Шукати:
Гру 26 2020
Автоматичний запуск та вхід в OpenVPN в Windows 10 перед входом користувача

Якщо ви хочете, щоб OpenVPN автоматично запускався та входив у з’єднання за замовчуванням під час завантаження комп’ютера, виконайте наведені нижче дії. Щоб це працювало, ви повинні використовувати останню версію OpenVPN 2.3 або вище. Крім того, використання цього методу зберігає ваше ім’я користувача та пароль у текстовому файлі на вашому комп’ютері. Ви повинні робити це лише на захищеному комп’ютері, а ніколи на загальнодоступній машині.

У рядку пошуку введіть «regedit», і він знайде regedit.exe. Запустіть його. Будьте дуже обережні з використанням regedit і не вносіть жодних змін в інші налаштування, оскільки це може зламати ваш комп’ютер.

Перейдіть до наступного місця:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Click on ‘Edit’

Click on ‘New’

Click on ‘String Value’

Name the string something descriptive such as ‘VPN’

Now click on ‘Edit and Modify’

Add the following line to the new string you created:

For 32 bit Windows – “C:\Program Files\OpenVPN\bin\openvpn-gui.exe” –connect xxxxx.ovpn

For 64 bit Windows – “C:\Program Files (x86)\OpenVPN\bin\openvpn-gui.exe” –connect xxxxx.ovpn

Xxxxx замінюється ім’ям файлу конфігурації OpenVPN, який ви хочете запустити. Список доступних файлів .ovpn можна знайти в папці «OpenVPN / config» на вашому комп’ютері. Або ви можете використовувати імена зі списку вибору з’єднання, ввівши їх точно так, як показано на малюнку, і додавши ‘.ovpn’ до кінця.

Наприклад, список вибору «USA ast» буде введено як «USA East.ovpn»

Start OpenVPN at Windows boot

Вихід з регедиту

Тепер вам потрібно створити файл пароля:

Відкрийте NotePad, клацнувши правою кнопкою миші та вибравши «Запуск від імені адміністратора»

Введіть своє ім’я користувача та натисніть клавішу Enter, а потім введіть свій пароль. Переконайтеся, що в жодному рядку немає порожніх пробілів.

Збережіть файл у:

(For 32 bit OpenVPN users):

C – Program Files (x86) – OpenVPN – config

(For 64 bit OpenVPN users):

C – Program Files – OpenVPN – config

Далі в меню входу клацніть правою кнопкою миші на підключенні, яке ви додали до реєстру за замовчуванням. Виберіть “Редагувати конфігурацію”

Знайдіть рядок із написом „auth-user-pass”

Змініть його на ‘auth-user-pass password.txt’. (зауважте, що це пробіл, а не дефіс, між словами «передати» та «пароль»)

Зберегти та вийти

Ви також можете змінити цей рядок на всіх інших файлах конфігурацій, і вони автоматично увійдуть без необхідності вводити пароль користувача в майбутньому.

Тепер, коли ви перезавантажите комп’ютер, OpenVPN автоматично запуститься і ввійде до вашого з’єднання за замовчуванням.

 
a.boyko 1 Коментарі
Гру 25 2020
Налаштування Cached Credentials з допомогою групових політик

За допомогою параметрів групових політик ви можете задати кількість унікальних користувачів, чиї облікові дані можуть бути збережені в локальний кеш на комп’ютерах домену. Щоб дані потрапили в кеш, користувач повинен хоча б один раз залогінитися на комп’ютер.

За замовчуванням в Windows 10 / Windows Server 2016 зберігаються облікові дані для 10 користувачів. Щоб змінити цю кількість, використовується параметр GPO(Interactive  logon: Number of previous logons to cache (in case domain controller is not available)(Інтерактивний вхід в систему: кількість попередніх підключень до кешу в разі відсутності доступу до контролера домену), який знаходиться в розділі Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options. Можна задати значення від 0 до 50.

Якщо задати 0, це заборонить Windows кешувати облікові дані користувачів. В цьому випадку при недоступності домену, при вході користувача з’явиться помилка “There are currently no logon servers available to service the logon request”.

Цей параметр також можна налаштувати за допомогою REG_SZ параметра реєстру CashedLogonsCount из ветки HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

При вході під збереженими даними, користувач не бачить, що контролер домену недоступний. За допомогою GPO можна вивести повідомлення про вхід під кешуватися даними. Для цього потрібно включити політику Report when logon server was not available during user logon (Запитувати, якщо сервер входу недоступний при вході користувача) в розділі Compute configuration -> Policies -> Administrative templates -> Windows Components -> Windows Logon Options.

В цьому випадку при вході користувача в треї буде з’являтися повідомлення:

Неможливо з’єднатися з сервером входу (контролеру домену). Вхід виконаний за допомогою раніше збережених відомостей про обліковий запис.

A domain controller for your domain could not be contacted. You have been logged on using cached account information. Changes to your profile since you last logged on might not
be available.

Цю настройку можна включити через реєстр: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon

  • ValueName: ReportControllerMissing
  • Data Type: REG_SZ
  • Values: TRUE

Безпека кешованих облікових даних в Windows

Локальне кешування облікових даних несе низку ризиків безпеки. Зловмисник, отримавши фізичний доступ до комп’ютера / ноутбука з кешуватися даними, може за допомогою брутфорса розшифрувати хеш пароля (тут все залежить від складності та довжини пароля, для складних паролів час підбору величезна). Тому не рекомендується використовувати кешування для облікових записів з правами локального адміністратора (або, тим більше, доменного адміністратора).

