Ответы пользователя по тегу Windows Server
  • Стоит ли виртуализовать терминальный сервер Windows?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    С точки зрения разнесения ролей - виртуализировать всё это единственный выход при нехватке железа
    Однако,вам и вашему руководству стоит задуматься о том, что падение (хардварное) единственного сервера без бэкапа серьезно повлияет на бизнес процессы, поскольку восстановление того же функционала на новом железе выльется в длительное ожидание процесса закупки и тд и тп.
    Если же у вас два маркера, то вы можете покрасить вообще всё сервера то
    1. виртуализация и
    2. кластеризация (например в случае падения сервера все переезжает на второй, более слабый, зато работает)
    сильно поможет бизнесу не простаивать из-за хардварной проблемы.
    Ответ написан
  • Как обьединить две доменных сети?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Ваш вопрос вызывает больше вопросов чем желаний дать ответ, FYI
    Вопросы:
    1. Объединены ли в сетевом плане облачная сеть и офисная, если да то кто виноват зачем?
    2. В вопросе присутствуют
    - SQL: вообще не давать доступа никому кроме админов и приложения, логины обязательно отдельные от офисной сети
    - Exchange: Вообще никому не давать доступ, кроме админов. Все пользовательские интерфейсы работы с Exchange - внешние.
    - Служба терминалов: Вот тут (спорное утверждение) можно бы логиниться под офисными логинами, однако:
    Exchange интегрирован с AD domen2, его логины для почты будут отдельными.
    Если все равно есть отдельные логины - то и в службе терминалов так-то особо не стоит интегрироваться.

    В общем и целом из вашего вопроса я не вижу причин для объединения доменов, так что если отвечать на "как правильно функционально" - ответ,наверное, будет: "не надо объединять"
    Но если вам настолько хочется снизить безопасность сети с БД, приложением(1с наверное какой-нибудь) и почтой - дерзайте: объединяем подсети site2site VPN-ом, настраиваем траст, как написал hint000 , надеемся на авось надеемся на авось.
    Ответ написан
  • Может ли быть на одном сервере несколько ролей?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Впихнуть все на один сервер потенциально можно, но в получите неудобство в управлении и риски по безопасности. Приведу очевидные примеры:
    сервер терминалов+AD = пользователи сервера терминалов должны быть домен админами
    MSSQL + AD = https://www.concurrency.com/blog/february-2017/ins...
    IIS + AD = проблемы с безопасностью (или пользователю, под которым запускается apppool не хватает прав - "глюки" в работе веб приложенияили, наоборот, слишком высокий уровень доступа у учетной записи, под которой работает приложение - риск взлома AD через IIS)
    Кроме того, понимайте, что после появления AD и присоединения к нему рабочих машин это - центральный сервер вашей сети. Его поломка вызовет вал работ по восстановлению, переприсоединению, перенастройке учетных записей и тд и тп. Вы же вносите в его конфигурацию дополнительные сервисы, что несет для AD дополнительные риски
    Тем не менее, у MS всегда было решение Small Business Server которое совмещало на одном сервере роли, необходимые небольшой организации. На текущий момент мои знания по SBS устарели, но продукт существует в виде Windows Server Essentials - возможно, для того, чтобы понять какие роли сейчас (по рекомендации MS) можно совмещать на одном сервере можно посмотреть в его сторону
    Ответ написан
  • DHCP+Powershell. Какие права дать пользователю для получения информации о DHCP через Powershell?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Возможно, путь в статье поможет и вам.
    https://secureidentity.se/delegate-dhcp-admins-in-...
    Только читайте внимательнее: автор решает другую задачу: как дать административный доступ к DHCP пользователю без админских прав. Про доступ на чтение - у него в конце одна строка "сделайте по аналогии" :D
    Заодно там есть кратенько почему эти две дефолтные группы "не работают"

