to post messages and comments.

Тут рядом обсуждают рекламу. Вот меня очень поразил yandex, когда я зашел на их сервис(расписания) и увидел там их-же рекламные банеры. ну совсем совести нет.

После обновления KB3159398 от 14 июня все пользовательские политики с Security Filtering по группе пользователей пайдут паписде. Кардинальненько так, чоужтам... Чо делать — хбз. Для начала — не разворачивать это обновление в глобальном продакшене.

grouppolicy.biz
blogs.technet.microsoft.com
sdmsoftware.com

goo.gl
technet.microsoft.com

Import-Module ActiveDirectory timing out

social.technet.microsoft.com

Причем тихо валится, без единой ошибки.

И внезапно:

Beginning in Windows PowerShell 3.0, modules are imported automatically when any cmdlet or function in the module is used in a command. This feature works on any module in a directory that this included in the value of the PSModulePath environment variable.
technet.microsoft.com

Так что сбриваем нахрен импорт.

Безопасность всей сети определяется безопасностью ее самого слабого звена. Азбука, конечно, но внимательно прочуйствовать — никогда не помешает.

Вполне себе рабочий сценарий: есть незапатченная икспешечка, которая пробивается эксплойтом. Опа раз — ты уже SYSTEM на ней. Пара волшебных пассов — и раздербанен пароль пользователя, который на ней работает. Опа два — и ты уже доменный пользователь, который может прочитать доменные политики из сисвола, в которых, естестно, задается пароль локального администратора на все сервера и рабочие станции домена, а декодировать тот пароль — абсолютно тривиальная задача.

Опа три — и ты уже локальный администратор всея серверов домена. Несколько часов сканирования под локал-админом — и найден сервер, на котором висит дисконнектнутая домен-админская сессия. Пара волшебных пассов на этом сервере — и из админской сессии вытаскивается токен доступа какого-нить домен-админского процесса, с которым делается подключение к контроллеру. Опа четыре — и ты уже домен-админ, который может создать пользователя CoolHazker с паролем [email protected] и включить его в Domain Admins : ) Опа пять — и ты можешь делать со всем доменом что захочешь, подключаться к чему угодно, вешать кейлоггеры и развлекаться любыми другими способами, ограниченными только безразмерной фантазией.... Такие дела.

Способов борьбы вижу немного: икспи — в хлам и утиль, за административные пороли в групповых политиках — расстрела на месте, ну и пытаться ограничить удаленное использование локальных аккаунтов, что может быть нетривиальной задачей.

Хорошее видео для медитации и мотивации: youtube.com

При создании пользователя простыми скриптами нагугленными гуглением, пользователь будет создаваться с флагом PASSWD_NOTREQD, который нельзя увидеть/изменить в гуях. На практике это означает, что даже при доменной политике сложных паролей в 256 символов, администратор через Reset Password в консоли ADU&C dsa.msc может сбросить пароль пользователя на любой, втч и пустой, что вполне себе такая чорная дыра в безопасности : ))

Do You Allow Blank Passwords In Your Domain? blogs.technet.com

Controlling the Password Not Required Property Using Update-Password-Not-Required-Bit: windowsitpro.com

support.microsoft.com

стоит hyper-v. на нем в качестве контроллер домена крутится виртуалка.
внезапно, нужно провести восстанволение виртуалки и для этого запустить ее в DSRM mode.
соответственно, туда нужно логиниться имя_хоста\administrator.
а хуй, потому что hyper-v использует RDP для коннекта к виртуалке! и этот юзер не в списке пользователей, которые могут логиниться по RDP.
вот эта фича hyper-v, я ее не сильно видимо понимаю? как и где можно разрешить заходить на виртуалку кому угодно без логина на саму виртуалку?

Проболжаю ебаться по-тихоньку с той задачкой, пару постов назад.
Дак вот. Есть свинсервер 2012, введенный в домен есть контроллер домена винсервер 2008 r2.
Делаю Replica Domain Controller на 2012-м. Установил службы Actrive Diretory в 2012-м. Делаю пункт "Развертывание" из этого мануала — technet.microsoft.com
Застрял на пункте "Установить". Самый последний в моменте когда повышение уровня 2012-го винсервера идет. Нельзя нажать, потому что пользователь, которого я указывал в этих пунктах, "Не находится в группах Администраторы схемы и Администраторы предприятия".
Пошел посмотреть на контроллере, мой пользователь там состоит в этих группах, ну и + в группе Администраторы домена, естественно в ней состою.
Вопрос, почему 2012-ый считает что я в них не состою? Как с этим бороться?

Одна из дурацких особенностей kerio control (речь идет о 7.х версиях, как с этим в 8.х версия дела обстоят — не щупал еще), это то, что он не может удалять пользователей из статистики, которых уже нет ни в самом керио ни в домене, к которому он присоединен. Т.е. чувака удалили, например, год назад. А в админке со статистикой он все равно показывается, хотя у него и будет расход трафика по нолям.
При вычленении нужных пользователей с расходом трафика на человека, эти "мертвые души" уж больно бросаются в глаза.

у меня тут в связи с покупкой нового железа, лицензионного ПО и необходимостью получения аттестата о защите ИСПДН (или как он там называется) квест наметился)) поставит вин сервер 2012 фстэковский, перевести на него домен с вин сервер 2008 r2, убить старый контроллер домена.
рядом поставить вин сервер 2012 фстэковский, налепить на него керио контрол фстековский. и заменить старый керио новым лицензионным и фстэковским версии 7.2.3.
Еще часть квеста состоит в том, что надо эту винду серверную фстэковскую "подтверждать" через агента SafeNet (алладиновским usb-токеном.

PS: лютобешено жду когда kerio аттестует версию 8.3 во ФСТЭКе. Ибо можно будет поставить на виртуалку его без необходимости иметь вин сервер лицензионный. Т.к. kerio отказались от windows версий своей UTM начиная с версии 8.0. Манагер сказал что сейчас они находятся на второй стадии аттестации — непосредственно проверке фСТэком версии 8.3 на соответствие их требованиям. Обещали, что процедура закончится в первом квартале 2015-го. И тогда мне можно будет спокойно перевести керио в virtual appliance.
PS2: хорошо то, что с момента активации той лицензии на керио, которая фстэковская (да и лбоую лицензию керио можно так же сделать), начинает действовать поддержка software maintance, суть которой в том, что при выходе более новой версии, можно без дополнительной платы проапгрейдиться на актуальную версию.

Вот у меня тут такой вопрос по лицензиям возник:
У меня есть 5 лицензий CAL, допустим. На УСТРОЙСТВО.
1. Если у меня есть 5 компутеров, подключенных в домен, и я добавляю 6-ой, то как они будут себя вести? Кто первый — тот и папа ( тот и сможет зайти в AD)?
2. Если я хочу чтобы люди ходили к отдельному приложению как к remoteapp, то мне нужно активировать terminal services (тоже ведь отдельных денег стоит). На них отдельную лицензию еще отдельно нужно на каждого пользователя в дополнение к тем 5 cal лицензиям на устройства из первого пункта?
3. Если второй пункт такой как я думаю (что для ts этого нужны дополнительные лицензии), то есть ли еще сервисы в windows server которые требуют отдельное лицензирование по пользователям/устройствам?
4. Еще раз про устройства. CAL лицензия на устройство — это на активное устройство лицензия или на присоединенный компьютер в оснастке AD в пункте computers (пусть даже он сто лет назад присоединен и с того времени не включался)?

вопрос на засыпку.
есть в одном филиале RODC. на нем кешируются только учетки обычных работников филиала. ни одного доменного админа не кешируется. ни одной учетки, которая имеет права ментейнить сервак тоже не кешируется.
теперь предположим, что человек, который ментейнит RODC(состоит в группе которая определена в Managed By вкладке у учетки RODC) случайно... выключил сетевой интерфейс.
сети нет, никто на RODC зайти не может. так как сети нет, и нельзя аутентифицировать пользователя.
Есть допустим ILO на железке. но зайти нельзя.
что в таких случаях можно сделать? Safe Mode?

такое дело.
есть политика, которая применяется только к компу. Во всяком случае, я не нашел, как применить к юзеру File Type Assotiation в политиках для Windows 8.
Вот, политика применяется к компу, а нужно применить к нескольким пользователям.
при этом, компы абсолютно всех лежат в одной OU, и рассортировать их по отделам нельзя.
то есть, если применять политику, то она разойдется по всем компам. а вот как ограничить политику и проверить, заходит ли туда именно определенный юзер входящий в определенную группу.
WMI тут врят ли помогут.
есть ли истории успеха?

В дампе есть такой вопрос.
QUESTION 68
Your network contains an Active Directory domain named contoso.com. The domain contains a domain controller named DC1 that runs Windows Server 2012 R2.
You create an Active Directory snapshot of DC1 each day.
You need to view the contents of an Active Directory snapshot from two days ago.
What should you do first?

A. Run the dsamain.exe command.
B. Stop the Active Directory Domain Services (AD DS) service.
C. Run the ntdsutil.exe command.
D. Start the Volume Shadow Copy Service (VSS).
________________
Правильно ли я понимаю, что
1. вначале снепшот монтируется через ntdsutil snapshot mount {GUID}
2. запускается dsamain c базой на примонтированном в п.1 разделе и своим выделенным портом.
3. через ADUC нужно заходить на контроллер:порт из п.2 и уже можно видеть старую версию AD.

Т.е. правильный ответ С. то есть нужно вначале примонтировать и сделать это можно только через ntdsutil.

подскажите такое.
есть несколько сайтов. они привязаны к подсетям.
но! я нашел сети, которые не привязаны к сайту, и из этих сетей пользователь получает ip.
к какому сайту тогда будет принадлежать юзер? есть ли какой-то дефолтный сайт? и как его посмотреть?
а если к конкретному сайту привязана политика и она должна выполняться на клиенте, а он из сети, которая не привяза к сайту, как эта политика выполнится?