Group Policy Preferences
Group Policy Preferences reprezinta un feature introdus in Windows Server o data cu aparitia versiunii 2008.
Sunt incluse, atat pentru computere, cat si pentru useri, extensii care ne permit sa configuram anumite setari pentru care obisnuiam (de fapt eram nevoiti) sa folosim scripturi. De exemplu, folosind Group Policy Preferences, putem seta parola userului local Administrator sau adauga un user in grupul de administratori locali pe toate computerele sau pe o parte din ele, putem mapa Network Drives, putem face deploy de imprimante, putem configura Power Options, Folder Options, Registry settings si multe altele.
Toate aceste setari se pot aplica pe toate computerele, pe toti userii sau in functie de filtrele pe care le aplicam folosind Item-Level Targeting. Putem filtra aplicarea politicii dupa numele computerului sau al userului, dupa apartenenta la un grup sau OU, dupa sistemul de operare si multe alte criterii.
Pentru a putea folosi Group Policy Preferences, avem nevoie de urmatoarele:
– Pe computerele din domeniu trebuie instalat KB943729 – Group Policy Client-Side Extensions, disponibil pentru Windows XP minim SP2, Windows Server 2003 minim SP1, Windows Vista; XMLLite pe statiile cu Windows XP (KB915865) si Windows 2003 ( KB914783).
– Un server/statie de lucru cu Windows Server 2008/2008 R2 sau Windows Vista/7 cu RSAT.
Searching for delegated rights in AD
Scopul scriptului care il voi prezenta mai jos este de a cauta in Active Directory dupa delegarile facute la nivel de Organizational Unit-uri. Intr-un domeniu in care facem delegari pentru alti admini, daca acestea nu sunt documentate si sunt facute folosind useri si nu de grupuri, in timp sunt uitate iar userul va avea acces in continuare la resursele delegate chiar daca nu face parte din grupurile de administratori.
Scriptul arata cam asa:
‘Script created by Andrei Ungureanu
‘www.winadmin.roOn error resume next
Const ADS_SCOPE_SUBTREE = 2
Const ADS_ACEFLAG_INHERITED_ACE = &H10Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"Set objCOmmand.ActiveConnection = objConnection
objCommand.CommandText = _
"Select Name, distinguishedName from ‘LDAP://DC=itboard,DC=local’ " _
& "Where objectClass=’organizationalUnit’"
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
Set objRecordSet = objCommand.Execute
objRecordSet.MoveFirstDo Until objRecordSet.EOF
strOU = objRecordSet.Fields("distinguishedName")
Set ObjUser = GetObject("LDAP://" & strOU)
Set objsd = objUser.Get("ntSecurityDescriptor")
Set dacl = objsd.DiscretionaryAclFor Each ace In dacl
If ace.Trustee = "ITBOARD\andreiu" Then
iAceFlags = ace.AceFlagsIf(iAceFlags And ADS_ACEFLAG_INHERITED_ACE)Then
Exit For
End Ifwscript.echo strOU
Exit For
End If
nextobjRecordSet.MoveNext
Loop
E nevoie sa inlocuiti in script ITBOARD\andreiu cu userul pe care il cautati si la fel numele domeniului din dc=itboard,dc=local in numele domeniului pe care rulati scriptul. Scriptul va verifica toata ierarhia de OU-uri si va afisa doar locatiile in care userul are permisiuni (daca exista deja permisiuni mostenite de la un OU parinte nu va mai verifica alte permisiuni pe acel OU).
Atentie ca numele userului si domeniul sunt case sensitive. Acestea trebuie puse in script exact asa cum apar in proprietatile userului:
Scriptul nu este bullet proof si e posibila sa existe cazuri in care sa nu detecteze tot. Pentru a-i imbunatati viteza am decis sa fac skip la OU-urile unde exista deja drepturi mostenite pentru acel user.
PS: Atentie ca scripturile postate aici sunt modificate de wordpress si anumite caractere trebuie modificate de mana cand faceti copy/paste la script.
Google public DNS servers
Google a anuntat ca isi lanseaza serviciul de Public DNS si ca de acum puteti sa folositi pentru interogari serverele lor.
Detalii la http://code.google.com/speed/public-dns/docs/intro.html
DAR … sfatul meu e sa nu dati navala. Daca totusi insistati sa le folositi, puneti in lista DNS-ul local si abia dupaia cel de la Google, ca si backup. Pe servere nici nu ar mai trebui sa mai zic (dar zic), folositi serverele root nu asa ceva.
Acum, ca am anuntat si am dat sfaturi, sa vedem si de ce sare Google cu asa o oferta. Pai ca sa aiba un control si mai mare asupra a ce se intampla pe internet. Cand toti specialistii de cartier o sa foloseasca serverele DNS de la Google, indiferent ca folosesc search engine-ul lor sau nu, Google o sa le stie fiecare miscare pe net.
