• Как добавить раскладку всем пользователям?

    @Soprano
    1. Удаленно настройками раскладки клавиатуры можно управлять только через реестр. В групповых политиках даже Windows 2008 r2 нет параметров для управления этим. Тогда есть два варианта: использовать скрипты (Visual Basik или PowerShell) или просто создать файл реестра. Я выбрал файл реестра, так как с VBS не дружу а PS еще не на всех машинах есть.

    2. Пишу .reg файл, который потом нужно будет импортировать на все машины в домене. В принципе даже не столько пишу, сколько собираю информацию из разных веток реестра правильно настроенной машины. Получаю такой файл:


    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Keyboard Layout\Preload] //ветка реестра, отвечающая за языки пользователя, вошедшего в систему. (1- по умолчанию)
    "1"="00000409" //английский
    "2"="00000419" //русский
    "3"="00000422"//украинский

    [HKEY_CURRENT_USER\Keyboard Layout\Toggle] //ветка реестра, отвечающая за сочетания клавиш при переключениии языков
    "Language Hotkey"="2" //Смeнa coчeтания клaвиш пepeключeния мeжду языкaми ввoдa. (2-CTRL+SHIFT; 1-ALT(слева)+SHIFT; 3-отключен)
    "Hotkey"="2" //Смeнa coчeтания клaвиш пepeключения pacклaдки клaвиaтуpы и переключения между языками
    "Layout Hotkey"="3" //Смeнa coчeтания клaвиш пepeключения pacклaдки клaвиaтуpы.


    [HKEY_USERS\.DEFAULT\Keyboard Layout\Preload] //ветка реестра, отвечающая за языки при входе в систему (ввод логина\пароля)
    "2"="00000419" //русский
    "3"="00000422" //украинский
    "1"="d0010409" //английский

    Вот такой файлик получился. Обзываю его как нибудь test.reg. Дальше надо заставить все компьютеры в домене добавлять информацию из этого файла в реестры.

    3. На контроллере домена идем по адресу %systemroot%\SYSVOL\domain\Policies\{GUID Policy}\USER\Scripts\Logon и кладем туда test.reg. Я применял этот сценарий к Default Domain Policy.

    4. Октрываем редактор управления групповыми политиками нужной групповой политики. Идем Конфигурация пользователя\Политики\Конфигурация Windows\Сценарии\Вход в систему Жмем кнопку "Добавить". В поле "Имя сценария" пишем regedit.exe, в поле "Параметры сценария" пишем /s test.reg. и сохраняем данные. Все готово.
    Ответ написан
    Комментировать
  • Контроль одноранговой сети?

    Jump
    @Jump Куратор тега Системное администрирование
    Системный администратор со стажем.
    В одноранговой сети - бегать по компьютерам и настраивать.
    Бегать можно ногами, а можно удаленно подключаясь или даже использовать софт вроде Ansible.

    Если есть домен там попроще - все настройки делаются в одном месте, никакого стороннего софта не нужно.

    хочу чтобы на моем компе стояла прога которая конролировала все
    А, видел такую.
    Не помню как называется но отличная программа.
    Там всего одна кнопка - "Сделать все!"
    Нажали и она все делает.

    windows server исключается т.к пока не планируют покупки...
    Правильно!
    Зачем нужен windows server если дешевле нанять нескольких админов которые будут бегать и менять настройки.
    Как только оплата труда админов становится дороже покупки сервера - его покупают.
    Логично и экономически обоснованно.
    Ответ написан
    Комментировать
  • Как настроить домен windows server 2012 R2 на 3 сети?

    Физически объедините сети роутером, изолируйте эти три подсети на нем по необходимости, но обеспечте всем трем доступ к контроллеру.
    Ответ написан
    Комментировать
  • Как в Windows 10 запретить администратору доступ к папке другого администратора?

    Vvvyg
    @Vvvyg
    Был админом, сейчас в ТП
    Запрет можно выставить, но с правами администратора его легко убрать.
    Стандартными средствами Windows - никак.
    Ответ написан
    Комментировать
  • Как правильно вести схемы сети / хранить актуальную информацию?

