-4

С днем системного администратора

Поздравляю, хоть и несколько запоздало, всех коллег - системных администраторов с профессиональным праздником!


В честь праздника я решил выложить первый вариант книги, по Windows Powershell, которую начинал несколько лет назад собирать для себя.

Сейчас решил поделиться со всеми.

Надеюсь, что она окажется кому-то полезной.


Пост о книге в моем блоге

Ссылка на саму книгу

Дубликаты не найдены

+2
Взаимно!
Книгу ещё не скачал, но в любом случае пивас за это положено!
+1

книжку я скачал, но сверстана она - вырви глаз

раскрыть ветку 3
0

Это первый вариант. Пока я просто собирал информацию и компоновал (тоже есть еще непонятки, что и куда лучше определить). Дальше, надеюсь, будет лучше :-)

раскрыть ветку 2
0

посмотри рекомендации по типографике. шрифт лучше без засечек. В какой программе верстал?

раскрыть ветку 1
0
С праздником, нас
0
А где ссылка?
0

ссылки исчезли

раскрыть ветку 3
-1

Не вставляется ссылкой

Иллюстрация к комментарию
раскрыть ветку 2
+1
Гугль запрещен надо прямую ссылку.
раскрыть ветку 1
-2

нахуй ты не всрался

Похожие посты
124

Восстановление Windows

Бывают случаи, когда в Windows были удалены или повреждены системные файлы. Это могло произойти в результате сбоя файловой системы, действий вирусов или ошибочных действий самого пользователя. При этом система может загружаться, а может и нет. Не спешите переустанавливать систему или делать откат к заводским настройкам (в случае с Windows Server это невозможно или неприемлемо). Зачастую систему можно привести в рабочее состояние.


Восстановление системы

Восстановление системы впервые появилось в Windows Me. Тогда копии важнейших системных файлов (реестра в подавляющем большинстве) хранились в zip архивах. Чуть позже, в Windows XP, они хранились как есть, только скрытые с глаз долой в каталоге System Volume Information. Начиная с Windows Vista восстановление системы использует технологию теневого копирования. Именно из теневой копии Windows может восстановить свои файлы. Этот вариант подходит только для клиентских редакций Windows.

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Здесь следует помнить, что при использовании точки восстановления, из теневой копии будет восстановлено то, что в неё попало. Это значит, что если файлы на момент создания точки восстановления уже были повреждены или отсутствовали, чуда не произойдёт. Так-же следует отметить отсутствие этого механизма в Windows Server и его автоматическое отключение при установке клиентской редакции Windows на SSD диск.


Восстановление загруженной операционной системы.

Рассмотрим порядок действий, если восстановление системы не применимо или не помогло и система загружается.


System File Checker

Начать стоит с проверки системных файлов, в этом нам поможет утилита проверки целостности системных файлов. SFC проверяет системные файлы на несанкционированные изменения или удаление и попытается восстановить их их кэша, расположенного по пути: C:\Windows\WinSxS. Для начала проверки выполните в командной строке, запущенной с повышенными привилегиями команду:

sfc /scannow

Рассмотрим ситуацию на реальном примере, произошедшем со мной недавно:

Windows Server 2016 с установленной ролью Windows Server Update Services. По пути C:\Program Files\Update Services\ отсутствует каталог Tools, что ставит крест на управлении сервером из командной строки. Можно скопировать каталог с аналогичного сервера, если такой есть. У меня не было и я скомандовал описанную ранее команду:

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Защита файлов не смогла восстановить некоторые файлы. Нужно уточнить, вернулся-ли каталог Tools на своё место. Можно пройти по пути C:\Program Files\Update Services\ и посмотреть, но это не наш метод. SFC создаёт файл журнала, который мы будем изучать. Файл большой, поэтому предварительно отберём нужные данные:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"

Открываем файл блокнотом и ищем строку: «Update Services\Tools»

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Мы видим, что файл восстановлен. Отлично! Но программа сообщила об ошибках — значит капаем дальше. Проводим отбор по тексту ошибки:

findstr /c:"[SR] Cannot repair member file" "%userprofile%\Desktop\sfcdetails.txt">"%userprofile%\Desktop\error.txt"

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Не восстановились некоторые ярлыки. В принципе на этом можно и закончить, но если хочется довести начатое до конца, то следует использовать DISM.


