fpir

Запрет исполняемых файлов из директории пользователя
Следующий вопрос будет как права на папки разовать?

На "домашнем ПК с виндой" открытием и закрытием портов в/из вашей локально сети рулит ваш роутер(он-же шлюз). Какую модель угроз вы себе представляете, даже открыв 3389 на компе и оставив винду без авторизации?
Ваш ребёнок зайдёт со своего компа и положит ваш сервер? ну тогда просто поставьте пароль на учётку винды. Или он может брутфорсить пароли и сканировать открытые порты? Тогда да, озаботьтесь стойкостью паролей и закрытием всех портов на брандмауэре.

Может по такой детской проблеме статью на хабре накатать? Так заминусуют же за низкий технический уровень.
1. Что такое падает интернет - это заявление манагера, а не специалиста. При этом ресурсы в локальной сети доступны? Поэтому мы пингуем внутренний шлюз
а) ping 192.168.0.1 -t (где 192.168.0.1 адрес вашего роутера, такой чаще всего по дефолту с завода, если кто-то
настраивал - может быть другой, он-же "адрес шлюза по умолчанию" у вас в винде). Смотрим что пинги ходят и потерь пакетов нет, хотяб минуту.
b) ping 192.168.0.254 (где 192.168.0.254 адрес какого-то ресурса внутри локальной сети - сервера, NAS, или тупо,
соседнего компа). Важно, чтоб он был принципиально, желательно, чтоб стоял физически далеко.
2. Доступны ли ресурсы за шлюзом.
а) ping 8.8.8.8 (это айпи Google Public DNS, он не меняется, отвечает на пинги и почти всегда работаете)
3. Разрешаются(резволтятся) ли доменные имена
а) ping ya.ru -t (самый короткий из публичных доменов, который, скорее всего работает и не заблокирован? ,бесконечный пинг, чтоб оценить стабильность.) Обращаем внимание на время задержки, для провода хорошо разница в 2-3 мсек, для воздуха 30-50, но и 100 -150 вполне рабочий вариант. Именно разница, не само значение.
Если нет, то:
1. лежит сеть
2 нет выхода в инет, нет соединение с провайдером
3. косячит dns, на роутере, у провайдера, на компе, но проблему надо копать в этом направлении.
Вот это всё и есть "Без доступа в Интернет"
Каждый из этих случаев ветвится дальше порядочное число раз, отсекая другие ветви и сокращая возможные варианты. Причины могут быть весьма экзотические, но их диагностика начинается всегда с этого.
Пы.Сы. есть ещё номер 0, тоже довольно частый случай.
0 на компе вообще есть правильный айпи, шлюз, и днс. Если настройки стоят "автоматически", то в сведениях о сети должен быть адрес, который начинается не на 169.254, а так-же адрес шлюза по умолчанию и адрес DNS сервера. Если нет, то проблемы с DHCP - вообще нет линка, настроки на раздаются, раздаются несколькими не согласованными устройствами, настройки не принимаются.

На будущее диагностика сети при её отказе.
1 есть ли айпи на коме?
2 пинг до шлюза
3 пинг до 8.8.8.8
4 трасероут до до восьмёрок
5 нслукап гугла
Это покажет есть ли проблемы и какие, на твоём оборудовании.

Описание и фото говорят, что мать(BIOS) видит флешку, обращается к ней, читает файл UEFI и на этом загрузка прерывается. Причин может быть десяток - сам образ не загрузочный(в нём нет загрузчика или он битый),UEFI не содержит ссылки на загрузчик(не правильно создался файл, виноват Руфус), секюр бут, опять-же(в uefi нет подписи загрузчика) и тд.
Если надо именно виндовую флешку - скачайте у мелкомягких утилиту для создания загрузочной флешки, ей можно подсунуть любой исошкник, хотя в принципе, и образ лучше оттуда взять.
Если хотите флешку "100500 в 1" - советую с рутрекера, там принято под раздачей описывать, как его разворачивать и под что он заточен.
Ну а руфус идеален для создания люнуксовой флешки, под то и заточен, это не значит что другую нельзя, это значит, что нужно понимать, что делаешь и для чего это надо. И желательно понимать на каком железе будешь это использовать.

Рутокен 2 поддерживает 2 варианта ключа.
1. Не извлекаемый - закрытый ключ генерится на токене и не может быть извлечён никак и никогда. Примерно так-же часто используется.
2. Не экспортируемый - закрытый ключ генерится на компе налоговички и записывается на токен с флагом. Софт рутокена и криптопро на этот флаг внимание обращает. Другой - игнорирует и отлично экспортирует.
Вариант, что у вас "неизвлекаемый" в теории возможен, на практике - хз, я не встречал.