Для зменшення ризиків безпеки, можна відключити кешування облікових записів на офісних комп’ютерах і комп’ютерах адміністраторів. Для мобільних пристроїв бажано зменшити кількість Кешована акаунтів до 1. Тобто навіть якщо адміністратор заходив на комп’ютер і його облікові дані потрапили в кеш, при вході користувача-власника пристрою, хеш пароля адміністратора буде видалений.

Для доменів з функціональним рівнем Windows Server 2012 R2 або вище можна додати облікові записи адміністраторів домену в групу Protected Users. Для таких користувачів заборонено локальне збереження кешованих даних для входу.

Можна створити в домені окремі політики з використання кешованих облікових даних для різних пристроїв і категорій користувачів (наприклад, за допомогою GPO Security filters, WMI фільтрів, або поширенню налаштувань параметра реєстру CashedLogonsCount через GPP Item level targeting).

Для мобільних користувачів – CashedLogonsCount = 1
Для звичайних комп’ютерів – CashedLogonsCount = 0

Такі політики знизять ймовірність отримання хеша привілейованих користувачів з персональних комп’ютерів.

a.boyko 0 Коментарі
Гру 15 2020
Використовуємо KMS сервіс в домені для Windows & Office

Хочу поділитися з читачами мого блогу, як в мене в моїй підконтрольної інфраструктурі розгорнутий сервіс KMS для активації Windows 10 систем і Office 2016. Зроблено це для того, що б коли готується нова робоча станція, відкриваємо свій чек лист підготовки і в момент активації застосовуємо цю замітку. Тут все просто, або ж коли займаємося халтурою тільки за гроші, не за спасибі і шоколадку.

Я не буду показувати на бойовому середовищі, а відбудую все на базі гіпервізора Debian 10 + Proxmox 6.

Отже в наявності:

  • srv-dc1.polygon.com (Windows Server 2012 R2 Std)
  • W10X64.polygon.com

Крок №1: Припускаю, що у Вас є ключ для організації KMS сервісу, якщо так, то як поставити KMS слід ознайомитися з кроками замітки"Як розгорнути KMS сервіс на Windows Server 2008 R2"

Крок №2: В каталог C:\PO який у мене підготовлений за допомогою наступних команд на srv-dc1:

C:\Windows\system32>net share PO=C:\PO /GRANT:“Authenticated Users”,READ
 
C:\Windows\system32>icacls c:\PO /inheritance:d
 
C:\Windows\system32>icacls c:\PO /remove “Users” /T
 
C:\Windows\system32>icacls c:\PO /grant “CREATOR OWNER”:(OI)(CI)(IO)(F)
 
C:\Windows\system32>icacls c:\PO /grant “NT AUTHORITY\Authenticated Users”:(OI)(CI)(RX)
 
C:\Windows\system32>icacls c:\PO /grant “NT AUTHORITY\SYSTEM”:(OI)(CI)(F)
 
C:\Windows\system32>icacls c:\PO /grant “POLYGON\ekzorchik”:(OI)(CI)(F)
 
C:\Windows\system32>icacls c:\PO /grant “BUILTIN\Administrators”:(OI)(CI)(F)

розміщую два bat файлу з наступним змістом:

kms_activate_windows.cmd

rem cscript //B “%windir%\system32\slmgr.vbs” /ato
 
slmgr.vbs /skms srvdc1.polygon.com:1688
 
slmgr.vbs /ato

kms_activate_office.cmd

if exist “%ProgramFiles%\Microsoft Office\Office16\ospp.vbs” cd /d “%ProgramFiles%\Microsoft Office\Office16”
 
if exist “%ProgramFiles(x86)%\Microsoft Office\Office16\ospp.vbs” cd /d “%ProgramFiles(x86)%\Microsoft Office\Office16”
 
cscript ospp.vbs /inpkey:XQNVK8JYDBWJ9W3YJ8YRWFG99
 
cscript ospp.vbs /inpkey:PD3PCRHNGVFXJ298JK7DRJRJK
 
cscript ospp.vbs /inpkey:YG9NW3K39V2T3HJ93F3QG83KT
 
cscript OSPP.VBS /sethst:srvdc01.polygon.com
 
cscript OSPP.VBS /ac

Крок №3: Тепер коли я готував нове робоче місце після установки системи, драйверів, введення в домен, авторизуйтесь під Domain Admins (Login: ekzorchik), ставлю все ПО яке не встановлюються через GPO, наприклад Microsoft Office 2016. Потім звертаюся до \\srv-dc1\PO по черзі запускаю через запуск від імені адміністратора два батника вище і система Windows 10 Pro і Office 2016успішно активується.

a.boyko 0 Коментарі
Гру 15 2020
Windows 10 — ESXI 6.7 Backup usb flash configuration

Хочу відпрацювати бекап встановленої конфігурації ESXi (6.7.0 (Build 8169922) isoна USB носій, тому що у мене новий сервер під бази даних, і щоб все у момент перенесення на нього і з подальшою роботою не було проблем, я пропрацюю як здійснюється резервне копіювання конфігурації. Я за все що все має бекапитися і вміти за своїми напрацюваннями відновити в разі чого і обов’язково не ділитися з колегами, бо вони ж Вам нічим не допомагають коли в Вашу зміну щось трапляється: я не біля комп’ютера, я не в місті, у мене такого не було – ось це про колег з відділу системних адміністраторів в будь-який конторі де я працював і працюють.

