Задать вопрос

Роман Безруков

системный инженер
Ответы

  • Можно ли удалить вложения из писем?

    @NortheR73
    системный инженер
    Если задача именно у в удалении вложений, то основной метод, как уже сказал MVV - это EWS Managed API (примеры)
    Можно упростить задачу и использовать командлеты Search-Mailbox или связку New-ComplianceSearch/New-ComplianceSearchAction (для Exchange 2016/2019/M365) для централизованного удаления писем (если такой вариант действий подходит).
    Я также двумя руками за квоты на почтовые ящики пользователей - это сильно их дисциплинирует, особенно когда срабатывает ограничение одновременно и на отправку и на прием (тут они быстро начинают вычищать старые письма).
    В качестве дополнительных ограничений можно использовать транспортные правила, ограничить максимальный размер писем в конфиге транспорта организации Exchange (по умолчанию там 35МБ).
    Ответ написан
    Комментировать
    Комментировать

  • Как проверить права пользователей на объекты в Windows?

    @NortheR73
    системный инженер
    Как можно решить эту задачу? (получить права пользователей на объекты, при этом пропустив объекты для которых права отсутствуют)
    штатными средствами - например, CMD и/или PowerShell
    # экспорт ACL в файл рекурсивно, с игнорированием ошибок доступа
# в файле будут относительные пути, и для каждого указаны текущие разрешения в формате SDDL
icacls "yourpath" /save C:\somepath\acl.txt /t /c

    то же самое на PowerShell
    # запрос ACL рекурсивно, с игнорированием ошибок доступа
# на выходе список с абсолютными путями и SDDL, можно экспортировать в CSV-файл
Get-ChildItem "yourpath" -Recurse -ErrorAction SilentlyContinue | Get-Acl | fl @{"N"="ObjectPath";"E"={($_.Path -split "::")[1]}},sddl
    Ответ написан
    2 комментария
    2 комментария

  • Как изменить УЗ в MS Outlook на android?

    @NortheR73
    системный инженер
    Хочу принудительно поменять настройки для УЗ (адрес, саму УЗ, пароль)
    ну, это равносильно смене УЗ и/или добавлению новой УЗ. Если вы упражняетесь с одной и той же УЗ - то через удаление и добавление.
    Смена пароля в мобильном Outlook делается через сброс УЗ (Reset Account). Еще, как вариант - зайти на телефоне в OWA и поменять пароль там.
    Смена основного адреса отправителя (Primary SMTP Address) через клиента даже в десктопном Outlook не делается. В десктопном Outlook и OWA можно включить показ поля "FROM" для новых сообщений, чтобы выбрать подходящий адрес отправителя (если у вас их несколько и/или есть необходимые права). В мобильном Outlook такой фичи не припомню.
    Ответ написан
    Комментировать
    Комментировать

  • Внешний домен для Exchange 2019 как?

    @NortheR73
    системный инженер
    по старому внешнему домену никак не связанного с AD
    видимо, перешли на Exchange как раз для того, чтобы их связать
    там так-то дофига делов (естественно, это все описано в документации и разных блогах) - если кратко:
    1. создается Accepted Domain
    2. настраивается адресная политика
    3. настраиваются нужные записи во внешнем и внутреннем DNS
    4. устанавливаются сертификаты для служб (SMTP, IIS)
    5. меняются URLы сервисов Exchange
    6. способ публикации Exchange в интернет - тут тоже пачка вопросов

    Обычно это все делается параллельно, т.е. в Exchange делаются все необходимые настройки, добавляются нужные DNS-записи, сертификаты и т.д., а в день/час X (обычно выходные дни) меняются MX-записи

    По-хорошему - нанимайте специалиста, который вам настроит Exchange как надо, но будьте готовы отвечать на его вопросы по ходу...
    Ответ написан
    4 комментария
    4 комментария

  • Почему при нацеливании групповой политики невозможно выбрать пользователь в группе, а только компьютер в группе?

    @NortheR73
    системный инженер
    как утверждается в Patch Megathread - обновы KB5041578 (Windows Server 2019) и KB5041160 (Windows Server 2022) ломают работу Item-level targeting (неактивен User in group)...При этом для 2019 якобы было сломано еще в июльских обновлениях...
    Но - проблема затрагивает только GUI, через PowerShell все работает как надо
    Ответ написан
    1 комментарий
    1 комментарий

  • Как настроить интервал опроса NTP для клиентов домена?