DISM

Утилита обслуживания образов развертывания и управление ими позволяет творить чудеса даже в очень трудных случаях. DISM занимается обслуживанием хранилища компонентов (WinSxS). Его проверка и восстановление как раз по плечу DISM.

Давайте договоримся, что первой я буду указывать команду для cmd, а далее дублировать для PowerShell.


Просмотр состояния хранилища компонентов

Для отображения последнего выясненного состояния хранилища компонентов используется команда:

DISM /Onine /Cleanup-Image /CheckHealth

Repair-WindowsImage -Online -CheckHealth

Эта команда не проверяет хранилище, а отображает последнее известное его состояние.

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Проверка хранилища компонентов

Проверка хранилища, напротив, выполняется продолжительное время и отражает реальное положение дел в системе. Для проверки хранилища используется команда:

DISM /Online /Cleanup-Image /ScanHealth

Repair-WindowsImage -Online –ScanHealth

Она найдет ошибки и предупредит об их наличии, но не восстанавливает. Как видим, у меня с системой всё в порядке.

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Восстановление хранилища компонентов

Для восстановления хранилища компонентов DISM требуется источник, откуда он будет брать исправные копии повреждённых компонентов. В качестве источника могут использоваться:

- Windows Update или WSUS

- Установочный образ ESD или WIM

Как видим, вариантов источников много, их можно указывать последовательно в одной команде. Будет использоваться первый, где требуемый компонент будет найден. Есть особенность, что если мы укажем образ соседней системы и компонент там найден не будет, будет произведён поиск в Windows Update.

Команда ниже проверит хранилище на наличие повреждённых компонентов и попробует их восстановить, скачав исходные файлы с центра обновления Windows:

DISM /Online /Cleanup-Image /RestoreHealth

Repair-WindowsImage -Online -RestoreHealth

Однако метод может потерпеть неудачу, если отсутствует соединение с интернетом или повреждены компоненты центра обновления Windows. Рассмотрим восстановление с установочного носителя. С загрузочного образа, диска или флешки нам нужен всего один файл: install.wim или install.esd

DISM /online /cleanup-image /restorehealth /source:D:\sources\install.wim

Repair-WindowsImage -Online -RestoreHealth -Source E:\sources\install.wim

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Иногда требуется указать номер индекса требуемой редакции. Уточнить номер индекса требуемой редакции совсем несложно — например через PowerShell:

Get-WindowsImage -ImagePath "E:\sources\install.wim

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Индекс сборки потом указываете через двоеточие. Например:

DISM /online /cleanup-image /restorehealth /source:D:\sources\install.esd:2

Если требуется запретить использование Windows Update или WSUS, используйте параметр /LimitAccess.

DISM /online /cleanup-image /restorehealth /source:D:\sources\install.wim /LimitAccess

Восстановление системы, которая не загружается

Рассмотрим случай, когда система уже не загружается. Для её восстановления нам потребуется доступ к системному диску. Мы можем использовать среду восстановления, имеющуюся на компьютере:

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Среду восстановления можно запустить с установочного носителя:

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Одним словом, не имеет значения как вы получите доступ к диску. Диск можно также подключить к другому компьютеру. Если использовали среду восстановления, то следует разобраться с буквами дисков. Може использовать для этих целей команду bcdedit или запустить notepad и через меню файл — открыть увидеть буквы дисков и их содержимое.


System File Checker

Утилита проверки целостности системных файлов и в этой ситуации может прийти на помощь! Для этого у ней есть соответствующие параметры /offbootdir и /offwindir. Нам остаётся лишь указать букву системного диска и путь папки Windows.

sfc /scannow /offbootdir=c:\ /offwindir=c:\windows

Программа работает долго, но зачастую результат превосходит ожидания.


DISM

DISM настолько крут, что и в такой ситуации найдёт выход. Подробнее про офлайн обслуживание хранилища компонентов поговорим в другой раз — сейчас сосредоточимся на восстановлении. Сразу скажу, что из среды восстановления PowerShell не работает. Команды управления образом апривожу на случай, если диск подключен к другой системе.


Просмотр состояния хранилища компонентов

Команда используется как и ранее с той лишь разницей, что мы указываем путь к системному диску повреждённой Windows

Dism /Image:E:\ /Cleanup-Image /CheckHealth

Repair-WindowsImage -Path "E:\" -CheckHealth

Мы видим, что хранилище компонентов моей тестовой системы требует восстановления.

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Проверка хранилища компонентов

Проверка хранилища компонентов как и ранее работает долго, но даёт более актуальный результат в отличие от предыдущей команды.