PS: parca si vad articole pe tema asta de genul “cum sa-ti imbunatatesti viteza de acces la net” 🙂
Powershell Active Directory Module si Windows 2003 Domain Controllers
Mai intai, sa vedem ce este, pe scurt, Active Directory Module pentru Windows Powershell : este un (super, dupa parerea mea) new-feature inclus in Windows Server 2008 R2 si disponibil in Windows 7 dupa instalarea RSAT (Remote Server Administration Tools). Modulul cuprinde o serie de cmdlets utile pentru administrarea Active Directory.
Initial, conditia necesara ca sa poti utiliza acest modul era sa ai in organizatie cel putin un DC cu Windows 2008 R2, deoarece modul de conectare la Active Directory este prin intermediul Active Directory Web Services, alta noutate adusa de Windows 2008 R2, nedisponibil in versiunile anterioare.
Intre timp, s-au schimbat cerintele : ai nevoie doar de Windows 7 cu RSAT instalate si de cateva update-uri pe un DC care ruleaza Windows Server 2003 SP2, 2003 R2 SP2, 2008 sau 2008 SP2. Am testat intr-un mediu virtual cu un DC Windows 2003 R2 SP2 Standard Edition si o statie Windows 7 Enterprise si voi descrie in continuare procedura:
Am instalat urmatoarele pe DC:
– .NET Framework 3.5 cu SP1 http://www.microsoft.com/downloads/details.aspx?FamilyID=AB99342F-5D1A-413D-8319-81DA479AB0D7&displaylang=en
– Windows Management Framework Core for Windows Server 2003 (include Windows PowerShell 2.0 si Windows Remote Management 2.0)
– Hotfix-ul descris aici http://support.microsoft.com/kb/969166 si care poate fi descarcat de aici http://connect.microsoft.com/VisualStudio/Downloads/DownloadDetails.aspx?DownloadID=20556
– Hotfix-ul descris aici http://support.microsoft.com/kb/969429/en-us . Request download de aici http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=969429&kbln=en-us
Dupa restart :
– am instalat Active Directory Management Gateway Service, am ales versiunea pentru Windows 2003 x86. http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=008940c6-0296-4597-be3e-1d24c1cf0dda
Pe o statie cu Windows 7 :
– am instalat Remote Server Administration Tools
– am activat, din Control Panel, Programs and Features, Turn Windows features on or off, Remote Server Administration Tools, Role Administration Tools, AD and AD LDS Tools, Active Directory Module for Windows Powershell
Dupa toate acestea, am trecut la faza de testare :
Deci functioneaza.
Si mai obtinem inca ceva odata cu instalarea Active Directory Web Services. Intram iar in Control Panel, Programs and Features, Turn Windows features on or off, Remote Server Administration Tools, Role Administration Tools, AD and AD LDS Tools, AD DS Tools,
si avem si Active Directory Administrative Center, pe care il putem folosi pentru administrarea de la distanta a Active Directory, precum si pentru search dupa diverse obiecte si atribute :
De retinut ca Active Directory Module nu poate fi importat direct pe DC-uri Windows Server 2003 sau 2008, administrarea se face doar de pe o statie cu Windows 7 cu RSAT sau cu Windows 2008 R2.
Spor la treaba.
Protecting AD – Active Directory Lifesaver – Umove
Prin bunavointa celor de la Align Technology am obtinut o licenta de test pentru UMove si m-am hotarat sa fac un scurt demo al produsului. Fiind de fiecare data precaut am fost ferit de incidente care m-ar fi pus in situatia sa folosesc acest produs. Insa cunosc multi sysadmini care au ajuns in situatia sa aiba nevoie de asa ceva. Unii chiar lucrand in companii foarte mari din Romania. Pe forumurile externe se pot intalni nenumarate cazuri. Si chiar si echipele de suport de la Microsoft ar putea sa confirme.
Produsul poate avea multe scenarii de utilizare, de la mutarea unui domain controller pe un hardware nou, clonarea Active Directory intr-un mediu de test, restaurarea unui server “picat”, pana la optimizarea procesului de backup pentru Active directory.
Cum am testat: 2 masini virtuale; scenariul cel mai dureros, restaurarea unui DC picat. Asta e cazul cel mai des intalnit in practica, in special de cei care au un singur DC si nici un backup (multi admini de SBS intra in categoria asta). Din informatiile producatorului stiu ca ruleaza si pe Windows 2008 insa am ales sa folosesc 2003.