    @NortheR73
    системный инженер
    на доменных NTP-клиентах указывается тип NT5DS
    1. на КД (обычно это эмулятор PDC) поднимается NTP-клиент, который ходит за временем до надежного источника в сети (например, до сетевой железки или до внешних источников времени) - вот тут в настройках клиента указывается тип NTP;
    2. на этом же КД (PDCe) поднимается NTP-сервер, который раздает время клиентам в домене - и на доменных клиентах указывается тип NT5DS, в том числе и на остальных КД
    Ответ написан
    3 комментария
    3 комментария

  • Как и чем защитить соединение через rdp на WS2019?

    @NortheR73
    системный инженер
    родной RD Gateway или VPN
    Ответ написан
    Комментировать
    Комментировать

  • Как можно управлять виртуалками Hyper-V через Linux?

    @NortheR73
    системный инженер
    Не знаю насчет РЕД ОС, но в CentOS (и других линуксах) можно установить Powershell Core, далее поднять удаленную PS-сессию до Hyper-V хоста и в ней загрузить PS-модуль Hyper-V
    Ответ написан
    Комментировать
    Комментировать

  • Сквозная авторизация GLPI на XXAMP?

    @NortheR73
    системный инженер
    Это называется Single Sign On (SSO)
    Ответ написан
    2 комментария
    2 комментария

  • В какую сторону копать чтобы настроить развертывание по best practice?

    @NortheR73
    системный инженер
    SCCM, GPO+PowerShell, просто GPO, PowerShell Scripts, Ansible
    Ответ написан
    Комментировать
    Комментировать

  • Как быстро узнавать название пк пользователя чтобы каждый раз не идти в систему учёта?

    @NortheR73
    системный инженер
    в дополнение к предыдущим ответам...
    где каждому сотруднику присвоен ПК

    1. если есть AD, то у каждого пользователя в свойствах можно указать ПК, на которые он может ходить (это атрибут LogonWorkstations)
    2. если у вас установлено однозначное соответствие между пользователем и ПК и оно не меняется (или меняется крайне редко) - можно статично установить в описании (Description) пользователя имя ПК, а в описании ПК - имя пользователя
    3. варианты с динамическим изменением описания/атрибутов с помощью скрипта коллеги уже дали в ответах
    Ответ написан
    Комментировать
    Комментировать

  • Как изменить стандартное имя домена mshome.net на Windows 10?

    @NortheR73
    системный инженер
    ЕМНИП - есть такой баг с дефолтным свитчем Hyper-V и службой Internet Connection Sharing...
    по умолчанию, все ВМ входят в рабочую группу, которой присваивается DNS-суффикс mshome.net.
    Варианты:
    1. Прописать у ВМ какой-то другой DNS-суффикс или включить ВМ в домен, отличный от mshome.net
    2. Создать новый Exterrnal Switch и пустить весь трафик ВМ через него
    3. Если есть DHCP-сервер, и ВМ получают адреса от него, то и новый DNS-суффикс можно получать от DHCP-сервера (option 15)

    Править файл C:\Windows\System32\drivers\etc\hosts.ics руками не рекомендуется (кроме удаления устаревших записей) - все остальное система сделает сама
    Ответ написан
    3 комментария
    3 комментария

  • Как добавить в Exchange 2019 в динамическую рассылку несколько подразделений Active Directory через PowerShell?

    @NortheR73
    системный инженер
    1. Для создания DDG из нескольких OU можно использовать параметр RecipientFilter, а сам фильтр построить заранее и проверить, что он возвращает нужный набор ящиков (пример)
    2. У всех получателей Exchange есть группа атрибутов CustomAttribute1..15. Можно какому-то из этих атрибутов присваивать уникальное значение, а потом строить DDG с использованием параметра ConditionalCustomAttribute1..15.
    Вместо 'AllRecipients' лучше использовать, например, "MailboxUsers,MailGroups" (зачем вам ресурсные ящики или контакты в DDG?)
    не забываем описание - New-DynamicDistributionGroup
    Ответ написан
    Комментировать
    Комментировать

  • Можно ли изменить автора встреч в календаре (Exchange)?

    @NortheR73
    системный инженер
    В Outlook нельзя поменять владельца встреч (в Teams вроде можно через делегата), можно поменять владельца календаря.
    Сам MS рекомендует просто отменять встречи со старым владельцем и создавать новые встречи с новым владельцем
    Ответ написан
    Комментировать
    Комментировать

  • Достучаться до IKEV2: почему не работает на Win?

    @NortheR73
    системный инженер
    Все указывает на то, что винде не нравится сертификат
    проблемы могут быть в свойствах сертификата (шаблон, назначение, параметры ключа и т.д.), в списке альтернативных имен, в субъекте сертификата и т.д.