Крок №1: Включаємо на хості ESXi (6.7.0 (Build 8169922)) сервіс віддаленої взаємодіїSSH:

https://IP&DNS/ui — login&pass — Manager — Services —

  • Name: TSM-SSH
  • Description: SSH
  • Status: Stopped

виділяю його і натискаю Start

і також визначили політику на автоматичний запуск сервісу якщо ESXi хост був перезавантажений:

https://IP&DNS/ui - login&pass - Manager - Services - Name: TSM-SSH - Actions - Policy - Start and Stop with firewall ports

Крок №2: Підключаюся зі своєї робочої станції до ESXi хосту по SSH через клієнт Putty (я використовую оболонку mRemoteNG)

[root@srvesxi01:~]

Крок №3: Отримати поточний IP адреса ESXi хоста через консоль ESXi:

[root@srvesxi01:~] esxcli network ip interface ipv4 get
 
Name  IPv4 Address   IPv4 Netmask   IPv4 Broadcast  Address Type  Gateway      DHCP DNS
 
           
 
vmk0  192.168.9.125  255.255.255.0  192.168.9.255   STATIC        192.168.9.1     false
 
[root@srvesxi01:~]

Крок №4: Виконати бекап:

a)  Щоб синхронізувати конфігурацію, змінену з постійним сховищем, виконайте цю команду:

[root@srvesxi01:~] vimcmd hostsvc/firmware/sync_config
 

b)    Щоб зробити резервну копію даних конфігурації для хоста ESXi, виконайте цю команду:

[root@srvesxi01:~] vimcmd hostsvc/firmware/backup_config
 
Bundle can be downloaded at : http://*/downloads/5291e717-989b-8129-db6b-d552a5fbef89/configBundle-srv-esxi01.polygon.local.tgz
 
[root@srvesxi01:~]
 

Якщо бекап не створюється, то значить хтось видалив каталог downloads:

[root@srvesxi01:~] vimcmd hostsvc/firmware/backup_config
 
(vmodl.fault.SystemError) {
 
faultCause = (vmodl.MethodFault) null,
 
faultMessage = <unset>,
 
reason = “Internal error”
 
msg = “Received SOAP response fault from []: backupConfiguration
 
A general system error occurred: Internal error”
 
}
 
[root@srvesxi01:~] mkdir scratch/downloads
 
[root@srvesxi01:~] vimcmd hostsvc/firmware/backup_config
 
Bundle can be downloaded at : http://*/downloads/52682f1e-8025-3a7c-b72b-ae4c7b9056dd/configBundle-srv-esxi01.polygon.local.tgz
 
[root@srvesxi01:~]
 

резервна копія розташовується по шляху:

[root@srvesxi01:~] ls /scratch/downloads/5291e717989b8129db6bd552a5fbef89/ lh
 
total 64
 
rwrr    1 root     root       13.5K Nov 26 13:41 configBundlesrvesxi01.polygon.local.tgz
 

Після можна зі своєї системи якщо в рядку браузера вказати https://srv-esxi01/downloads/5291e717-989b-8129-db6b-d552a5fbef89/configBundle-srv-esxi01.polygon.local.tgz і бекап скачається.

На замітку: Кожне наступне виконання створення резервної копії затирає попередню.

Крок №5: Щоб виконати відновлення з резервної копії:

На замітку: Необхідно враховувати, що відновлення конфігурації ESXi з резервної копії має проводитися на точно таку ж версію ESXi, в іншому випадку результат не гарантований.

На замітку: Все запущені віртуальні машини повинні бути вимкнені

[root@srvesxi01:~] vimcmd vmsvc/getallvms
 
Vmid     Name                      File                         Guest OS          Version   Annotation
 
10     srvtest3   [storage2tb] srvtest3/srvtest3.vmx   windows9_64Guest        vmx14
 
6      srvtest    [storage2tb] srvtest/srvtest.vmx     windows9Server64Guest   vmx14
 
7      srvtest2   [storage2tb] srvtest2/srvtest2.vmx   windows9Server64Guest   vmx14
 
[root@srvesxi01:~]
 
[root@srvesxi01:~] vimcmd vmsvc/power.getstate 10
 
Retrieved runtime info
 
Powered off
 
[root@srvesxi01:~] vimcmd vmsvc/power.getstate 6
 
Retrieved runtime info
 
Powered off
 
[root@srvesxi01:~] vimcmd vmsvc/power.getstate 7
 
Retrieved runtime info
 
Powered off
 
[root@srvesxi01:~] vimcmd vmsvc/power.shutdown 7
 

якщо VM з помилкою, то вимикаємо її так:

[root@srvesxi01:~] vimcmd vmsvc/power.off 7

Переводимо ESXi Хост в режим обслуговування:

[root@srvesxi01:~] vimcmd hostsvc/maintenance_mode_enter
 
[root@srvesxi01:~]
 
[root@srvesxi01:~] cp  scratch/downloads/*/*.tgz /tmp/
 
[root@srv-esxi01:~] vim-cmd hostsvc/firmware/restore_config /tmp/configBundle-srv-esxi01.polygon.local.tgz
 
(vim.fault.FileNotFound) {
 
faultCause = (vmodl.MethodFault) null,
 
faultMessage = ,
 
file = “/tmp/configBundle.tgz”
 
msg = “Received SOAP response fault from []: restoreConfiguration
 
File /tmp/configBundle.tgz was not found”
 
}
 
[root@srv-esxi01:~] cp  scratch/downloads/*/*.tgz /tmp/configBundle.tgz
 
[root@srvesxi01:~] vimcmd hostsvc/firmware/restore_config /tmp/configBundle.tgz
 

На замітку: після команди вище з директорії / tmp Ваш бекап configBundle.tgz віддалиться.

