windows update vs Crypto Pro

Столкнулись с проблемой. Терминальные сервера с установленной CryptoPro перестали обновляться.  Оказалось что CryptoPro знают о проблеме и вывесили своей странице специальный патч.

windows 2012 TS mystical shutdown

Завели мы терминальный сервер на платформе windows 2012. Подключили к нему тонких клиентов и вроде бы все хорошо, но стал этот терминальник изредка выключатся. Пользователи в правах ограничены — кнопок «выключить» у залогиненого юзера нет. Но оказалось что в домене есть политика — которая позволяет пользователю не прошедшему авторизацию выключать компьютер.

Чтобы найти локальную политику нужно запустить gpedit.msc и в дереве выбрать — «конфигурация windows — Параметры безопасности — Локальные политики — Параметры безопасности».  И найти политику «Завершение работы: Разрешить завершение работы системы без выполнения входа в систему».

У меня эта политика была запрещена для редактирования. rsop.msc показал что ее переопределяет default domain policy. И действительно — на контроллере домена политика «shutdown: allow system to be shut down without having to log on» была определена в состоянии enable.

снял галку, обновил политики и смог отредактировать локальную политику сервера как надо — т.е. отключить пользователям возможность shutdown. Правда дальнейшее исследование показало что непривелигерованный пользователь все равно может выполнить команду shutdown -s и она сработает. Но с этой историей разбираться будем в следующий раз.

https://social.technet.microsoft.com/Forums/ru-RU/4eee9b6e-611e-4b3d-a56f-c48b3deac084/-?forum=WS8ru

windows 10 god mode

Создать на рабочем столе папку с именем.

GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Action Center.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
Backup and Restore.{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}
Biometric Devices.{0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
Credential Manager.{1206F5F1-0569-412C-8FEC-3204630DFB70}
Default Location.{00C6D95F-329C-409a-81D7-C46C66EA7F33}
Devices and Printers.{A8A91A66-3A7D-4424-8D24-04E180695C7A}
Display.{C555438B-3C23-4769-A71F-B6D3D9B6053A}
HomeGroup.{67CA7650-96E6-4FDD-BB43-A8E774F73A57}
Location and Other Sensors.{E9950154-C418-419e-A90A-20C5287AE24B}
Notification Area Icons.{05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
Recovery.{9FE63AFD-59CF-4419-9775-ABCC3849F861}
RemoteApp and Desktop Connections.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}
Speech Recognition.{58E3C745-D971-4081-9034-86E34B30836A}
Troubleshooting.{C58C4893-3BE0-4B45-ABB5-A63E4B8C8651}
Administrative Tools.{D20EA4E1-3957-11d2-A40B-0C5020524153}
All .NET Frameworks and COM Libraries.{1D2680C9-0E2A-469d-B787-065558BC7D43}
All Tasks (Control Panel).{ED7BA470-8E54-465E-825C-99712043E01C}
AutoPlay.{9C60DE1E-E5FC-40f4-A487-460851A8D915}
BitLocker Drive Encryption.{D9EF8727-CAC2-4e60-809E-86F80A666C91}
Computer Folder.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
Default Programs.{17cd9488-1228-4b2f-88ce-4298e93e0966}
Ease of Access Center.{D555645E-D4F8-4c29-A827-D93C859C4F2A}
Font Settings.{93412589-74D4-4E4E-AD0E-E0CB621440FD}
Get Programs.{15eae92e-f17a-4431-9f28-805e482dafd4}
Manage Wireless Networks.{1FA9085F-25A2-489B-85D4-86326EEDCD87}
Network and Sharing Center.{8E908FC9-BECC-40f6-915B-F4CA0E70D03D}
Network Connections.{7007ACC7-3202-11D1-AAD2-00805FC1270E}
Network Folder.{208D2C60-3AEA-1069-A2D7-08002B30309D}
Parental Controls.{96AE8D84-A250-4520-95A5-A47A7E3C548B}
Performance Information and Tools.{78F3955E-3B90-4184-BD14-5397C15F1EFC}
Personalization.{ED834ED6-4B5A-4bfe-8F11-A626DCB6A921}
Power Options.{025A5937-A6BE-4686-A844-36FE4BEC8B6D}
Programs and Features.{7b81be6a-ce2b-4676-a29e-eb907a5126c5}
Sync Center.{9C73F5E5-7AE7-4E32-A8E8-8D23B85255BF}
System.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
User Accounts.{60632754-c523-4b62-b45c-4172da012619}
Windows Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}
Windows SideShow.{E95A4861-D57A-4be1-AD0F-35267E261739}
Windows Update.{36eef7db-88ad-4e81-ad49-0e313f0c35f8}

Перепечатал, чтобы не потерять. Источник — https://hi-tech.mail.ru/news/win-10-god-mode/

windows ts event-id 4105

Случилось так, что на одном из моих терминальных серверов перестали раздаваться лицензии на подключение. В логах event 4105.