    вот что пишет журнал "Здоровье" по этой ошибке - что из этого проверяли/пробовали?
    Error 13801: the IKE authentication credentials are invalid
    You encounter this issue when either the server or client can't accept the IKE authentication credentials.

    Error 13801 cause
    This error can occur due to the following:

    - The machine certificate used for IKEv2 validation on the RAS server doesn't have Server Authentication enabled under Enhanced Key Usage.
    - The machine certificate on the RAS server expired.
    - The client machine doesn't have the root certificate for validating the RAS server certificate.
    - The client machine's VPN server name doesn't match the subjectName value on the server certificate.

    Solution 1: verify the server certificate settings
    If the issue is the RAS server machine certificate, make sure the certificate includes Server Authentication under Enhanced Key Usage.

    Solution 2: make sure the machine certificate is still valid
    If the issue is that the RAS machine certificate expired, make sure it's still valid. If it isn't, install a valid certificate.

    Solution 3: make sure the client machine has a root certificate
    If the issue is related to the client machine not having a root certificate, first check the Trusted Root Certification Authorities on the RRAS server to make sure the certification authority you're using is there. If it isn't there, install a valid root certificate.

    Solution 4: make the client machine's VPN server name matches the server certificate
    First, make sure the VPN client connects by using the same fully qualified domain name (FQDN) that the VPN server certificate uses. If not, change the client name to match the server certificate name.
    Ответ написан
    7 комментариев
    7 комментариев

  • Восстановление контроллера домена из бекапа veeam в песочнице, какой вариант лучше?

    @NortheR73
    системный инженер
    КД, надеюсь, не единственный в вашей инфраструктуре?
    КД железный или виртуальный (на чем?) ?
    Что вы там бэкапите - system state, базу/логи AD или КД целиком?
    По большому счету, вам нужно содержимое двух папок (в случае проблем с репликацией, например, если другие КД недоступны): C:\Windows\NTDS (конкретно файл ntds.dit) и C:\Windows\SYSVOL

    С какими проблемами я могу столкнуться во время этого? На что стоит обратить внимание?
    с песочницей Veeam не упражнялся, да и не вижу каких-то проблем с ней...если в песочнице только один КД - восстанавливайте все равно как Domain Controller (Non-Authoritative Restore) (Step 4. Specify Recovery Verification Options and Tests)

    Из опыта - мне было проще и быстрее развернуть новый КД и синхронизировать его с оставшимися в строю.
    Ответ написан
    7 комментариев
    7 комментариев

  • С помощью C# как получить список компьютеров из Active Directory по диапазону IP адресов?

    @NortheR73
    системный инженер
    в .NET Framework (и просто в .NET тоже) есть метод Dns.GetHostEntry(IPAddress) - с его помощью получаете имена компьютеров
    Далее с помощью объекта Directory Searcher выполняете поиск компьютеров в AD
    Ответ написан
    Комментировать
    Комментировать

  • Как уменьшить срок действия пароля для конкретных учеток в AD?

    @NortheR73
    системный инженер
    Парольная политика - одна на весь домен (by design).
    По просьбам трудящихся MS придумала костыль - Fine-Grained Password Policy (FGPP), применяется на группы пользователей
    Доменные рабочие станции по умолчанию меняют пароль каждые 30 дней. Этот срок можно поменять в политике: 
    Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Domain member: Maximum machine account password age
    Ответ написан
    Комментировать
    Комментировать

  • Почему не настраивается сервер федерации Active Directory?

    @NortheR73
    системный инженер
    А делать то что? Если год работало, а потом внезапно перестало
    сертификат прокис, не?
    Имя узла и субъект сертификата разные, и в атрибуте Subject Alternative Names не хватает нужных имен.
    Документацию читали по этому поводу? Ваши действия соответствуют рекомендациям?
    AD FS Certificate Requirements
    Manage TLS/SSL certificates in AD FS
    Ну и логи неплохо бы посмотреть...
    Ответ написан
    2 комментария
    2 комментария

  • Почему поиск на Exchange стал работать только с определенной точки?

    @NortheR73
    системный инженер
    Если Outlook работает в режиме кэширования - используется локальный индекс. В противном случае будет использоваться индекс почтового сервера. Работа службы Exchange Search не показатель - индекс может быть сломан, поэтому рекомендуется запустить перестроение индекса
    В параметрах Outlook может быть включена настройка "Improve search speed by limiting the number of results shown". Ее надо отключить.
    По умолчанию выдается 250 результатов поиска...
    Ответ написан
    Комментировать
    Комментировать