WinITPro.ru - Блог админа

⚙️ Есть два основных пути для запуска контейнеров Docker в Windows 10 и 11: нативное win приложение Docker Desktop для Windows (требует Hyper-V, отдельную Linux ВМ с Docker) или установка Docker Engine в образ Linux, который запускается в среде Windows Subsystem for Linux (WSL2). 📦 Если вам нужно запускать только Linux контейнеры, то наименее требовательным к ресурсам хоста будет запуск Docker Engine внутри образа WSL. В статье рассмотрены базовые шаги по установке и использованию Docker Engine в среде Windows Subsystem Linux (WSL2). Установка и настройка Docker на Windows Subsystem Linux (WSL2)

📂Для автоматического монтирования сетевых папок с файлового сервера в качестве сетевых дисков можно использовать предпочтения групповых политик. В статье рассматривается пример подключения сетевых дисков пользователю в зависимости от групп безопасности AD, в которые он добавлен. 👥 Такой подход позволит автоматом подключить всем пользователям одного отдела сетевую папку с общими документами. Для этого достаточно добавить пользователя в нужную группу. Также с помощью GPO можно подключить персональный диск с личными документами пользователя. ✅ Подключение сетевых дисков в Windows через GPO

☁️ Пропустил новость, что в Proxmox VE 8.2 (релизнулась в апреле 2024) появилась встроенная возможно прямого импорта виртуальных машин с хостов VMware ESXi. При миграции копируются большинство настроек конфигурации ВМ и сам процесс не сложный. Инструмент, безусловно, полезный особенно для тех, кто планирует потихоньку съезжать с VMware на альтернативные гипервизоры из-за нововведении Broadcom ✅Импортер позволяет смонтировать удаленный ESXi (версий 6,5 по 8.0) хост в виде отдельного хранилища, выбрать ВМ и запустить ее перенос. Все из веб интерфейса. Из недостатков – не поддерживается vSAN хранилища, низкая производительность при переносе ВМ со снапшотами и при миграции через vCenter (предпочтительнее использовать прямое подключение к ESXi). 🛠 В статье подробно рассмотрели особенности переезда Windows ВМ с ESXi на Proxmox, удаление VMTools, установка VirtIO драйверов и смена типа виртуального оборудования для оптимальной производительности. Перенос (миграция) виртуальных машин с VMware ESXi на Proxmox

⏳ Microsoft недавно анонсировала, что в грядущем обновлении Windows 11 24H2 по умолчанию будет включено требование обязательного использование подписывания SMB пакетов при доступе к сетевым папкам. SMB signing позволят защитить пользователей от SMB атак типа man-in-the-middle и NTLM relay. ⛔️ Однако данная мера безопасности может вызвать проблемы с доступом к общим сетевым папкам на хранилищах NAS, на которых в большинстве случаев SMB signing отключено (Synology, ASUStor, QNAP) в целях снижения нагрузки на оборудование. ✅ Администраторам желательно до момента массовой раскатки обновления 24H2 (ориентировочно сентябрь 2024 года) протестировать наличие поддержки SMB signing на стороне NAS хранилищ и проанализировать изменение нагрузки на устройства. Возможные проблемы с доступом к общим папкам на NAS после установки обновления Windows 11 24H2

🖥 В десктопных версиях Windows 10 и 11 есть ограничение на максимальное количество одновременных сетевых подключений к системе. Если на таком компьютере расшарена общая папка или сетевой принтер, которые используют другие клиенты, то при превышении 20 подключений появится ошибка: Дополнительные подключения к этому удаленному компьютер сейчас невозможны, так как их число достигло предела. ⛔️Таким образом MSFT ограничивает использование десктопных редакции Windows в качестве сервера, предлагая приобрести лицензию Windows Server, в котором нет таких ограничений. Вывести список активных сессий: net session Завершить все сессии с указанного IP : net session \\192.168.31.94 /d /y Можно уменьшить таймаут для авто отключения неактивных клиентов с 15 минут, до 5: net config server /autodisconnect:5 Или мониторить количество активных сессий и отключать их с помощью PowerShell. Ограничение на количество одновременных сетевых подключений в Windows 10 и 11

📷 В атрибутах пользователя Active Directory можно хранить его фото, которое будет отображаться в приложениях с поддержкой этого функционала (Outlook, Word, Excel, Lync, SharePoint) или использоваться в качестве аватарки в Windows. Фото хранится непосредственно в AD, поэтому не рекомендуется загружать туда большие изображения. ✅ Рекомендуемые размер 10 Кб, 96x96 пикселей. Для загрузки фото пользователю можно использовать PowerShell $photo = [byte[]](Get-Content C:\PS\admin_photo.jpg -Encoding byte) Set-ADUser vvkuzmin -Replace @{thumbnailPhoto=$photo} Загрузка фотографий пользователям Active Directory

🖨 Начиная с Windows 10 1511, Microsoft изменила порядок назначения принтера по умолчанию в Windows. Теперь Windows сама переназначает принтер по-умолчанию для пользователя, назначая таким тот, который в текущем местоположении использовался последним. 😞 Это вызывает проблему у пользователей, у которых подключены разные принтеры. В моем случае громче всех жаловался пользователь, у которого одновременно подключен принтер этикеток, цветной и обычный офисный принтеры. ✅ Запретить Windows переназначать принтер по-умолчанию можно, 🔹отключив опцию Let Windows manage my default printer в панели Параметры. 🔹через реестр: REG ADD "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" -v LegacyDefaultPrinterMode /t REG_DWORD /d 1 /f 🔹 или с помощью параметра групповой политики Turn off Windows default printer management в разделе User Configuration -> Administrative Templates -> Control Panel -> Printers редактора GPO. Почему Windows меняет принтер по умолчанию

