Аватарка

Еще один обзор Windows 10!

Начнем с самого начала, а именно пару слов откуда можно скачать и самостоятельно ознакомиться с предварительной версией windows 10. Сделать это можно на сайте Windows InsiderProgramme.

Прямые ссылки на загрузку образа операционной системы:

32 разрядна версия
64 разрядная версия


Ключ продукта: NKJFK-GPHP7-G8C3J-P6JXR-HQRJR

Русский язык пока не доступен.

Теперь перейдем непосредственно к нашим баранам, ах простите Windows.

Установка оной, ничем не примечательно и проходит скучно, что хотелось бы отметить:

Рыбку из 8.1 не показывают + система резервирует 350 Mb свободного места под свои нужны на системном диске. Свежеустановленная 32х разрядная система заняла 9,65 Gb места на жестком диске, 64х разрядная по понятным причинам съест чуть больше.

После установки система предлагает создать учетную запись Microsoft либо использовать уже существующую, всё, как и прежде, можно её послать и продолжать использовать локальные учётные записи!

Сразу после установки, мы попадаем на рабочий стол, никаких назойливых плиток и планшетного интерфейса! Ура!


desktop
Рабочий стол новой Windows


Веселых картинок в стиле pin up к сожалению, не наблюдается, но тема рабочего стола вполне приятна глазу.
Что интересно всем, конечно же как работает новая-старая кнопка Пуск, давайте щелкнем по ней и узнаем.


start menu
Новая старая кнопка Пуск


И *****, вот они, эти гадкие плитки, как заразный вирус поразившие старый добрый windows (на самом деле я конечно так не считаю).

Вернулась возможность опять по человеческий выключить компьютер без лазанья в дебрях меню боковой панели! Стоило ли ради этого возвращать кнопку пуск в угоду ретроградам и хулителем прогресса, вопрос открытый. Лично я уже успел привыкнуть к боковому меню windows 8 (которого нету в новой windows гари в оду Microsoft ) и тыкать снова мышкой в левый нижний экран мне сейчас дико неудобно.

Поехали дальше.

На рабочем столе есть занятная ссылка Welcome to Tech preview ведет она на страничку где веселый дядя из Microsoft расскажет нам о некоторых нововведениях и всё такое.

Вещает он на английском и вот что пытается до нас донести:

  • Мы вернули всем хорошо знакомое меню пуск, но и от богомерзких плиток не отказались, вот так.

  • Поиск вернулся как в меню пуск, так и на панель задача. Теперь Ваш любимый Bing всегда с вами! Счатье, Счатье, Счастье всем и радость.

  • Приложения из Windows Store теперь открываются в окне, их можно перемещать по экрану, сворачивать, всё как у нормальных программ. Если вы раньше пользовались приложениями из windows store, думаю эта фишка будет вам полезна.

  • Новая кнопка для Alt-Tab (переключения между окнами) на панели задача. Ололо привет Vista!!!

  • И действительно полезное «нововведение» возможность добавить и работать с несколькими рабочими столами. Привет Linux!!!




task bar search
Поиск на панели задач



windows store app
Приложение Metro в окне



desktop choose
Выбор рабочего стола


Что нам еще рассказали о Windows 10. Официальная новость на сайте news.microsoft.com появилась аж 30 сентября 2014.

Да я конечно же слоупок, но основные мысли их мессаджа (привет мистер фримен) таковы:

  • Windows 10 будет работать на всех типах устройств, будь то смартфон, планшет, телевизор

  • Разработана в том числе и для бизнеса, Microsoft помнит о корпоративных пользователях.

  • Активное участие IT специалистов в тестировании ОС


Кроме шуток, Всё это на самом деле круто, вдумайтесь даже google и яблоко делают разные ОС под разные устройства! Если Microsoft осуществит задуманное – это будет шаг вперед в индустрии. Подождем - увидим.