Dism /Image:E:\ /Cleanup-Image /ScanHealth

Repair-WindowsImage -Path "E:\" -ScanHealth

Восстановление Windows Windows, Microsoft, Windows Server, Восстановление, Командная строка, Системное администрирование, Длиннопост

Восстановление хранилища компонентов

Восстановление хранилиза компонентов по сути своей не отличается от ситуации с загруженной системой, поэтому не буду приводить полный список команд. Ограничусь простой командой восстановления через Windows Update. Разница лишь в указании пути к системе.

Dism /Image:E:\ /Cleanup-Image /restorehealth

Repair-WindowsImage -Path "E:\" -RestoreHealth

Заключение

Как видите есть масса способов привести систему в чувства и без переустановки Windows. Надеюсь предложенные способы помогут вам.


Как обычно, публикую ссылку на оригинал статьи в своём блоге.

Показать полностью 11
732

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ.

Я прекрасно понимаю, что этой заметкой для многих я не открою ничего нового. Пост в первую очередь предназначен для начинающих коллег, но если более опытные сисадмины подключатся к обсуждению и поделятся опытом, получится интересно.

Итак %username%, тебя взяли на работу. Предположим, что ты более - менее разбираешься в вопросе и умеешь чуть больше, чем картридж поменять. С момента, как ты стал сисадмином, ты взял на себя огромный груз ответственности. Ты отвечаешь не только за то, что-бы ничего не наебнулось - ты отвечаешь за лицензирование. Будь уверен, если придет проверка, твой генеральный прикинется ветошью и не отсвечивая покажет пальцем в твою сторону.


О лицензировании.

Твоя задача не только самостоятельно не устанавливать всякую дичь aka RePack Photoshopа, но и не дать пользователям самостоятельно устанавливать и запускать подобную дичь с флешки и иных папок/носителей.


Об ограничении.

Описанный ниже способ сэкономит твои нервы и придаст уверенности в используемом программном обеспечении. Политика ограниченного использования программ подобна настройке FireWall. Она предполагает определение типа запрета:

- всё можно, кроме указанного в списке.

- всё нельзя, кроме указанного в списке.


Мне по душе второй вариант. Я люблю работать с местоположением программ.

Для начала мы определяем границы возможностей пользователя:

Определим пути, куда пользователь прав на запись не имеет:

- C:\Windows

- "C:\Program Files"

- "C:\Program Files (x86)"

Именно в этих расположения находятся приложения, установленные системой и администратором.

В остальные каталоги и локальные диски пользователь может иметь доступ на запись.

Это значит, что он может сохранить там приложение и выполнять его.

Если мы разрешим запуск приложений только из системных каталогов, мы получаем:

- Перестают работать Амиго, Яндекс браузер и прочее ПО из профиля пользователя.

- Пользователь не может сам запустить скачанное из интернета приложение: каталоги, откуда он может запустить программу закрыты на запись, а открытые на запись запрещены к запуску.

- Никаких шифровальщиков

- Никакого Portable софта.

При этом Администратор может всё.


Интересно? Читай дальше.


Создание объекта групповой политики

Создадим новый объект групповой политики и свяжем его с доменом. Вы можете создать несколько политик и раскидать их по отделам, например. Зачем? Узнаете от бухгалтера по банкам, когда отвалятся банки
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

После создания объекта, редактируем его. Идем по пути:

[Конфигурация пользователя - Политики - Конфигурация Windows - Настройки безопасности - Политики ограниченного использования программ]

Создаем новую политику.

После создания нам требуется указать уровень безопасности (то, о чем я говорил - черные и белые списки):

в папке Уровни безопасности выбираем уровень по умолчанию "запрещено".

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Далее выбираем область применения политики: все пользователи, кроме локальных администраторов. Это позволит нам устанавливать программы. Разрешаем запуск библиотек: это сохранит работоспособность расширений браузера и ActiveX.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь переходим в папку "Дополнительные правила"

Именно тут нам предстоит создать "белый список".

По умолчанию указаны пути системного каталога и каталога приложений.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Здесь мы будем создавать правила. Нас интересуют два типа правил: правило пути и правило хэша.

Правило пути определяет местоположение файла и разрешает запуск приложений из этого расположения.

Правило хэша определяет контрольную сумму конкретного файла и разрешает его запуск из любого расположения.

