• Так ли легко взломать доменную учетную запись с правами админа?

    Господа, можно подробней про "легко" для локального админа? Если бук корпоративный - в нем обычно биос/уефи запаролен, загрузка с любых съемных устройств запрещена.
    Ответ написан
    7 комментариев
  • Объединение двух компьютеров, расположенных в разных сетях?

    VLAN - но тут вопрос, как у вас в целом сеть организована, возможно придется знатно порисовать, если она довольно большая - но экспириенс в понимании топологии сети будет знатный) Ну или самый радикальный метод - используйте сеть по маске /16, и все всех будут видеть в текущей адресации))
    Ответ написан
    Комментировать
  • Как решить задачу в сети с двумя VLAN и DHCP?

    Берите второй хаб, и подключайте в другую розетку, либо покупайте управляемый коммутатор в кабинет, где нужно развести телефоны и компы, и настраивайте на нем вланы и релаи.
    Ответ написан
    Комментировать
  • AD как разобрать атрибут cn?

    ПоШем, тут только вопрос, насколько у вас стандартизирован этот атрибут. А так - это обычная строка, парсите ее по пробелу, и после второго забирайте. Почитайте операции со строками в power shell. Как пример:

    $cn = (Get-ADUser -Properties cn).cn
    $cn.Split(" ")[3]
    Ответ написан
    Комментировать
  • Новые решения в сфере централизованного управления?

    Рассмотрите AD, в гибридной среде, с набором линуксовых/юниксовых дистрибутивов, и вводом их в домен, организацией прав (root/sudo etc.), через доменные УЗ. Вполне актуально, и очень полезно. Правда сложно. ИМХО)
    Ответ написан
    3 комментария
  • Как организовать защищенные соединения между подразделениями с помощью IPsec?

    Сделайте на Router-PT по 1 крипто мапе на каждый интерфейс, смотрящий на свой офис, и на конечных роутерах по 1 крипто мапе на интерфейс смотрящий на Router-PT. Дальше маршруты все через этот центральный роутер должны построится, да и все.
    Поправьте меня сетевики, если я не прав.)
    Ответ написан
    Комментировать
  • Почему спрашивает пароль для монтирования сетевого диска?

    Если вы подключаете в "Computer settings", то нужны креды в скрипте, либо доступ к шаре для Authenticated users.
    Ответ написан
    1 комментарий
  • Какие есть аналоги SCCM Remote Console?

    Посмотрите Windows remote assistance - но это билт-ин винды. По крайней мере, тут устанавливать ничего не нужно. и можете просто смотреть сразу на тулы для конекта к макам/линухам.
    Ответ написан
  • Как сделать сбор данных о имеющихся ПК и их операционной системе?

    Если вы решили вводить домен - то не вижу проблем его ввести, и уже затем собирать интересующую информацию (плюс хоумы и т.п. редакции выявятся на моменте ввода в домен). Если же вы хотите провести инвентаризацию для оценки стоимости апгрейда ОС текущей инфраструктуры, с целью выяснить стоимость подобного внедрения - то, как и писал Константин Цветков - нужно пройти, и вручную собрать данные. Тем паче на ваше количество компов, это пол часа-час времени))
    PS XP - такой ОС для микрософта уже не существует))
    Ответ написан
    1 комментарий
  • Неактивен пункт в оснастке локальной политике безопасности. Как исправить?

    Групповые политики для того и нужны, что бы типизировать конфигурацию внутри домена, и запретить всяким очумелым ручкам кастомизировать все почем зря. Перечитайте, как работают политики, прежде чем что то изменять, особенно на домен контроллере.
    PS Если хотите выставить политику паролей отличающуюся от доменной, почитайте про Fine-Grained Password Policies
    Ответ написан
    Комментировать
  • Производительность GP в домене, как масштабируется?

    Ровным счетом никак. Хоть 1000+. ГПО для контроллера - это просто файлики, лежащие в доменной шаре. Весь процесс применения исполняется на клиенте, и все, что нужно от контроллера в случае ГПО - это быть доступным. Группировка правил и т.п. в политиках - это ваша личная боль. Соберете все в одну-две - как вы потом что то траблшутить или изменять будете? Дробить на 100500+ по каждому чиху, можно вырастить огромный огород, в котором так же потом заблудитесь. Здесь нужен просто здравый смысл, и анализ конкретно вашей ситуации и вашего подхода - максимально понятное название политики, и группировка настроек тематическая. Подход в группировке правил, по сути, похож на группировку юзеров-компов в AD - не использовать группы и везде давать права-доступы только на юзеров-компы глупо, но и сделать 2-3 группы и только по ним все разграничивать - тоже та еще радость и эфективность)))
    PS не стоит ВООБЩЕ трогать дефолтные политики.
    Ответ написан
    2 комментария
  • Зачем нужно знать о сетевой модели OSI?

