⚙️Для мобильных устройств и ноутбуков, которые присоединены к домену Active Directory, вы можете разрешить устанавливать VPN подключение до входа пользователя в систему.
✅ В этом случае пользователь после установления VPN подключения может выполнить аутентификацию на контроллере домена AD под своей доменной учеткой и использовать доменные ресурсы без лишних заморочек 😎.

Как подключиться к VPN серверу до входа в Windows?

🔐Сохранение пользователями паролей в браузерах может скомпрометировать корпоративные учетные данные, особенно когда пользователи настраивают облачную синхронизацию профиля браузера между корпоративным и личным устройством.
🏢 В корпоративной среде общепринятая практика подразумевает запрет сохранения пароля в браузерах и отключение возможности синхронизации.
✅ В статье описано, как отключить сохранение паролей в популярных браузерах (Chrome, Edge, Firefox) с помощью GPO и очистить сохраненные пароли с помощью скриптов PowerShell.
https://winitpro.ru/index.php/2023/11/15/zapretit-soxranenie-parolej-v-brauzerah/

⚙️ Современные версии Office (2021,2019) и Microsoft 365 Apps (ранее Office 365) не позволяют при установке выбрать какие конкретно приложения вы хотите установить. Всегда устанавливается полный пакет. 🤯
✅ Для управления настройками развертывания Office используется утилита Office Deployment Tool (ODT). Вы можете сгенерировать XML файл, который содержит описание, какие программы из пакета не нужно ставить и другие параметры. После запустите установку программ из пакета Office на компьютере с настройками из XML файла командой:

Setup.exe /configure office2019_custom_config.xml

Как выборочно установить отдельное приложение Office 2021/2019/Office 365?

🥱 Технология Wake-on-LAN (WOL) позволяет удаленно включить компьютер посредством отправки через локальную сеть специального magic пакета на сетевой адаптер компьютера.
После получения такого сигнала сетевая карта выведет компьютер из режима экономии электроэнергии (гибернации, спящего режима, или даже когда компьютер выключен).
✅ WOL поддерживается не только для Ethernet адаптеров но и для беспроводных Wi-Fi адаптеров (Wake on Wireless LAN / WoWLAN).
⚙️ Особенности настройки и использования Wake-on-LAN в Windows описаны в статье.
https://winitpro.ru/index.php/2023/11/29/wake-on-lan-v-windows/

🔐Суть политики паролей домена заключается в том, что устанавливаются правила на минимальную длину пароля, на обязательное наличие в нём определённого количества букв разного регистра, цифр, специальных символов.
✅ Параметры политики паролей AD обычно задается в Default Domain Policy. Правила этой GPO действуют как на администраторов, так и пользователей домена.
✅ Если вы хотите использовать особые настройки политики паролей для определенных групп пользователей, нужно использовать Fine-Grained Password Policies (FGPP). С помощью объектов PSO можно, например, увеличить минимальную длину пароля для привилегированных пользователей.

Настройка политики паролей в домене Active Directory

⚙️ Одной из killer фич утилиты Process Monitor (by Sysinternals) является возможность внедрить драйвер, который позволяет собрать информацию об активности всех процессов на максимально раннем этапе загрузки Windows. В логе будут содержаться все обращения к файлам, реестру, сетевым хостам, использование CPU и памяти каждым процессом.
✅ Опция Enable Boot Logging в ProcMon позволяет включить режим сбора данных при загрузке. Затем по этому логу вы можете определить программы, процессы, драйвера и службы, из за которых Windows может загружаться не достаточно быстро.
Ищем причину медленной загрузки Windows с помощью Process Monitor

🔰 Установка на экраны мониторов компьютеров скринсейверов по вопросам корпоративной безопасности – эффективный способ напоминания персоналу о существующих в компании правилах и регламентах корпоративной безопасности.
✅ С помощью групповых политик Windows вы можете скопировать картинки с советами по ИБ на компьютеры пользователей и показывать их в виде слайдшоу через настройки скринсейвера.