Primul server instalat a fost un Windows Server 2003 R2 pe care l-am promovat la domain controller (numele domeniului a fost itboard). Discul de boot folosit a fost SCSI. Mentionez asta pentru ca la cel de-al doilea server am folosit un disk de boot IDE. Asta tocmai pentru a arata ca poti sa migrezi pe o masina cu hardware diferit, ceea ce in cazul restaurarii unui systemstate normal nu prea e posibil. Am presupus ca primul server este in imposibilitatea de a boota (fisiere de boot corupte, virus, etc) si am atasat discul la cel de-al doilea server. Acesta avea Windows 2003 R2 instalat, standalone server, alt IP, etc – nici o treaba cu primul. Singurul lucru existent acolo era kitul de instalare pentru Umove.
Am pornit instalarea pentru UMove (care e plina de informatii utile pentru multi sysadmini; urmand instalarea si citind helpul poti spune ca faci un mic curs de AD).
Aici am ales optiunea cu Restore (nu cu back-up ca in screenshot).
La locatie am specificat discul pe care tocmai il atasasem la noul server.
Am facut maparea intre informatiile de pe discul atasat si volumele locale. Exista cazuri cand informatiile AD-ului sunt “aruncate” pe mai multe volume.
Am primit un warning ca nu am serviciul DNS instalat. E nevoie ca noul server sa aiba aceleasi componente instalate ca si primul. Oricum wizard-ul o sa va anunte pentru ca altfel nu trece mai departe.
Autorii au luat in calcul si varianta clonarii unui server si incercarea de a-l pune in aceeasi retea (duh). Ca sa-i protejeze pe cei ce ar face asa ceva, softul face o verificare mai intai.
Finish. Isi face treaba – a durat foarte putin la mine si pentru ca baza mea de date AD era foarte mica. Reboot.
Wow. Chiar a mers. Dintr-un server standalone am obtinut un domain controller identic cu cel picat. Pana si IP-ul serverului a fost setat de UMove.
Am mers putin mai departe si am verificat Event Log. Ce am observat, m-a surprins din nou. Foloseste exact procedurile de restore pentru AD si reseteaza invocationID-ul. Pentru cei ce nu stiu ce inseamna, va spun eu ca e de bine. Inseamna ca poti sa folosesti procedura si in domenii cu mai multe DC-uri fara sa ai probleme.
Si SYSVOL-ul a fost restaurat …
Mission accomplished!
Am spus la inceput ca exista multe scenarii de utilizare pentru acest produs. Este facut special pentru AD, insa daca pe masina cu AD-ul mai exista si alte aplicatii (aici ma gandesc de fiecare data la SBS) poate fi folosit sa mute si celelalte aplicatii. Si aici amintim de: Sharepoint, Exchange, IIS, DHCP, WINS, Certificate Services, TS Licensing Services si chiar si EFS.
Deci, pentru cazuri disperate, nu uitati ca exista si asa ceva. Utools poate fi achizitionat online de pe utools.com in versiunile 32 sau 64 de biti la pretul de 129.95$. Nu e free, dar nici nu trebuie achizitionat inainte. Doar ca e bine sa stii de el.
vSphere Client compatibil cu Windows 7 !
Pentru cei care au nevoie si nu au aflat inca : a aparut VMWare vSphere client compatibil cu Windows 7. Pana in prezent, ca sa poti folosi clientul pe Windows 7, erau necesare niste operatiuni suplimentare ( http://www.techhead.co.uk/running-vmware-vsphere-client-on-windows-7 sau search pe google), dar care nu ajutau intotdeauna. Mie cel putin, nu mi-a functionat niciodata clientul vSphere pe Windows 7. Orice faceam, nu treceam de “enter a valid host name” (cei care au patit-o stiu despre ce vorbesc), insa altii zic ca le-a functionat. Poate depinde si de versiunea de Windows 7, nu stiu. Oricum , acum nu trebuie sa ne mai facem griji, clientul merge foarte bine.
Clientul este inclus in versiunea 4.0 update 1, dar poate fi descarcat si separat de pe site-ul VMWare.
Dezinstalati vechiul client, stergeti urmele din Program files si instalati-l pe cel nou.
Inca ceva : am incercat sa ma conectez cu acest client la un ESXi 3.5 :
Am rulat installer-ul, s-au instalat componentele necesare si acum ma pot conecta cu acelasi client la servere versiune 3.5 si versiune 4.
Windows 7 builtin tools
Windows 7 contine cateva utilitare noi, care mie mi se par destul de folositoare
1. Windows Disc Image Burner
Ne ofera posibilitatea de a “arde” o imagine pe un DVD fara a mai instala alt soft de genul Nero, iar procedeul este foarte simplu : click-dreapta pe fisierul .iso, Open with – Windows Disc Image Burner.
Avem si optiunea de a verifica discul dupa terminarea scrierii iso-ului.
