Чтобы добавлять сообщения и комментарии, .

@Hawat:
Hawat

Интересно как скоро такое действительно появится

@Hawat:
Hawat

Особенность рекламы в том, что если она не работает, то в нее перестают вкладываться...Так покажите мне тех дебилов, которые до сих пор верят в победу в интернет казино!

@Hawat:
Hawat

Тут рядом обсуждают рекламу. Вот меня очень поразил yandex, когда я зашел на их сервис(расписания) и увидел там их-же рекламные банеры. ну совсем совести нет.

@Hawat:
Hawat

geektimes.ru Китайский нонейм ведрофон позиционирует себя убийцей Vertu...ага того самого Vertu, что умер вместе с Nokia и Symbian S60 несколько нет назад.

@Hawat:
Hawat

geektimes.ru Китайцы совсем ебанутые, решили запретить adblock. Вы только Яровой и прочим депутатам-имбецилам это не показывайте.

@Dant:
Dant

Как правильно чинить политики, поломанные патчем MS16-072/KB3159398:

grouppolicy.biz
blogs.technet.microsoft.com

В целом — несложно (добавляем явно разрешение Read для Authenticated Users/Domain Computers), но лучше это сделать ДО применения замечательного патча : )

@Dant:
Dant

После обновления KB3159398 от 14 июня все пользовательские политики с Security Filtering по группе пользователей пайдут паписде. Кардинальненько так, чоужтам... Чо делать — хбз. Для начала — не разворачивать это обновление в глобальном продакшене.

grouppolicy.biz
blogs.technet.microsoft.com
sdmsoftware.com

goo.gl
technet.microsoft.com

@Dant:
Dant

Одна из причин, по которой крайне нежелательно использовать реальные, но непринадлежащие организации доменные имена 2-го уровня для внутренней инфраструктуры леса АДе: us-cert.gov

@fmap:
fmap

Здесь мог быть ваш пук.

@Dant:
Dant

Толково про расстановку групп безопасности в АДе по феншуям и миграцию между лесами-доменами. Не пытайтесь повторить это дома, как говоритцо : ))

argon.pro
argon.pro

@Dant:
Dant

Setting external time source in AD: pastebin.com

/VIA richardspowershellblog.wordpress.com

@otakuSiD:
otakuSiD

Rename computer and join to domain in one step with PowerShell

stackoverflow.com

@otakuSiD:
otakuSiD

Import-Module ActiveDirectory timing out

social.technet.microsoft.com

Причем тихо валится, без единой ошибки.

И внезапно:

Beginning in Windows PowerShell 3.0, modules are imported automatically when any cmdlet or function in the module is used in a command. This feature works on any module in a directory that this included in the value of the PSModulePath environment variable.
technet.microsoft.com

Так что сбриваем нахрен импорт.

@ComradeDOS:
ComradeDOS

9 REASONS YOU SHOULD BE USING PYCHARM: blog.michaelckennedy.net

@Dant:
Dant

How to configure IIS to support large AD Token with Group Policy: grouppolicy.biz

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\HTTP\\Parameters]
"MaxFieldLength"=dword:0000ffff
"MaxRequestBytes"=dword:01000000

@Dant:
Dant

Безопасность всей сети определяется безопасностью ее самого слабого звена. Азбука, конечно, но внимательно прочуйствовать — никогда не помешает.

Вполне себе рабочий сценарий: есть незапатченная икспешечка, которая пробивается эксплойтом. Опа раз — ты уже SYSTEM на ней. Пара волшебных пассов — и раздербанен пароль пользователя, который на ней работает. Опа два — и ты уже доменный пользователь, который может прочитать доменные политики из сисвола, в которых, естестно, задается пароль локального администратора на все сервера и рабочие станции домена, а декодировать тот пароль — абсолютно тривиальная задача.

Опа три — и ты уже локальный администратор всея серверов домена. Несколько часов сканирования под локал-админом — и найден сервер, на котором висит дисконнектнутая домен-админская сессия. Пара волшебных пассов на этом сервере — и из админской сессии вытаскивается токен доступа какого-нить домен-админского процесса, с которым делается подключение к контроллеру. Опа четыре — и ты уже домен-админ, который может создать пользователя CoolHazker с паролем P@ssw0rd и включить его в Domain Admins : ) Опа пять — и ты можешь делать со всем доменом что захочешь, подключаться к чему угодно, вешать кейлоггеры и развлекаться любыми другими способами, ограниченными только безразмерной фантазией.... Такие дела.

Способов борьбы вижу немного: икспи — в хлам и утиль, за административные пороли в групповых политиках — расстрела на месте, ну и пытаться ограничить удаленное использование локальных аккаунтов, что может быть нетривиальной задачей.