A warning event occurred. EventID: 0xC9001009

Time Generated: 03/15/2012 06:43:56

Event String:

The Remote Desktop license server cannot update the license attributes for user «<login>»

in the Active Directory Domain «rums.bis». Ensure that the computer account for the license server is a member of Terminal Server License Servers group in Active Directory domain «rums.bis».

If the license server is installed on a domain controller, the Network Service account also needs to be a member of the Terminal Server License Servers group.

If the license server is installed on a domain controller, after you have added the appropriate accounts to the Terminal Server License Servers group, you must restart the Remote Desktop Licensing service to track or report the usage of RDS Per User CALs.

Win32 error code: 0x80070005

Сервер лицензий (он же терминальный сервер) присутствовал в группе Terminal Server License Servers.  Поиск показал что проблема связана с правами сервиса.

http://www.eventid.net/display.asp?phase=1&eventid=4105&eventno=10491&source=Microsoft-Windows-TerminalServices-Licensing

Убедитесь что доменная группа Terminal Server License Servers имеет следующие разрешения на AD пользователей. Для этого

  • открыть Active Directory Users And Computers
  • Tick View -> Advanced
  • Right click on the root of your domain and select properties.
  • Select the Security tab.
  • Check if «Terminal Server License Servers» is listed with special permissions. If not, click on «Advanced» and add the domain group «Terminal Server License Servers», select «Applies onto» «User objects», then tick the permissions «Read Terminal Server License Servers» and «Write Terminal Server License Servers».

В моем случае как раз нужной группы в списке не было. И данные действия помогли. Лицензии стали раздаваться всем — ошибка из логов исчезла.

zabbix agent windows

Установить zabbix агента на windows — самый простой способ замониторить хост по многим параметрам. Для того чтобы агент заработал нужно положить на c:\zabbix файлы из архива.

http://www.zabbix.com/downloads/3.2.0/zabbix_agents_3.2.0.win.zip

  • zabbix_agentd.exe
  • zabbix_get.exe
  • zabbix_sender.exe
  • zabbix_agentd.win.conf

исполняемые файлы надо брать правильной разрядности.

далее необходимо настроить конфиг — zabbix_agentd.win.conf.  Для работы нужно параметры

  • Server=172.27.67.100
  • Hostname=ADMIN7
  • LogFile=c:\zabbix\zabbix_agentd.log
  • ServerActive=172.27.67.10

ServerActive нужен для работы active check — в большинстве случает его можно не настраивать.

Далее нужно установить zabbix-agent как службу.

c:/zabbix/zabbix_agentd.exe --config c:/zabbix/zabbix_agentd.win.conf --install

Далее остается запустить службу и по логам убедится что все работает.

В логах должно быть что-то похожее на

 2420:20170912:155005.499 Starting Zabbix Agent [ADMIN7]. Zabbix 3.2.0 (revision 62444).
 2420:20170912:155005.499 **** Enabled features ****
 2420:20170912:155005.499 IPv6 support: YES
 2420:20170912:155005.499 TLS support: NO
 2420:20170912:155005.499 **************************
 2420:20170912:155005.499 using configuration file: c:\zabbix\zabbix_agentd.win.conf
 2420:20170912:155005.499 agent #0 started [main process]
 2212:20170912:155005.499 agent #1 started [collector]
 2352:20170912:155005.499 agent #4 started [listener #3]
 2356:20170912:155005.499 agent #3 started [listener #2]
 2364:20170912:155005.499 agent #5 started [active checks #1]
 2156:20170912:155005.499 agent #2 started [listener #1]

 

Но это ручной способ установки. Существуют полуавтоматические скрипты и способы не интерактивной установки.

например с помощью утилиты psexec.exe. Если положить файлики в правильное место, то с помощью команды

psexec \\I3 -s c:\zabbix\zabbix_agentd.exe --config c:\zabbix\zabbix_agentd.win.conf --install

удалось установить службу на windows xp.

windows time settings

Два небольших скрипта для настройки и проверки винды на предмет установки ntp. Если запустить их модификации через доменные политики на всех компах, можно раз и навсегда решить проблему с неточным временем.

time.bat

w32tm /config /manualpeerlist:XXX.XXX.XXX.XXX /syncfromflags:manual /reliable:yes /update
net stop w32time
net start w32time
w32tm /stripchart /computer:XXX.XXX.XXX.XXX /samples:500 /dataonly

pause

time-test.bat

w32tm /stripchart /computer:XXX.XXX.XXX.XXX /samples:50 /dataonly