⚠️В одном из недавних анонсов Microsoft сообщала, что компонент сервера обновлений Windows Server Update Services (WSUS), который доступен как отдельная роль во всех версиях Windows Server переходит в состояние устаревший (deprecated) начиная с Windows Server 2025. Это означает, что компоненты WSUS более развиваться не будут, хотя текущий функционал все еще будет поддерживаться и обновления публиковаться вплоть до окончания сроков поддержки соответствующих версий Windows Server.
ℹ️ Роль WSUS все еще доступна для установки в новом Windows Server 2025 (соответственно с датой окончания поддержки в 2034). MSFT по своей традиции будет заставлять переходить на облачные (считай платные) решения для обновлений клиентов и серверов, такие как Windows Autopatch, Microsoft Intune и Azure Update Manager.
🔥 Ниже собраны статья по установке, настройке и управлению собственного сервера обновлений WSUS для централизованного развертывания обновлений в корпоративной сети.
✅ Установка и настройка сервера обновлений WSUS на Windows Server
✅ WSUS: управление установкой обновлений Windows через GPO
✅ Одобрение обновлений на сервере обновлений WSUS
✅ Перенос одобренных обновлений между группами WSUS
✅ Ручной импорт обновлений на WSUS
✅ Установка/обновление сторонних программ через WSUS
ℹ️ Роль WSUS все еще доступна для установки в новом Windows Server 2025 (соответственно с датой окончания поддержки в 2034). MSFT по своей традиции будет заставлять переходить на облачные (считай платные) решения для обновлений клиентов и серверов, такие как Windows Autopatch, Microsoft Intune и Azure Update Manager.
🔥 Ниже собраны статья по установке, настройке и управлению собственного сервера обновлений WSUS для централизованного развертывания обновлений в корпоративной сети.
✅ Установка и настройка сервера обновлений WSUS на Windows Server
✅ WSUS: управление установкой обновлений Windows через GPO
✅ Одобрение обновлений на сервере обновлений WSUS
✅ Перенос одобренных обновлений между группами WSUS
✅ Ручной импорт обновлений на WSUS
✅ Установка/обновление сторонних программ через WSUS
🖥Технология RemoteApp используется для удаленной доставки установленных приложений с терминального сервера на рабочий стол клиентского компьютера через службу Remote Desktop Services. При запуске, приложения RemoteApp ведут себя так, как будто они запущены локально на компьютере пользователя. На клиенте отображается не весь рабочий стол RDP сервера (полноэкранная сессия), а только окно запущенного приложения. Это окно масштабируется, имеет свой значок в панели задач, создавая полное ощущение использования локально установленного приложения.
▶️ RemoteApp требуют наличия Windows Server с ролью RD Session Host, а также наличия сервера лицензирования RDS и клиентских лицензий (RDS CAL). Однако вы можете запустить любое приложение в режиме RemoteApp и на десктопных версиях Windows 10 и 11. Это удобно, когда вы используете RDP доступ к удаленному компьютеру для запуска одного/двух приложения.
1️⃣ Для реализации RemoteApp на десктопной ОС, нужно включить политику
2️⃣ Затем нужно отредактировать *.RDP файл подключения и добавить следующие строки, в которых нужно прописать путь к приложению, которое вы хотите запускать в режиме RemoteApp:
Запуск произвольного приложения в виде RemoteApp в Windows 10/11
▶️ RemoteApp требуют наличия Windows Server с ролью RD Session Host, а также наличия сервера лицензирования RDS и клиентских лицензий (RDS CAL). Однако вы можете запустить любое приложение в режиме RemoteApp и на десктопных версиях Windows 10 и 11. Это удобно, когда вы используете RDP доступ к удаленному компьютеру для запуска одного/двух приложения.
1️⃣ Для реализации RemoteApp на десктопной ОС, нужно включить политику
Allow remote start of unlisted programs (или создать параметр реестра fAllowUnlistedRemotePrograms со значением 1).2️⃣ Затем нужно отредактировать *.RDP файл подключения и добавить следующие строки, в которых нужно прописать путь к приложению, которое вы хотите запускать в режиме RemoteApp:
remoteapplicationmode:i:1
RemoteApplicationName:s:Remote_Notepad
RemoteApplicationProgram:s:"%windir%\notepad.exe"
DisableRemoteAppCheck:i:1
Alternate Shell:s:rdpinit.exe
Запуск произвольного приложения в виде RemoteApp в Windows 10/11
🔑 Пользователи, которые удаленно работают с ресурсами в корпоративной сети через RDP/RDS сервер могут испытывать затруднения, когда нужно выполнить такую простую операцию, как смена пароля.
⚠️ Дело в том, что нажатие стандартного сочетания клавиш CTRL + ALT + DEL в RDP сессии откроет окно Безопасности Windows (с которого можно сменить пароль) не удаленного, а локального компьютера (на котором работает пользователь).
🛠 Есть несколько способов, которые позволят сменить пароль в RDP:
✅Использовать сочетание CTRL+ALT+END. Эта комбинация клавиш является аналогом CTRL + ALT + DEL, но работает только в окне RDP подключения.
✅Если вы подключены к RDP хосту через несколько промежуточных RDP сессий, сочетание CTRL+ALT+END работать не будет. Нажатие этой комбинации будет перехвачено первым RDP сеансом (окном). В этом случае сменить пароль в конечном RDP окно можно с помощью экранной клавиатуры. Запустите osk.exe (On-Screen Keyboard), зажмите CTRL+ALT на физической клавиатуре, а затем щелкните по кнопке Del на экранной клавиатуре. Это выведет окно Windows Security.
✅Чтобы сделать смену пароля более удобной для терминальных пользователей, можно создать на Public рабочем столе ярлык для вызова скрипта смены пароля.
🔹Это может быть shell – команда:
🔹Файл с VBS скриптом:
🔹Или PowerShell команда:
Смена пароля учётной записи в RDP сессии
⚠️ Дело в том, что нажатие стандартного сочетания клавиш CTRL + ALT + DEL в RDP сессии откроет окно Безопасности Windows (с которого можно сменить пароль) не удаленного, а локального компьютера (на котором работает пользователь).
🛠 Есть несколько способов, которые позволят сменить пароль в RDP:
✅Использовать сочетание CTRL+ALT+END. Эта комбинация клавиш является аналогом CTRL + ALT + DEL, но работает только в окне RDP подключения.
✅Если вы подключены к RDP хосту через несколько промежуточных RDP сессий, сочетание CTRL+ALT+END работать не будет. Нажатие этой комбинации будет перехвачено первым RDP сеансом (окном). В этом случае сменить пароль в конечном RDP окно можно с помощью экранной клавиатуры. Запустите osk.exe (On-Screen Keyboard), зажмите CTRL+ALT на физической клавиатуре, а затем щелкните по кнопке Del на экранной клавиатуре. Это выведет окно Windows Security.
✅Чтобы сделать смену пароля более удобной для терминальных пользователей, можно создать на Public рабочем столе ярлык для вызова скрипта смены пароля.
🔹Это может быть shell – команда:
explorer.exe shell:::{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}🔹Файл с VBS скриптом:
Set objShell = CreateObject("Shell.Application")
objShell.WindowsSecurity🔹Или PowerShell команда:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noprofile -nologo -noninteractive -command "(new-object -ComObject shell.application).WindowsSecurity()"
Смена пароля учётной записи в RDP сессии
⚠️ Бывает, что после установки очередного обновления Windows некоторые программы или какой-то функционал ОС перестают работать корректно или выдают ошибки. В этой ситуации нужно удалить конфликтное обновление и либо временно поставить установку обновлений на паузу (до 35 дней), либо запретить повторную установку только одного обновления, скрыв его.
✅ Ранее Microsoft выпустила специальную графическую утилиту wushowhide.diagcab, которая позволяет скрыть (или отменить скрытие) определенного обновления от локальной службы Windows Update. Страница KB3073930 на данный момент удалена с сайта microsoft.com, но пока ещё можно загрузить файл по прямой ссылке wushowhide.diagcab
✅ Также для скрытия обновлений можно использовать PowerShell модуль PSWindowsUpdate:
Вывести доступные обновления:
Скрыть обновление по KB ID:
Если нужно скрыть обновление драйвера (у которых в Windows Update нет привычных номеров KB), нужно получить его ID:
Затем скрыть обновление драйвера по его ID:
Как скрыть (заблокировать установку) отдельные обновлений в Windows 10 и 11
✅ Ранее Microsoft выпустила специальную графическую утилиту wushowhide.diagcab, которая позволяет скрыть (или отменить скрытие) определенного обновления от локальной службы Windows Update. Страница KB3073930 на данный момент удалена с сайта microsoft.com, но пока ещё можно загрузить файл по прямой ссылке wushowhide.diagcab
✅ Также для скрытия обновлений можно использовать PowerShell модуль PSWindowsUpdate:
Вывести доступные обновления:
Get-WindowsUpdate
Скрыть обновление по KB ID:
Hide-WindowsUpdate -KBArticleID KB5048652
Если нужно скрыть обновление драйвера (у которых в Windows Update нет привычных номеров KB), нужно получить его ID:
$Updates = Get-WindowsUpdate -WindowsUpdate -UpdateType Driver
$Updates | Select Title,Description -Expand Identity
Затем скрыть обновление драйвера по его ID:
Hide-WindowsUpdate -UpdateID "3f6ba9a7-b031-4990-808f-69a9e1ef6a91"
Как скрыть (заблокировать установку) отдельные обновлений в Windows 10 и 11
📦 В WIM образе среды WinPE содержаться только базовые универсальные драйвера, необходимые для корректного обнаружения основного оборудования компьютера. Поэтому случается, что установщик Windows, загрузочный диск на базе WinPE или среда восстановления WinRE не видят локальных дисков или сетевые адаптеры.
⚠️ В моем примере после миграции виртуальной машины с ESXi на Proxmox, оказалось что в гостевой Windows отсутствуют драйвера VirtIO. В результате при загрузке гостевой Windows в ВМ появилась ошибка 0x0000007B: INACESSIBLE_BOOT_DEVICE. Для предотвращения таких ситуаций нужно устанавливать драйвера VirtIO в гостевую Windows до начала миграции ВМ.
✅ Либо можно динамически загрузить нужные драйвера прямо в среде WinPE. Для этого нужно смонтировать образ с драйверами VirtIO и установить драйвер SCSI адаптера с помощью команды drvload:
Проверьте, что драйвер SCSIAdapter VirtIO загружен в память среды WinPE:
После того, как стал доступен локальный диск с установленной Windows, можно добавить драйвер паравиртуализированного контроллера SCSI в офлайн Windows образ на диске:
Загрузка драйверов из командной строки в среде WinPE
⚠️ В моем примере после миграции виртуальной машины с ESXi на Proxmox, оказалось что в гостевой Windows отсутствуют драйвера VirtIO. В результате при загрузке гостевой Windows в ВМ появилась ошибка 0x0000007B: INACESSIBLE_BOOT_DEVICE. Для предотвращения таких ситуаций нужно устанавливать драйвера VirtIO в гостевую Windows до начала миграции ВМ.
✅ Либо можно динамически загрузить нужные драйвера прямо в среде WinPE. Для этого нужно смонтировать образ с драйверами VirtIO и установить драйвер SCSI адаптера с помощью команды drvload:
drvload d:\vioscsi\2k22\amd65\vioscsi.inf
Проверьте, что драйвер SCSIAdapter VirtIO загружен в память среды WinPE:
pnputil /enum-drivers
После того, как стал доступен локальный диск с установленной Windows, можно добавить драйвер паравиртуализированного контроллера SCSI в офлайн Windows образ на диске:
DISM /Image:C:\ /Add-Driver: /driver:D:\vioscsi\2k22\amd64\vioscsi.inf
Загрузка драйверов из командной строки в среде WinPE
👥Если инфраструктурными серверами управляет несколько различных администраторов или даже команд, иногда случается, что кто-то случайно (или не случайно) удалил с сервера определенное приложение/агент. В этом случае для расследования инцидента и определения конкретного человека, который удалили или установил приложение, можно выполнить поиск по событиям в Event Viewer.
📝Для поиска событий установки (код 11707) и удаления (код 11724) приложений, упакованных в MSI-пакеты, можно использовать простой PowerShell скрипт. Следующий скрипт выведет информацию о том, кто и когда устанавливал или удалял агент Zabbix на сервере Windows:
Как определить, кто установил или удалил программу в Windows?
📝Для поиска событий установки (код 11707) и удаления (код 11724) приложений, упакованных в MSI-пакеты, можно использовать простой PowerShell скрипт. Следующий скрипт выведет информацию о том, кто и когда устанавливал или удалял агент Zabbix на сервере Windows:
$appname='*Zabbix*'
Get-WinEvent -FilterHashtable @{LogName="Application"; ID=11707,11724; ProviderName='MsiInstaller'}| Where-Object { $_.Message -like $appname }| Select TimeCreated, @{Name='Username'; Expression={(New-Object System.Security.Principal.SecurityIdentifier($_.userid)).Translate([System.Security.Principal.NTAccount]).Value}}, Message
Как определить, кто установил или удалил программу в Windows?
🔌Любой USB диск или обычную флешку можно напрямую подключить к хосту VMware ESXi в качестве отдельного внешнего VMFS хранилища для ВМ. Хотя этот режим не рекомендуется для продуктивных нагрузок, он часто используется в тестовых и некритичных конфигурациях, когда нужно запустить/скопировать ВМ с внешнего USB носителя.
🔀 Основная проблема в том, что по умолчанию подключенные внешние USB устройства недоступны для локального использования самим ESXi хостом. Предполагается, что такие устройства обычно подключаются для проброса в одну из ВМ через USB Passthrough.
Чтобы сделать USB накопитель доступным локально, нужно:
🔹 полностью отключить USB Passthrough для всех устройств, остановив службу USB arbitrator (не всегда возможно, если используются другие проброшенные устройства)
🔹 сделать исключение в USB Passthrough для конкретной модели оборудования с использованием расширенных настроек USB Quirks
✅ В ESXi 7.x и 8.x создать VMFS хранилище на USB накопителе можно из графического интерфейса vSphere Web Client. В более ранних версиях можно вручную отформатировать и создать на файловую систему VMFS на USB из командной строки.
Подключение внешнего USB диска к VMware ESXi
🔀 Основная проблема в том, что по умолчанию подключенные внешние USB устройства недоступны для локального использования самим ESXi хостом. Предполагается, что такие устройства обычно подключаются для проброса в одну из ВМ через USB Passthrough.
Чтобы сделать USB накопитель доступным локально, нужно:
🔹 полностью отключить USB Passthrough для всех устройств, остановив службу USB arbitrator (не всегда возможно, если используются другие проброшенные устройства)
🔹 сделать исключение в USB Passthrough для конкретной модели оборудования с использованием расширенных настроек USB Quirks
✅ В ESXi 7.x и 8.x создать VMFS хранилище на USB накопителе можно из графического интерфейса vSphere Web Client. В более ранних версиях можно вручную отформатировать и создать на файловую систему VMFS на USB из командной строки.
Подключение внешнего USB диска к VMware ESXi
🔑Стандартные парольные политики Active Directory не позволяют запретить использовать такие шаблонные или стандартные пароли как
ℹ️ В Windows смена пароля осуществляется через LSA, который выполняет проверку соотвествия нового пароля политике по определённым фильтрам. На контроллере домена в цепочку проверки можно добавить собственный фильтр пароля.
🔐 Мы рассмотрели две open-source реализации таких фильтров для контроллеров домена AD:
🔹 PassFiltEx
🔹 Lithnet Password Protection for Active Directory
✅ Оба этих решения позволяют выполнять дополнительные проверку при смене пароля пользователя и запретить установку нового пароля, если он совпадает с заданным шаблоном запрещенных паролей/фраз или с паролем во внешней базе хэшей скомпрометированных паролей.
Как запретить использование стандартных, простых и паролей по словарю в Active Directory
Qwerty123, P@ssw0rd, Gazprom2025 и пр. Такие пароли хотя формально и проходят проверку политики сложности пароля (3 типа символов из 4: цифры, символы в верхнем регистре, символы в нижнем регистре, спец символы), но фактически могут быть легко подобранными по словарю или угаданными.ℹ️ В Windows смена пароля осуществляется через LSA, который выполняет проверку соотвествия нового пароля политике по определённым фильтрам. На контроллере домена в цепочку проверки можно добавить собственный фильтр пароля.
🔐 Мы рассмотрели две open-source реализации таких фильтров для контроллеров домена AD:
🔹 PassFiltEx
🔹 Lithnet Password Protection for Active Directory
✅ Оба этих решения позволяют выполнять дополнительные проверку при смене пароля пользователя и запретить установку нового пароля, если он совпадает с заданным шаблоном запрещенных паролей/фраз или с паролем во внешней базе хэшей скомпрометированных паролей.
Как запретить использование стандартных, простых и паролей по словарю в Active Directory
📑Основное преимущество групповых политик в том, что они позволяют довольно просто внедрить одинаковые настройки на все целевые компьютеры/пользователей в домене или OU. Однако в некоторых случая для определенных компьютеров или пользователей нужно сделать исключения из GPO, так чтобы они игнорировали определенные групповые политики.
✅ Есть несколько подходов, позволяющих исключить применение GPO для некоторых пользователей/компьютеров:
🔹Использование GPO Security Filtering для ограничения объектов AD, которые могут применить политику (самый простой и удобный вариант)
🔹Динамическая фильтрация объектов применения GPO на основе их характеристик (атрибутов) с помощью WMI фильтров
🔹Исключения в GPO на уровне Item Level Targeting элементов предпочтений групповых политик. Применимо только для параметров GPO, задаваемых через Group Policy Preferences
Как сделать исключение в групповой политике для пользователя (компьютера)
✅ Есть несколько подходов, позволяющих исключить применение GPO для некоторых пользователей/компьютеров:
🔹Использование GPO Security Filtering для ограничения объектов AD, которые могут применить политику (самый простой и удобный вариант)
🔹Динамическая фильтрация объектов применения GPO на основе их характеристик (атрибутов) с помощью WMI фильтров
🔹Исключения в GPO на уровне Item Level Targeting элементов предпочтений групповых политик. Применимо только для параметров GPO, задаваемых через Group Policy Preferences
Как сделать исключение в групповой политике для пользователя (компьютера)
⚠️Столкнулся с ситуацией, когда обычная процедура установки дополнительной роли/компонента в Windows Server стала невозможной, возвращая ошибку:
ⓘ Это указывает на то, что необходимые файлы данного компонента в образе Windows повреждены или отсутствуют.
✅ В статье подробно рассмотрено, как проанализировать файл CBS.log (Component-Based Servicing log), найти поврежденные пакеты обновлений, отсутствующие файлы которых вызывают ошибку.
☑️ Далее нужно переустановить обновление (если возможно), либо через реестр изменить состояние этого обновления, указав , что данное обновление нужно игнорировать системой обслуживания компонентов Windows.
Ошибка The referenced assembly could not be found. Error: 0x80073701 при установке компонентов Windows
The referenced assembly could not be found. Error: 0x80073701.
ⓘ Это указывает на то, что необходимые файлы данного компонента в образе Windows повреждены или отсутствуют.
✅ В статье подробно рассмотрено, как проанализировать файл CBS.log (Component-Based Servicing log), найти поврежденные пакеты обновлений, отсутствующие файлы которых вызывают ошибку.
☑️ Далее нужно переустановить обновление (если возможно), либо через реестр изменить состояние этого обновления, указав , что данное обновление нужно игнорировать системой обслуживания компонентов Windows.
Ошибка The referenced assembly could not be found. Error: 0x80073701 при установке компонентов Windows
ɪᴘ Если для удаленного хоста доступен и IPv4 и IPv6 адрес, Windows по умодчанию будет пытаться подключиться к нему по его IPv6 адресу. Т.е. если сервер DNS или протокол mDNS (в локальной сети) вернул, что для хоста есть и запись AAAA , и A , то по умолчанию подключение выполняется по IPv6 адресу в AAAA записи. На картинке видно, что для доступа к соседнему компьютеру (рабочая группа) после такого резолвинга будет использоваться его IPv6 адрес.
⚠️ Это может вызвать проблему с некоторыми сетевыми сервисами или старыми приложениями, которые не поддерживают IPv6 (не слушают этот сетевой интерфейс).
✅ Т.к. Microsoft не рекомендует полностью отключать IPv6 в Windows, в качестве обходного решения можно увеличить приоритет IPv4 протокола над IPv6 в Windows.
☑️ Вывести таблицу IPv6 префиксов:
☑️ Увеличить приоритет (вес) для IPv4 сопоставлений в таблице префиксов:
Повысить приоритет протокола IPv4 над IPv6 в Windows
⚠️ Это может вызвать проблему с некоторыми сетевыми сервисами или старыми приложениями, которые не поддерживают IPv6 (не слушают этот сетевой интерфейс).
✅ Т.к. Microsoft не рекомендует полностью отключать IPv6 в Windows, в качестве обходного решения можно увеличить приоритет IPv4 протокола над IPv6 в Windows.
☑️ Вывести таблицу IPv6 префиксов:
netsh interface ipv6 show prefixpolicies
☑️ Увеличить приоритет (вес) для IPv4 сопоставлений в таблице префиксов:
netsh interface ipv6 set prefix ::/96 60 3
netsh interface ipv6 set prefix ::ffff:0:0/96 55 4
Повысить приоритет протокола IPv4 над IPv6 в Windows
📚 Group Policy Preferences (предпочтения групповых политик) позволяют довольно гибко создавать ярлыки на необходимые программы, сетевые папки, сайты или ярлыки с командами на рабочих столах (или других местоположениях) на компьютерах пользователей домена. Если приложение или ресурс сменит адрес, или нужно изменить строку запуска приложения в ярлыке, администратору достаточно поправить политику, чтобы быстро изменить путь и настройки в ярлыке сразу у всех пользователей.
🔹С помощью Item-Levell Targeting в одной GPO можно создать правила, которые будут создавать ярлык только у определенных пользователей, включенных в заданную группу AD. Одни ярлыки для операторов, другие для сотрудников финансового отдела и т.д.
✅ Создать ярлык на рабочих столах пользователей с помощью GPO
🔹С помощью Item-Levell Targeting в одной GPO можно создать правила, которые будут создавать ярлык только у определенных пользователей, включенных в заданную группу AD. Одни ярлыки для операторов, другие для сотрудников финансового отдела и т.д.
✅ Создать ярлык на рабочих столах пользователей с помощью GPO
🛡В Windows Server 2025 появился новый функционал, под названием OSConfig, позволяющий быстро внедрить рекомендуемые параметры безопасности ОС в зависимости от роли сервера. Доступно несколько преднастроенных бейзлайнов для контроллера домена, рядового сервера, сервера в рабочей группе, настройки безопасности антивируса Windows Defined, настройки безопасности оборудования и несколько других.
✅ Проверить текущее состояние параметров безопасности сервера и внедрить рекомендованные настройки можно через консоль PowerShell или из веб-интерфейса управления Windows Admin Center (WAC).
✔️ При сканировании настроек для каждого параметра в бейзлайне безопаности будет указано соответствует ли ваш сервер рекомендованной конфигурации или нет (
🛠Можно внедрить целиком весь бейзлайн или только отдельные параметры. В дальнейшем, если вы или любой другой администратор изменит настройки ОС на сервере, они будут автоматически возвращены на те, что заданы в шаблоне.
Включаем рекомендуемые параметры безопасности Windows Server 2025 с помощью OSConfig
✅ Проверить текущее состояние параметров безопасности сервера и внедрить рекомендованные настройки можно через консоль PowerShell или из веб-интерфейса управления Windows Admin Center (WAC).
✔️ При сканировании настроек для каждого параметра в бейзлайне безопаности будет указано соответствует ли ваш сервер рекомендованной конфигурации или нет (
Compliant/Not-compliant). 🛠Можно внедрить целиком весь бейзлайн или только отдельные параметры. В дальнейшем, если вы или любой другой администратор изменит настройки ОС на сервере, они будут автоматически возвращены на те, что заданы в шаблоне.
Включаем рекомендуемые параметры безопасности Windows Server 2025 с помощью OSConfig
📁В Windows можно подключить каталоги на удаленных файловых системах в виде отдельных дисков по защищенному SSH соединению с помощью утилиты SSHFS-Win. SSHFS-Win – это порт, реализующий клиент протокола SSHFS для Windows систем.
✅ Чтобы подключить локальную папку с удаленного хоста в виде сетевого диска можно прямо из проводника Windows, введите UNC путь:
✅ Также можно будет смонтировать сетевой диск из командной строки:
🔑 Если изменить префикс подключения на
Подключение сетевого диска в Windows по SSH (SSHFS)
✅ Чтобы подключить локальную папку с удаленного хоста в виде сетевого диска можно прямо из проводника Windows, введите UNC путь:
\\sshfs.r\[email protected]\remote_folder
✅ Также можно будет смонтировать сетевой диск из командной строки:
net use m: \\sshfs.r\[email protected]\ps /user:administrator
🔑 Если изменить префикс подключения на
sshfs.k, можно использовать SSH аутентификации по ключу вместо парольной.Подключение сетевого диска в Windows по SSH (SSHFS)
⏳ Пользователи домена могут жаловаться на медленный запуск компьютера и долгое время входа в систему, вызванные длительной обработкой назначенных на устройства групповых политик (GPO). С точки зрения пользователя, этот выглядит что компьютер долго загружается и, висит несколько минут на этапе «
✅ В статье мы рассмотрели базовые методы, позволяющие определить сколько времени заняла обработка групповых политик при загрузке/входе в систему, и какие конкретно настройки GPO вызвали наибольшие задержки.
Ищем причину долго применения (обработки) групповых политики в Windows
Применение настроек компьютера/пользователя».✅ В статье мы рассмотрели базовые методы, позволяющие определить сколько времени заняла обработка групповых политик при загрузке/входе в систему, и какие конкретно настройки GPO вызвали наибольшие задержки.
Ищем причину долго применения (обработки) групповых политики в Windows
🖥 Подавляющее большинство новых компьютеров и материнских плат, выпущенных с 2013 года, поставляются с UEFI прошивками классических BIOS. Использование нативной UEFI загрузки требует наличия таблицы разделов GPT (вместо MBR), на которой можно создать более 4 основных разделов размерами более 2 Тб. Cамое главное, что для UEFI поддерживается режим безопасной загрузки Secure Boot, защищающий от подмены загрузчика и запуска сторонних зловредов до этапа загрузки ОС.
🛠 Если по какой-то причине вы установили Windows на современном железе в режиме совместимости Legacy BIOS (CSM), можно выполнить онлайн конвертацию таблицы разделов загрузочного диска из MBR в GPT без потери данных и без переустановки ОС. Для этого в Windows 10, начиная с версии 1703, доступна встроенная утилита MBR2GPT.
🔹 Проверить что Windows загружен в режиме Legacy BIOS:
🔹 Проверяем, что на загрузочном диске используется таблица разделов MBR и создано не более 3 первичных разделов:
🔹Проверить возможность конвертации:
🔹 Выполнить преобразование таблицы разделов из MBR в GPT:
✅ Осталось перезагрузить устройство и в настройках UEFI BIOS включить нативный UEFI вместо режима совместимости (Legacy CSM).
Конвертируем загрузочный диск Windows из Legacy BIOS в UEFI
🛠 Если по какой-то причине вы установили Windows на современном железе в режиме совместимости Legacy BIOS (CSM), можно выполнить онлайн конвертацию таблицы разделов загрузочного диска из MBR в GPT без потери данных и без переустановки ОС. Для этого в Windows 10, начиная с версии 1703, доступна встроенная утилита MBR2GPT.
🔹 Проверить что Windows загружен в режиме Legacy BIOS:
$env:firmware_type
🔹 Проверяем, что на загрузочном диске используется таблица разделов MBR и создано не более 3 первичных разделов:
Get-Disk |Get-Partition
🔹Проверить возможность конвертации:
mbr2gpt /validate /allowfullos
🔹 Выполнить преобразование таблицы разделов из MBR в GPT:
mbr2gpt /convert /allowfullos
✅ Осталось перезагрузить устройство и в настройках UEFI BIOS включить нативный UEFI вместо режима совместимости (Legacy CSM).
Конвертируем загрузочный диск Windows из Legacy BIOS в UEFI
WindowsITPro - winitpro.ru
⚠️Довольно часто от администраторов можно услышать распространенное мнение, что при наличии нескольких контроллеров домена Active Directory, дополнительно бэкапить AD не нужно. Аргументируется это тем, что вероятность выхода из строя сразу всех DC минимальна…
Please open Telegram to view this post
VIEW IN TELEGRAM
🌐Как правило, среда предустановки WinPE используется либо для установки Windows, либо для выполнения каких-либо операций обслуживания/восстановления локальной системы. Наличие рабочего сетевого подключения в среде WinPE требуется довольно редко. Но в некоторых сценариях может быть крайне полезным, например при сетевом развертывании или восстановлении образа системы, когда нужно обновить антивирусные сигнатуры по сети для офлайн сканирования, получить доступ к репозиторию скриптов или инструментов в сетевом расположении, и т.д.
🛠 В этой статье мы рассмотрим, как вручную загрузить драйвер сетевого адаптера и инициализировать сеть в среде WinPE, задать статический IP адрес, подключить сетевой диск, и управлять файерволом.
Загрузка сетевого драйвера и инициализация сети в среде WinPE
🛠 В этой статье мы рассмотрим, как вручную загрузить драйвер сетевого адаптера и инициализировать сеть в среде WinPE, задать статический IP адрес, подключить сетевой диск, и управлять файерволом.
Загрузка сетевого драйвера и инициализация сети в среде WinPE