GPO – wymuszenie ładowania polis przy każdym starcie komputera lub logowaniu użytkownika

Domyślnie polisy ładują się tylko raz, a następnie silnik GPO sprawdza, czy polisa się nie zmieniła lub nie została odpięta. Istnieje jednak polityka – ustawienie GPO, która wymusza każdorazowe ładowanie polis:

Computer configuration \ System \ Group Policy \  Configure security policy processing

Wystarczy że w/w ustawienie pojawi się tylko w jednej polisie podpiętej do wyznaczonego OU aby wszystkie inne podpięte polisy do tego OU wykonywały się za każdym razem.

GPO – Synchroniczne i asynchroniczne ładowanie polisy

Synchroniczne ładowanie – zanim użytkownikowi pojawi się pole do logowania, najpierw ładują się polisy komputera. Zanim użytkownik zobaczy pulpit, muszą załadować się polisy użytkownika. Ładowanie synchroniczne Jest wolniejsze i bardziej uciążliwe z punktu widzenia użytkownika.

Asynchroniczne ładowanie polisy – ładują się podczas logowania i pracy na komputerze.

Polityki związane z:
– folderami wspólnymi (przekierowaniem folderów);
– instalacją oprogramowania;
– mapowaniem napędów i folderów;
ustawiają flagę mówiącą, że następny cykl ładowania polityk musi się odbywać synchronicznie, poprzez restart komputera lub przelogowanie użytkownika.

Wymuszenie synchronicznego ładowania polisy:

Computer Configuration\Policies\Administrative Templates\System\Logon\Always wait for network at computer startup and user logon

Aktualizacja GP odbywa się tylko w połączeniu z DC. Jeżeli komputer straci kontakt z DC nie zachodzi żadna aktualizacja GP – silnik GP nie pracuje. GP nie jest cachowane do aplikowania off-line.

Active Directory – odblokowanie konta i reset hasła administratora domeny

Aby odblokować i zresetować hasło Administratora należy uruchomić serwer z płyty instalacyjnej Windows Serwer (testowane na 2022) a następnie wejść do linii komend i wykonać poniższe kroki:
1) narzędziem DiskPart należy nadać literę partycji systemowej;

diskpart 
select disk 0
list partition
select partition 3
assign letter c

2) odpowiednio skonfigurować ponowne uruchomienie serwera oraz podmienić plik utilman.exe;

bcdedit /set {bootmgr} displaybootmenu yes
bcdedit /set {bootmgr} timeout 15
c:
cd windows/system32
ren utilman.exe utilman.123
copy cmd.exe utilman.exe

3) Restart serwera. Po restarcie naciśnięcie klawisza F8 i wybranie opcji „Disable Early Launch Anti-Malware Driver”, przy logowaniu należy kliknąć na ikonkę kółeczka znajdującą się w dolnym prawym rogu. Zamiast narzędzia utilman.exe otworzy się cmd.exe – linia komend.

4) W linii komend należy wydać polecenia odblokowujące i zmieniające hasło użytkownikowi Administrator (również administratorowi domenowemu):

net user administrator /active:yes
net user administrator password
net user administrator password /domain

Active Directory i PowerShell – operacje na grupach

Wyświetlenie obiektów należących do grupy o nazwie GroupName

Get-ADGroupMember GroupName | Format-Table name

Wyświetlenie wszystkich grup, do których należy użytkownik o nazwie UserName

Get-ADPrincipalGroupMembership UserName | Format-Table name

Wyświetlenie użytkowników należących do grupy zabezpieczeń o nazwie SecureGroup.

Get-ADUser -filter 'memberOf -recursivematch "CN=SecureGroup, OU=IT, DC=domena, DC=local"' | Format-Table name

Dodanie użytkowników OU do grupy zabezpieczeń.

Get-ADUser -SearchBase ‘OU=nazwaOU,DC=test,DC=local’ -Filter * | ForEach-Object {Add-ADGroupMember -Identity ‘NazwaGrupyZabezpieczen’ -Members $_ }

Windows – programy służące od wysycenia zasobów systemu

Świetne programy pozwalające na symulację pracy systemu Windows pod obciążeniem:
Testlimit – obciążenie pamięci RAM ( https://learn.microsoft.com/pl-pl/sysinternals/downloads/testlimit )
CPU Stres – obciążenie CPU ( https://learn.microsoft.com/en-us/sysinternals/downloads/cpustres )

Active Directory i PowerShell – zmiana domyślnych OU przy tworzeniu kont użytkowników i komputerów