    Когда начнешь понимать эту модель - сам же поймешь, зачем это надо. Если собираешься работать с сетями - то вряд ли ты будешь трогать уровни выше 4-ого (если тебе в плечи не вкинут обслугу какого-нибудь ng firewall'а). Понимание с практикой приходит. Если какие то примеры - вот обобщенный способ решения проблем на сети у рядового админа:
    Большинство задач с проблемами на сети (даже маленькой, домашней) сводится к пониманию уровня, на котором проблема возникла - в домашней среде, у тебя, к примеру, есть модем, куда пришел сигнал от провайдера, за ним свич или вифи. У тебя пропал инет по вифи на телефоне. Ты начинаешь разбираться, где же проблема - смотришь, работает ли вифи, подключен ли телефон к роутеру - это 2 уровень OSI. Если там все ок, дальше смотришь подключен ли модем к провайдеру, есть ли пинги и т.п. наружу - это 3-ий уровень. Если там все ок - нужно смотреть прикладные уровни - к примеру, ДНС стал недоступен и это уже говорит о том, что проблема поднялась на прикладной уровень, в данном случае на 7-ой. А теперь попробуй масштабировать данную проблему хотя бы до офисного помещения, а потом добавь пару этажей. Прикинь, сколько у тебя будет коммутаторов, что будет маршрутизировать у тебя трафик в сети, будут ли файрволы. Вот так просто взять, и отключить по очереди устройства порой не то, что не логично, просто невозможно. И тебе нужно по максимуму ограничить потенциальное место возникновения проблем, и дать вощможность работать тем участкам, которые еще не пострадали. Вот здесь тебе нужно понимать, что за что цепляется, на каком уровне работает, как нужно группировать устройства, что бы максимально быстро проводить безопасные проверки как можно больших сегментов сети и т.д. А представь когда у тебя несколько офисов, или ты вообще инженер у провайдера?
    Понимание модели OSI даст тебе понимание "вертикальной лесенки" движения трафика от клиентского приложения до кабеля - сверху вниз, и по нему дальше наружу или к другому приложению/сервису уже в обратном направлении - снизу вверх, поможет твою инфраструктуру положить на эту лесенку, и спокойно поуровнево по ней лазать, в случае необходимости. Один фиг, мне самому оно не сильно близко было, пока не поработал у провайдера - только на тех масштабах улеглось в голове, что без нее я делал такой ОГРОМНЫЙ объем лишней работы по траблшутингу и т.п. ранее, что теперь сам же и не понимаю, как можно не знать модель OSI, работая админом (как минимум упрощенную) )))
    Ответ написан
    2 комментария
  • Почему не применяется групповая политика?

    Что у вас в результирующей? Что в секурити фильтре? В делегации у вас есть authenticated users или domain computers, или вы их удалили?
    Ответ написан
    1 комментарий
  • Какой хостер реально использует ssd диски?

    В Azure честные SSD для Premium.
    Ответ написан
    Комментировать
  • DNS+DHCP. Как правильно настроить временные интервалы для очистки устаревших записей?

