mfc166

mfc166

пикабушник
Админ всея Руси Dos/Windows/Linux https://leonid.uhanov.org https://www.instagram.com/mfc166
пол: мужской
поставил 917 плюсов и 160 минусов
отредактировал 8 постов
проголосовал за 52 редактирования
5146 рейтинг 1147 комментариев 43 поста 19 в "горячем"
533

Закручиваем гайки пользователям: часть 2. Диспетчер ресурсов файлового сервера.

Пенного тебе %username%!

Прошлый пост зашел неплохо и я решил продолжить

Описанное ниже касается Windows Server 2008R2 и выше.

Итак, юный сисадмин, ты замутил файлопомойку. Поднял файловый сервер для нужд компании. Создал там некую иерархию:

Закручиваем гайки пользователям: часть 2. Диспетчер ресурсов файлового сервера. Windows, Windows server, Microsoft, Длиннопост

Ты сделал людям благое дело, но ситуация вышла из под контроля, ибо когда всем всё можно - все делают, что хотят.

- Ограничения, установленные в прошлый раз не останавливают пользователей и они продолжают засирать файловый сервер "ёлочками" и прочим софтом.

- Кто-то принес на работу фильм, любезно залил его в общую папку

- Практически каждый этот фильм скопировал к себе

- Маркетологи заполнили макетами добрую половину свободного пространства.

- На призывы разобраться и удалить старое никто не реагирует.

Эти и многие другие проблемы возникают от того, что зачастую за действиями пользователей на общем ресурсе не ведется наблюдение.


Диспетчер ресурсов файлового сервера - это служба, позволяющая управлять данными и классифицировать их.

Она предоставляет нам следующие возможности:

- Классифицировать файлы для более эффективного управления файлами (об этом потом)

- Управлять квотами для тома каталогов

- Управлять файлами при  помощи задач (сроки действия, шифрование).Об этом потом.

- Блокировать файлы при помощи фильтров.

- Просматривать отчеты хранилища.


Он подходит для решения интересных задач хранения, например защита от шифровальщиков.


Следует учитывать, что служба поддерживает только тома, отформатированные в NTFS.



Управление квотами


Квота может быть мягкая или жесткая.

- Жесткая квота при достижении предела запрещает запись данных и формирует уведомление.

- Мягкая квота только формирует уведомление, не ограничивая запись.


Теперь создадим квоту на папку Отдел 1 по шаблону: квота жесткая 200мб с предупреждением пользователя.

Закручиваем гайки пользователям: часть 2. Диспетчер ресурсов файлового сервера. Windows, Windows server, Microsoft, Длиннопост

Запишем туда данные, суммарный объем которых  заведомо больше.

Закручиваем гайки пользователям: часть 2. Диспетчер ресурсов файлового сервера. Windows, Windows server, Microsoft, Длиннопост

Система отказывает нам в сохранении остальных файлов, а на почту присылает письмо:

Закручиваем гайки пользователям: часть 2. Диспетчер ресурсов файлового сервера. Windows, Windows server, Microsoft, Длиннопост

Заметили, что моя почта указана дважды? Это потому, что администратор тоже уведомляется. параметры отправки писем указываются в настройках FSRM.

Это ответ на вопрос, который у меня иногда спрашивают: можно-ли квоту сделать не на пользователя, а на папку.

Блокировка файлов при помощи фильтров.


Для фильтра можно так-же использовать шаблон, но я создам свой. Я не буду указывать расширения файлов, а воспользуюсь готовыми группами.

В фильтре можно указать выполнение команд при срабатывании фильтра, но я выберу только уведомление администратора.

Закручиваем гайки пользователям: часть 2. Диспетчер ресурсов файлового сервера. Windows, Windows server, Microsoft, Длиннопост

При попытке записать на общий ресурс mp3 файл, пользователь получает следующее:

Закручиваем гайки пользователям: часть 2. Диспетчер ресурсов файлового сервера. Windows, Windows server, Microsoft, Длиннопост

А администратор получает письмо на почту:

Закручиваем гайки пользователям: часть 2. Диспетчер ресурсов файлового сервера. Windows, Windows server, Microsoft, Длиннопост

На этом в принципе я закончу, более подробно про диспетчер ресурсов файлового сервера расскажу в другой заметке.