Вы дочитали до конца! Спасибо! Оставьте отзыв или комментарий!
Tags:
Аватарка

Что делать если "установка запрещена политикой, заданной системным администратором"

При попытке установить MSI пакет на сервере удаленных рабочих столов Windows Server 2012 R2 с правами локального пользователя или администратора выдает ошибку: "Данная установка запрещена политикой, заданной системным администратором" если версия системы английская то The system administrator has set policies to prevent this installation.

error

Примечательный факт, что на сервере не настраивались какие-либо ограничения на запуск msi пакетов пользователями, ни через групповые политики (GPO), ни тем более через Локальные политики безопасности.

Похоже что это стандартное поведение системы, либо Windows самостоятельно изменяет настройки Windows Software Restriction Policy в каких-то случаях.

Решить данную проблему, мне помогла статья VMware о выдаче подобное ошибки при установке VMware Tools.

Vmware предлагает следующий вариант решения проблемы (Если у Вас английская версия Windows лучше следуйте оригинальным инструкция в kb vmware.):

  1. Нажмите Пуск > Выполнить

  2. Введите gpedit.msc и нажмите Enter

  3. Выберите Политика "Локальный компьютер" > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Установщик Windows

  4. Далее кликните "Отключение установщика Windows" > Включено

  5. В выпадающем списке "Отключить установщик Windows" выберите Никогда

  6. Нажмите Применить и закройте окно.

  7. Далее выберите Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Политика ограничения использования программ

  8. Кликните правой кнопкой мышки по "Политика ограничения использования программ" и создайте новую политику.

  9. Кликните правой кнопкой мышки по Применение и выберите свойства.

  10. Отметьте пункт "всех пользователей, кроме локальных администраторов"

  11. Нажмите ОК и закройте окно групповых политик.

  12. Откройте командную строку и выполните gpupdate /force


Теперь установка msi должно проходить успешно.

PS .... первый пост за два года, можете меня поздравить ))
Tags: ,
Аватарка

Три способа скрыть данные от посторонних глаз

В своем посте я бы хотел поднять вопрос  обеспечения безопасности данных, в случае если к вам в офис вдруг решат заглянуть компетентные органы. Останавливаться на последствиях такого визита я не буду, в зависимости от сферы деятельности организации и кошелька директора они могут быть самые разные, в любом случае ничего хорошего ожидать не стоит. Однако эти последствия можно приуменьшить, если заранее позаботиться о безопасности критически важных данных.

Что же мы можем сделать с данными,  что бы они ни стали легкой добычей:
  • Зашифровать
  • Спрятать сервер с данными физический
  • Переместить данные за пределы офиса
Рассмотрим каждый из этих вариантов более подробно.

Зашифровать

Итак, вы как руководитель, решили обеспечить сохранность ваших данных, зашифровав их. Современные стойкие крипто алгоритмы (AES, ГОСТ 28147-89) позволяют гарантировано обеспечить сохранность ваших данных и невозможность расшифровки, не обладая секретным ключом.

С первого взгляда защита идеальная. Современное программное обеспечение, такое как TrueCrypt или PGP позволяет быстро и надежно настроить шифрование, зашифровать целые разделы жесткого диска, и даже установить на эти разделы операционные системы.

Но, есть и ложка дегтя в бочке меда, чем большее количество данных вы хотите обезопасить, тем сложнее и изощрённее должна быть система шифрования, тем больше усилий придется прилагать вам для поддержания системы в рабочем состоянии и обеспечения сохранности зашифрованных данных, тем больше будет вероятность потери или компрометации ключа а, следовательно, и данных.

Если вам надо зашифровать один съёмный жесткий диск это идеальный вариант, но если вы хотите обеспечить конфиденциальность данных целого отдела, то шифровать все жесткие диски всех компьютеров выльется целым «безумием».

Кроме того для обеспечения общего доступа к данным вам придется делиться ключом с сотрудниками, вы действительно считаете, что все из них будут настолько лояльны к вашей организации, что не выдадут ключ при первом же общении со следователем.

В любом случае наличие, каких бы то ни было зашифрованных данных на серверах или рабочих станциях компании не останется незамеченным. Спрятать такую информацию от грамотного специалиста практически невозможно. А сам факт её существования уже будет не в вашу пользу.