    P.S. По хорошему, вам бы не заморачиваться всем этим, а просто раз в минут 5 выгружать необходимую статистику в файл, а пользователю работать с файлом, без непосредственной работы со службами. Но все зависит от того какую задачу вы на самом деле решаете. В вопросе у вас сформулирована проблема с уже выбранным решением, с которой поможет разобраться приведенная статья, но, возможно, не стоит настолько усложнять схему и выдавать права там где они реально не нужны
    Ответ написан
  • Как дать RDP пользователям сменять истекшие пароли?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    вот тут хорошо написано.
    Если кратко :
    1. закончившиеся пароли можно включить RDWeb - там есть возможность смены.
    2. действовать проактивно : включить настройку, предупреждающую пользователей о смене паролей за N дней до истечения.
    По ссылке инструкции на английском со скриншотами.
    Ответ написан
  • Как запретить запуск портативных приложений?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    https://technet.microsoft.com/ru-ru/library/hh8315...
    Если кратко : разрешаете запускать программы из Windows и Program Files, Program Files (x86) и запрещаете откуда угодно из другого места.
    Ответ написан
  • Есть ли разница в командах cmd?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    надеюсь, вот эта ссылка сможет ответить на ваш вопрос (если кратко - то нет, базовый функционал остался точно таким же, а вот утилиты командной строки привязанные к возможностям\ролям\приложениям сервера - могли измениться)
    Ответ написан
  • Как присвоить имя учетной записи windows к учетной записи почтового ящика в outlook?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    SyavaSyava отчасти прав.
    Но вы просто не понимаете задачу.
    Вам нужно средствами домена законфигурить клиентское приложение Outlook.
    средствам групповых политик - ищите шаблоны групповых политик для MS Office вашей версии
    Ответ написан
  • Что случилось с моим dns сервером?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    1. ipconfig /all на клиентской машине где наблюдается проблема.
    Выясняем список всех полученных DNS серверов
    Тестируем их на доступность и прохождение запроса ( а так же скорость отклика ) - как прописал Александр Карабанов
    На доменных машинах клиентские DNS должны смотреть только на контроллеры домена.
    2. Смотрим на DNS сервер на контроллере домена :
    - логи с ошибками\warning-ами сервера
    - доступность DNS серверов, прописанных в свойствах сетевого подключения контроллера домена и прохождение запроса к ним с контроллера домена
    - настройки DNS :
    доступность root hints
    доступность форвардеров и кондишнл форвардеров, если вы их прописали в свойствах сервера.
    3. Работоспособность и отсутствие ошибок в Active Directory сервисе.
    Ответ написан
  • Как подключаться к windows server по IP и порту в nodejs через сервис AWS?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    При запуске инстанса (руками, через веб консоль) вам предлагалось в том числе и настроить SecurityGroup: настройки правил доступа c определенных мест по определенным портам (и делают строгое предупреждение, если вы оставляете в группе безопасности источник 0.0.0.0/0)
    Вы настроили для вашего IP адреса/подсети разрешения доступа к 8080-му порту?
    Ответ написан
  • Возможено ли вести лог копирования файлов в Windows?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    Ориентируйтесь в первую очередь на ответ SyavaSyava
    Но помните :
    Доверительные отношения это доверительные отношения, а информация - это информация.
    1.Как бы компания не доверяла сотрудникам - не каждому стоит давать доступ к файлу\отчёту "финансовая отчетность организации"
    Разграничивайте доступ к документам : рабочие документы отдельно, важная информация управляется конкретным лицом\отделом и доступна максимум для чтения всем, кроме него\них.

    2.Если сотрудник не видит файл, к которому ему доступ не нужен - это предотвратит лишние соблазны.
    (в свойствах файлового сервера что-то вроде policy-based enumeration)

    3. аудит доступа к файловым ресурам.(то что SyavaSyava прописал) позволит фиксировать кто когда работал\получал доступ к документу.

    4. по сложным случаям,в которых применение DLP реально видится необходимым (пересылка с компа с личной почты или через мессенджер) - ничего поделать нельзя. Реально. Моцарт когда-то спиратил Miserere без всяких там смартфонов и личных почт.
    Здесь может помочь :

    5. Развивайте лёгкую паранойю у сотрудников на предмет "принимаются меры по защите информации". Проводите мероприятия, составляйте списки защищаемых документов. Подписывайте, проводите все стандартные процедуры. Сотрудники, таким образом, будут знать что если что - "атата" (даже если "атата" реально не получится сделать по причине невыяснения а кого-же "атата") .
    Ответ написан
  • Powershell, стоит ли изучать на старте?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    не путайте мягкое с тёплым.
    PoSH - инструмент для решения задач в помощь системному администратору.
    Один из.

    Где-то будет эффективнее решить задачу "мышкой"
    В каких-то случаях проще использовать специально разработанные программные продукты для решения задачи.

    а PoSh - это как некая альтернатива. Можно на него посматривать и проверять
    "а можно ли быстрее и эффективнее решить эту задачу скриптом на PowerShell ?" или
    "А как вот эта задача, которую я накликал мышкой в интерфейсе сервера решилась бы с помощью скриптов(не обязательно PoSh)?"
    А дальше пойдет по накатанной : типовые задачи по автоматизации будут легче решаться(скриптами, если пару раз сделали), нетиповые задачи (при накоплении опыта) будет интереснее делать скриптами и тд и тп.
    B не надо относиться к Powershell как к "о, щас я его изучу и буду всё уметь" - не изучите всё :D
    Ответ написан
  • Как установить средствами GPO только не установленные программы?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    установка софта средствами gpo - вещь рекомендуемая только в очень крайнем случае.
    Освойте менеджмент софта средствами chocolatey или
    windows package manager
    Последний доступен, если у вас установлен Windows Management Framework 5 - по дефолту в windows 10. В остальные ОС необходимо ставить указанный пакет.
    Как добавить менеджер пакетов chocolatey написано на соответствующем сайте.

