egplife
Juick spam AD business hype ‎[23:45:05] ‎Bridgit‎: @Алексей [tg]:
(re high energy physics [xmpp]: <РадужныеТентаклифизикивысокэнер> Псячий_Док, вот он какой Тентакль на самом деле github.com
можно краткое пояснение для тупых?

This is my business model for one project =) 💚🍀💎🍀💚 +∞* $ £¥¢$€🚀💎🤩☕️🌈🌵🐁🌲🦠😷🌀¬­¯±«—»·×⊙☕️🧠🐤🌈🏡🐸🏢🧚🌵🌲🐁☯️🤰🧔¤💰💸💎🍀💚↑💚⟼💚🍀💚

The tentacle will be a cloud machine and I will just rest and make it eternally bringing greater life to owners of any and all hardware devices connected to Internets and Meshes who want to connect to mine additional profits on unspent hardware resources
vt
Linux AD говно я раньше давно 15 лет назад пробовал авторизовывать линукс в виндовом домене. Это делалось как-то через самбу, там надо было в домене создавать какие-то специальные учетные записи, хранить пароли открытым текстом, создавая на каждом компьютере копию доменного пользователя и подобное говно. На днях попробовал sssd, и прям удивительно, что все взлетело с полпинка, пользователь сам копируется, но его пароль не хранится локально, а реально проверяется в домене, и даже смена пароля не рушит хрупкие красноглазые достижения. Но линукс был бы не линуксом, когда через сутки я пробую залогиниться и мне пишет SYSTEM ERROR. Наверное, опять гейтс в штаны насрал красноглазикам, да что ты будешь делать!
Hawat
реклама AD тупняк Особенность рекламы в том, что если она не работает, то в нее перестают вкладываться...Так покажите мне тех дебилов, которые до сих пор верят в победу в интернет казино!
Hawat
Yandex AD Тут рядом обсуждают рекламу. Вот меня очень поразил yandex, когда я зашел на их сервис(расписания) и увидел там их-же рекламные банеры. ну совсем совести нет.
Dant
links AD GP После обновления KB3159398 от 14 июня все пользовательские политики с Security Filtering по группе пользователей пайдут паписде. Кардинальненько так, чоужтам... Чо делать — хбз. Для начала — не разворачивать это обновление в глобальном продакшене.

grouppolicy.biz
blogs.technet.microsoft.com
sdmsoftware.com

goo.gl
technet.microsoft.com
Dant
links AD security WPAD Одна из причин, по которой крайне нежелательно использовать реальные, но непринадлежащие организации доменные имена 2-го уровня для внутренней инфраструктуры леса АДе: us-cert.gov
otakuSiD
AD dev гавно powershell Import-Module ActiveDirectory timing out

social.technet.microsoft.com

Причем тихо валится, без единой ошибки.

И внезапно:

Beginning in Windows PowerShell 3.0, modules are imported automatically when any cmdlet or function in the module is used in a command. This feature works on any module in a directory that this included in the value of the PSModulePath environment variable.
technet.microsoft.com

Так что сбриваем нахрен импорт.
Dant
YouTube Windows AD security Безопасность всей сети определяется безопасностью ее самого слабого звена. Азбука, конечно, но внимательно прочуйствовать — никогда не помешает.

Вполне себе рабочий сценарий: есть незапатченная икспешечка, которая пробивается эксплойтом. Опа раз — ты уже SYSTEM на ней. Пара волшебных пассов — и раздербанен пароль пользователя, который на ней работает. Опа два — и ты уже доменный пользователь, который может прочитать доменные политики из сисвола, в которых, естестно, задается пароль локального администратора на все сервера и рабочие станции домена, а декодировать тот пароль — абсолютно тривиальная задача.

Опа три — и ты уже локальный администратор всея серверов домена. Несколько часов сканирования под локал-админом — и найден сервер, на котором висит дисконнектнутая домен-админская сессия. Пара волшебных пассов на этом сервере — и из админской сессии вытаскивается токен доступа какого-нить домен-админского процесса, с которым делается подключение к контроллеру. Опа четыре — и ты уже домен-админ, который может создать пользователя CoolHazker с паролем P@ssw0rd и включить его в Domain Admins : ) Опа пять — и ты можешь делать со всем доменом что захочешь, подключаться к чему угодно, вешать кейлоггеры и развлекаться любыми другими способами, ограниченными только безразмерной фантазией.... Такие дела.

Способов борьбы вижу немного: икспи — в хлам и утиль, за административные пороли в групповых политиках — расстрела на месте, ну и пытаться ограничить удаленное использование локальных аккаунтов, что может быть нетривиальной задачей.

Хорошее видео для медитации и мотивации: youtube.com
Dant
links AD security При создании пользователя простыми скриптами нагугленными гуглением, пользователь будет создаваться с флагом PASSWD_NOTREQD, который нельзя увидеть/изменить в гуях. На практике это означает, что даже при доменной политике сложных паролей в 256 символов, администратор через Reset Password в консоли ADU&C dsa.msc может сбросить пароль пользователя на любой, втч и пустой, что вполне себе такая чорная дыра в безопасности : ))

Do You Allow Blank Passwords In Your Domain? blogs.technet.com

Controlling the Password Not Required Property Using Update-Password-Not-Required-Bit: windowsitpro.com

support.microsoft.com
k1lg0reTr0ut
Windows AD restore hyper-v стоит hyper-v. на нем в качестве контроллер домена крутится виртуалка.
внезапно, нужно провести восстанволение виртуалки и для этого запустить ее в DSRM mode.
соответственно, туда нужно логиниться имя_хоста\administrator.
а хуй, потому что hyper-v использует RDP для коннекта к виртуалке! и этот юзер не в списке пользователей, которые могут логиниться по RDP.
вот эта фича hyper-v, я ее не сильно видимо понимаю? как и где можно разрешить заходить на виртуалку кому угодно без логина на саму виртуалку?
nixon89
? Windows AD 2012 2008 Проболжаю ебаться по-тихоньку с той задачкой, пару постов назад.
Дак вот. Есть свинсервер 2012, введенный в домен есть контроллер домена винсервер 2008 r2.
Делаю Replica Domain Controller на 2012-м. Установил службы Actrive Diretory в 2012-м. Делаю пункт "Развертывание" из этого мануала — technet.microsoft.com
Застрял на пункте "Установить". Самый последний в моменте когда повышение уровня 2012-го винсервера идет. Нельзя нажать, потому что пользователь, которого я указывал в этих пунктах, "Не находится в группах Администраторы схемы и Администраторы предприятия".
Пошел посмотреть на контроллере, мой пользователь там состоит в этих группах, ну и + в группе Администраторы домена, естественно в ней состою.
Вопрос, почему 2012-ый считает что я в них не состою? Как с этим бороться?
nixon89
AD kerio Одна из дурацких особенностей kerio control (речь идет о 7.х версиях, как с этим в 8.х версия дела обстоят — не щупал еще), это то, что он не может удалять пользователей из статистики, которых уже нет ни в самом керио ни в домене, к которому он присоединен. Т.е. чувака удалили, например, год назад. А в админке со статистикой он все равно показывается, хотя у него и будет расход трафика по нолям.
При вычленении нужных пользователей с расходом трафика на человека, эти "мертвые души" уж больно бросаются в глаза.
nixon89
Windows AD ФСТЭК kerio ИСПДН у меня тут в связи с покупкой нового железа, лицензионного ПО и необходимостью получения аттестата о защите ИСПДН (или как он там называется) квест наметился)) поставит вин сервер 2012 фстэковский, перевести на него домен с вин сервер 2008 r2, убить старый контроллер домена.
рядом поставить вин сервер 2012 фстэковский, налепить на него керио контрол фстековский. и заменить старый керио новым лицензионным и фстэковским версии 7.2.3.
Еще часть квеста состоит в том, что надо эту винду серверную фстэковскую "подтверждать" через агента SafeNet (алладиновским usb-токеном.

PS: лютобешено жду когда kerio аттестует версию 8.3 во ФСТЭКе. Ибо можно будет поставить на виртуалку его без необходимости иметь вин сервер лицензионный. Т.к. kerio отказались от windows версий своей UTM начиная с версии 8.0. Манагер сказал что сейчас они находятся на второй стадии аттестации — непосредственно проверке фСТэком версии 8.3 на соответствие их требованиям. Обещали, что процедура закончится в первом квартале 2015-го. И тогда мне можно будет спокойно перевести керио в virtual appliance.
PS2: хорошо то, что с момента активации той лицензии на керио, которая фстэковская (да и лбоую лицензию керио можно так же сделать), начинает действовать поддержка software maintance, суть которой в том, что при выходе более новой версии, можно без дополнительной платы проапгрейдиться на актуальную версию.
nixon89
? Windows AD RDP cal Вот у меня тут такой вопрос по лицензиям возник:
У меня есть 5 лицензий CAL, допустим. На УСТРОЙСТВО.
1. Если у меня есть 5 компутеров, подключенных в домен, и я добавляю 6-ой, то как они будут себя вести? Кто первый — тот и папа ( тот и сможет зайти в AD)?
2. Если я хочу чтобы люди ходили к отдельному приложению как к remoteapp, то мне нужно активировать terminal services (тоже ведь отдельных денег стоит). На них отдельную лицензию еще отдельно нужно на каждого пользователя в дополнение к тем 5 cal лицензиям на устройства из первого пункта?
3. Если второй пункт такой как я думаю (что для ts этого нужны дополнительные лицензии), то есть ли еще сервисы в windows server которые требуют отдельное лицензирование по пользователям/устройствам?
4. Еще раз про устройства. CAL лицензия на устройство — это на активное устройство лицензия или на присоединенный компьютер в оснастке AD в пункте computers (пусть даже он сто лет назад присоединен и с того времени не включался)?
k1lg0reTr0ut
Windows Microsoft AD вопрос на засыпку.
есть в одном филиале RODC. на нем кешируются только учетки обычных работников филиала. ни одного доменного админа не кешируется. ни одной учетки, которая имеет права ментейнить сервак тоже не кешируется.
теперь предположим, что человек, который ментейнит RODC(состоит в группе которая определена в Managed By вкладке у учетки RODC) случайно... выключил сетевой интерфейс.
сети нет, никто на RODC зайти не может. так как сети нет, и нельзя аутентифицировать пользователя.
Есть допустим ILO на железке. но зайти нельзя.
что в таких случаях можно сделать? Safe Mode?
k1lg0reTr0ut
Microsoft AD GPO такое дело.
есть политика, которая применяется только к компу. Во всяком случае, я не нашел, как применить к юзеру File Type Assotiation в политиках для Windows 8.
Вот, политика применяется к компу, а нужно применить к нескольким пользователям.
при этом, компы абсолютно всех лежат в одной OU, и рассортировать их по отделам нельзя.
то есть, если применять политику, то она разойдется по всем компам. а вот как ограничить политику и проверить, заходит ли туда именно определенный юзер входящий в определенную группу.
WMI тут врят ли помогут.
есть ли истории успеха?
EVILTOYTHING
MS AD GPO памятка: GPO Reference Guide с шахматами, поэтессами, фильтрами и адекватным поиском
Полезная линка gpsearch.azurewebsites.net
В отличии от мсных гайдов в виде табличек экселек — всё в одном месте. В смысле — все версии ИЕ етс.
k1lg0reTr0ut
Windows Microsoft AD В дампе есть такой вопрос.
QUESTION 68
Your network contains an Active Directory domain named contoso.com. The domain contains a domain controller named DC1 that runs Windows Server 2012 R2.
You create an Active Directory snapshot of DC1 each day.
You need to view the contents of an Active Directory snapshot from two days ago.
What should you do first?

A. Run the dsamain.exe command.
B. Stop the Active Directory Domain Services (AD DS) service.
C. Run the ntdsutil.exe command.
D. Start the Volume Shadow Copy Service (VSS).
________________
Правильно ли я понимаю, что
1. вначале снепшот монтируется через ntdsutil snapshot mount {GUID}
2. запускается dsamain c базой на примонтированном в п.1 разделе и своим выделенным портом.
3. через ADUC нужно заходить на контроллер:порт из п.2 и уже можно видеть старую версию AD.

Т.е. правильный ответ С. то есть нужно вначале примонтировать и сделать это можно только через ntdsutil.
k1lg0reTr0ut
Windows Microsoft AD подскажите такое.
есть несколько сайтов. они привязаны к подсетям.
но! я нашел сети, которые не привязаны к сайту, и из этих сетей пользователь получает ip.
к какому сайту тогда будет принадлежать юзер? есть ли какой-то дефолтный сайт? и как его посмотреть?
а если к конкретному сайту привязана политика и она должна выполняться на клиенте, а он из сети, которая не привяза к сайту, как эта политика выполнится?
k1lg0reTr0ut
Windows Microsoft AD а я веть правильно понимаю, что параметр GPO: Turn off background refresh of Group Policy, который находится по пути "Computer Configuration/Administrative Templates/System/Group Policy", который запрещает обновлять именно эту данную политику(на другие объекты GPO оно не влияет), пока юзер не разлогинится?
и второй вопрос, Preferense это же немного другое. и на Preference в силу их своиств этот параметр не влияет?