Do zmiany domyślnego OU, w którym zakładane są nowe konta komputerów i użytkowników służy komenda PS rediusr:

redirusr "OU=NowyOU,DC=firma,DC=local"
redircmp "OU=NowyOU,DC=firma,DC=local"

Active Directory i PowerShell – tworzenie kopii zapasowej

#zdefiniowanie źródła
Get-WBVolume -AllVolumes
$vol = Get-WBVolume -VolumePath c:

#zdefiniowanie miejsca docelowego
$networkBackupLocation = New-WBBackupTarget -NetworkPath \\DC2\backups

#Włączenie polisy - ustawienie atrybutu SystemState na True
Add-WBSystemState -Policy backupPolicy 

#zdefiniowanie i konfiguracja polisy
$backupPolicy = New-WBPolicy
Add-WBVolume -Policy -$backupPolicy -Volume $vol
Add-WBBackupTarget -Policy $backupPolicy -Target $networkBackupLocation

#uruchomienie polisy
Start-WBBackup -Policy $backupPolicy

OCS Inventory NG – usefull SQL scripts

Most important tables:
accountinfo – main table witch contain ID of device
[HARDWARE_ID] [TAG] [fields_4] [fields_5] [fields_6]…

hardware – OS info.
[ID] [DEVICEID] [NAME] [WORKGROUP] [USERDOMAIN] [OSNAME] [OSVERSION] [OSCOMMENTS] [PROCESSORT] [] ……

bios – hardware info.
[HARDWARE_ID] [] [] [] [] [] [] [] …….

itmgmt_comments – commants, very usefull

Notes: It is possible to create Your own fields, for example Inventory number assigned inside company for every device. In this case fields_4. Those fields are created in accountinfo table.
Continue reading →

Automatyczny eksport zawartości płyty CD na serwer FTP

Skrypt tworzy obraz płyty CD/DVD włożonej do napędu, następnie kompresuje go z hasłem i wysyła na serwer FTP.
W tym konkretnym przypadku skrypt został przygotowany dla lekarza, który ma za zadanie włożyć płytę z badaniem pacjenta do napędu a następnie uruchomić skrypt, który następnie przed wysłaniem badania na serwer zapyta go o dane pacjenta i hasło do kompresji.
Poniżej instrukcja oraz sam skrypt:
1) Przekopiować pliki i foldery: winscp, oscdimg.exe, 7zip do katalogu c:\Windows\
2) Sprawdzić literę napędu CD/DVD, jeżeli inna niż „E” należy poprawić w skrypcie;
3) Badania będą zapisywane na pulpicie (%USERPROFILE%\desktop\badania).
Continue reading →

Zabbix – monitorowanie systemu Windows. Instalacja i konfiguracja agenta.

Po instalacji klienta należy edytować jego plik konfiguracyjny znajdujący się w katalogu c:\Program Files\Zabbix Agent\zabbix_agentd.conf i uzupełnić / odkomentować następujące parametry (w Linux config znajduje się w lokalizacji /etc/zabbix/zabbix_agentd.conf):

Server=IP_Serwera
ServerActive=IP_Serwera
Hostname=Nazwa_hosta_na_którym_uruchomiony_jest_aktualnie_agent

Przy czym tylko parametr Server wymagany jest przy konfiguracji agenta w trybie passive.
Parametry ServerActive oraz Hostname wymagane są przy konfiguracji agenta w trybie active. UWAGA: Również w przypadku konfiguracji agenta w trybie active po stronie serwera musi być wpisana taka sama nazwa hosta Hostname. Parametr Interface nie jest wymagany (jest wymagany w przypadku konfiguracji agenta w trybie passive, SNMP i innych protokołów).

Test połączenia serwera z klientem (polecenie należy wydać z poziomu serwera):

zabbix_get -s IP_Klienta -k system.hostname

Przydatne klucze (Item Key): wmi.get, perf_counter

Przykład użycia polecenia perf_counter (Wykaz liczników w systemie Windows można uzyskać uruchamiając linię komend jako administrator i wpisując polecenie typeperf.exe -q).
Np. perf_counter_en[„\Processor Information(_total)\% Interrupt Time”]

Przydatne linki:
https://www.zabbix.com/documentation/current/en/manual/config/items/itemtypes/zabbix_agent/win_keys
https://sbcode.net/zabbix/host-items/

Obsługa IT

Obsługa informatyczna firm i użytkowników indywidualnych. Optymalne rozwiązania informatyczne. Kielce.