

    when pr.addresswidth0=32 then '32bit OS'

    end as [Operating System Type],

    case when pr.addresswidth0=32 and pr.DataWidth0=64 then '*'

    end as [32-bit OS on x64 processor]

    from v_r_system sys

    join v_gs_processor pr on sys.resourceid=pr.resourceid


      Результат будет выглядеть примерно так:

    image

      Или например чтобы получить сводную информацию о том как в данный момент распределены версии ОС по компьютерам в зависимости от их аппаратных возможностей можно сделать отчет на базе запроса:

    select

        OS.Caption0,

        case when pr.Is64Bit0=1 then '64-bit'

        when pr.Is64Bit0=0 then '32-bit'

        end as [Processor Type],

        Count(*)

    from

        dbo.v_gs_processor PR Left Outer Join dbo.v_GS_OPERATING_SYSTEM OS on PR.ResourceID = OS.ResourceId

    Group by OS.Caption0, pr.Is64Bit0

    Order by OS.Caption0, pr.Is64Bit0

      Результат:

    image


      Возможно что эта информация будет полезна при планировании перехода с 32-битных систем на 64-битные.
      Источники информации:
Предыдущая страница Следующая страница