    Соответственно установка софта выглядит так :
    chocolatey: choco install 7-zip,googlechrome,adobereader,k-litecodeckpackmega -y
    менеджер пакетов : '7-zip','googlechrome','adobereader','k-litecodeckpackmega' | foreach {install-package $_ -force}
    по сути используется один и тот же репозиторий - chocolatey, просто в WMF5 Microsoft добавили его как один из известных репозиториев пакетов.
    Можно пихать в логон скрипты, например.
    Если софт установен - он не поставится еще раз.
    есть опции для апдейта софта.
    chocolatey : choco upgrade all
    для менеджера пакетов несколько сложнее :D

    Если хочется зафиксироваться на одной версии ПО - при установке можно указывать желаемую версию (из доступных в репозитории)

    Ну и рулить можно всем с одной управляющей машины по WINRM (потребуется настройка политик в домене).
    Если опасаетесь что нужный софт пропадёт из chocolatey - на сайте chocolatey.org есть описание как поднять свой репозиторий (в том числе и в виде простой общей папки), как готовить пакеты для своего репозитория и тд и тп.
    Ответ написан
  • Какие есть способы управления пользователями в рабочей группе?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    опишите, пожалуйста, как вы видите механизм синхронизации пользовательских данных, в случае смены пользователем своего пароля на своей основной станции.
    И как вы планируете решать проблемы с доступом пользователя на расшаренные папки в таком случае.

    Это в случае, если вы все таки реализуете вашу хитроумную систему управления пользователями через скрипты\удалённое управление.
    Ответ написан
  • Не отрабатывает скрипт powershell?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    The cmdlets for Windows Server Backup are contained in a Windows PowerShell snap-in. Before you begin, you must install the cmdlet snap-in. (For instructions, see Install Windows Server Backup Tools (go.microsoft.com/fwlink/?LinkID=101794)). Then, each time you use the cmdlets, you must add the Windows Server Backup cmdlet snap-in to the instance of Windows PowerShell that you have opened by using the following command at the command prompt: C:\PS>add-pssnapin windows.serverbackup.
    Ответ написан
  • Как правильно комбинировать права доступа к общим папкам?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    имеет.
    Можно для пущей безопасности выставить на сетевые ресурсы не everyone а authenticated users.
    Ответ написан
  • Как чистить диск натерминальном сервере?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    1. очистка системных временных файлов :
    включаете в features(компоненты) Desktop Experience (возможности рабочего стола) . Перезагружаетесь. После перезагрузки получаете стандартный cleanmgr.
    1.a настраиваете cleanmgr. ключи коммандной строки
    /sageset:n - настраиваете профиль очистки под номером n
    /sagerun:n - запускаете настроенный профиль очистки под номером n.
    и вообще читаете, например, это или другую документацию, на сайте MS например, и настраиваете под себя.
    Запускаете cleanmgr с нужными ключами по расписанию в планировщике задач.

    2. Очистка пользовательских профилей
    Включаете настройку групповой политики на этом сервере:
    Computer Configuration -> Administrative Templates -> System -> User Profiles
    Delete cached copies of roaming profiles

    Теперь при логоффе пользователя его профиль будет выноситься.
    Бывают проблемы что он не удаляется - но их надо решать отдельно.
    Так же приучаете пользователей не хранить ничего на рабочем столе-документах терминального сервера, под хранение рабочих документов выделяете отдельный диск\сетевой диск, если хранить документы на компьютере пользователя неприемлемо.
    Ну и используете remoteapp, конечно
    Ответ написан
  • Аутентификация в сети предприятия по учетной записи пользователя и компьютера в домене?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    xgu.ru/wiki/NAC#802.1X
    а вообще читайте по теме Network access control и network access protection

    сетевики скорее всего более подробно расскажут про настройки оборудования(или хотя бы ткнут носом где копать) - я в проекте настраивал только NAP на windows 2008 =)
    Ответ написан
  • Можно ли настроить сервер AD без DNS и DHCP?

    @yellowmew
    Cloud infrastructure, monitoring engineer. SRE
    обслуживать Active Directory, DNS должен свой собственный.
    Чтобы использовать днс на микротике, просто поставьте в настройках форвардеров в днс ваш микротик.
    Однако на клиентах должен быть ДНС контроллера домена.
    Ответ написан