    vvpoloskin
    @vvpoloskin
    Инженер связи
    Это вопрос не инструмента, а методологии. Для ответа на него, надо понять, кто будет на схемы смотреть.
    Мой опыт показал, что на детальные сетевые схемы не смотрит никто: они излишне перегружены, на них тяжело искать информацию, они огромны (попробуйте нарисовать на одной схеме хотя бы два 48-портовых коммутатора с полностью расключенными портами), не поддерживаю версионность, тяжело редактируемы (попробуйте добавить хотя бы один линк на схему с 50тью шнурками, уверен, вам придётся много чего подвигать)., а отсюда вытекает, что их редко поддерживают в актуальном состоянии.
    Поэтому верное решение при ведении РАБОЧЕЙ документации - это сочетание схем и таблиц. Схема делается одна на типовое решение, а к ней добавляется таблица с учётом портов, IP-адресов, патчкордов и тд.
    Для чего нужны детальные схемы?
    Во-первых, они используются как тех. задание для организации подключения. Например, в подключении участвуют 12 разных подразделений, с ним надо согласовывать работы. Но если вы сам себе админ и подключаете для себя без привлечения третьих лиц, они вам не нужны.
    Во-вторых, для тех поддержки. Но тех. поддержка работает с конкретным пользователем. То есть ей нужен один сервис. Но в мелких организациях админы сами являются тех поддержкой и все знают. Да и готовы ли вы держать отдельную схему на каждый компьютер? Опять же, такие схемы хороши, когда в организации сервиса принимают участие несколько отделов или компаний. Например, в моей типовой схеме при спутниковых включениях участвуют 12 отделов со своими сегментами сетей. Для этого нужна схема.
    В-третьих, для работы с внешними организациями. В первую очередь это операторы. Но часто ли они у вас меняются? Для этого достаточно нарисовать одну схему раз в год с четырьмя портами и забыть.

    Казалось бы, схемы должна смотреть дежурная смена. Но она смотрит на карту на заббиксе, нагиосе или другом инструменте мониторинга.

    Теперь про инструменты. Они все выбираются в зависимости от масштаба сети и количества изменений в ней за определенный отрезок времени. Я приведу список инструментов, которые используются по возрастанию размеров сети, частоте изменений на сетевых элементах и количестве организаций, вовлечённых в эти изменения.
    1) для совсем мелких организаций это draw.io для схем и гугл докс для таблиц.
    2) далее офисный набор Микрософт, включая визио.
    3) далее к офисному пакету добавляется система мониторинга или управления
    4) вики-движки и CMDB
    5) для ещё более крупных выделенные инструменты типа IPAM и NRI

    P.S. Это касается рабочей документации. К исполнительной и проектной другой подход.
    Ответ написан
    2 комментария
  • Пробую писать оповещения Mikrotik на Telegram. Не получается отправлять get запросы. Что делаю не так?

    Dragon_Alex_Devera
    @Dragon_Alex_Devera Автор вопроса
    Системный администратор куриных кубиков магги.
    В общем сам разобрался, проблема как всегда оказалась в самом простом, а именно неверно настроенных правилах файрволла. Разрешающие правило было ниже оного запрещающего. Урок для себя, и напоминание для других - проверяйте огнестену. Ставить как ответ думаю не стоит, так как сам дурак :)
    Ответ написан
    1 комментарий
  • Как заставить сервер c 2xE5-2630 v4, 128GB, raid ssd грузить процессор на 100% (тест Гилева 21,65)?

    @GilevVyacheslav
    На не правильный вопрос нельзя получить правильный ответ. В формулировке вопроса вы связываете 100% загруженности сервера с повышением производительности. В действительности же наоборот, чем выше нагрузка тем больше шансов словить операциями ожидания оборудования и замедлится. Т.е. первое что вы должны сделать это отказаться от концепции "загрузить под 100% процессор" чтобы улучшить производительность.

    Для вашего процессора результаты нашего теста могут достигать 40 баллов.

    Тест интегральный, то есть показывает суммирующий результат всех факторов. Таких факторов много. Именно поэтому это не тест для конкретного компонента. Чистую скорость отдельного компонента тест не покажет. Влияние дисков оценить можно но не надо например замерять скорость дисков этим тестом. Влияние дисков на общую скорость 1С и скорость дисков это не одно и тоже.

    Ну и очевидный не для всех момент - тест надо делать когда нет нагрузки на сервер.

    На результаты теста могут влиять
    процессор (частота)
    BIOS (turboboost и т.п.)
    планки памяти (частота, расположение по каналам)
    Гипервизор - схема электропитания, динамические ресурсы, приоритеты
    ОС Windows - схема электропитания, квотирование dfss | Linux - Power saving
    версии платформы 1С:Предприятие 8
    версии субд
    скорость диска, где размещена база
    скорость диска, где размещена tempdb (если MS SQL Server)
    скорость диска, где размещены кластер 1С, профиль учетки службы 1С, темпы
    канал взаимодействия между 1С и субд: Shared memory | скорость сети
    зеркалирование

    Соответственно по списку начните с настройки биоса и убедитесь с помощью CPU-Z что частота процессора работает стабильно работает в турбобусте.