Например разрешим людям играть в СТАЛКЕР (ты в курсе, что он работает с флешки). Создадим правило для Хэша, так как мы не знаем букву флешки на компьютерах пользователей.

Это просто для примера. Ты понимаешь, да?

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Теперь давай разрешим запуск скриптов из папки Netlogon: создадим правило пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост
Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Хочешь видеть результат?

Смотри скриншот - ты только что сам заблокировал запуск установки Яндекс.Браузера.

Если-бы не политика, он установился-бы  в профиль пользователя и работал-бы от туда. Та же участь постигнет шифровальщики и "письма из налоговой" с расширением exe и js.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Бери в руки инструмент и будь рука твоя тверда на пути к власти над пользователями, но помни о бухгалтерах. Для бухгалтера с банк клиентами и Контур.Экстерном создай отдельную политику.


Учти, что OneDrive тоже будет заблокирован - разреши его запуск по пути.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Иначе на всех всех компьютерах с Windows 10 при каждом входе будет вылезать ошибка. Если ты хочешь заблокировать OneDrive, ищи другой путь. Но помни: может кто-то его использует.

Закручиваем гайки пользователям: часть 1. Политика ограниченного использования программ. Windows, Microsoft, Системное администрирование, Длиннопост

Так ты отберешь тех, кто им пользуется от тех, кому он не нужен.

И не забывай про обновление ADMX шаблонов.

Показать полностью 10
114

Local Administrator Password Solution

Всем привет!

Обои поклеил и пиво льется рекой, а это значит, что Уханов снова вещает.

А поговорим мы сегодня о пароле локального администратора.


Новички иногда попадают в такую ситуацию: выводит компьютер из домена, и для подтверждения вводит пароль доменного администратора. После перезагрузки выясняется, что пароль локального администратора он не помнит. Ситуация неприятная, но не тупиковая, если по рукой есть флешка или CD.

Что нужно было сделать, что-бы не выстрелить себе в ногу? Вывести компьютер из домена, используя пароль локальной учетной записи с правами администратора. Таким образом можно быть уверенным, что помнишь пароль.


Установка пароля через групповые политики.

Чаще администраторы прибегают к установке на компьютеры домена одинакового пароля средствами групповых политик.

Почему это плохо?

Пароль администратора хранится в зашифрованном виде в xml файле  каталога групповых политик. Файл доступен для чтения всем авторизованным пользователям домена.

Считаете, если он зашифрован, то вы в безопасности? Как бы не так: Microsoft опубликовала 32-битный AES ключ шифрования пароля.

Майкрософт категорически не рекомендует так менять пароли, а в новых версиях Windows Server настоятельно говорит так не делать. Такие дела, малята: получить пароль админа проще простого.

Бюллетень MS14-025 запрещает установку пароля таким образом. Поле пароля неактивно.

Local Administrator Password Solution Windows, Системное администрирование, Пароль, Microsoft, Длиннопост

А ещё может случиться необходимость предоставить пользователю административные привилегии. На моей практике такое было пару раз -  я потерял связь с компьютером и ничего не мог сделать: Быстрой помощи в Windows 10 ещё не было, а TeamViewer или AmmyAdmin  блокировались политикой ограниченного использования программ. На часах ночь, а принтер у человека не работал.

И я со спокойной душой назвал ему пароль локального админа: утром пароль поменялся автоматически. Но я восстановил доступ к компьютеру и наладил принтер.


Local Administrator Password Solution - это официальный инструмент для установки и периодической смены пароля администратора.

Он бесплатен в использовании и прост в настройке.

Что он умеет?

- с заданной периодичностью компьютер сам меняет пароль указанной учетной записи.

- Пароль хранится в AD

- У каждого компьютера свой пароль

- параметры пароля и учетной записи настраиваются

При помощи утилиты LAPS UI можно узнать текущий пароль - надо лишь указать имя компьютера

Local Administrator Password Solution Windows, Системное администрирование, Пароль, Microsoft, Длиннопост

Скачать чудо утилиту с подробнейшим мануалом можно по ссылке выше.


Хорошая статься на WINITPRO тут.



Коллеги, всем хороших выходных и прекрасного настроения.

Поделюсь фото пенного на фоне рабочей машины с дисками, которые так любит вынимать мой сын. Благо, Storage Spaces спокойно переносит кражу одного и даже двух дисков массива.


А как вы решили проблему паролей?

Local Administrator Password Solution Windows, Системное администрирование, Пароль, Microsoft, Длиннопост
Показать полностью 3
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: