🔄 При откате Windows к старому снапшоту/бэкапу, часто можно столкнуться с вылетом компьютера из домена. В этом случае при попытке входа в Windows под доменным пользователем появится ошибка:

Не удалось установить доверительные отношения между рабочей станцией и доменом.

🤝 При добавлении компьютера в домен для него создается учетная запись Computer с паролем. Этот пароль хранится на компьютере и в базе AD. Если пароли не совпадают, компьютер не может установить защищенный канал с доменом (доверительные отношений). При восстановлении из снапшота (бекапа), пароль компьютера может отличается от пароля в AD.
✅ Восстановить доверительные отношений с доменом и сбросит пароля с компьютера, можно через PowerShell.
Проверить статус доверительных отношений:

Test-ComputerSecureChannel -Verbose 

Выполнить сброс и синхронизацию пароля:

Test-ComputerSecureChannel -Repair -Credential winitpro\admin

Восстановление доверительных отношений между компьютером и доменом AD

ℹ️ Режим киоска позволяет запустить Windows в специальном ограниченном режиме для запуска одного или нескольких разрешенных приложений. Доступ к остальным функциям ОС блокируется. Этот режим используется на общедоступных информационных терминалах или устройства самообслуживания.
✅ В статье по ссылки мы рассмотрели простейший способ запуска браузера в режиме киоска Windows 11 и более сложный сценарий киоска, позволяющий создать изолированное пространство для запуска нескольких разрешенных приложений (multi-app kiosk mode).

Настройка режима киоска в Windows 11

🛡По умолчанию в десктопных версиях Windows политика Execution Policy блокируют запуск любых PowerShell скриптов. Для создания безопасной среды среды выполнения администраторы могут подписывать все используемые файлы PowerShell скриптов.
1️⃣ Подписать скрипт можно с помощью закрытого ключа сертификата типа Code Signing (можно сгенерировать самоподписанный сертификат или запросить доверенный серт в своем внутреннем CA).
2️⃣ Чтобы подписать PS1 файл с помощью сертификата из локального хранилища:

 Set-AuthenticodeSignature $file $cert

3️⃣ Открытый ключ сертификата нужно добавить в доверенные на компьютерах клиентов.
4️⃣ Затем изменить настройки PowerShell Execution Policy на Allow only signed scripts через GPO или командой:

Set-ExecutionPolicy AllSigned –Force

✅ Теперь компьютеры смогут запускать PS1 скрипты, подписанные доверенными сертификатами. Если код подписанного PowerShell файла будет изменен, политика заблокирует его запуск.

Как подписать код PowerShell скрипта (PS1) с помощью сертификата?

📚Selenium это популярный фреймворк для автоматизации действий в браузере, который позволяет получить содержимое веб-страницы так, как ее видит пользователь (отрабатываются все JS, стили, куки). Обычно Selenium используется для тестирования сайтов.
🤖Сисадмины могут использовать Selenium в скриптах, где нужно автоматически выполнять произвольные задачи в любых веб-панелях администрирования, которые не имеют средств доступа через CLI/API: из скрипта отправить имя пользователя и пароль для входа в веб-интерфейс, навести курсор мыши, нажать кнопку, перейти по ссылке, получить значение из поля.
✅ Фреймворк Selenium не сложный и должен легко зайти даже администраторам без багажа веб разработчика. В статье описаны базовые принципы использования Selenium в PowerShell скриптах автоматизации.
🔹 выполнить тестирование скорости интернета на speedtest и получить результаты
🔹выполнить авто вход в веб-интерфейс Proxmox и узнать состояние ВМ
Автоматизация действий в браузере с помощью PowerShell и Selenium

📚 Для ограничения области применения групповой политики AD до уровня определенных пользователей, групп, или компьютеров с определенными свойствами, доступны несколько методов:
🔹 Security Filtering – GPO применяется только к объектам которые добавлены в определенную группу безопасности AD. Но объекты в такую группу вам придется добавлять и удалять вручную.
🔹 Item Level Targeting в Group Policy Preferences – позволяет выбрать и скомбинировать условия применения параметра GPP из около 30 опций (версия ОС, разрядность, OU). Однако это доступно только для настроек из раздела Preferences.
🔹 WMI фильтры GPO – специальный запрос к пространству имен WMI, который компьютер должен выполнить перед применением GPO и проверить соответствует ли он указанному условию. С учетом того, что из WMI можно получить практически любую информацию, это наиболее универсальный и гибкий способ гранулярного применения настроек GPO к клиентам.