    Если в кратце, вот пример: Вы выдали dhcp адрес на x дней. С точки зрения DHCP адрес будет жить х дней, из которых х/2 дней он будет неизменям, по истечение х/2 первых дней жизни (половины срока лиза) клиент сам начинает обращаться на dhcp-сервер за продлением лиза - если клиент успел обратиться до окончания полного срока лиза - аренда продлевается.
    Что происходит на стороне DNS - dhcp выдал адрес, и тут же зарегил запись в DNS - dhcp НЕ волнуется за жизнь записи в DNS, его дело - аренда адресов, и сообщение DNSу о новых арендах и продлении старых - удаление записей в DNS - дело самого DNS. Срок лиза адреса в dhcp никак не влияет на срок жизни ресурсной записи заводимой в DNS. На срок жизни записи в DNS влияют интервалы блокирования и обновления. Интервал блокирования - это период, в течение которого запись не может обновлятся, она может быть только полностью удалена. Интервал обновления - это интервал, в течение которого запись ожидает обновления (можно обновить дату создания, и тогда срок блокирования начнет новый отсчет), т.е. что dhcp придет и скажет - "пациент жив, продлевать буду" - это происходит как только "пациент" обратился к DHCP после истечения срока половины аренды, а запись еще не успела попасть в DNS под очистку, даже при условии, что истекли сроки блокировки и обновления, но она еще есть - у нее обновится дата создания, и сроки пойдут считаться с новой даты. Если прошли и срок блокирования и срок обновления записи на DNS - то при следующем запуске очистки запись будет удалена.
    Т.е. срок блокировки и обновления записи желательно держать равными времени лиза - т.е. в вашем случае по 12 часов каждый. А срок очистки поставить скажем каждый час. Это увеличит нагрузку на сервер, но избавит вас от головной боли о дублирующихся записях. Чем чаще будет проходить очистка - тем меньше шансов дублирования будет. Но прямо пропорционально будет и рост нагрузки на DNS (если записей не много - не критично).
    Ответ написан
    Комментировать
  • Что, что и когда делает с учетками уволенных сотрудников у себя?

    Примерно такой алгоритм:
    Кадры присылают список уволенных
    AD:
    Дизейблим УЗ -> перемещаем в OU для дизейбленных
    Раз в неделю или месяц, прогоняем скрипт, который будет удалять из всех групп и чистить OU от УЗ заблоченных больше месяца назад.
    Exchange: Обычный сотрудник - грохаем ящик (по дефолту в течение 15 дней, если что можно восстановить), руководятел какой - создаем рул, по которому запрещаем хождение почты, отключаем доступы по owa, activesync и т.п. Желательно таких еще и перемещать в отдельную базу, чтоб не путались.
    Ресурсы - что вы имеете ввиду? Доступы по smb или NTFS - только на группы, никаких персоналий, и ваша проблема решена еще на шаге "раз в неделю прогоняем скрипт..."))
    Локально на компе - перезаливка системы с форматированием всех дисков. Если ресурсов на эту работу нет - на ваш страх и риск, можно в принципе вообще ничего не делать - пришел новый сотрудник - сел работает под своей УЗ)
    Ответ написан
    1 комментарий
  • Как настроить безопасное подключение WinRM?

    Ну, то что у вас на "огненной стене" дропаются пакеты - эт к настройкой самой "стены")) а по winRM - что вы подразумеваете под словом "безопасное"? На прикладном уровне - это, к примеру HTTP/HTTPS. Вы же, насколько я понял, хотите ограничить подключение по сурсу. Инструменты нужно использовать по своему непосредственному назначению. Если вам нужно ограничить доступ куда-либо от каких-либо источников как раз и существует "огненная стена", ее настройками и займитесь. А в политиках есть Trusted Hosts - но это ограничение не по сурсам, а по целям. Создано для админов, чтобы можно было оградить спокойно важные ресурсы.
    Ответ написан
    Комментировать
  • Смена пароля windows по расписанию? Как это сделать?

    Через шедулер скрипт ПоШевский запускайте каждые пол часа на установку пароля, да и все.
    Ответ написан
    2 комментария
  • Как защититься от подбора пароля на Windows 2008?

    ip виновного - никак. К вам прилетает пакет, в котором ip отправителя - это последнее маршрутизирующее устройство. Так сеть работает.
    А по поводу защиты - политики, файрвол. К примеру парольная политика, на количество неверных попыток ввода пароля.
    Чтобы к вам не стучались - вариант только один - закрыть входящие подключения, поменять порт и т.п.))
    Ответ написан
    Комментировать
  • Как создать ssl сертификат на CA Windows 2012?

    Если не знаете, как обратиться напрямую к CA, проще сформировать на бубунте реквест на серт, в соответсвие с требуемыми параметрами в подходящем шаблоне на CA. Передайте сформированный файл реквеста не CA, там оформите сертификат (к примеру через certreq), и верните готовый серт на бубунту. Установите и радуйтесь жизни. Если конечно у вас CA не для красоты, а его корневой у вас опубликован в AD или распихивается в корневые политиками.
    Ответ написан