    Если же Вы наблюдаете только периодическое замедление любых операций, то замерьте скорость реакции в свойствах рабочего процесса. Например при достижении 80% оперативной памяти в редакции ПРОФ сервера 1С происходит общее торможение. Подобные эффекты бывают при рестарте рабочих процессов или падении (поищите поиском *.mdmp файлы как признак падения). Наконец можно общее замедление словить запустив много фоновиков (сбросьте все фоновики в момент подвисания или вообще заблокируйте их старт). Выключите антивирус если есть.
    Ответ написан
  • Какое количество пользователей потянет CRS326-24G-2S+RM?

    @Tabletko
    никого не трогаю, починяю примус
    Производительность коммутатора измеряется не пользователями
    Ответ написан
    Комментировать
  • Open Source клиент для работы с Microsoft Exchange?

    @Tabletko
    никого не трогаю, починяю примус
    OWA используйте
    Ответ написан
    Комментировать
  • Open Source клиент для работы с Microsoft Exchange?

    @aleks-th
    Правильный ответ.
    Полноценной замены нет.
    Все которые видел обеспечивают только какую-то часть функционала.
    ---
    Ибо тем кому реально нужен у них есть деньги и они его купят.
    А у тех у кого нет он как бы и не нужен.

    А если кто-то из заказчиков просит и говорит что у него денег нет, значит не стоит с ним связываться так как у этого нищеброда денег на оплату ваших услуг потом не найдется.
    Ответ написан
    Комментировать
  • Имеет ли смысл изучать Azure Active Directory в наших реалиях?

    @Tabletko
    никого не трогаю, починяю примус
    От того что вы о нём узнаете, хуже не станет.
    Ответ написан
    Комментировать
  • Как правильно скрыть диски Windows server?

    ifaustrue
    @ifaustrue
    Пишу интересное в теллеграмм канале @cooladmin
    Создаёте организейшн юнит, нанего назначаете новую ГП и туда перемещаете ваших пользователей.
    Ответ написан
    1 комментарий
  • Менеджмент MacOS. Аналоги Active directory для MacOS?

    @nl13
    To bind or not to bind ....
    С последним обновлением и созданием KerberosExtension Apple вроде как поставила точку в вопросе - сказав что лишнее это (вводить Мак в домен). Это в части взаимодействия Мака с доменной инфраструктурой.
    А вот управляется Мак идеологически при помощью MDM решений путем применения профилей управления, все остальные подходы есть костыли которые как это обычно бывает перестают работать с очередным автообновлением.

    Hint 1.
    Обязательно почитайте сначала про ProfileManager ... и изучите его работу.
    https://support.apple.com/ru-ru/guide/profile-mana...

    Hint 2.
    Если парк ПК под Мак маленький (до 25 машин) - то можно воспользоваться ManageEngine Desktop Central в качестве бесплатного решения (там и МДМ и агент и удаленный суппорт и портал самообслуживания )....
    Ответ написан
    3 комментария
  • Менеджмент MacOS. Аналоги Active directory для MacOS?

    @elbrus56
    Ок, давайте рассмотрим вопрос в различных аспектах. Прежде всего, не будем вдаваться в подробности того, почему такой вопрос вообще возник. Может у компании аудит на горизонте, или бюджеты не освоены или у CTO ачивка намечается. А отдуваться админу, конечно.

    Тут уже написали, что Windows подход не работает, но это не совсем так. Устроить огораживание на Mac можно, но это уже неэффективно. И это первая ошибка в подходе закоренелого Windows-админа, воображение которого волею судеб оказалось заперто в рамках того, с чем он привык работать.

    Отдельно добавлю, что формулировки вопросов на Тостере сегодня показывают грустную картину отсутствия инженерного подхода. Ну да ладно.

    Итак.

    Менеджмент Mac
    Все как привыкли? gpupdate запустил и счастлив. Если у AD есть свои политики и механизмы, то Apple со своей стороны сделало свои, которые работают только под управлением сервера MDM, который вы можете реализовать самостоятельно, потому что это, по сути, веб-сервер и БД, которые для доставки используют APNS. Функционал MDM ограничен тем, что добавило в него Apple. И каждый год он обновляется. Где-то он круче AD, где-то нет. Например, для 10.15 добавили Activation Lock. Что касается коммуникации с сервером - вы не привязаны к конкретному офису, достаточно доступа в Интернет. А так как команды “прилетают” через Push - о NAT думать не надо.

    Но не политиками едиными. На Windows мы ещё и скрипты используем, батники запускать любим. А что с MDM? Сам по себе сервер MDM скрипты не выполняет, но решения MDM, которые продаются сегодня, (Jamf, Workspace One, Mobileron, Filewave, Fleetsmith...) предлагают возможности установки агента, который будет эти функции выполнять. И заметьте, что скрипты полностью не перекрывают функционал MDM, это заблокировано на уровне системы в целях безопасности.

    Что касается интеграции с AD, Azure AD, Microsoft 365 - решения есть (Nomad, Jamf Connect), но это уже надстройки к MDM.

    Задача (задачи?) минимум
    Подключение
    Вы же на Windows не через механизмы AD подключаетесь (если отбросить аутентификацию и авторизацию), а через определенный протокол, который обеспечивает определенная служба, которую можно включить вручную или через AD. На Mac почти также, просто протокол другой.

    Блокировка
    Это зашито в протоколе MDM и Works like magic. Но желательно к этому включить пароль прошивки и Activation Lock

    Задача (задачи) максимум
    Централизованный сетап пк с macos возможности схожие с AD
    С настройками разобрались, теперь надо ставить ПО. MDM ставить PKG не умеет (ну почти), поэтому пользуемся решениями вендоров, которые по сути выполняют команды в терминале. Учимся паковать Skype в PKG, меня настройки, боремся с TCC, UAKEL и что там еще...

    Соответственно читаем:
    Apple Device Managemnet за авторством Charles Edge и Rick Trouton
    Если сложно - можно и Arek Dreyer почитать
    Bash Cookbook
    Python
    Про упаковку приложений в PKG

    САМЫЙ ВАЖНЫЙ АБЗАЦ
    Когда мы (мак-админы) объясняем Windows-админам то, как происходит современное управление устройствами Apple, у последних (у админов) происходит катарсис и в лучшем случае просветление.
    Почему? Потому что в современном мире вы не даете все права, а потом отбираете их по кусочкам. Вы даете пользователю только то, что ему требуется для работы. Это нелегко понять, особенно с первого раза.
    Ответ написан
    2 комментария
  • Windows админы вы до сих пор юзаете JavaScript?

    Zoominger
    @Zoominger Куратор тега Системное администрирование
    System Integrator
    Windows админы для скриптов вы ещё юзаете JavaScript ?

    Чего? Когда был админом, то ни разу, никогда и ни при каких условиях не использовал его.
    Даже не могу кейс придумать такой.
    Ответ написан
    2 комментария
  • Как обеспечить доступ к нескольким серверам по RDP используя имена серверов?

    xmoonlight
    @xmoonlight
    https://sitecoder.blogspot.com
    Отдельный поддомен с туннелированием трафика. На серверах - доступ только или с ip-"туннеля", или только после авторизации "туннеля" на запрашиваемом сервере (если необходимо сервера открыть в паблик, как сейчас; лучше - не держать их в паблике!).
    Ответ написан
    Комментировать
  • Надо ли в День системного администратора поздравлять DevOps'ов?

    paran0id
    @paran0id
    Умный, но ленивый
    Это когда надо камплюхтер починить или картридж поменять - мы не сисадмины. А если поздравить - то пожалуйста.
    Ответ написан
    Комментировать
  • Как создать снимок установленной на программы для дальнейшего распространения на компы пользователей?

    Zoominger
    @Zoominger Куратор тега Системное администрирование
    System Integrator
    Ну, раз вы не посчитали нужным уточнить программу или хотя бы контейнер, в котором она поставляется, то давайте потыкаем 21-ым пальцем в Б-жье небо.

    Если программа в формате exe, то попробуйте погуглить "myprog.exe cmd keys" - обычно такие поддерживают ключи без проблем, причём установщики универсальны для всех программ и вы сможете автоматизировать галочки и параметры, которые задаются в процессе установки.
    Для разливки засуньте exe в msi (вы же умеете гуглить?) и разлейте через GPO.

    Если программа в msi, то тупо делаете для неё шаблон со всеми настройками и льёте через GPO.

    Если программа ни то, ни сё, то копируете её каталог со всеми настройками и разливаете по GPO скриптом на ПоверЩели, там же делаете ярлык.

    Вопросы?
    Ответ написан
    1 комментарий
  • Насколько моя конфигурация сервера подходит для 1С?

    Jump
    @Jump
    Системный администратор со стажем.
    Ну конфигурация как конифгурация, работать будет.
    По скорости примерно так же как и старая, может чуть производительнее за счет двух ядер дополнительных.
    В принципе и старая должна справляться по идее, с чего вы решили что она не справляется?
    Ответ написан
  • Какой вариант конфигурации IPsec между двумя MikroTik посоветуете?

    CityCat4
    @CityCat4 Куратор тега VPN
    //COPY01 EXEC PGM=IEBGENER
    Для связи сеть-сеть есть один вариант - тут выбирать не из чего. Зачем Вам roadwarrior? Roadwarrior - это тогда, когда одна из сторон выходит через неизвестный заранее адрес, например телефон, планшет или допустим приехал я в другой город в командировку, привез с собой микротик, ткнул в гостиничный инет - опа, у меня VPN в контору!

    Для постоянной связи обычно делают сеть-сеть. Ну, по крайней мере у меня так работает - с одной стороны rb450G, с другой - strongswan на линухе
    Ответ написан
    Комментировать