Использование WMI фильтров групповых политик (GPO) в домене AD

Образ Windows 10/11 поставляется с предустановленными UWP/APPX приложений, таких как Погода, Новости, Карты, Музыка, Видео, и др.
Вывести установленные UWP приложения для всех пользователей:

Get-AppxPackage -AllUsers | select Name,PackageFullName

Любое из приложений можно удалить из профилей пользователей:

Get-AppxPackage *Weather* -AllUsers| Remove-AppPackage –AllUsers

А затем из системного хранилища, чтобы оно не устанавливалось новых юзерам:

Get-AppxProvisionedPackage -online | ?{$_.PackageName -like "*Weather*"} | Remove-AppxProvisionedPackage -online

Однако в Windows 11 большое число системных панелей управления, системных служб и расширений устанавливается в виде UWP. Например, панель Параметры, панель управления антивирусом и прочие. Нельзя удалять их бездумно. Вывести список системных UWP приложений:

Get-AppxPackage| ? { $_.SignatureKind -eq "System" }

✅ Удаление предустановленных UWP (APPX) приложений в Windows

⬆️ Windows позволяет повысить редакцию с младшей до более старшей без переустановки ОС с сохранением всех установленных программ, документов, настроек.

🖥 Для апгрейда редакции в десктопных версиях Windows 10 и 11 используется встроенная утилита changepk.exe. Это позволяет выполнить апгрейд в направлении Windows Pro -> Enterprise или Windows Home (single language)-> Pro

changepk.exe /ProductKey xxxxxxxxxxxxxxxx

На вход утилите нужно передать ваш ключ, или универсальный ключ (с которым ставится Windows, когда при установке ОС выбирается пункт “Пропустить ввод ключа)”
Как изменить редакцию Windows 10/11 без переустановки ОС?

🗄 В Windows Server для апгрейда редакции со Standard (или Evaluation) до Datacenter используется DISM:

DISM /online /Get-CurrentEdition 
DISM /online /Get-TargetEditions 
DISM /online /Set-Edition:ServerDatacenter /productkey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /accepteula

Апгрейд редакции Windows Server

🖨 Начиная с Windows 10 1511, Microsoft изменила порядок назначения принтера по умолчанию в Windows. Теперь Windows сама переназначает принтер по-умолчанию для пользователя, назначая таким тот, который в текущем местоположении использовался последним.
😞 Это вызывает проблему у пользователей, у которых подключены разные принтеры. В моем случае громче всех жаловался пользователь, у которого одновременно подключен принтер этикеток, цветной и обычный офисный принтеры.
✅ Запретить Windows переназначать принтер по-умолчанию можно,
🔹отключив опцию Let Windows manage my default printer в панели Параметры.
🔹через реестр:

REG ADD "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" -v LegacyDefaultPrinterMode /t REG_DWORD /d 1 /f 

🔹 или с помощью параметра групповой политики Turn off Windows default printer management в разделе User Configuration -> Administrative Templates -> Control Panel -> Printers редактора GPO.
Почему Windows меняет принтер по умолчанию.

📷 В атрибутах пользователя Active Directory можно хранить его фото, которое будет отображаться в приложениях с поддержкой этого функционала (Outlook, Word, Excel, Lync, SharePoint) или использоваться в качестве аватарки в Windows. Фото хранится непосредственно в AD, поэтому не рекомендуется загружать туда большие изображения.
✅ Рекомендуемые размер 10 Кб, 96x96 пикселей.
Для загрузки фото пользователю можно использовать PowerShell

$photo = [byte[]](Get-Content C:\PS\admin_photo.jpg -Encoding byte) 
Set-ADUser vvkuzmin -Replace @{thumbnailPhoto=$photo}  

Загрузка фотографий пользователям Active Directory

🖥 В десктопных версиях Windows 10 и 11 есть ограничение на максимальное количество одновременных сетевых подключений к системе. Если на таком компьютере расшарена общая папка или сетевой принтер, которые используют другие клиенты, то при превышении 20 подключений появится ошибка:

Дополнительные подключения к этому удаленному компьютер сейчас невозможны, так как их число достигло предела.