В цей момент ви відключіться від SSH з’єднання до Вашого ESXi хоста – це нормально.

Хост відновиться з бекапу і піде в перезавантаження.

Взагалі процедуру відновлення ESXi-хоста краще проводити фізично за консоллю, або через засоби віддаленого адміністрування: iLO, IPMI і т.д.

Очікуємо:

on Windows 10 Pro

Win + X - Command Prompt

C:\Users\aollo>ping srvesxi01 t
 
Обмен пакетами с srvesxi01.polygon.local [192.168.9.125] с 32 байтами данных:
 
Ответ от 192.168.10.1: Заданный узел недоступен.
 
Ответ от 192.168.10.1: Заданный узел недоступен.
 
Ответ от 192.168.10.1: Заданный узел недоступен.
 
Ответ от 192.168.10.1: Заданный узел недоступен.
 
Превышен интервал ожидания для запроса.
 
Ответ от 192.168.9.125: число байт=32 время<1мс TTL=63
 
Ответ от 192.168.9.125: число байт=32 время<1мс TTL=63
 
Ответ от 192.168.9.125: число байт=32 время<1мс TTL=63
 
Ответ от 192.168.9.125: число байт=32 время<1мс TTL=63
 
Ответ от 192.168.9.125: число байт=32 время<1мс TTL=63
 
Статистика Ping для 192.168.9.125:
 
Пакетов: отправлено = 10, получено = 9, потеряно = 1
 
(10% потерь)
 
Приблизительное время приемапередачи в мс:
 
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
 
ControlC
 
^C
 
C:\Users\aollo>
 

Хост піднявся, після перевіряю, що можу зайти на нього як через браузер так і по SSH: – все успішно.

після потрібно вивести ESXi хост з режиму обслуговування:

через ESXi консоль:

[root@srvesxi01:~] vimcmd hostsvc/maintenance_mode_exit

через Web інтерфейс:

https://IP&DNS/ui - login&pass - Host - Actions - Exit maintenance mode

після чого стан ESXi хоста перейде в статус Normal

Крок №6: Видалю з ESXi хоста Port groups: VLAN 4 і виконаю відновлення:

The operation is not allowed in the current state. — це означає, що Ваш ESXi хост зараз знаходиться в режимі обслуговування, для виходу з нього:

Гаразд, тепер власне відновлення:

a.boyko 0 Коментарі
Гру 15 2020
Сопоставление имени компьютера + имя пользователя в домене

Задача: Хочу чтобы у меня в оснастке Active Directory Users and Computers домена polygon.com базирующего на Windows Server 2012 R2 Std в описании к каждому компьютеру в колонке Description отображалось, кто в данный момент под ним работает из пользователей. Мне это нужно дабы когда пользователь просит подключитесь ко мне (я использую Radmin Viewer), то я мог быстро это посмотреть, а после подключиться и оказать помощь.

В итоге должно получиться вот так: (это как сделано у меня на работе)

Рабочий пример информации в поле Description OU=Computers

В наличии тестовый полигон srv-proxmox внутри которого создана структура из виртуальных машин показывающая обычный набор систем:

srv-dc1.polygon.com (Windows Server 2012 R2 Std)

  • Roles: AD, DNS, DHCP

W10X64.polygon.com (Windows 10 Pro)

  • Roles: рабочая станция

srv-gw.polygon.com (pfSense 2.4.4)

  • Roles: шлюз для тестовой системы.

Приступим:

Шаг №1: На домен контроллере, я авторизован как Login: ekzorchik права у меня Group: Domain Admins (srv-dc1.polygon.com) открываем оснастку управления пользователями и компьютерами:

Win + R - control.exe или Win + X → Control Panel - Administrative Tools - Active Directory Users and Computers, включаю показ расширенных элементов: View - Advanced Features, затем на OU=Computers через правый клик открываю Properties (Свойства) перехожу на вкладку Security - Advanced, нахожу запись прав вида:

  • Type: Allow
  • Principal: Authenticated Users
  • Access: Special
  • Inherited from: None
  • Applies to: This object only

выделяю ее и нажимаю Edit

Изменяю настройки для OU=Computers применительно к Authenticated Users

Затем отмечаем галочкой права:

  • Principal: Authenticated Users
  • Type: Allow
  • Applies to: This object only изменяю на Descendant Computer objects и отмечаю галочкой

Даю права на запись в поле Description

На заметку: Все остальные галочки прав не трогаем.

После нажимаем OK окна Permission Entry for Computers, Apply окна Advanced Security Settings for Computers, OK окна Advanced Security Settings for Computers, OK окна Computer Properties.