Спрятать сервер с данными физический

Еще один очень распространенный вариант, который часто советуют на форумах, и, что более удивительно к нему прибегают на практике. Вся суть этого способа в организации файлового сервера на базе сетевого носителя другими словами на NAS сервере, который достаточно компактен и его можно спрятать под фальшь потолок, замуровать в стену или еще каким-нибудь хитрым способом укрыть от всевидящего ока “саурона”, зависит от фантазии.

В свою очередь, такой способ хранения данных в несколько раз увеличивает вероятность простоя организации из за потери этих данных, что неудивительно, так как хранение оборудование в пыльной темнице под фальшь потолком ну никак не продлит жизнь жестких дисков и прочих внутренностей, тут даже RAID не спасет, а банальный сбой электропитания вообще может вывести NAS из строя или мы будем замуровывать вместе с сервером и ИБП. Сервер должен храниться в защищенным от пыли кондиционированном помещении и это требование не пустой звук, а насущная необходимость.

Если я вас не убедил, то могу добавить, что существование подобного сервера легко вычисляется программно-техническая экспертизой более доступного оборудования. А получить к нему доступ после того как офис будет опечатан вы уже не сможете.

Переместить данные за пределы офиса

Этот вариант отличается от двух предыдущих тем, что данные не хранятся непосредственно в офисе и работа с ними ведется на удаленных серверах, расположенных в месте недоступных для отечественной юстиции.

Практическая реализация представляет из себя покупку или аренду нужного количества выделенных серверов в иностранном датацентре, например, в Германии или Нидерландах.

При грамотной настройке программного обеспечения повседневная работа ничем не будет отличаться от работы на обычном офисном компьютере, а данные будут надежно скрыты в случае непредвиденных обстоятельств.

В конце своего обзора я бы хотел привести небольшую сравнительную таблицу оценки каждого способа по нескольким критериям.

Безопасность – безопасность хранения данных и их недоступность для третьих лиц
Надежность – защищенность от сбоев и ошибок оператора
Удобство – насколько удобно работать с данными
Сложность реализации – трудозатраты на реализацию
Масштабируемость – возможность расширения

Способ\Критерий*

Безопасность

Надежность

Удобство

Сложность реализации

Масштабируемость

Шифрование

Высокая

Средняя

Низкое

Высокая**

Низкая

Спрятать сервер

Низкая

Низкая

Высокое

Низкая

Низкая

Удаленный сервер

Высокая

Высокая

Высокое

Средняя

Высокая


* Положительный факторы помечены, синим, отрицательные красным, нейтральные зеленым.
** Высокая оценка дана в виду того что с ростом инфраструктуры сложность реализации растет нелинейно

PS Я не претендую на истину в последней инстанции, но эта статья написана с учетом многолетнего опыта и надеюсь, будет полезна её читателем. Если вам есть, что добавить, спросить или покритиковать с большой радостью ответу на ваши комментарии.
Tags: ,
Аватарка

Openfire + Ubuntu-10.04 + VPS

Эта небольшая заметка описывает сложности с которыми я столкнулся при установке Openfire 3.6.4 на ubuntu server 10.04 которая стояла на недавно купленном VPS

Первая проблема оказалась в том, что apt-get install sun-java6-jre
не находило нужного пакета. Как оказалась в Lucid Lynx java заменили на openjdk

Решение простое.

Редактируем /etc/apt/sources.list и добавляем deb http://archive.canonical.com/ lucid partner
Обновляем репозиторий apt-get update
Устанавливаем java apt-get install sun-java6-jre

Взято тут: http://blog.poggs.com/2010/05/openfire-3-6-4-on-ubuntu-10-04lts/

Вторая проблема, оказалась не столь тривиальна и была связана с тем, что выше установленная java отказывалась работать на моем vps в виду нехватки памяти.

При попытке посмотреть свою версию, ругалась, что не может создать виртуальную машину

java -version
Error occurred during initialization of VM
Could not reserve enough space for object heap
Could not create the Java virtual machine.