Проверенная фишка: устанавливаешь 10ку в uefi, чистую, можно даже не устанавливать, а только создать разделы, но по простому- устанавливаешь. После установки раскатываешь образ системного раздела(ранее созданного со своей системы)в раздел созданный при установке и грузишься штатным образом. Без танцев с BCD. Надеюсь понятно объяснил

Надеюсь поправят, если инфа устарела, но раньше было так: на WinServer по RDP могут зайти только администраторы и не более 3х. Чтобы могли заходить другие группы должна быть поднята роль "Службы удалённых рабочих столов"
И от главный контроллер, контроллер или рядовой сервер это не зависит.
Вроде как...

Так, народ, смотрите-можно всё, что не противоречит физике. Другой вопрос - что за это будет. С точки зрения "правоохранительных" органов не существует в природе никакого Miсrosoft или Autodek. Не ожидается, что Бил Гейтс придёт в советский районный суд как потерпевший. Но тем не менее туда кто-то приходит и выступает. И есть сомнение, что Бил выдал ему доверенность лично.
Так вот, контора ЛегалСофт никуда не делась. И, вроде, не собирается никуда деваться. И запросто может в суд своего человечка прислать. Поэтому для подданных в России ничего не меняется, совсем. Может для ЛегалСофт поменяется, но это не особо касается задающего вопрос.
Ну а технически ... Выпилить из винды обновлялку не долго, да и с ключами нет сложностей.

А прописать в ip tables микротика правила src-nat и dst-nat, чтоб налету подменял айпишники и заворачивал в нужный бридж?

В свойствах файла(папки), во вкладке безопасность смените владельца на себя.

За кэширование паролей отвечает политика "Интерактивный вход в систему: количество предыдущих подключений к кэшу (в случае отсутствия доступа к контроллеру домена)", значение, несмотря на описание, это количество последних пользователей домена, которые входили на эту машину. Т.к. на конкретную машину входят, обычно, 1-2 пользователя и админ(в другом случае, несколько админов), то значение 3-5 гарантированно добавит в кэш доменных админов(если они вообще когда-либо заходили на данную машину). Т.е., чтоб подключится к конторскому компу у пользователя дома - задайте политику(по умолчанию, вроде, 5), скажем, 10, зайдите под своей учёткой и отдайте комп.
Или я чего-то не понял?

команда DD из под live системы любым UNIXом, более простой -Clonezilla, фрисофт, образы загрузочной флешки , совсем просто Acronis, с GUI, но за денюжку. Аналогов море.

WDS (Windows Deployment Services). Быстрое разверт...

Может это?

Выделить под linux раздел(почти по любому придётся), загрузится с лайва, раскатать образ на выделенный раздел, загрузится в него и запустить grub update.
После этого поколдовать с fstab, если надо монтировать разделы при загрузке. Так-же, предусмотреть по желанию разделы под /home и под swap, при наличии этого желания.

Может проблема с целевым диском, куда ставите. Например на диске один раздел на весь диск, а ubuntu на виртуальном. Вообще, когда такое пару раз случалось - удалял все разделы с диска. Исключая случай, когда вкорячивал 7ку на B450 чипсет, там реально в ОС не было драйверов для USB3.

Это скорее не ответ зачем нужны, а ответ, зачем понимать, зачем они нужны. Случилось буквально 2 дня назад.
Есть некая контора с удалёнными филиалами. Шлюзами на ней микротики соединённые друг с другом oEIP туннелями и все филиалы находятся в 21 подсети. Соответственно, у первого филиала шлюзе 0.1, у второго 1.1 и тд.
Так вот, вчера интернет был. сегодня не работает(точнее у одних работает, у других нет), ничего не делали, ничего не меняли. После нескольких часов плясок с бубном выяснилась история: в филиале, где шлюзом был микротик с внутренним ip 2.1 купили бытовой роутер dlink, чтоб ви-фи раздавать, воткнули lan портом в свич и у них всё заработало. Догадайтесь, какой ip у него был по дефолту? Благо, что филиал был в получасе езды и самым ближайшем. Так, что после отрубания всех портов, кроме одного в первой конторе и нескольких сбросов arp cache поехали сразу туда. А там был филиал и за пару тысяч километров.