Шаг №2: На домен контроллере, я авторизован как Login: ekzorchik права у меня Group: Domain Admins (srv-dc1.polygon.com) открываем оснастку управления групповыми политиками Group Policy Management:

Файлы для загрузки: ADDescription

Структура каталога scripts на srv-dc1: C:\Windows\SYSVOL\sysvol\polygon.com\scripts

Структура каталога Scripts в домене

На заметку: По пути on srv-dc1: C:\Windows\SYSVOL\sysvol\polygon.com\scripts создаю два исполняемых файла с расширением cmd.

writeComputerDescription_Logon.cmd

writeComputerDescription_Logoff.cmd

На заметку: По пути on srv-dc1: C:\Windows\SYSVOL\sysvol\polygon.com\scripts создаю два исполняемых файла с расширением vbs

writeComputerDescription_Logon.vbs

writeComputerDescription_Logoff.vbs

Win + R - control.exe или Win + X → Control Panel - Administrative Tools - Group Policy Management и редактирую Default Domain Policy

Computer Configuration - Policies - Administrative Templates - System - Group Policy

  • Configure scripts policy processing: Enabled
    • Allow processing across a slow network connection: отмечаю галочкой

User Configuration - Policies - Windows Settings - Scripts - Logon - Add - Browse и указываю путь:

File name: \\polygon.com\SysVol\polygon.com\scripts\writeComputerDescription_Logon.cmd

Отмечаю, что при Logon запускать writeComputerDescription_Logon.cmd

User Configuration - Policies - Windows Settings - Scripts - Logoff - Add - Browse и указываю путь:

File name: \\polygon.com\SysVol\polygon.com\scripts\writeComputerDescription_Logoff.cmd

Отмечаю, что при Logoff запускать writeComputerDescription_Logoff.cmd.cmd

Итого политика Default Domain Policy расширилась по части применения на User Configuration:

Итого политика Default Domain Policy расширилась по части применения на User Configuration

Шаг №3: Проводим испытания, к примеру на W10X64, включаю ее и авторизуюсь как Login: alektest, инициирую применение всех политик:

Win + R → cmd → gpupdate /force

После перезагрузившись и авторизовавшись если посмотреть на домен контроллере на оснастку Active Directory Users and Computers то видно результат заполнения колонки Description

При Logon:

При Logon заполняется колонка Description OU=Computers

При Logoff:

При Logoff заполняется колонка Description OU=Computers

Но бывает, что скрипт Logoff или Logon не отрабатывает, т. е. В Description информация не заносится, отчего так я не особо понял. Значит нужен еще какой-либо способ логировать за каким компьютером сейчас авторизован пользователь.

Создал каталог info и обозначил его как скрытая шара, в него могут писать authenticated users, а затем создал cmd скрипт и положил его в Logon дабы он после каждой авторизации пользователя на рабочей станции запускался и сохранял информацию в каталог на srv-dc1\c:\info или \\polygon.com\info$

Group Policy Management - Edit (Default Domain Policy) - User Configuration - Policies - Windows Settings - Scripts (Logon/Logoff) - Logon - Add - Browse и политику:

\\polygon.com\sysvol\polygon.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\USER\Scripts\Logon

копирую созданный cmd скрипт следующего содержания:

logoncomputer.cmd

после нажимаю Open, OK, получает что теперь два cmd скрипта при авторизации пользователя на ПК:

При авторизации на ПК запускаются 2 cmd скрипта

Затем нажимаю Apply, OK.

После того как пользователь авторизовался, сперва выполняется скрипт записи в Description оснастки на домен контроллере Active Directory Users and Computers, а после данные заносятся в \\srv-dc1\info$

Содержимое скрытого каталога info$где смотрим последнюю дату, к примеру под учетной записью alektest последний раз заходили в 11.12.2020 20:16, открываю данный текстовый файл и вижу:

10.12.2020 22:51:45,69 W10X642 alektest
11.12.2020 20:16:10,28 W10X642 alektest

что в указанную дату и время пользователя авторизовался на рабочей станции W10X642.

Используя оба скрипта в данной заметке я получаю полную информацию на случай если мне нужно опознать имя компьютера дабы используя Radmin Viewer инициировать подключение и оказать удаленную помощь.

 
a.boyko 0 Коментарі
Гру 15 2020
Як розширити поштову скриньку в Exchange 2010

Досить незвичайна заявка прийшла від користувача (точніше да користувача, але це Керівник регіональних менеджерів), мовляв прошу збільшити мою поштову скриньку, тому що чистити пошту вона не хоче, користуватися архівом так само. По суті таким людям пояснюється, що навіть збільшення Вашої поштової скриньки ні до чого не приведе, тому що він все одно буде заповнений. Ну да ладно. У мене налаштовані поштові бази для поштових скриньок з квотами: 512Mb, 1Gb, 2Gb, 4Gb на поштовому сервері Exchange 2010 14.03.0248.002. За замовчуванням поштову скриньку я маю в базі на 512Mb, у неї (Назвемо її Тамарою) зараз 2Gb. До того ж керівник особисто попросив, мовляв давай для неї однієї зробимо виняток – зроби їй ящик в 4Gb. Добре і взявся за вирішення даної заявки.

Крок №1: Почну перенесення поштової скриньки з однієї бази в іншу:

я проробляю команди на Exchange в консолі Exchange Management Shell

Крок №2: Отримати статус перенесення поштової скриньки:

Крок №3: Отримати процентне відношення процесу перенесення поштової скриньки:

Крок №4: Після перенесення потрібно обов’язково виконати команду:

Крок №5: І ось цими діями у мене завдання по збільшенню поштової скриньки повинна бути виконана. Поштова скринька користувача знаходиться в базі MailboxDB14_4G, тобто на нього діє квота в 4Gb

MailboxDB14_4G Properties - вкладка Limits

(Storage limits)

  • Issue warning at (MB): 3891
  • Prohibit send ad (MB): 4096
  • Prohibit send and receive at (MB): 4300

(Deletion settings)

  • Keep deleted items for (days): 0
  • Keep deleted mailboxes for (days): 0

Квота на почтовую базу в 4Gb на каждый почтовый ящик

Але чомусь користувачеві все одно приходить повідомлення, що поштова скринька заповнений. Підключаюся до нього через Web: https: //srv-mail/owa/tlukina@ekzorchik.ru використовую замітку "Доступ до поштової скриньки на Exchange 2010 для групи"

і справді:

Використано 1.98 ГБ. З 1.98ГБ не можна відправляти пошту

Но почтовый ящик не видит настройки почтовой базы

Так щось тут не чисто і цікаво.