Если тебе не терпится его освоить, то тебе сюда: https://docs.microsoft.com

Показать полностью 6
679

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ.

Я прекрасно понимаю, что этой заметкой для многих я не открою ничего нового. Пост в первую очередь предназначен для начинающих коллег, но если более опытные сисадмины подключатся к обсуждению и поделятся опытом, получится интересно.

Итак %username%, тебя взяли на работу. Предположим, что ты более - менее разбираешься в вопросе и умеешь чуть больше, чем картридж поменять. С момента, как ты стал сисадмином, ты взял на себя огромный груз ответственности. Ты отвечаешь не только за то, что-бы ничего не наебнулось - ты отвечаешь за лицензирование. Будь уверен, если придет проверка, твой генеральный прикинется ветошью и не отсвечивая покажет пальцем в твою сторону.


О лицензировании.

Твоя задача не только самостоятельно не устанавливать всякую дичь aka RePack Photoshopа, но и не дать пользователям самостоятельно устанавливать и запускать подобную дичь с флешки и иных папок/носителей.


Об ограничении.

Описанный ниже способ сэкономит твои нервы и придаст уверенности в используемом программном обеспечении. Политика ограниченного использования программ подобна настройке FireWall. Она предполагает определение типа запрета:

- всё можно, кроме указанного в списке.

- всё нельзя, кроме указанного в списке.


Мне по душе второй вариант. Я люблю работать с местоположением программ.

Для начала мы определяем границы возможностей пользователя:

Определим пути, куда пользователь прав на запись не имеет:

- C:\Windows

- "C:\Program Files"

- "C:\Program Files (x86)"

Именно в этих расположения находятся приложения, установленные системой и администратором.

В остальные каталоги и локальные диски пользователь может иметь доступ на запись.

Это значит, что он может сохранить там приложение и выполнять его.

Если мы разрешим запуск приложений только из системных каталогов, мы получаем:

- Перестают работать Амиго, Яндекс браузер и прочее ПО из профиля пользователя.

- Пользователь не может сам запустить скачанное из интернета приложение: каталоги, откуда он может запустить программу закрыты на запись, а открытые на запись запрещены к запуску.

- Никаких шифровальщиков

- Никакого Portable софта.

При этом Администратор может всё.


Интересно? Читай дальше.


Создание объекта групповой политики

Создадим новый объект групповой политики и свяжем его с доменом. Вы можете создать несколько политик и раскидать их по отделам, например. Зачем? Узнаете от бухгалтера по банкам, когда отвалятся банки
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

После создания объекта, редактируем его. Идем по пути:

[Конфигурация пользователя - Политики - Конфигурация Windows - Настройки безопасности - Политики ограниченного использования программ]

Создаем новую политику.

После создания нам требуется указать уровень безопасности (то, о чем я говорил - черные и белые списки):

в папке Уровни безопасности выбираем уровень по умолчанию "запрещено".

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Далее выбираем область применения политики: все пользователи, кроме локальных администраторов. Это позволит нам устанавливать программы. Разрешаем запуск библиотек: это сохранит работоспособность расширений браузера и ActiveX.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь переходим в папку "Дополнительные правила"

Именно тут нам предстоит создать "белый список".

По умолчанию указаны пути системного каталога и каталога приложений.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Здесь мы будем создавать правила. Нас интересуют два типа правил: правило пути и правило хэша.

Правило пути определяет местоположение файла и разрешает запуск приложений из этого расположения.

Правило хэша определяет контрольную сумму конкретного файла и разрешает его запуск из любого расположения.

Например разрешим людям играть в СТАЛКЕР (ты в курсе, что он работает с флешки). Создадим правило для Хэша, так как мы не знаем букву флешки на компьютерах пользователей.

Это просто для примера. Ты понимаешь, да?