Лечиться, это дело опцией -Xmx64m которая означает, что при старте java будет использовать всего 64 мб оперативной памяти (впрочем у меня работало даже при 16)

java -Xmx64m -version
java version "1.6.0_10"
Java(TM) SE Runtime Environment (build 1.6.0_10-b33)
Java HotSpot(TM) Client VM (build 11.0-b15, mixed mode)


Осталось подправить init скрипт для openfire, находим в /etc/init.d/openfire строку
DAEMON_OPTS="$DAEMON_OPTS -server -DopenfireHome=${DAEMON_DIR} 

И правим её на

DAEMON_OPTS="$DAEMON_OPTS -Xmx64m -server -DopenfireHome=${DAEMON_DIR}
Это решение нашел на официальном форуме openfire
http://community.igniterealtime.org/message/184003%3bjsessionid=456B383545943AE50441CA3446963833

Tags: , , ,
Аватарка

Добавляем компьютер в домен или рабочую группу из командной строки ...

Классический способ добавить компьютер в домен из командной строки это использовать утилиту netdom.exe из поставки Support Tools Windows, однако, данная утилита не может добавить компьютер в рабочую группу (Может версия 1.8 из поставки Support Tools Windows NT).

Далее, я рассмотрю, другой способ добавления компьютера в домен/рабочую группу. Данный способ использует WMI и такой инструмент как wmic.exe.

Этот способ описан в MSDN, он использует wmic.exe для непосредственного вызова метода JoinDomainOrWorkgroup.

Описание JoinDomainOrWorkgroup

uint32 JoinDomainOrWorkgroup(
[in] string Name,
[in] string Password,
[in] string UserName,
[in, optional] string AccountOU,
[in] uint32 FJoinOptions = 1
);



Параметры
Name [in]
Домен или рабочая группа для присоединения
 
Password [in]
Если указан параметр UserName, параметр Password должен указывать пароль пользователя для подключения к контроллеру домена. В противном случае, параметр не указывается.
UserName [in]
Указывает имя пользователя для подключения к контроллеру домена, если параметр не указан используется имя вызывающего пользователя.
AccountOU [in, optional]
Может содержать путь к койнтейнеру Active Directory в который требуется добавить компьютер, опциональный параметр. Пример: "OU=testOU, DC=domain, DC=Domain, DC=com"
FJoinOptions [in]
Устанавливает флаги которые определяют опции подключения.
 
1 (0x1) - Подключает компьютер к домену, если значение не указано, то к рабочей группе
2 (0x2) - Создает аккаунт в домене
4 (0x4) - Удаляет аккаунт, если домен существует
16 (0x10) - Процедура присоединения является частью апгрейда с Windows 98,Windows 95 до Windows 2000бТЕ
32 (0x20) - Разрешает присоединение к домену, даже если компьютер уже является членом домена.
64 (0x40) - Разрешает небезопасное присоединение к домену
128 (0x80) - Пропуск проверки пароля компьютера, не пользователя. Только для небезопасного присоединения к домену.
256 (0x100) - Запись атрибутов SPN, DnsHostName должна быть отложена, до следуещего за присоединением к домену переименованием компьютера.
 

Функция вернет ноль в случае успеха.

Выполнение (\\COMPUTERNAME\ROOT\CIMV2:Win32_ComputerSystem.Name="USER")->JoinDomainO

rWorkgroup()
Успешный вызов метода.
Параметры вывода:
instance of __PARAMETERS
{
ReturnValue = 0;
};


Пример для присоединения компьютера к домену из командной строки:

wmic.exe /interactive:off ComputerSystem Where "name = '%computername%'" call JoinDomainOrWorkgroup AccountOU="OU=XP Workstations;DC=my;DC=domain;DC=com" FJoinOptions=1 Name="my.domain.com" Password="xyz"
UserName="admin@my.domain.com" 


wmic.exe /interactive:off ComputerSystem Where "name = '%computername%'" call JoinDomainOrWorkgroup "OU=XP Workstations;DC=my;DC=domain;DC=com", 1, "my.domain.com", "xyz", "admin@my.domain.com"

Пример для присоединения компьютера к рабочей группе из командной строки:

wmic.exe /interactive:off ComputerSystem Where "name='user'" call JoinDomainOrWorkgroup Name="Workgroup"
 
Аватарка

Забыли пароль доменного администратора. Что делать?