Крок №6: Згадав, що квоти можна задавати не тільки на поштову базу, а й на сам поштову скриньку, дивлюся через PowerShell чи є явні квоти на поштову скриньку:

і так квота виставлена явно, і не важливо в який поштової базі знаходиться поштова скринька.

Крок №7: Скасовую дію явною квоти на поштову скриньку – квотами я керма через поштову базу:

Згадав де в налаштуваннях поштової скриньки явно виставлена квота:

Exchange Management Console - Recipient Configuration - Mailbox - Тамара Лукина - Properties - Mailbox Settings - Storage Quotas - Properties

  • Issue warning at (MB): снимаю галочку
  • Prohibit send at (MB): снимаю галочку
  • Prohibit send and receive at (MB): снимаю галочку
  • Use mailbox database defaults: ставлю галочку
  • Keep deleted items for (days): выставляю значение в 0
  • Use mailbox database defaults: отмечаю галочкой

Убираю ограничения на почтовый ящик явно

Крок №8: Після дивлюся якісь квоти на поштову скриньку:

Бачу, що тепер явних квот на поштову скриньку немає.

Крок №9: Через деякої кількості часу зайшовши в призначений для користувача ящик через Web бачу при наведенні курсору миші на нього, що у спливаючому повідомлення значиться:

Використано 1.63 ГБ. З 4 ГБ можна відправляти пошту.

Настройки почтовой базы применились к почтовому ящику = теперь он ограничен 4Gb

Разом ось такі от сюрпризи залишив мені раніше мав місце бути системний адміністратор, тепер як буде час потрібно перевірити кожну поштову скриньку щоб його налаштування були ідентичні без будь-яких розрізняються налаштувань.

a.boyko 0 Коментарі
Гру 4 2020
Установка AdBlocker для Google Chrome

Чтобы офисные пользователи меньше страдали от всплывающих окон, рекламных постов и т.д, то обязательно я считаю нужно в дефолтный браузер (у меня это Google Chrome) установить расширение AdBlocker. Ранее на одной из работ я делал это через установку msi пакета, тогда я все задокумментировал и оформил как реальная заметка "Режем рекламу на рабочих местах". Сейчас же я пойду по-другому пути, о котором я в шагах поведую Вам читатели моего блога по части Windows, будет устанавливать пакет AdBlocker как расширение:

Предварительные действия в порядке необходимые к внедрению:

  1.  Установка и управление Google Chrome через GPO
  2. Как обновить GPO по установке Google Chrome на рабочие места

Открываю политику GPO_Office_ComputerPolicy на редактирование: Computer Configuration - Policies - Administrative Templates - Google - Google Chrome - Extensions -

  • Configure the list of force-installed apps and extensions: Enable

после нажимаю Show и указываю URL до тихой установки расширения:

  • Extension/App IDs and update URLs to be silently installed: cfhdojbkjhnklbpkdaibdccddilifddb;http://clients2.google.com/service/update2/crx?response=redirect&x=id%3Dcfhdojbkjhnklbpkdaibdccddilifddb%26lang%3Den-US%26uc

и нажимаю OK, потом Apply, OK

Итого по части политику у Вас должно получиться следующее:

Настройка добавления расширения в политику по установке Google Chrome

Далее на рабочие станции к которым обозначена данная политика выполняется:

Win + R -> cmd.exe -> gpupdate /force и перезагружаемся

после перезагрузки запускаем браузер Google Chrome, сразу же запускается новая вкладка где говорится, что "Установка выполнена успешно"

Расширение AdBlocker успешно установлено на рабочую станцию через GPO

Теперь офисные сотрудники под защитой все же хоть какой-то, но защитой.

Этот способ установки AdBlocker намного проще чем-то что я применял ранее, но здесь нужно устанавливать дополнительные шаблоны для управления настройками браузера Google Chrome вот так вот.

Заметка завершена.

a.boyko 0 Коментарі
Гру 4 2020
Як підключитися через COM-з’єднання до SNMP-адаптера ДБЖ IPPON INNOVA RT 3K

Для даного завдання мені знадобиться, що у мого ИБП IPPON INNOVA RT 3K був підключений SNMP модуль (Ippon NMC SNMP - модуль SNMP). Включаю ИБП. Потім на цьому модуль в роз’єм вставляю спеціальний кабель, що йде в комплекті, а на іншу сторону надягаю перехідникTrendNet TU-S9 (який представляє з себе COM-порт на USB)

Кабель для подключения ИБП к компьютеру

Порт куда на плате SNMP подключать кабель выше

Чомусь моя робоча система Windows 10 при вході підключений перехідник, тому довелося завантажити з офіційного сайту драйвера і поставити їх, після підключення розпізналося і в «Диспетчере устройств» визначивсяCOM-порт:

Диспетчер устройств распознал подключение к ИБП

Далі запускаю утиліту putty і налаштовую підключення:

Category: Session

  • Specify the destination you want to connect to: Connect type: Serial
  • Serial line: указываю COM5
  • Speed: 9600
  • Saved Settings: набираю ippon

Category: Connection - Serial

  • Serial line to connect to: COM5
  • Speed (baud): 9600
  • Data bits: 8
  • Stop bits: 1
  • Parity: None
  • Flow control: None

Category: Session — натискаю Save, а після підключаюся шляхом натискання кнопки Open, бачу чорний екран:

Подключение успешно - вижу "Черный экран"

натискаю клавішу Enter в ньому

Авторизацию прошел, вижу элементы настроек

після бачу отриманий від DHCP-сервісу адреса

Пример полученных настроек от DHCP сервиса

відмінно.