⬆️ Windows позволяет повысить редакцию с младшей до более старшей без переустановки ОС с сохранением всех установленных программ, документов, настроек. 🖥 Для апгрейда редакции в десктопных версиях Windows 10 и 11 используется встроенная утилита changepk.exe. Это позволяет выполнить апгрейд в направлении Windows Pro -> Enterprise или Windows Home (single language)-> Pro changepk.exe /ProductKey xxxxxxxxxxxxxxxx На вход утилите нужно передать ваш ключ, или универсальный ключ (с которым ставится Windows, когда при установке ОС выбирается пункт “Пропустить ввод ключа)” Как изменить редакцию Windows 10/11 без переустановки ОС? 🗄 В Windows Server для апгрейда редакции со Standard (или Evaluation) до Datacenter используется DISM: DISM /online /Get-CurrentEdition DISM /online /Get-TargetEditions DISM /online /Set-Edition:ServerDatacenter /productkey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /accepteula Апгрейд редакции Windows Server

Образ Windows 10 и 11 поставляются с набором предустановленных UWP/APPX приложений, таких как Погода, Новости, Карты, ZuneMusic, ZuneVideo, Почта и многие другие. Такие приложения автоматически устанавливаются каждому пользователю при первом входе из системного хранилища. Вывесим список установленных UWP приложений для каждого пользователя: Get-AppxPackage -AllUsers | select Name,PackageUserInformation,PackageFullName Любое из приложений можно удалить для всех пользователей: Get-AppxPackage *BingWeather* -AllUsers| Remove-AppPackage –AllUsers После чего его нужно удалить из списка подготовленных (staged) приложений системного хранилища, чтобы оно не устанавливалось в профили новых пользователей: Get-AppxProvisionedPackage -online | where-object {$_.PackageName -like "*BingWeather*"} | Remove-AppxProvisionedPackage -online Однако в Windows 11 большое число системных панелей управления, системных службы и расширений устанавливается в виде UWP. Например, панель Параметры (windows.immersivecontrolpanel), панель управления антивирусом (SecHealthUI) и прочие. Нельзя бездумно их бездумно. Вывести список системных UWP приложений можно получить так: Get-AppxPackage| ? { $_.SignatureKind -eq "System" }|select Name,InstallLocation Удаление предустановленных UWP (APPX) приложений в Windows

📚 Для ограничения области применения групповой политики AD до уровня определенных пользователей, групп, или компьютеров с определенными свойствами, доступны несколько методов: 🔹 Security Filtering – GPO применяется только к объектам которые добавлены в определенную группу безопасности AD. Но объекты в такую группу вам придется добавлять и удалять вручную. 🔹 Item Level Targeting в Group Policy Preferences – позволяет выбрать и скомбинировать условия применения параметра GPP из около 30 опций (версия ОС, разрядность, OU). Однако это доступно только для настроек из раздела Preferences. 🔹 WMI фильтры GPO – специальный запрос к пространству имен WMI, который компьютер должен выполнить перед применением GPO и проверить соответствует ли он указанному условию. С учетом того, что из WMI можно получить практически любую информацию, это наиболее универсальный и гибкий способ гранулярного применения настроек GPO к клиентам. Использование WMI фильтров групповых политик (GPO) в домене AD

Selenium WebDriver — это популярный фреймворк для автоматизации действий в веб-браузере. С помощью Selenium можно получить содержимое веб страницы так, как его видит пользователь (отрабатываются все скрипты JS, стили, куки). Чаще всего Selenium используется для тестирования веб-сайтов с имитацией действий реального пользователя. Системные администраторы могут использовать Selenium в скриптах, в которых требуется выполнить какие-то автоматические действия в любом веб-интерфейсе. Например, вы можете из вашего скрипта ввести имя пользователя и пароль для входа в веб-интерфейс, заполнить форму, навести курсор мыши на элемент, нажать на любую кнопку, перейти по ссылке и получить значение из определенного поля. Это позволяет автоматизировать абсолютно произвольные задачи в любых веб-панелях администрирования, которые не имеют средств доступа через CLI или API. Фреймворк Selenium не сложный и должен легко зайти даже администраторам без багажа веб разработчика. В статье, мы разобрали два примера использования Selenium в PowerShell скриптах для автоматизации: ·   Как выполнить тестирование скорости интернета на веб-страницы speedtest и получить результаты с веб страницы в ваш скрипт ·   Как выполнить автоматический вход в веб-интерфейс гипервизора Proxmox, выполнить навигацию по консоли и получить состояние виртуальных машин. Автоматизация любых действий в браузере с помощью PowerShell и Selenium

🛡По умолчанию в десктопных версиях Windows политика Execution Policy блокируют запуск любых PowerShell скриптов. Для создания безопасной среды среды выполнения администраторы могут подписывать все используемые файлы PowerShell скриптов. 1️⃣ Подписать скрипт можно с помощью закрытого ключа сертификата типа Code Signing (можно сгенерировать самоподписанный сертификат или запросить доверенный серт в своем внутреннем CA). 2️⃣ Чтобы подписать PS1 файл с помощью сертификата из локального хранилища:  Set-AuthenticodeSignature $file $cert 3️⃣ Открытый ключ сертификата нужно добавить в доверенные на компьютерах клиентов. 4️⃣ Затем изменить настройки PowerShell Execution Policy на Allow only signed scripts через GPO или командой: Set-ExecutionPolicy AllSigned –Force ✅ Теперь компьютеры смогут запускать PS1 скрипты, подписанные доверенными сертификатами. Если код подписанного PowerShell файла будет изменен, политика заблокирует его запуск. Как подписать код PowerShell скрипта (PS1) с помощью сертификата?