Столкнулись с проблемой. Терминальные сервера с установленной CryptoPro перестали обновляться. Оказалось что CryptoPro знают о проблеме и вывесили своей странице специальный патч.
Рубрика: windows
windows 2012 TS mystical shutdown
Завели мы терминальный сервер на платформе windows 2012. Подключили к нему тонких клиентов и вроде бы все хорошо, но стал этот терминальник изредка выключатся. Пользователи в правах ограничены — кнопок «выключить» у залогиненого юзера нет. Но оказалось что в домене есть политика — которая позволяет пользователю не прошедшему авторизацию выключать компьютер.
Чтобы найти локальную политику нужно запустить gpedit.msc и в дереве выбрать — «конфигурация windows — Параметры безопасности — Локальные политики — Параметры безопасности». И найти политику «Завершение работы: Разрешить завершение работы системы без выполнения входа в систему».
У меня эта политика была запрещена для редактирования. rsop.msc показал что ее переопределяет default domain policy. И действительно — на контроллере домена политика «shutdown: allow system to be shut down without having to log on» была определена в состоянии enable.
снял галку, обновил политики и смог отредактировать локальную политику сервера как надо — т.е. отключить пользователям возможность shutdown. Правда дальнейшее исследование показало что непривелигерованный пользователь все равно может выполнить команду shutdown -s и она сработает. Но с этой историей разбираться будем в следующий раз.
https://social.technet.microsoft.com/Forums/ru-RU/4eee9b6e-611e-4b3d-a56f-c48b3deac084/-?forum=WS8ru
windows 10 god mode
Создать на рабочем столе папку с именем.
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C}
Action Center.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
Backup and Restore.{B98A2BEA-7D42-4558-8BD1-832F41BAC6FD}
Biometric Devices.{0142e4d0-fb7a-11dc-ba4a-000ffe7ab428}
Credential Manager.{1206F5F1-0569-412C-8FEC-3204630DFB70}
Default Location.{00C6D95F-329C-409a-81D7-C46C66EA7F33}
Devices and Printers.{A8A91A66-3A7D-4424-8D24-04E180695C7A}
Display.{C555438B-3C23-4769-A71F-B6D3D9B6053A}
HomeGroup.{67CA7650-96E6-4FDD-BB43-A8E774F73A57}
Location and Other Sensors.{E9950154-C418-419e-A90A-20C5287AE24B}
Notification Area Icons.{05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}
Recovery.{9FE63AFD-59CF-4419-9775-ABCC3849F861}
RemoteApp and Desktop Connections.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}
Speech Recognition.{58E3C745-D971-4081-9034-86E34B30836A}
Troubleshooting.{C58C4893-3BE0-4B45-ABB5-A63E4B8C8651}
Administrative Tools.{D20EA4E1-3957-11d2-A40B-0C5020524153}
All .NET Frameworks and COM Libraries.{1D2680C9-0E2A-469d-B787-065558BC7D43}
All Tasks (Control Panel).{ED7BA470-8E54-465E-825C-99712043E01C}
AutoPlay.{9C60DE1E-E5FC-40f4-A487-460851A8D915}
BitLocker Drive Encryption.{D9EF8727-CAC2-4e60-809E-86F80A666C91}
Computer Folder.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
Default Programs.{17cd9488-1228-4b2f-88ce-4298e93e0966}
Ease of Access Center.{D555645E-D4F8-4c29-A827-D93C859C4F2A}
Font Settings.{93412589-74D4-4E4E-AD0E-E0CB621440FD}
Get Programs.{15eae92e-f17a-4431-9f28-805e482dafd4}
Manage Wireless Networks.{1FA9085F-25A2-489B-85D4-86326EEDCD87}
Network and Sharing Center.{8E908FC9-BECC-40f6-915B-F4CA0E70D03D}
Network Connections.{7007ACC7-3202-11D1-AAD2-00805FC1270E}
Network Folder.{208D2C60-3AEA-1069-A2D7-08002B30309D}
Parental Controls.{96AE8D84-A250-4520-95A5-A47A7E3C548B}
Performance Information and Tools.{78F3955E-3B90-4184-BD14-5397C15F1EFC}
Personalization.{ED834ED6-4B5A-4bfe-8F11-A626DCB6A921}
Power Options.{025A5937-A6BE-4686-A844-36FE4BEC8B6D}
Programs and Features.{7b81be6a-ce2b-4676-a29e-eb907a5126c5}
Sync Center.{9C73F5E5-7AE7-4E32-A8E8-8D23B85255BF}
System.{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}
User Accounts.{60632754-c523-4b62-b45c-4172da012619}
Windows Firewall.{4026492F-2F69-46B8-B9BF-5654FC07E423}
Windows SideShow.{E95A4861-D57A-4be1-AD0F-35267E261739}
Windows Update.{36eef7db-88ad-4e81-ad49-0e313f0c35f8}
Перепечатал, чтобы не потерять. Источник — https://hi-tech.mail.ru/news/win-10-god-mode/
windows ts event-id 4105
Случилось так, что на одном из моих терминальных серверов перестали раздаваться лицензии на подключение. В логах event 4105.