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь давай разрешим запуск скриптов из папки Netlogon: создадим правило пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Хочешь видеть результат?

Смотри скриншот - ты только что сам заблокировал запуск установки Яндекс.Браузера.

Если-бы не политика, он установился-бы  в профиль пользователя и работал-бы от туда. Та же участь постигнет шифровальщики и "письма из налоговой" с расширением exe и js.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Бери в руки инструмент и будь рука твоя тверда на пути к власти над пользователями, но помни о бухгалтерах. Для бухгалтера с банк клиентами и Контур.Экстерном создай отдельную политику.


Учти, что OneDrive тоже будет заблокирован - разреши его запуск по пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Иначе на всех всех компьютерах с Windows 10 при каждом входе будет вылезать ошибка. Если ты хочешь заблокировать OneDrive, ищи другой путь. Но помни: может кто-то его использует.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Так ты отберешь тех, кто им пользуется от тех, кому он не нужен.

И не забывай про обновление ADMX шаблонов.

Показать полностью 10
40

Будущее уже здесь: команда Главкосмос запустила калькулятор стоимости запуска малых космических аппаратов

По информации с сайта Главкосмос, на их сайте появился калькулятор расчета стоимости запуска МКА и аппаратов типа "Кубсат" массой от 1 до 120 кг на Российских ракетах Союз-2.



Калькулятор расчёта цены запуска аппаратов позволяет получить ценовое предложение на запуск КА в течение 1 рабочего дня, что позволяет заказчикам оперативно планировать миссии и получать регулярные обновления в части интересующих вопросов.

Будущее уже здесь: команда Главкосмос запустила калькулятор стоимости запуска малых космических аппаратов Главросмос, Космос, Роскосмос

АО «Главкосмос Пусковые Услуги» создано на основании решения Госкорпорации «Роскосмос» с целью коммерциализации пусковых услуг и является поставщиком пусковых услуг, уполномоченным заключать коммерческие контракты на запуск космических аппаратов с использованием ракет-носителей семейства «Союз-2» с российских космодромов.



Собственно ссылка на калькулятор:

https://calc.gklaunch.ru/#/

104

Local Administrator Password Solution

Всем привет!

Обои поклеил и пиво льется рекой, а это значит, что Уханов снова вещает.

А поговорим мы сегодня о пароле локального администратора.


Новички иногда попадают в такую ситуацию: выводит компьютер из домена, и для подтверждения вводит пароль доменного администратора. После перезагрузки выясняется, что пароль локального администратора он не помнит. Ситуация неприятная, но не тупиковая, если по рукой есть флешка или CD.

Что нужно было сделать, что-бы не выстрелить себе в ногу? Вывести компьютер из домена, используя пароль локальной учетной записи с правами администратора. Таким образом можно быть уверенным, что помнишь пароль.


Установка пароля через групповые политики.

Чаще администраторы прибегают к установке на компьютеры домена одинакового пароля средствами групповых политик.

Почему это плохо?

Пароль администратора хранится в зашифрованном виде в xml файле  каталога групповых политик. Файл доступен для чтения всем авторизованным пользователям домена.

Считаете, если он зашифрован, то вы в безопасности? Как бы не так: Microsoft опубликовала 32-битный AES ключ шифрования пароля.

Майкрософт категорически не рекомендует так менять пароли, а в новых версиях Windows Server настоятельно говорит так не делать. Такие дела, малята: получить пароль админа проще простого.

Бюллетень MS14-025 запрещает установку пароля таким образом. Поле пароля неактивно.

Local Administrator Password Solution Windows, Системное администрирование, Пароли надо менять, Microsoft, Длиннопост

А ещё может случиться необходимость предоставить пользователю административные привилегии. На моей практике такое было пару раз -  я потерял связь с компьютером и ничего не мог сделать: Быстрой помощи в Windows 10 ещё не было, а TeamViewer или AmmyAdmin  блокировались политикой ограниченного использования программ. На часах ночь, а принтер у человека не работал.