⛔️Таким образом MSFT ограничивает использование десктопных редакции Windows в качестве сервера, предлагая приобрести лицензию Windows Server, в котором нет таких ограничений.

Вывести список активных сессий:

net session 

Завершить все сессии с указанного IP :

net session \\192.168.31.94 /d /y

Можно уменьшить таймаут для авто отключения неактивных клиентов с 15 минут, до 5:

net config server /autodisconnect:5 

Или мониторить количество активных сессий и отключать их с помощью PowerShell.

Ограничение на количество одновременных сетевых подключений в Windows

⏳Microsoft недавно анонсировала, что в грядущем обновлении Windows 11 24H2 по умолчанию будет включено требование обязательного использование подписывания SMB пакетов при доступе к сетевым папкам. SMB signing позволят защитить пользователей от SMB атак типа man-in-the-middle и NTLM relay.

⛔️ Однако данная мера безопасности может вызвать проблемы с доступом к общим сетевым папкам на хранилищах NAS, на которых в большинстве случаев SMB signing отключено (Synology, ASUStor, QNAP) в целях снижения нагрузки на оборудование.

✅ Администраторам желательно до момента массовой раскатки обновления 24H2 (ориентировочно сентябрь 2024 года) протестировать наличие поддержки SMB signing на стороне NAS хранилищ и проанализировать изменение нагрузки на устройства.

Возможные проблемы с доступом к общим папкам на NAS после установки обновления Windows 11 24H2

☁️ Пропустил новость, что в Proxmox VE 8.2 (релизнулась в апреле 2024) появилась встроенная возможно прямого импорта виртуальных машин с хостов VMware ESXi. При миграции копируются большинство настроек конфигурации ВМ и сам процесс не сложный. Инструмент, безусловно, полезный особенно для тех, кто планирует потихоньку съезжать с VMware на альтернативные гипервизоры из-за нововведении Broadcom
✅Импортер позволяет смонтировать удаленный ESXi (версий 6,5 по 8.0) хост в виде отдельного хранилища, выбрать ВМ и запустить ее перенос. Все из веб интерфейса. Из недостатков – не поддерживается vSAN хранилища, низкая производительность при переносе ВМ со снапшотами и при миграции через vCenter (предпочтительнее использовать прямое подключение к ESXi).
🛠 В статье подробно рассмотрели особенности переезда Windows ВМ с ESXi на Proxmox, удаление VMTools, установка VirtIO драйверов и смена типа виртуального оборудования для оптимальной производительности.

Перенос (миграция) виртуальных машин с VMware ESXi на Proxmox

📂Для автоматического монтирования сетевых папок с файлового сервера в качестве сетевых дисков можно использовать предпочтения групповых политик. В статье рассматривается пример подключения сетевых дисков пользователю в зависимости от групп безопасности AD, в которые он добавлен.

👥 Такой подход позволит автоматом подключить всем пользователям одного отдела сетевую папку с общими документами. Для этого достаточно добавить пользователя в нужную группу.

Также с помощью GPO можно подключить персональный диск с личными документами пользователя.

✅ Подключение сетевых дисков в Windows через GPO

⚙️ Есть два основных пути для запуска контейнеров Docker в Windows 10 и 11: нативное win приложение Docker Desktop для Windows (требует Hyper-V, отдельную Linux ВМ с Docker) или установка Docker Engine в образ Linux, который запускается в среде Windows Subsystem for Linux (WSL2).

📦 Если вам нужно запускать только Linux контейнеры, то наименее требовательным к ресурсам хоста будет запуск Docker Engine внутри образа WSL. В статье рассмотрены базовые шаги по установке и использованию Docker Engine в среде Windows Subsystem Linux (WSL2).

https://winitpro.ru/index.php/2024/07/11/ustanovit-docker-windows-subsystem-linux-wsl2/

🔀 Если вы планируете сменить имя сервера Windows, то для плавной миграции клиентских устройства на новое имя, на сервере можно добавить дополнительное (альтернативное) имя компьютера. Это позволит постепенно перенастроить клиентов на новое имя, не теряя старого имени.

✅ В Windows Server для добавления альтернативного имени компьютера можно использовать утилиту netdom:

netdom computername fs01 /ADD new-fs01.corpdev.loc 

Команда сама создаст CNAME (алиас) для нового имени в DNS и обновит SPN имена в учетной записи компьютера в AD.