2. Microsoft Windows Repair Disc – RECDISC.EXE
Este un mic utilitar cu ajutorul caruia putem crea un CD bootabil de recovery.
Se lanseaza din Start – Run – recdisc – OK, sau din Control Panel – Backup and Restore – Create a system repair disc.
Ni se cere sa introducem un blank disc in unitatea optica ( nu trebuie DVD, e suficient un CD), apasam Create disc si in cateva minute avem CD-ul de recovery. Ce nu imi place e ca nu poti salva un .iso pe care sa-l poti scrie mai tarziu pe CD.
Optiunile incluse in CD-ul de recovery sunt :
– Startup repair
– System restore
– System image recovery
– Windows memory diagnostic
– Command prompt
Inca ceva : recdisc.exe exista si in Windows Vista, dar nu functioneaza. Cand incerci sa-l lansezi, pur si simplu nu se intampla nimic.
3. Problem Steps Recorder – PSR.EXE
Foarte util pentru suport. De multe ori, descrierea problemei de catre utilizator este incompleta sau gresita si mai rau te incurca. Cu Problem Steps Recorder poti vedea cu ochii tai ce se intampla.
O descriere mai detaliata a acestui utilitar o puteti gasi pe blog-ul lui Andrei Ungureanu :
http://itboard.ro/blogs/andrei_ungureanus_blog/archive/2009/09/01/windows-7-psr.aspx
4. Deployment Image Servicing and Management tool – DISM.EXE
Ce este DISM? Pai, sa deschidem un Command prompt (ca administrator), sa tastam dism.exe, enter, si sa vedem despre ce e vorba :
“ DISM enumerates, installs, uninstalls, configures, and updates features and packages in Windows images. “
De fapt, face chiar mai multe, nu se ocupa doar cu “features and packages”, ci si cu “drivers and international settings” . O descriere completa , precum si instructiuni de utilizare puteti gasi aici : http://technet.microsoft.com/en-us/library/dd744566(WS.10).aspx
Functioneaza atat cu imagini offline, cat si online. Iata cateva comenzi simple:
– Pentru a vedea o lista completa a Windows features si starea lor (enabled/disabled) :
dism /online /get-features /format:table
– Pentru a modifica starea unei componente :
dism /online /enable-feature:TelnetClient
dism /online /disable-feature:TelnetClient
Pentru o monta o imagine in vederea customizarii :
dism /mount-wim /wimfile:f:\win7\sources\install.wim /index:1 /mountdir:f:\dism
Pentru a modifica imaginea montata :
dism /image:f:\dism /enable-feature:TFTP
Pentru a aplica modificarile:
dism /commit-wim /mount-dir:f:\dism
Material de studiu aveti la adresa citata mai sus, plus google, bing, etc.
Microsoft My Phone
Nu e chiar o noutate, insa eu abia acum am descoperit serviciul. Poate si pentru ca folosesc Exchange si nu am nevoie de acest serviciu; si din cate am inteles nici nu merge cand ai un cont Activesync activat pe telefon.
Este un serviciu free pentru utilizatorii de telefoane cu Windows Mobile 6.x care permite sincronizarea informatiilor de pe telefon (contacte, calendar, poze, mesaje) pe un storage online. Accesul la informatiile stocate online se face via o aplicatie web care permite si modificarea continutului. Cei care au avut ghinionul sa-si piarda cel putin odata telefonul si nu aveau backup la informatiile din el realizeaza importanta acestui serviciu.
Pagina de start este:
http://sn1-p2.myphone.microsoft.com/mkweb/Start.po
Aplicatia se poate instala trimitand un SMS cu link-ul de pe aceasta pagina sau via PC de aici.
Vad ca s-au chinuit sa faca si o pagina in limba romana:
http://www.microsoft.com/windowsmobile/ro-ro/meet/secure-your-stuff.mspx
Nu uitati nici de Windows Marketplace. Oare de unde le-a venit ideea? 🙂
Windows 7 Enterprise – 90 Day Trial
In cazul in care nu ati apucat sa va jucati cu versiunea finala Windows 7 aveti acum ocazia unui drive test (de 3 luni). Cateva detalii luate de pe pagina de download:
PS: la aceasta versiune nu aveti nevoie de product key.
UAC Tips & Tricks #1
Exista si alta metoda de a forta pornirea unui executabil cu privilegii de admin, in afara de clasicul Run as administrator:
Tineti apasat CTRL+SHIFT si click pe executabilul dorit. Merge si cu Enter, insa mi se pare cam peste mana.
Problema e ca nu merge chiar asa cum se zice pe net. Mie mi-a mers doar pentru aplicatiile puse in prima pagina pe Start menu, sau pentru cele returnate in urma unui search. Daca incerc sa rulez aplicatia din alt loc nu merge.