И я со спокойной душой назвал ему пароль локального админа: утром пароль поменялся автоматически. Но я восстановил доступ к компьютеру и наладил принтер.


Local Administrator Password Solution - это официальный инструмент для установки и периодической смены пароля администратора.

Он бесплатен в использовании и прост в настройке.

Что он умеет?

- с заданной периодичностью компьютер сам меняет пароль указанной учетной записи.

- Пароль хранится в AD

- У каждого компьютера свой пароль

- параметры пароля и учетной записи настраиваются

При помощи утилиты LAPS UI можно узнать текущий пароль - надо лишь указать имя компьютера

Local Administrator Password Solution Windows, Системное администрирование, Пароли надо менять, Microsoft, Длиннопост

Скачать чудо утилиту с подробнейшим мануалом можно по ссылке выше.


Хорошая статься на WINITPRO тут.



Коллеги, всем хороших выходных и прекрасного настроения.

Поделюсь фото пенного на фоне рабочей машины с дисками, которые так любит вынимать мой сын. Благо, Storage Spaces спокойно переносит кражу одного и даже двух дисков массива.


А как вы решили проблему паролей?

Local Administrator Password Solution Windows, Системное администрирование, Пароли надо менять, Microsoft, Длиннопост
Показать полностью 3
201

Windows Admin Center - эволюция встроенных средств управления

В этой заметке я расскажу об инструменте, который поможет управлять серверами и рабочими станциями удаленно.

Для управления поддерживаются следующие операционные системы:

Windows 10 старше 1709

Windows Server 2012-2019

Ограниченная поддерживается Windows Server 2008 R2

Windows Admin Center может быть установлен на любой компьютер сети, не являющийся контроллером домена и представляет из себя веб-портал, через который ведется управление. WAC поддерживает расширения и постоянно наращивает функционал.

Для управления подойдет любой современный браузер. LOL: Internet Explorer не поддерживается чуть более, чем полностью.

Windows Admin Center - это бесплатный продукт, сочетающий в себе самое востребованное из RSAT, System Center, Remote Desktop и Powershell.

Скачать Windows Admin Center можно тут. Там же находится масса документации по продукту.


Важным моментом является аодготовка среды:

Для Windows Server 2008R2 требуется установить:

.NET Framework 4.5.2 или более поздней версии

WMF версии 5.1 или более поздней версии

В консоли Powershell выполните команду для включения удаленного доступа:

Enable-PSRemoting –force

Необходимо включить функцию "Удаленный рабочий стол"

Для Windows Server 2012 и 2012 R2:

WMF версии 5.1 или более поздней версии

Более подробно написано тут.


Перейдем к возможностям. На снимке приведен главный экран программы. Имена серверов закрасил, уж не обессудьте. В консоль добавлены как сервера, так и компьютеры домашней сети.

Windows Admin Center - эволюция встроенных средств управления Microsoft, Системное администрирование, Windows server, Длиннопост, Windows 10

Откроем управление вторым по счету сервером.

Windows Admin Center - эволюция встроенных средств управления Microsoft, Системное администрирование, Windows server, Длиннопост, Windows 10

Я специально уменьшил масштаб в браузере, что-бы всё поместилось в снимок. Выберем, например, управление Hyper-V.

Windows Admin Center - эволюция встроенных средств управления Microsoft, Системное администрирование, Windows server, Длиннопост, Windows 10

Мы видим работу машин и их нагруку на хост. Подключимся к консоли виртуальной машины на Hyper-V. Подключился для примера - по капотом ОС Debian.

Windows Admin Center - эволюция встроенных средств управления Microsoft, Системное администрирование, Windows server, Длиннопост, Windows 10

Управление томами реализовано тоже весьма удобно. Часть томов создается при установке Windows на UEFI, так что не удивляйтесь малым томам.

Windows Admin Center - эволюция встроенных средств управления Microsoft, Системное администрирование, Windows server, Длиннопост, Windows 10

Сеанс PowerShell реализован тоже весьма удобно.