Please Enter Your Choice: натискаю 0
Please Enter Your Choice: натискаю 4
Are you sure to restart NMC? [Yes or No] набираю Yes
Restart NMC
очікую, в момент завантаження на консоль буде видаватися діагностична інформація завантаження:
Restart NMC ...
bootloader version is 0.0.0.1
IAM:Got AUTOCONFIGURED IPv6 address FE80::220:85FF:FEE5:C058 on interface eth0:3
Network IP configured.
IAM:Got DHCP IPv4 address 192.168.10.135 on interface eth0
Remove old X.509 certificate bootloader version is 0.0.0.1
IAM:Got AUTOCONFIGURED IPv6 address FE80::220:85FF:FEE5:C058 on interface eth0:3
Network IP configured.
Generating X.509 certificate.  This may take a while...
IAM:Got DHCP IPv4 address 192.168.10.135 on interface eth0
X.509 certificate generated.
HTTPS/HTTP server started.
NMC Version 2.7.0.a
+============================================================================+
|                   Network Management Card Configure Menu                   |
+============================================================================+
Password: ввожу новий пароль і виходжу або вже нічого не роблю, просто відключаю кабель.

Робота по початковому налаштуванні ДБЖ завершена, все інше вже через Web-інтерфейс.

a.boyko 0 Коментарі
Гру 4 2020
Як оновити GPO по установці Google Chrome на робочі місця

Є групова політика (GPO_Office_ComputerPolicy) в домені  polygon.com в якій вже встановлюється різне офісне ПО на комп’ютери користувачів, одним з числа їх – це браузер Google Chrome, але ось версія вже давно застаріла(Version: 67.208) і потрібно її оновити, назріло питання як це зробити автоматизовано.

Разом поточна GPO:

Текущая политика на установку Google Chrome

В налаштуваннях самої GPO на вкладці Details значення GPO Status змінено з Enabled на User configuration settings disabled

На замітку: В настройці даної GPO повинно бути:

Computer Configuration – Policies – Administrative Templates – System – Group Policy –

  • Configure Logon Script Delay: Enabled
  •  Options: minute: 1

Computer Configuration – Policies – Administrative Templates – System – Logon

  • Always wait for the network at computer startup and logon: Enabled

Ось яка версія зараз встановлюється браузера Google Chrome через політику на Windows 10 Pro (Version 10.0.18362.900):

Win + R -> control.exe - Просмотр: Категория - Мелкие значки - Программы и компоненты -

После установки через GPO версия 78.0.3904.108

Запускаю встановлений браузер Google Chrome на Windows 10 Pro: Настройка и управление Google Chrome - Настройки - О браузере и відбувається оновлення до самого актуального стану (для користувача оновлення, не прив’язане до GPO) на момент, коли Ви зробили перехід в настройки.

Обновление в ручную через меню "О браузере"

через деякий кількість часу, браузер оновиться і попросить Вас для завершення поновлення перезапустити Google Chrome, натискаю«Перезапустить»:

Перезапускаем браузер и обновление применяется

також в «Программы и компоненты» зміниться відображається версія пакету Google Chrome на 86.0.4240.198

Але от щоб на кожному ПК НЕ проробляти ручне оновлення або на ПК, який вводиться в експлуатацію мені потрібно модернізувати GPO на установку самого останнього msi пакета під 32бит, і не важливо яка ОС використовується x86 або x64.

Крок №1: На домен контролері відкриваю оснащення управління груповими політиками, потім відкриваю на редагування політику

GPO_Office_ComputerPolicy - Computer Configuration - Policies - Software Settings - Software Installation — і через правий клік на створеної раніше установці Google Chrome через правий клік вибираю All Tasks - Remove - Immediately the software from users and computers и натискаюOK, потім створюю нову установку, але перед цим:

На замітку: За посиланням (https://chromeenterprise.google/browser/download/) де можна скачати останній msi пакет на момент написання даної замітки вже значиться версія87.0.4280.66.

скачую для x86,розпаковую архів GoogleChromeEnterpiseBundle, переходжу в каталог GoogleChromeEnterpiseBundle -> Installers, перейменовуюMSI пакет: GoogleChromeStandaloneEnterprise.msi в googlechromestandaloneenterprise.msi і заміняю їм той що зараз в каталозі \\srv-dc1\PO\, обов’язково підтверджую“Replace the file in the destination”

Тепер створюю нову установку:

GPO_Office_ComputerPolicy - Computer Configuration - Policies - Software Settings — через правый клик на Software Installation - New - Package… — указываю путь где располагается msi пакет: \\srv-dc1\PO\googlechromestandaloneenterprise.msi и нажимаю Open

  • Select deployment method: Assigned

натискаю OK

Потім відкриваю властивості створеного додатки і відзначаю галочкою

Новая установка Google Chrome версии 87.0.4280.66

після натискаю Apply, OK і закриваю оснащення управління груповою політикою.

Крок №2: Тепер, коли робоча станція буде перезавантажена на ній виробиться видалення раніше встановленої версії через GPO і буде поставлена нова, або ж можна на робочої станції Win + R -> cmd.exe -> gpupdate /force і перезавантажити систему

Після перевіряю, як зараз версія пакету Google Chrome

Браузер Google Chrome успешно обновлен до версии 87.0.4280.66Разом я успішно оновив політику на централізовану установку пакета Google Chrome x86 с 78.0.3904.108 на 87.0.4280.66 з офіційного пакету Google. Політика на робочих місцях таким чином, застосовується після перезавантаження комп’ютера. Замітка працездатна, і я можу застосувати її на бойовому оточенні.

Тепер залишається час від часу поглядати на офіційний сайт за новими версіями і по цій статті оновлювати політику.

a.boyko 0 Коментарі
Гру 1 2020
Как восстановить историю Ubuntu внутри Windows 10 Pro

По ранее разобранной, я отключил ведение истории в консоли bash которую запускаю из рабочей системы под управлением Windows 10 Pro:

C:\Users\olloa>bash ekzorchik@ADM-19:/mnt/c/Users/olloa$

Вход в консоль bash из Windows 10 Pro

Все конечно хорошо, но когда что-то выполняешь в этой псевдосреде Ubuntu то жутко подбешивает последующий ввод одного и того же.  Значит нужно вернуть ведение логов, просто буду по окончании рабочего дня удалять логи.

Вариант №1:

ekzorchik@ADM-19:/mnt/c/Users/olloa$ sed -i ‘s/HISTFILESIZE=0/HISTFILESIZE=100/’ ~/.bashrc ekzorchik@ADM-19:/mnt/c/Users/olloa$ sed -i ‘s/HISTSIZE=0/HISTSIZE=100/’ ~/.bashrc

или восстанавливаем все настройки файла ~/.bashrc разом, а не конкретные, как выше.

ekzorchik@ADM-19:/mnt/c/Users/olloa$ cp /etc/skel/.bashrc ~/.bashrc

После делаю Logoff & Logon

  ekzorchik@ADM-19:/mnt/c/Users/olloa$ exit logout C:\Users\olloa>bash ekzorchik@ADM-19:/mnt/c/Users/olloa$ ls ekzorchik@ADM-19:/mnt/c/Users/olloa$ pwd ekzorchik@ADM-19:/mnt/c/Users/olloa$ whoami ekzorchik@ADM-19:/mnt/c/Users/olloa$ exit logout C:\Users\olloa>bash ekzorchik@ADM-19:/mnt/c/Users/olloa$ history 1  history 2  ls 3  pwd 4  cwd 5  whoami 6  exit 7  history 8  exit 9  history ekzorchik@ADM-19:/mnt/c/Users/olloa$

Отлично ведение истории набранного в консоли вернулось.

Вариант №2: Теперь нужно подумать, как чистить файл в конце рабочего дня.

Способ №1: Через Windows планировщик удалять файл, но сперва смотрим как удаляется файл вручную – ответ ни как даже если консоль командной строки Windows запущена с правами администратора.

12345 C:\WINDOWS\system32>del /f “C:\Users\olloa\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\home\ekzorchik\.bash_history” C:\Users\olloa\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\home\ekzorchik\.bash_history Отказано в доступе.

Способ №2: Удаление файла истории:

1234567 ekzorchik@ADM-19:/mnt/c/Users/olloa$ cat /dev/null > ~/.bash_history && history -c ekzorchik@ADM-19:/mnt/c/Users/olloa$ rm ~/.bash_history ekzorchik@ADM-19:/mnt/c/Users/olloa$ crontab -e */1 * * * * cat /dev/null > ~/.bash_history && history -c

Но не отрабатывает.

Мое решение:

Пробую по-другому, но придется набирать команду:

12345678910111213 ekzorchik@ADM-19:/mnt/c/Users/olloa$ nano ~/.bashrc alias logout=”cat /dev/null > ~/.bash_history && history -c” ekzorchik@ADM-19:/mnt/c/Users/olloa$ source ~/.bashrc ekzorchik@ADM-19:/mnt/c/Users/olloa$ logout ekzorchik@ADM-19:/mnt/c/Users/olloa$ history 1  history ekzorchik@ADM-19:/mnt/c/Users/olloa$

А теперь в файл ~/.bash_logout добавляю команду logout:

123 ekzorchik@ADM-19:/mnt/c/Users/olloa$ nano ~/.bash_logout logout

Когда я делаю exit из консоли, а потом подключаюсь – все команды консоли очищены, но сохраняются в период работы. Увы если закрыть «крестиком» окно командной строки Windows в которой осуществлен переход в bash история не удаляется. Но это мелочи пока во всяком случае.

1234567891011 ekzorchik@ADM-19:/mnt/c/Users/olloa$ exit logout C:\Users\olloa>bash ekzorchik@ADM-19:/mnt/c/Users/olloa$ history 1  history ekzorchik@ADM-19:/mnt/c/Users/olloa$

Итого я доработал заметку “Как очистить историю Ubuntu внутри Windows 10 Pro», включив ведение истории набираемых команд во время сессии работы, но при этом история очищается, когда сессия завершается. Вот на этом у меня пока всё, с уважением автор блога Олло Александр aka ekzorchik.

a.boyko 0 Коментарі