Пять минут, пять минут…


так сколько это все-таки, много или мало?

Посмотрел в черновик – лежит заметка два года уже, я про нее забыл. Надо в черновики ходить чаще, а не размениваться на хайп 🙂 Буду работать над собой, хотя это и не просто.

Заметка была про то, много пять минут это или мало.

Я еще два года назад  (или даже больше) честно, четыре года, оказывается как-то пару раз сталкивался и кому-то на форумах даже разжевывал, но все потонуло. Вроде как ресурс блога ну очень известный, да и автор не кто-то там, а Ned Pyle, вот и думаешь, что все вокруг про это знают. Ан нет.

Спросишь кого встречного – будут кричать, что разница во времени в домене критична, и все взорвется. Вот прям туши свет. Сильная разница действительно критична (вот еще одна заметка на эту тему, о ней как-нибудь в другой раз, раз уж пошла мода выкапывать годноту 5-летней выдержки), это уж точно не секрет Полишинеля. Но поскольку с 2000 года нам постоянно на курсах, лекциях, старшие товарищи на партсобраниях и много где еще повторяют, что нет, нет, нельзя- все и как-то пребывают в уверенности что нельзя. И многие на интервью даже спрашивают друг друга об этом. И тоже думают, что нельзя. Но с сегодняшнего дня даже последнему вовнею должно быть известно, что можно.

Итак, если время в у клиента убежало на 5 минут и более, то сервер ему пришлет метку коррекции в ответе, и ничего страшного не случится!

If the server clock and the client clock are off by more than the policy-determined clock skew limit (usually 5 minutes), the server MUST return a KRB_AP_ERR_SKEW. The optional client’s time in the KRB-ERROR SHOULD be filled out.

Статья-первоисточник, собственно здесь.

Первопричина, ставшая поводом к заметке, здесь.

Увидев эту заметку, прочитайте ее, и перескажите коллегам. Пишите в комментариях, давайте бороться с безграмотностью вместе.

Если вы до этого не знали про эти блоги и интересуетесь темой, настоятельно рекомендую к прочтению- информации просто бездонное море. И актуальности, как видим, она вовсе не теряет.

Advertisements

Изменения в обработке GPO, или Patch Tuesday


broken

Все течёт, все меняется. И знания тоже нужно всё время актуализировать.

Интереснейшее обновление, вышедшее во вторник, https://support.microsoft.com/en-us/kb/3163622

изменяет обработку политик. Если раньше она обрабатывалась в контексте пользователя, то теперь (с примененным обновлением) она будет обрабатываться в контексте компьютера. Иными словами, если вы использовали Security filtering для применения пользовательских политик, работать такой фильтр больше не будет.

Именно поэтому я всегда рекомендовал очень крепко подумать, прежде чем использовать такую фильтрацию без крайней необходимости.

Итак, что же мы получим в итоге обновления?

Скорее всего, все взорвется- ярлыки, диски, прочие GPО радости, терминальные серверы и все-все-все. Предвижу ежедневные взрывы на форумах технет, но следить сейчас времени совсем нет.

Что делать?

Continue reading “Изменения в обработке GPO, или Patch Tuesday”

Автозапуск клиента Lync 2013


Продолжаем облегчать себе администрирование при помощи групповых политик.

После успешного проекта по внедрению Lync в организации может возникнуть задача- запускать клиента автоматически, чтобы пользователь мог воспользоваться всеми благами совместной работы.

Проблема здесь в том, что если пользователь, скажем получил новый ПК, и ни разу не запускал клиента, усердно работая только в желтой программе с 9 до 18, то клиент и не запустится, хотя настройка по умолчанию автозапуска вроде бы есть. Давайте посмотрим, как улучшить ситуацию для клиентов 2010 и 2013, скажем, для 5000 пользователей:

Снимок

 

 

Настройка Lync 2010

Расположение ключа реестра HKCU\Software\Microsoft\Communicator
Имя ключа реестра AutoRunWhenLogonToWindows
Тип ключа реестра REG_DWORD
Значение ключа реестра 0 – клиент Lync не запустится автоматически, 1 – Lync клиент запустится

Настройка Lync 2013

Расположение ключа реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Имя ключа реестра Lync
Тип ключа реестра REG_SZ
Значение ключа реестра “C:\Program Files (x86)\Microsoft Office\Office15\lync.exe” /fromrunkey
Примечание Эта настройка пути по умолчанию- если Вы ее изменили, то внесите соотв. изменение и здесь. Также здесь же можно отключить автозапуск.

regedit

Другой полезный ключ- спрятать окно для тех, кому клиент не очень нужен сразу после запуска в трей.

В это поможет параметр

Software\Microsoft\Office\15.0\Lync\AutoOpenMainWindowWhenStartup с типом dword и значением 00000000.

Подключение к Microsoft Exchange потеряно.


Давайте сегодня посмотрим, как мы можем управлять поведением Outlook в рамках клиентского подключения. Часто администратору, проводящему плановые работы или срочно восстанавливающему сбой сервиса приходится использовать первую линию в качестве щита, что не есть хорошо.

Также администраторы почтовой системы очень не любят, когда пользователи, увидев сообщение

connect3connect2

набрасываются на телефоны саппорта, или дружно встают и идут пить чай со словами: НЕВОЗМОЖНО РАБОТАТЬ!!!!111. Сообщение-то вот оно, выползло!