🚫 В дестопных Windows 10 и 11 утилита netdom отсутствует, поэтому в них придется вручную добавить новое имя в DNS, в параметр реестра AlternateComputerNames и обновить SPN.

Добавить несколько альтернативных имен Windows-компьютера

📚 Одна из полезных, но почему-то редко используемых опций SMB файлового сервера (будь то Windows или Samba) является ABE (Access-Based Enumeration или перечисление на основе доступа).
✅ Если включить эту опцию в свойствах сетевой папки, то пользователи будет видеть в ней только те каталоги и файлы, к которым у них есть NTFS права доступа (как минимум Read). Все остальные объекты в каталоге для него будут скрыты. Опция ABE очень удобна при доступе к сетевым шарам с большим количеством вложенных подкаталогов (например, папок отдела). Пользователь видит только те папки, которые ему разрешены.
🔹 Access-Based Enumeration включается в свойстве папки через Server Manager или из PowerShell:

Get-SmbShare DOCS | Set-SmbShare -FolderEnumerationMode AccessBased 

🔹 В Samba надо добавить в smb.conf :

hide unreadable = Yes

Другая опция скрывает сами шары при просмотре сетевого окружения:

access based share enum = Yes

Скрываем папки недоступные пользователю с помощью Access-Based Enumeration (ABE) в Windows Server

☁️Клиент облачного хранилища OneDrive предустановлен во всех версиях Windows 11 и 10, глубоко интегрирован в операционную систему и запускается автоматически при входе пользователя. По умолчанию в Windows используется per-user версия OneDrive, а это значит, что клиент устанавливается в профиль каждого пользователя (%localappdata%\Microsoft\OneDrive).

🗑Если вы не используете OneDrive, вы можете удалить его. Но придется удалять его для каждого профиля пользователя на компьютере.
Кроме того, чтобы предотвратить установку OneDrive в профили новых пользователей, нужно внести изменения в реестр пользователя Default, который используется в качестве шаблона при создании новых пользователей.
✅ Чтобы удалить строку установки OneDrive из реестра аккаунта Default, можно воспользоваться командами:

reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg delete "HKEY_USERS\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "OneDriveSetup" /f
reg unload "hku\Default

Как удалить OneDrive в Windows 10/11

🍺 Сегодня последняя пятница июля, и это значит, с днем Системного Администратора все прогрессивное человечество 😎!

Сисадмин это состояние души!
С праздником, коллеги!🎉

#sysadminDAY

🏃Начиная с Windows 8, MSFT сделала диспетчер задач основным инструментом для управления автозапуском приложений. На отдельной вкладке Автозагрузка в Task Manager содержится список программ (как win32 так и MS Store /UWP) автоматически стартующих при входе пользователя. Здесь же можно включить или отключить автозапуск для каждой программы и посмотреть влияние приложения на общую скорость загрузки компьютера.

🤷‍♂️Однако из диалогового окна Task Manager нельзя добавить в автозагрузку пользователю новые программы . Дело в том, что Task Manager строит список автозагрузки на основании нескольких источников:

🔹 Папки автозагрузки текущего пользователя (команда перехода shell:Startup) и для всех пользователей (shell:Common Startup)
🔹 Нескольких веток реестра текущего пользователя (HKCU) и системы (HKLM)

✅Если вы хотите отредактировать список автозагрузки, нужно добавить/отредактировать/удалить соответствующие элементы в этих источниках.
Исследование и управление автозагрузкой в Windows 10/11.

📜Небольшой PowerShell скрипт, который выведет список событий установки/удаления MSI пакетов, MS Store приложений и обновлений, установленных через Windows Update за последние 7 дней. А также информацию о пользователях, которые запустили установку/удаление ПО.

$DaysAgo = (Get-Date).AddDays(-7)
$RealiabilityFilter= "TimeGenerated > '$DaysAgo' and (SourceName='Microsoft-Windows-WindowsUpdateClient' or SourceName='MsiInstaller')"
Get-CimInstance -ClassName Win32_ReliabilityRecords -filter $RealiabilityFilter|Select TimeGenerated,ProductName,User,message |Out-GridView

✅ Скрипт получает данные из журнала Монитора стабильности Windows (Reliability Monitor). Его удобно использовать, когда нужно быстро нужно получить информацию о последних изменениях в ОС.

Просмотр истории установки и удаления программ в Windows