Со мной не так давно случилась похожая ситуация, понадобился пароль учетной записи доменного администратора, по умолчанию, эта учетная запись была отключена и пароль от нее был не известен. Поменять его, мне помогла следующая статья.  Поэтому я решил перевести её на русский язык, для тех, кто отличным знанием английского, похвастаться не может. Далее перевод.

Забыли пароль администратора? - Смена пароля доменного администратора в Windows Server 2003 AD (Forgot the Administrator’s Password? – Change Domain Admin Password in Windows Server 2003 AD )

Заметка: Для того, что бы успешно воспользоваться этим трюком, вам сначала необходимо применить одну из утилит восстановления пароля локального администратора. Причина кроется в том, что вам необходим административный доступ к серверу прежде чем побывать восстановить пароль доменного администратора, а для получения пароля локального администратора вам надо применить метод описанный по ссылке выше.

Обновление:
После некоторых отзывов читателей, я рад сказать, что описанная процедура также работает для контроллеров домена на базе Windows Server 2008*. Не стесняйтесь оставлять ваши отзывы. Я сохранил оригинальный текст страницы относящийся к Windows Server 2003, но вы можете выполнить те же самые действия и для Windows Server 2008

Заметка ламера: Это процедура НЕ разработана для Windows XP так как Windows XP это НЕ доменный контроллер. Кроме того, для Windows 2000 версия этой статьи находиться по ссылке Забыли пароль администратора? - Меняем пароль доменного администратора в Windows 2000 AD. Читатель Sebastien Francois добавил свои персональные рекомендации относящиеся к смене пароля в домене Windows Server 2003. Я процитирую часть из них. (Спасибо  Sebastien): Требования
  1. Физический доступ к контроллеру домена.
  2. Пароль локального администратора.
  3. Утилиты поставляемые Microsoft в их Resource Kit: SRVANY and INSTSRV. Их можно загрузить тут (24kb).
Шаг 1

Перезагрузите Windows Server 2003 в Режиме Восстановления Службы Каталогов ( Directory Service Restore Mode ) Заметка: Во время начальной загрузки системы, нажимайте F8 и выберите Режиме Восстановления Службы Каталогов ( Directory Service Restore Mode ). Это отключит службу каталогов (Active Directory). Когда появиться экран ввода имени пользователя и пароля, войдите как локальный администратор. Теперь вы имеете полный доступ к ресурсам компьютера, но вы не можете делать никаких изменений в службе каталогов (Active Directory).



Шаг 2

Сейчас вам необходимо установить SRVANY. Эта утилита может запустить любую программу в виде сервиса. Интересная особенность в том, что программа будет иметь привилегии системы (так как унаследует контекст безопасности SRVANY) т.е будет иметь полный доступ к системе. Этого более чем достаточно, что бы переустановить пароль доменного администратора. Настроим  SRVANY  на запуск командной строки (которая запустит команду 'net user') Скопируйте SRVANY  и INSTSRV  во временную папку, моя называется D:\temp. Так же скопируйте в эту папку cmd.exe (cmd.exe это интерпритатор командной строки обычно находящийся в папке %WINDIR%\System32).

Запустите командную строку из папки d:\temp (или из той которую создали вы), и наберите:
instsrv PassRecovery "d:\temp\srvany.exe"
(поменяйте путь на тот который выбрали вы)

Теперь пришло время настроить SRVANY  Запустите редактор реестра и перейдите к ветке

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PassRecovery

Создайте новый раздел, назовите его Parameters и добавьте два новых значения
name: Application
type: REG_SZ (string)
value: d:\temp\cmd.exe

name: AppParameters
type: REG_SZ (string)
value: /k net user administrator 123456 /domain
Замените 123456 на пароль который хотите**. Помните, что групповая политика домена по умолчанию требует сложных паролей (включающих цифры, отвечающих требованиям минимальной длины и т.д так что до тех пор пока вы не измените групповую политику по умолчанию используйте сложные пароли таки как P@ssw0rd

Теперь, откройте оснастку сервисы (Control Panel\Administrative Tools\Services) и откройте вкладку свойст PassRecovery.
Проверьте что режим запуска стоит автоматически.