Есть и другая крайность этого сообщения: VIP пользователи, которым такие сообщения видеть противопоказано, ибо ничего их не должно отвлекать от важной и нужной работы…

Как же быть?

Выход есть- распространить волшебный ключ, который управляет всплывающими сообщениями

network

Именно параметр «Показывать изменения сетевого подключения» мы и изменим,  отредактировав значение [HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Outlook\Display Types\Balloons]
“NetConn”=dword:”00000000″

image[17]

Другие ключи, которые тоже могут пригодится, находятся там же:

HKEY_CURRENT_USER\Software\Microsoft\Office\xx.0\Outlook\Display Types\Balloons
Показывать сообщения Exchange : Exchange
Показывать сетевые предупреждения: Netwarn
Показывать изменения сетевого подключения: NetConn

Напомню версии Outlook:  2003- 11, 2007 –12, 2010- 14, 2013 –15.

В одном объекте политик можно легко создать ключи, которые будут нужны именно в вашей среде, и вдумчиво распространить их на тех пользователей, которых Вы не хотите волновать, оставив для администраторов почтовой системы сообщения в неизменном состоянии. 🙂

connectconnect1

GPO – сиротки.


Продолжаем тему групповых политик- ранее мы говорили о небольшом аудите Active Directory.

Как выражаются западные коллеги, “script please”.  А то не модно, и качать что-то надо,  и страшные пугающие окна о несовместимости, и вообще не одной строкой.

Да нет проблем- забираем тут. Continue reading “GPO – сиротки.”

Gpotool Error: Sysvol version mismatch


Вот такой вот интересный вывод дала Gpotool при  разборе полетов.

Policy {GUID}
Error: Version mismatch on dc1.domain.org, DS=65580, sysvol=65576
Friendly name: Default Domain Controllers Policy
Error: Version mismatch on dc2.domain.org, DS=65580, sysvol=65576
Details:
————————————————————
DC: dc1.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:04 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2
————————————————————
DC: dc2.domain.org
Friendly name: Default Domain Controllers Policy
Created: 7/7/2005 6:39:33 PM
Changed: 6/18/2012 12:33:05 PM
DS version:     1(user) 44(machine)
Sysvol version: 1(user) 40(machine)
Flags: 0 (user side enabled; machine side enabled)
User extensions: not found
Machine extensions: [{GUID}]
Functionality version: 2

Разберем вывод подробнее: видно, что  в политике Default Domain Controllers Policy есть определённые расхождения во мнениях между частями DS и Sysvol. Чтож, давайте исправлять положение: поправим версию аккуратно до 45.Значение, которое нужно ввести , будет 65581. (1 * 65536 + 45 = 65581). Откройте в блокноте \\domainname\sysvol\policies\{Default_Domain_Controllers_Policy_GUID}\gpt.ini и установите Version=65581.

Сейчас пора  взять в руки ADSIEdit, ADExplorer или ldp (и тд 😉 ), и установить значение для versionnumber CN={Default_Domain_Controllers_Policy_GUID},CN=Policies,CN=System,DC=domainname равным 65581.

Теперь можно принять ванну, выпить чашечку кофе (вообще мой самый любимый шаг в инструкции, буду теперь везде вставлять!) ,и запустить GPOTool еще раз. Версии номеров, которые мы должны увидеть в выводе, должны быть очень похожи на 65581  1(user) и 45(machine).

Примечание: GUID Default Domain Controllers Policy всегда 6AC1786C-016F-11D2-945F-00C04FB984F9, но в этом необходимо удостоверится- талантливый администратор мог удалить политику и создать новый GPO  с параметрами по умолчанию..

Домашнее чтение: http://blogs.technet.com/b/grouppolicy/archive/2007/12/14/understanding-the-gpo-version-number.aspx?Redirected=true

https://blogs.technet.com/b/grouppolicy/archive/2008/01/08/understanding-the-domain-based-gpo-version-number-scripts-included.aspx?Redirected=true

Справочник параметров групповой политики Windows 8 и Windows Server 2012


Вышел white paper Group Policy Settings Reference for Windows 8 and Windows Server 2012 по параметрам групповой политики, административным шаблонам и предпочтениям.

Можно использовать фильтры, чтобы быстро просмотреть нужное, также обратите внимание на новые параметры, отмеченные

Supported On и At least Microsoft Windows Server 2012 or Windows 8.

И что нового?

Список Административных шаблонов состоит из трех колонок- требований к применению групповой политики:

  • Reboot Required: A “Yes” in this column means that the Windows operating systems requires a restart before it applies the described policy setting.
  • Logoff Required: A “Yes” in this column means that the Windows operating system requires the user to log off and log on again before it applies the described policy setting.
  • Active Directory Schema or Domain Requirements: A “Yes” in this column means that you must extend the Active Directory schema before you can deploy this policy setting.
  • Status: A “New” in this column means that the setting did not exist prior to Windows Server 2012 and Windows 8. It does not mean that the setting applies only to Windows Server 2012 and Windows 8. Refer to the column entitled “supported on” to determine to which operating system the policy setting applies.

Приятного чтения.

WindowsServer2012andWindows8GroupPolicySettings.xlsx

Все справочники

Так же хочу напомнить про модный облачный сервис, содержащий в себе все  эти параметры онлайн, не забывайте про фильтры.

http://gps.cloudapp.net/

Приятного просмотра.