Windows Admin Center - эволюция встроенных средств управления Microsoft, Системное администрирование, Windows server, Длиннопост, Windows 10

Система нетребовательна к ресурсам ПК и сети. На снимке удаленный компьютер с медленным интернетом.

Windows Admin Center - эволюция встроенных средств управления Microsoft, Системное администрирование, Windows server, Длиннопост, Windows 10

Лично я очень рекомендую данный инструмент к использованию. Понятно, что он слабее System Center - но он и не претендует на его место, являясь бесплатным. Для молодых специалистов, думаю, будет незаменим. Конечно, если они осилят включение Remote Powershell средствами GPO.


Молодым специалистам: изучайте удаленное управление. Забудьте про RDP при управлении серверами. Используйте консоли, используйте Powershell,на худой конец - используйте WEB - интерфейс. Используйте Windows Server Core, Windows Server Nano - откажитесь от интерфейса пользователя. Учитесь работать по-настоящему удаленно.

Показать полностью 6
27

Link Shell Extension

Всем привет!

Сегодня я расскажу о программе, что поможет жаждущим оптимизировать хранение данных на компьютере или в локальной сети.

Мне она пригодилась на работе, когда  было решено навести порядок на сетевом диске, но требовалась совместимость с многочисленными старыми ярлыками. Для разрешения ситуации каталоги были переименованы, а для совместимости со старыми ярлыками, были созданы скрытые символические ссылки с именами старых каталогов.

Для начала немного теории:

Символическая ссылка — специальный файл в файловой системе, в котором вместо пользовательских данных содержится путь к файлу, открываемому при обращении к данной ссылке (файлу).

Жёсткая ссылка Жёсткая ссылка связывает индексный дескриптор файла с каталогом и дает ему имя. У файла может быть несколько жёстких ссылок: в таком случае он будет фигурировать на диске одновременно в различных каталогах или под различными именами в одном каталоге. При редактировании файла через одну из ссылок на него, содержимое по другим ссылкам тоже изменится

Точка соединения NTFS (Junction Point) — нововведение в файловой системе NTFS 3.0 (файловая система по умолчанию в Windows 2000). Суть нововведения заключается в том, что указанный логический диск либо папка будет отображаться как папка на другом логическом диске либо в другой папке. Эта возможность позволяет создавать некоторые эффекты с файловой системой (например, хранить два профиля одного и того же пользователя и переключаться между ними без особых проблем). Точка соединения реализована в NTFS как особый тип точки повторной обработки (англ. reparse point)

Целью ссылки может быть любой объект: например другая ссылка, файл, каталог или даже несуществующий файл (в последнем случае при попытке открыть его должно выдаваться сообщение об отсутствии файла).


Программа позволяет создавать жесткие ссылки, символические ссылки, Junction points, volume mount points. Она позволяет редактировать и копировать их.


Пользоваться утилитой просто. После установки в меню Проводника у вас появится новая команда «Запомнить источник ссылки». К примеру нам нужно создать  создать жёсткую ссылку на файл. Щелкаем по нему правой кнопкой мыши и выбираем в меню опцию «Запомнить источник ссылки».

Перетаскивание файлов правой кнопкой мыши так-же дает свой результат: можно быстро создать жесткую или символическую ссылку.

Link Shell Extension Windows, Программа, Файловая система, Длиннопост

В каталоге назначения, щелкнув по пустому месту правой кнопкой выбираем меню «Поместить как…». А там выбираем создать жесткую ссылку.

Link Shell Extension Windows, Программа, Файловая система, Длиннопост

Если работа ведется не над файлом, а над каталогом, но выбор опций больше.

Link Shell Extension Windows, Программа, Файловая система, Длиннопост

Выше я перечислил лишь малую часть возможностей программы.


По ссылке вы можете ознакомиться с иллюстрированной документацией о программе и скачать её.

Показать полностью 3
-3

RSS агрегатор Tiny Tiny RSS

Привет Пикабу!

Я всегда пользовался RSS агрегаторами - они позволяют мне быть в курсе новостей интересующих меня сайтов. Google reader в этом плане был идеален: прочитанные статьи синхронизировались через веб-сервис и я не читал новости повторно на разных устройствах.