A warning event occurred. EventID: 0xC9001009 Time Generated: 03/15/2012 06:43:56 Event String: The Remote Desktop license server cannot update the license attributes for user «<login>» in the Active Directory Domain «rums.bis». Ensure that the computer account for the license server is a member of Terminal Server License Servers group in Active Directory domain «rums.bis». If the license server is installed on a domain controller, the Network Service account also needs to be a member of the Terminal Server License Servers group. If the license server is installed on a domain controller, after you have added the appropriate accounts to the Terminal Server License Servers group, you must restart the Remote Desktop Licensing service to track or report the usage of RDS Per User CALs. Win32 error code: 0x80070005
Сервер лицензий (он же терминальный сервер) присутствовал в группе Terminal Server License Servers. Поиск показал что проблема связана с правами сервиса.
http://www.eventid.net/display.asp?phase=1&eventid=4105&eventno=10491&source=Microsoft-Windows-TerminalServices-Licensing
Убедитесь что доменная группа Terminal Server License Servers имеет следующие разрешения на AD пользователей. Для этого
- открыть Active Directory Users And Computers
- Tick View -> Advanced
- Right click on the root of your domain and select properties.
- Select the Security tab.
- Check if «Terminal Server License Servers» is listed with special permissions. If not, click on «Advanced» and add the domain group «Terminal Server License Servers», select «Applies onto» «User objects», then tick the permissions «Read Terminal Server License Servers» and «Write Terminal Server License Servers».
В моем случае как раз нужной группы в списке не было. И данные действия помогли. Лицензии стали раздаваться всем — ошибка из логов исчезла.
zabbix agent windows
Установить zabbix агента на windows — самый простой способ замониторить хост по многим параметрам. Для того чтобы агент заработал нужно положить на c:\zabbix файлы из архива.
http://www.zabbix.com/downloads/3.2.0/zabbix_agents_3.2.0.win.zip
- zabbix_agentd.exe
- zabbix_get.exe
- zabbix_sender.exe
- zabbix_agentd.win.conf
исполняемые файлы надо брать правильной разрядности.
далее необходимо настроить конфиг — zabbix_agentd.win.conf. Для работы нужно параметры
- Server=172.27.67.100
- Hostname=ADMIN7
- LogFile=c:\zabbix\zabbix_agentd.log
- ServerActive=172.27.67.10
ServerActive нужен для работы active check — в большинстве случает его можно не настраивать.
Далее нужно установить zabbix-agent как службу.
c:/zabbix/zabbix_agentd.exe --config c:/zabbix/zabbix_agentd.win.conf --install
Далее остается запустить службу и по логам убедится что все работает.
В логах должно быть что-то похожее на
2420:20170912:155005.499 Starting Zabbix Agent [ADMIN7]. Zabbix 3.2.0 (revision 62444). 2420:20170912:155005.499 **** Enabled features **** 2420:20170912:155005.499 IPv6 support: YES 2420:20170912:155005.499 TLS support: NO 2420:20170912:155005.499 ************************** 2420:20170912:155005.499 using configuration file: c:\zabbix\zabbix_agentd.win.conf 2420:20170912:155005.499 agent #0 started [main process] 2212:20170912:155005.499 agent #1 started [collector] 2352:20170912:155005.499 agent #4 started [listener #3] 2356:20170912:155005.499 agent #3 started [listener #2] 2364:20170912:155005.499 agent #5 started [active checks #1] 2156:20170912:155005.499 agent #2 started [listener #1]
Но это ручной способ установки. Существуют полуавтоматические скрипты и способы не интерактивной установки.
например с помощью утилиты psexec.exe. Если положить файлики в правильное место, то с помощью команды
psexec \\I3 -s c:\zabbix\zabbix_agentd.exe --config c:\zabbix\zabbix_agentd.win.conf --install
удалось установить службу на windows xp.
windows time settings
Два небольших скрипта для настройки и проверки винды на предмет установки ntp. Если запустить их модификации через доменные политики на всех компах, можно раз и навсегда решить проблему с неточным временем.
time.bat
w32tm /config /manualpeerlist:XXX.XXX.XXX.XXX /syncfromflags:manual /reliable:yes /update net stop w32time net start w32time w32tm /stripchart /computer:XXX.XXX.XXX.XXX /samples:500 /dataonly pause
time-test.bat
w32tm /stripchart /computer:XXX.XXX.XXX.XXX /samples:50 /dataonly