 

Перейдите на вкладку Вход в систему (Log On) и включите опцию Разрешить взаимодействие с рабочим столом (Allow service to interact with the desktop).

Перезагрузите Windows в обычном режиме, SRVANY запустит команду NET USER и переустановит пароль доменного администратора.

Шаг 3

Зарегистрируйтесь в системе под администратором используя пароль который вы установили на шаге два.
Воспользуйтесь этими командами, что бы деинсталировать SRVANY (не забудьте сделать это).
net stop PassRecovery

sc delete PassRecovery
Теперь удалите папку d:\temp и поменяйте пароль администратора если желаете.

На этом всё!

Дополнение

Robert Strom написал отличный скрипт который полностью автоматизирует этот процес. Он пишет:

"Мой скрипт в действительности автоматизирует процесс, выполняет все операции самостоятельно. Запустите скрипт один раз и всё готово. не надо вручную править записи в реестре, создавать и настраивать сервис и т.п"

Скачайте его здесь (186kb).

Отметим, что вам все еще нужен физический доступ к контроллеру домена и возможность зарегистрироваться в системе в качестве локального администратора. Если вы не знаете пароль локального администратора, пользуйтесь следующей ссылкой: Забыли пароль локального администратора. Спасибо Роберт!

Благодарности

Эта заметка была написана благодаря помощи Antid0t, Robert Strom и Sebastien Francois. Спасибо вам всем!

Ссылки

How to reset the Domain Admin Password under Windows 2003 Server

Original post by Antid0t and Robert Strom on the Petri.co.il forums

Вы так же можете обсудить на форуме в этой ветке Petri.co.il Forgot Admin Password Forum.

*проверено мной на Windows Server 2008 Standart
**если DC у вас установлен на русскоязычном windows, то вам еще следует заменить administrator на администратор
Аватарка

Radmin (удаленная поддержка пользователей)

Идея написать эту статью появилась у меня достаточно давно, но по причине исконно русской лени, руки дошли только сейчас. Когда я начинал администрировать достаточно большие и распределенные сети возник вопрос поддержки пользователей, а эти товарищи такие ку, что если не иметь средств удаленного администрирования, то за день можно пробежать неплохой марафон. Для решения данной проблемы отлично подходит очень широко распространенный и известный даже людям далеким от админской профессии  инструмент под названием Radmin. Далее, я опишу свой опыт установки и настройки радмина в домен w2k3 70+ компьютеров. Все нижесказанное так же подходит и для w2k8 с небольшими коррективами, но примеры будут именно под w2k3 ввиду моего закостенелого консерватизма и ретроградства.

Прежде всего охота заметить, что бегать и вручную устанавливать ПО на каждый компьютер никто не будет, для этого воспользуемся такой прекрасной вещью как групповые политики (GPO). Заходим на контроллер домена под учетной записью администратора и открываем оснастку Управление групповыми политиками (для этого в диалоге выполнить вводим gpmc.msc если кто не знает). Если оснастка управление групповыми политиками у вас не установлена крайне рекомендую скачать её с сайта Microsoft.

Создание групповой политики

Для создания групповой политики установки Radmin выберите контейнер с компьютерами на которые необходимо установить Radmin и в конткстном меню выберите пункт Create and Link GPO here. (Создать и прикрепить групповую политику тут).

Назовите новый объект групповой политики, например, Radmin Install.

Редактор объектов групповой политики

В новом объекте групповой политики, выберите Конфигурация компьютера -> Конфигурация программ -> Установка программ -> Создать -> Пакет

Предварительно, создайте сетевой ресурс доступный для всех компьютеров домена. Важно, правильно установить разрешения доступа, что бы ресурс был доступен для компьютеров на момент выполнения политики. Для этого группе "прошедшие проверку" добавите разрешения чтение и выполнения в безопасности windows. Стоит помнить,  из сетевых разрешения и разрешений NTFS выбирается наиболее строгое. Не забудьте скопировать установочные файлы Radmin на сетевой ресурс. У меня это файл rserv34ru.msi. Я использую предварительно вылеченную от жадности версию, выложил её на рапиду если кому необходима.

Еще один нюанс, при создание установочного пакета, выбирайте сетевой а не файловый путь, с файловым путем GPO по понятным причинам работать не будет.

Метод развертывания Назначенный.

Объект групповой политики

Вот мы и создали объект групповой политики для централизованной установки Radmin Server 3.4 теперь при следущей перезагрузки рабочих станций, на них будет установлен Radmin, если, по каким-то причинам политика не выполниться, эти причины всегда можно узнать в журнале событий.

Но, это еще не всё, недостаточно просто установить Radmin, необходимо еще настроить разрешения, что бы те администраторы, которым положено, могли подключатся к компьютерам при помощи Radmin viewer. Сейчас при попытки подключения, нас будет запрашивать логин и пароль,что не есть хорошо.

Перейдем к самому интересному, настройке разрешений. Для этого, нам понадобиться, рабочая станция подключенная к домену на которую установлен вышеописанным способом Radmin Server. (можно вручную установить радмин сервер на свой компьютер, главное что бы он был в домене)

Итак, пуск->все программы->radmin server 3->Настройки Radmin Server. В окне Настройки Radmin Server нажимаем права доступа, на остальных опциях я останавливаться не буду, там всё предельно ясно.

Права доступа Radmin

Ставим галочку Windows NT, нажимаем кнопку Права доступа. В окне разрешения для группы Radmin Server, выбираем тех пользователей и/или группы который будут иметь доступ для администрирования компьютеров в нашем домене. После чего, сохраняемся и закрываем окно настроек.

Теперь, необходимо распространить эти настройки на все компьютеры с установленным радмином. Для этого, понадобиться редактор реестра. Пуск->Выполнить->Regedit. Радмин, хранит свои настройки в ключе "HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v3.0\Server\". Прежде всего нас интересует информация о разрешениях, так что, экспортируем этот ключ в файл reg и на основе этого файла создаем скрипт, следующего содержания.

chcp 866

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v3.0\Server" /v "HackRemoveIcon" /t "REG_SZ" /d "1" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v3.0\Server\Parameters" /v "NTAuthEnabled" /t "REG_BINARY" /d "01000000" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v3.0\Server\Parameters\NtUsers" /v "1" /t "REG_BINARY" /d "0000002400000000ff0100000106425362452562456a28b9d7aa510a436bf8410500000000002400000000ff01000001050000000000051500000027a5fa28b9d7aa510a436bf88b040000" /f

rmdir "C:\Documents and Settings\All Users\ѓ« ў­®Ґ ¬Ґ­о\Џа®Ја ¬¬л\Radmin Server 3.0" /q /s


Осталось дело за малым, запустить этот скрипт на всех компьютерах где у нас установлен Radmin.

Для этого, можно создать новый (или воспользоваться уже существующим) объект групповой политики, перейти в Конфигурация компьютера-> конфигурация Windows-> Сценарии(Запуск/Завершение)  и добавить наш скрипт в качестве сценария автозагрузки.

После чего, при следующий перезагрузки рабочих станций, необходимые права доступа будут прописаны у них в реестре и администратор, сможет беспрепятственно подключаться и помогать пользователям в нелегком деле освоения ПК.

Надеюсь это статья будет полезна, жду ваших отзывов, комментарий, предложений и вопросов.
Tags: , ,
Аватарка

PHP шпаргалка

Скрипт который я разметил в этом посте используется мной как шпаргалка, шутка ли, но после нескольких лет программирование на Delphi синтаксис другого языка очень непривычен. В скрипте затронуты такие темы как: составные операторы присваивания, работа со строками, константы, математические операции, условный оператор и оператор выбора, циклы, работа с функциями, указатели и массивы. Хотелось бы добавить, но пока не дошли руки: многомерные массивы, ооп, работа с файлами, работа с бд. 

К тексту скрипта ...Collapse )PS ... Отличная книга для тех кто решил выучить-таки PHP и MySQL
Tags: ,
Аватарка

ARP спуфинг (Man-in-Middle attack)

Не буду останавливаться на теоретических аспектах этой сетевой атаки, кому интересно могут почитать тут. Для меня же наиболее интересна практическая сторона вопроса, как всегда примеры будут приводится для серверной версии ubuntu linux.

Итак, представим, что мне надо перехватить трафик от клиента к FTP серверу и узнать пароль и имя пользователя, я, клиент и сервер находимся в одной подсети, скажем 192.168.0.0/24 (что может быть проще, хе хе). Мы знаем IP адрес сервера,  скажем 192.168.0.17 и адрес клиента, пусть 192.168.0.202.

Теперь, логинемся в консоль под рутом и начнем наше "чисто в образовательных целях" дело )))

Что бы каждый раз не писать sudo

$ sudo -i

Установим сниффер etthercap, меня вполне устраивает тот что есть в репозитории ubuntu но если кому хочется можете скачать тарбол с официального сайта.

# apt-get install ettercap

Что бы ознакомиться с этим чудо продуктом (никакой иронии), сниффер будет тихо слушать интерфейс eth0 и никак себя не выдавать.

# ettercap -Tzq -i eth0

Опция
-T заставляет ettercap использовать текстовый интерфейс (другого в ubuntu server нету)
-z отговаривает проводить arp сканирование
-q не отображать содержимое пакетов

Остальные опции можно посмотреть командой

# ettercap -h

Вернемся к нашему ARP спуффингу, следующая команда перехватит весь трафик между 192.168.0.202 и 192.168.0.17 и запишет его в файл в pcap формате.

# ettercap -i eth0 -T -q  -w shiff.log -M ARP /192.168.0.202/ /192.168.0.17/

Опция -M как раз и говорит нашему снифферу использовать Man-in-Middle

Файл sniff.log можно просмотреть например Etterlog, Wireshark или Cain & Abel который ко всему прочему вытащит из него все пароли.

Удачи.

Пост написан по материалам synjunkie.blogspot.com
Tags: , , ,
Аватарка

Dsquery или Управление AD в командной строке

Пуск -> Выполнить -> cmd хотя можно просто нажать Win+R, впрочем, это не важно, важно то что это делается на контроллере домена с правами доменного админа.

Итак, перед нами, черная командная строка Windows, на чудо сервере w2k3, а может даже w2k8 или w2k8r2 или, упаси бог, w2k, совсем забыл про w2k3r2.

Мы хотим увидеть всех юзеров домена. Нет ничего проще, выполним.

net user /domain

Однако вывод в 3 столбца нас не порадует, особенно если мы захотим использовать его в скрипте. Очень неудобно. Вот тут нам и придет на помощь DSQUERY что бы представить результат в одну колонку удобную для использования в скриптах.

dsquery * -filter "(&(objectcategory=person)(objectclass=user)(name=*))" -limit 0 -attr samaccountname

Посмотреть информацию о конкретном пользователе можно так

dsquery * -filter "(&(objectcategory=person)(objectclass=user)(samaccountname=jimm))" -limit 0 -attr *

Создать нового пользователя тоже не проблема

dsadd user "CN=Bob Ball,OU=Internal,DC=walliford,DC=local" -Samid BobB -Pwd Eviluser123 -fn Bob -Ln Ball -Display "Bob Ball" -Office Leeds -Tel "01233 455779" -Dept HR -hmdir \\wal-filer\users\BobB -Title Manager -upn BobB@walliford.local

Список групп доступных в домене

dsquery * -filter "(&(objectcategory=group)(objectclass=group)(name=*))" -limit 0 -attr Name

Добавляем вновь созданного пользователя в группу

dsmod group "CN=HR,OU=Internal,DC=walliford,DC=local" -addmbr "CN=Bob Ball,OU=Internal,DC=walliford,DC=local"
</code></code></code>

И напоследок, что нам говорит Microsoft на эту тему, а Microsoft нам говорит: Как использовать средства командной строки для управления объектами Active Directory в Windows Server 2003

Примеры взял с очень хорошего блога по информационной безопасности всем рекомендуемого к изучению (английский язык).