Всё уходит - 15 июля 2013 года Google окончательно удалил проект Google Reader.

Тогда я перешел на Tiny Tiny RSS, разместив его у себя на хостинге.

А сегодня я решил поделиться ресурсом с вами. Регистрация открыта, чтение возможно через браузер или мобильные приложения.


Профита для меня никакого: просто хороший сервис для хороших людей.


http://rss.uhanov.org

RSS агрегатор Tiny Tiny RSS RSS, Бесплатно!, Лента новостей, Агрегатор
7

Билайн закрывает проект домашний телефон

Здравствуйте коллеги!


Сегодня, 15 января 2019 года последний день работы услуги "Домашний цифровой телефон".

Напомню, это услуга IP телефонии для частных пользователей.

В числе возможностей были:

- АОН

- Переадрессация

- Двухканальный городской номер телефона

- Конференц-связь

- Бесплатные звонки на Билайн и городские


И всё это за 300 рублей.


Я даже себе Siemens Gigaset C610 IP купил с доп. трубкой.


Официального заявления об этом я так и не увидел в интернете, но СМС недавно прислали. В абонентской службе информацию подтвердили.


Уважаемые Пикабушники, куда бежать?

В дефолтный Sipnet? Кто чем пользуется?

Интересуют звонки на городские и мобильные по Москве.

45

Гирлянда айтишника

С наступающим Новым годом, коллеги!

Сделать светодиодную гирлянду подходящей для тематической вечеринки можно, если надеть на светодиоды коннекторы RJ-45. На Алиэкспресс можно недорого купить в большом количестве.

Гирлянда айтишника Rj-45, Гирлянда, Новый Год, Видео, Длиннопост

Отлично держатся без клея или герметика.

Гирлянда айтишника Rj-45, Гирлянда, Новый Год, Видео, Длиннопост

Счастья, здоровья Вам, семье и близким!


О тематической вечеринке:

А это мой первый компьютер: он в строю с 1997 года, о нем будет отдельный пост в тематическом сообществе.

Показать полностью 1 1
211

RDP Wrapper Library: RDP для самых маленьких

Всем привет, на связи снова Леонид.

Продолжая серию предновогодних постов, поговорим об удаленном доступе.

RDP появился в 1998 году в Windows Server NT 4.0 Terminal Services. Все эти годы протокол обрастал свистелками - перделками и теперь обладает широким функционалом. Пробежимся кратко по истории:

RDP 5.0 - печать на локальные принтеры

RDP 5.1 - появление звука

RDP 5.2 - подключение локальных ресурсов

RDP 6 - поддержка нескольких мониторов

RDP 6.1 - появление Easy Print Priver

RDP 7 - появление NLA, Aero over RDP, Direct2D/3D, DirectShow

RDP 10 - поддержка H264, появление автомасштабирования.

Версии протокола с незначительными я пропустил.


К сожалению, в домашних версиях систем  заблокирована серверная часть протокола, осталась только клиент удаленного рабочего стола. Чего только народ не вытворял с библиотекой termsrv.dll. Как её только не лопатили. Разумеется, всё это нарушает лицензионное соглашение.


Не так давно появился новый проект на GitHub. Особенностью его является то, что он включает поддержку протокола RDP без изменения системных  файлов Windows. Лицензионной статус проекта не определен.

Кроме того, он позволяет создавать несколько подключений к компьютеру, а это уже точно нельзя.


Проект представляет из себя несколько bat - файлов для установки, обновления и удаления RDP Wrapper Library. В комплекте идет программs RDPCheck.exe для проверки возможности подключения и RDPConf.exe для настройки.

RDP Wrapper Library: RDP для самых маленьких RDP, Windows, Github

Как видите, у меня сервис не установлен, но RDP доступен - это потому что Windows 10 Professional.


Расписывать тут в принципе нечего. Пост так сказать, в копилку полезных программ.

Отличная работа, все прочитано!