Хорошее видео для медитации и мотивации: youtube.com

@Dant:
Dant

При создании пользователя простыми скриптами нагугленными гуглением, пользователь будет создаваться с флагом PASSWD_NOTREQD, который нельзя увидеть/изменить в гуях. На практике это означает, что даже при доменной политике сложных паролей в 256 символов, администратор через Reset Password в консоли ADU&C dsa.msc может сбросить пароль пользователя на любой, втч и пустой, что вполне себе такая чорная дыра в безопасности : ))

Do You Allow Blank Passwords In Your Domain? blogs.technet.com

Controlling the Password Not Required Property Using Update-Password-Not-Required-Bit: windowsitpro.com

support.microsoft.com

@Dant:
Dant

Administrative Templates (.admx) for Windows 10. RSAT-ов еще хочу-хочу и можно будет начинать думать за апгрейд : )

grouppolicy.biz
microsoft.com

@fmap:
fmap

youtube.com

@fmap:
fmap

tpc.googlesyndication.com
А можно было просто стать геем.

@ls:
ls

sotona

@segfault:
segfault

youtube.com

@pc:
pc

wmic.exe /interactive:off ComputerSystem Where “name = ‘%computername%’” call JoinDomainOrWorkgroup “OU=XP Workstations;DC=my;DC=domain;DC=com”, 1, “my.domain.com”, “xyz”, “admin@my.domain.com”

@Dant:
Dant

DFSRAdmin & DFSRDiag для маленьких чайников кофейников:

blog.wadmin.ru
blog.wadmin.ru

@Hawat:
Hawat

svalko.org

@egplife:
egplife

Per Aspera Ad Astras*****→EARTH→)→*→*

@k1lg0reTr0ut:
k1lg0reTr0ut

стоит hyper-v. на нем в качестве контроллер домена крутится виртуалка.
внезапно, нужно провести восстанволение виртуалки и для этого запустить ее в DSRM mode.
соответственно, туда нужно логиниться имя_хоста\administrator.
а хуй, потому что hyper-v использует RDP для коннекта к виртуалке! и этот юзер не в списке пользователей, которые могут логиниться по RDP.
вот эта фича hyper-v, я ее не сильно видимо понимаю? как и где можно разрешить заходить на виртуалку кому угодно без логина на саму виртуалку?

@nixon89:
nixon89

Гуглю про "названия файлов зеленого цвета" :в
А вы сталкивались с этим?))

@nixon89:
nixon89

Проболжаю ебаться по-тихоньку с той задачкой, пару постов назад.
Дак вот. Есть свинсервер 2012, введенный в домен есть контроллер домена винсервер 2008 r2.
Делаю Replica Domain Controller на 2012-м. Установил службы Actrive Diretory в 2012-м. Делаю пункт "Развертывание" из этого мануала — technet.microsoft.com
Застрял на пункте "Установить". Самый последний в моменте когда повышение уровня 2012-го винсервера идет. Нельзя нажать, потому что пользователь, которого я указывал в этих пунктах, "Не находится в группах Администраторы схемы и Администраторы предприятия".
Пошел посмотреть на контроллере, мой пользователь там состоит в этих группах, ну и + в группе Администраторы домена, естественно в ней состою.
Вопрос, почему 2012-ый считает что я в них не состою? Как с этим бороться?

@nixon89:
nixon89

Одна из дурацких особенностей kerio control (речь идет о 7.х версиях, как с этим в 8.х версия дела обстоят — не щупал еще), это то, что он не может удалять пользователей из статистики, которых уже нет ни в самом керио ни в домене, к которому он присоединен. Т.е. чувака удалили, например, год назад. А в админке со статистикой он все равно показывается, хотя у него и будет расход трафика по нолям.
При вычленении нужных пользователей с расходом трафика на человека, эти "мертвые души" уж больно бросаются в глаза.

@nixon89:
nixon89

у меня тут в связи с покупкой нового железа, лицензионного ПО и необходимостью получения аттестата о защите ИСПДН (или как он там называется) квест наметился)) поставит вин сервер 2012 фстэковский, перевести на него домен с вин сервер 2008 r2, убить старый контроллер домена.
рядом поставить вин сервер 2012 фстэковский, налепить на него керио контрол фстековский. и заменить старый керио новым лицензионным и фстэковским версии 7.2.3.
Еще часть квеста состоит в том, что надо эту винду серверную фстэковскую "подтверждать" через агента SafeNet (алладиновским usb-токеном.

PS: лютобешено жду когда kerio аттестует версию 8.3 во ФСТЭКе. Ибо можно будет поставить на виртуалку его без необходимости иметь вин сервер лицензионный. Т.к. kerio отказались от windows версий своей UTM начиная с версии 8.0. Манагер сказал что сейчас они находятся на второй стадии аттестации — непосредственно проверке фСТэком версии 8.3 на соответствие их требованиям. Обещали, что процедура закончится в первом квартале 2015-го. И тогда мне можно будет спокойно перевести керио в virtual appliance.
PS2: хорошо то, что с момента активации той лицензии на керио, которая фстэковская (да и лбоую лицензию керио можно так же сделать), начинает действовать поддержка software maintance, суть которой в том, что при выходе более новой версии, можно без дополнительной платы проапгрейдиться на актуальную версию.

@Shura:
Shura

Просто офигенная реклама от Sony

@nixon89:
nixon89

Вот у меня тут такой вопрос по лицензиям возник:
У меня есть 5 лицензий CAL, допустим. На УСТРОЙСТВО.
1. Если у меня есть 5 компутеров, подключенных в домен, и я добавляю 6-ой, то как они будут себя вести? Кто первый — тот и папа ( тот и сможет зайти в AD)?
2. Если я хочу чтобы люди ходили к отдельному приложению как к remoteapp, то мне нужно активировать terminal services (тоже ведь отдельных денег стоит). На них отдельную лицензию еще отдельно нужно на каждого пользователя в дополнение к тем 5 cal лицензиям на устройства из первого пункта?
3. Если второй пункт такой как я думаю (что для ts этого нужны дополнительные лицензии), то есть ли еще сервисы в windows server которые требуют отдельное лицензирование по пользователям/устройствам?
4. Еще раз про устройства. CAL лицензия на устройство — это на активное устройство лицензия или на присоединенный компьютер в оснастке AD в пункте computers (пусть даже он сто лет назад присоединен и с того времени не включался)?

@Dant:
Dant

Quickly Explained: Migrate Your SYSVOL Replication from FRS to DFSR: blogs.technet.com

@k1lg0reTr0ut:
k1lg0reTr0ut

вопрос на засыпку.
есть в одном филиале RODC. на нем кешируются только учетки обычных работников филиала. ни одного доменного админа не кешируется. ни одной учетки, которая имеет права ментейнить сервак тоже не кешируется.
теперь предположим, что человек, который ментейнит RODC(состоит в группе которая определена в Managed By вкладке у учетки RODC) случайно... выключил сетевой интерфейс.
сети нет, никто на RODC зайти не может. так как сети нет, и нельзя аутентифицировать пользователя.
Есть допустим ILO на железке. но зайти нельзя.
что в таких случаях можно сделать? Safe Mode?

@k1lg0reTr0ut:
k1lg0reTr0ut

такое дело.
есть политика, которая применяется только к компу. Во всяком случае, я не нашел, как применить к юзеру File Type Assotiation в политиках для Windows 8.
Вот, политика применяется к компу, а нужно применить к нескольким пользователям.
при этом, компы абсолютно всех лежат в одной OU, и рассортировать их по отделам нельзя.
то есть, если применять политику, то она разойдется по всем компам. а вот как ограничить политику и проверить, заходит ли туда именно определенный юзер входящий в определенную группу.
WMI тут врят ли помогут.
есть ли истории успеха?

@EVILTOYTHING:
EVILTOYTHING

памятка: GPO Reference Guide с шахматами, поэтессами, фильтрами и адекватным поиском
Полезная линка gpsearch.azurewebsites.net
В отличии от мсных гайдов в виде табличек экселек — всё в одном месте. В смысле — все версии ИЕ етс.

@k1lg0reTr0ut:
k1lg0reTr0ut

В дампе есть такой вопрос.
QUESTION 68
Your network contains an Active Directory domain named contoso.com. The domain contains a domain controller named DC1 that runs Windows Server 2012 R2.
You create an Active Directory snapshot of DC1 each day.
You need to view the contents of an Active Directory snapshot from two days ago.
What should you do first?

A. Run the dsamain.exe command.
B. Stop the Active Directory Domain Services (AD DS) service.
C. Run the ntdsutil.exe command.
D. Start the Volume Shadow Copy Service (VSS).
________________
Правильно ли я понимаю, что
1. вначале снепшот монтируется через ntdsutil snapshot mount {GUID}
2. запускается dsamain c базой на примонтированном в п.1 разделе и своим выделенным портом.
3. через ADUC нужно заходить на контроллер:порт из п.2 и уже можно видеть старую версию AD.

Т.е. правильный ответ С. то есть нужно вначале примонтировать и сделать это можно только через ntdsutil.

@k1lg0reTr0ut:
k1lg0reTr0ut

подскажите такое.
есть несколько сайтов. они привязаны к подсетям.
но! я нашел сети, которые не привязаны к сайту, и из этих сетей пользователь получает ip.
к какому сайту тогда будет принадлежать юзер? есть ли какой-то дефолтный сайт? и как его посмотреть?
а если к конкретному сайту привязана политика и она должна выполняться на клиенте, а он из сети, которая не привяза к сайту, как эта политика выполнится?

@k1lg0reTr0ut:
k1lg0reTr0ut

а я веть правильно понимаю, что параметр GPO: Turn off background refresh of Group Policy, который находится по пути "Computer Configuration/Administrative Templates/System/Group Policy", который запрещает обновлять именно эту данную политику(на другие объекты GPO оно не влияет), пока юзер не разлогинится?
и второй вопрос, Preferense это же немного другое. и на Preference в силу их своиств этот параметр не влияет?