Настройка скринсейвера на компьютерах домена с помощью GPO

⚙️ Автоматизируем установку языковых пакетов в Microsoft Office и назначение языка интерфейса по-умолчанию.
https://winitpro.ru/index.php/2023/12/12/ustanovka-naznachenie-yazykovyh-paketov-microsoft-office/

📝Одна из задач системного администратора – проведение инвентаризации различных объектов и построение отчетов. Чаще всего такую информацию нужно предоставить в формате Excel. С помощью PowerShell вы можете существенно упростить экспорт и импорт любых данных в Excel файлы.
✅ В этой статье мы рассмотрели способы взаимодействия с файлом XLSX через COM объект (требует наличия установленного Microsoft Office) и с помощью крос-платформенного модуля ImportExcel (не требует наличия Excel на компьютере)

Чтение и запись данных в Excel файл из PowerShell

⚙️Точки восстановления (restore points) позволяют откатить состояние Windows, драйверов, приложений на момент создания такой точки. Точки восстановления Windows основаны на технологии снапшотов томов через Volume Shadow Copy (VSS). Но в отличии от обычного снапшота диска:
✅ перед созданием контрольной точки, служба VSS дает команду всем приложениям, поддерживающим технологию VSS (VSS-aware appications), произвести запись на диск всех не сохраненных операций ввода/вывода, находящихся в памяти (буферов,кэшей и пр), а затем сообщает о готовности к снапшоту
✅ при восстановлении из контрольной точки данные из снапшота не перезатирают персональные файлы профиле пользователя;
✅ вы можете вручную восстановить предыдущую версию любой файла из любой точки восстановления
Создание, удаление, управление точками восстановления в Windows 10 и 11

⚙️ В статье разобрано как настроить мониторинг состава привилегированных групп в домене AD (Domain admins, Schema admins, Enterprise admins и т.д.) с помощью политики аудита и PowerShell скрипта.
🔔 При добавлении нового пользователя в одну из административных групп вы будете получать уведомление (письмом или в мессенджер) с информацией: какая группа была изменена, кто из администраторов внес изменения, и какой пользователь была добавлена в группу.

Оповещение при добавлении пользователя в группу администраторов Active Directory

🛡Credential Manager (диспетчер учетных данных) Windows используется для безопасного хранения и извлечения сохраненных учетных данных (имя пользователя+пароль) и сертификатов для подключения к различным сервисам (сетевым папкам, RDP хостам, веб-сайтам, и т.д.).
✅ В статье рассмотрены основные аспекты работы и управления диспетчером учетных данных Windows:
🔹 Как получить доступ к Credential Manager?
🔹 Где хранятся пароли и можно ли их извлечь в открытом виде?
🔹 Как добавить или удалить сохраненные учетные данные?
🔹 Можно ли запретить пользователям сохранять пароли в Windows?
🔹 Как использовать сохраненные учетные данные в скриптах PowerShell?

Диспетчер учетных данных Windows: управление сохраненными паролями

⚙️ В статье мы рассмотрели, как настроить загрузку Windows с жесткого диска, размеченного в таблице разделов GPT на старых компьютерах с классическим BIOS (в которых не поддерживается современная среда UEFI).
🤯Идея заключается в том, чтобы вынести MBR загрузчик на отдельную внешнюю USB флешку или SD карту. Этот загрузчик будет запускать EFI загрузчик Windows на GPT диске.
В качестве диспетчера загрузки можно использовать
🔹 Родной Windows Boot Manager (если нужно сконвертировать уже установленную систему)
🔹Open-source загрузчик Clover (поддерживает любые ОС)

Это позволит решить две частые проблемы:
✅ Позволит использовать NVMe SSD в качестве загрузочного диска на старых материнских платах с Legacy BIOS (старые BIOS не видят новые NVMe SSD). Это актуально, если вы хотите дать вторую жизнь старым серверам, таким как HP DL380 G8 и пр.
✅ Позволит использовать в Windows весь доступный объем загрузочных дисков большой емкости (более 2 Тб).

Загрузка Windows с GPT диска на BIOS компьютере (без UEFI)

⚙️ В статье по ссылке постарались детально описать, как с помощью CUPS и smbclient в Linux проверить доступность, найти драйвер и подключить сетевой принтер Windows на рабочей станции Linux.

Настройка печати из Linux на общий сетевой принтер в Windows 10

📂 При использовании общих сетевых папок Windows, которыми одновременно пользуются множество пользователей, администраторы периодически встречаются с ситуациями блокировки файлов.
🔒Если пользователь открыт файл в общей сетевой SMB папке на сервере на чтение+запись и забыл его закрыть (ушел домой, в отпуск), другие пользователи не смогут внести изменения в файл.
🔹 Как узнать, кто открыл и заблокировал конкретный файл в сетевой папке Windows?
🔹 Как принудительно завершить SMB сессию и разблокировать такой файл с помощью команды openfiles или PowerShell?

Как найти и закрыть открытые файлы в сетевой папке на сервере Windows?

👨🏻‍💻По умолчанию встроенный клиент Remote Desktop Client (mstsc.exe) использует режим кэширования редко изменяемых частей экрана удаленного рабочего стола для улучшения производительности и уменьшения трафика.
📤В кэше RDP хранятся необработанные растровые изображения экрана в виде плиток размера 64 x 64 пикселя. Изображения экрана можно извлечь из кэша с помощью готовых скриптов типа RDP Cached Bitmap Extractor. Кэш RDP сессии по умолчанию не очищается и потенциально из него можно извлечь много чувствительной информации.
🛡Поэтому, если вы используете RDP клиент на недоверенном компьютере, нужно отключить режим кэширования в клиенте и очищать логи RDP.

🔄 Для управления установкой обновлений безопасности и патчами на продукты Microsoft (Windows, Office) на компьютерах в локальной сети традиционно используется собственный сервер обновлений WSUS. Однако на компьютерах пользователей установлены и сторонние приложения (архиваторы, браузеры, PDF ридеры, и т.д.), которые также нужно регулярно отслеживать и обновлять. Для WSUS есть open-source расширение WSUS Package Publisher, которое позволит вам создать собственные пакеты для распространения/обновления любых приложений через сервер обновлений WSUS.
✅ В примере рассматривается, как создать на WSUS пакет обновления для 7-Zip и централизованного распространить его на компьютеры пользователей через стандартный механизм Windows Update
Установка и обновление сторонних программ с помощью WSUS

Массовые проблемы с DNS в зоне RU
Причина проблемы заключается в неправильной подписи зоны DNSSEC:
В связи с этим, обращение к сайтам, размещенным в зоне .ru, может быть затруднено.
Временным решением является подключение к сервисам по IP адресу.
https://habr.com/ru/news/790188/

🌐 На веб сервере IIS для привязки сайтов к портам и IP адресам используется механизм Site Bindings. Для каждого вебсайта в метабазе IIS настройки привязки хранятся в формате: IP:Port:Hostname. IIS может запустить следующий сайт, когда комбинация из этих трех параметров является уникальными и не используются другими сайтами на сервере.

✅ В статье рассматриваем как на веб-сервере IIS запустить несколько сайтов с разными именами и привязать их к одному HTTP/HTTPS порту, и одному или разным IP адресам.
IIS: запуск нескольких веб-сайтов на одном порту и IP адресе

📜Исторически для анализа активности агента и службы обновления в Windows использовался текстовый лог файл WindowsUpdate.log. С помощью этого файла можно было выполнить отладку работы агента обновлений Windows, найти проблемы и выявить причины ошибок с получением и установкой обновлений.
⚙️Начиная с Windows 10, служба обновлений теперь не сбрасывает события в %windir%\WindowsUpdate.log. Подробные логи Windows Update теперь пишутся в формате Event Tracing for Windows и не пригодны для просмотра в реальном времени.
✅ Для генерации привычного текстового файла WindowsUpdate.log из ETL логов можно использовать комнадлет Get-WindowsUpdateLog.
✅ Также довольно подробная информация о работе агента Windows Update обновлений и установке патчей есть в журналах Event Viewer.
Просмотр логов службы обновлений в Windows