ввод компьютера в домен Active Directory без связи с доменом

Автономный ввод в домен Active Directory

Илья Рудь

Хотелось бы поделиться новой возможностью появившейся с выходом Windows 7 и Windows Server 2008 R2. В оригинале называется она – «offline domain join». Спорить о том, как правильно перевести на родной язык данный термин можно долго. Я остановился на варианте «автономный ввод в домен». В чем суть? Она проста. Если при введении предыдущих версий ОС в домен вам было необходимо иметь сетевое соединение с контроллером домена, то при вводе Windows 7/2008 R2 это не обязательно. Сфера применения данной возможности мне пока ясна не до конца, если у вас есть мысли, прошу поделиться в комментариях. Будем считать, что вы администрируете два леса Active Directory, не связанных между собой. Перед вами стоит задача настроить рабочую станцию, отправить ее в другой филиал и соответственно в другой лес AD. И естественно вы хотите сделать так, чтобы по приезду в место назначения этот компьютер можно было подключить в сеть и начать работать.

Важно: Для
использования «offline domain join» не нужно поднимать режим работы домена
или леса. Более того, не нужно иметь контроллеры домена Windows 2008 или 2008
R2. Для «Автономного
ввода в домен» используется утилита «djoin»,
которая присутствует в Windows 7/2008 R2. Т.е достаточно хотя бы одного
компьютера Windows 7/2008 R2, работающего в домене назначения.

Логика работы «Автономного ввода в домен»

1. На любом контроллере Windows 2008 R2 или клиентском
Windows 7 в домене назначения запускаем утилиту «djoin» со следующими ключами:

djoin /provision
/domain itband.ru /machine Win7-PC /dcname DC-SQL2005 /downlevel /savefile C:\blob.txt


itband.ru
– имя вашего домена


Win7-PC
– имя клиентского компьютера, который должен автономно
войти в домен


DC-SQL2005
– имя контроллера домена

/downlevel – ключ указывается, если у вас контроллер домена
Windows Server 2003

C:\blob.txt
путь к файлу с метаданными

После ввода данной команды формируется текстовый файл
содержащий необходимые данные для того, чтобы компьютер мог войти в домен
(информация об имени домена, контроллера домена, SID домена и т.д.) Плюс к
этому, в Active Directory создается объект «компьютер» для будущего клиента. Файл в
кодировке base64. Подробней
о данном файле.

Рис. 1. Первый шаг,
использование Djoin

2. Вторым шагом необходимо доставить данный файл blob.txt на компьютер, который должен
автономно войти в домен. Какими средствами вы это сделаете, зависит от вас.
Хоть по почте пересылайте.

3. Доставив данный файл на клиентский компьютер, необходимо
запустить командную строку и выполнить «djoin» со следующими ключами:

djoin /requestODJ
/loadfile C:\blob.txt /windowspath
%SystemRoot% /localos

Произойдет импортирование данных из файла в каталог Windows.
Теперь при следующей загрузке операционной системы и доступности контроллера у
вас будет возможность войти в домен Active Directory.

Рис. 2. Третий шаг,
использование Djoin

С одной стороны функционал более чем интересный, с другой
появляется гипотетическая возможность того, что кто-то сможет перехватить или
завладеть таким файлом «Приглашением» и включить свой компьютер в домен, не
имея никаких на это прав. Или это просто паранойя?

На текущий момент информации по «offline domain join» очень
мало. В частности я не смог найти, есть ли какой-то срок жизни у такого
файла-приглашения. Хотя если рассуждать логически, можно предположить, что он
(срок жизни) равен сроку жизни пароля объекта «компьютер». Оригинальная
информация на английском языке
.

оригинал статьи

Ускорение мыши. MouseImp 7.0.0.5 — новая версия с поддержкой Windows 7 и x64

MouseImp 7.0.0.5 — новая версия с поддержкой Windows 7 и x64

18 Июля 2012  вышла новая версия

 

Свершилось! Долгожданная новая версия с поддержкой 32-битных и x64 версий Windows 7 и Vista, с поддержкой Protected Mode в IE9, с поддержкой всех приложений из офисного пакета — готова благодаря работе программистов Ивана Келюх и Александра Малофеева. 32-битная сборка здесь, 64-битная — тут.

Пользователям 64-битных версий Windows: 32-битная сборка прекрасно работает и в 64-битных ОС, листает все приложения, включая 64-разрядные, с одним «но»: значок курсора мышки изменяется на картинку «руки» только в 32-битных приложениях. Соответственно, если установить 64-битную сборку, всё будет наоборот: листать будет все приложения, но курсор мышки будет превращаться в «руку» только при скроллинге в 64-битных программах.

Внимание: обязательно деинсталлируйте старую версию MouseImp перед установкой новой. В новой версии сделано слишком много изменений, так что просто обновиться не получится. В частности, добавлен сервис, который должен автоматически запускаться с повышенными привилегиями для работы с UAC и Protected Mode в IE.

не удается обратиться к драйверу ip. код ошибки 2

В XP столкнулся с проблемой

не удается обратиться к драйверу ip. Код ошибки 2

может помочь сброс настроек протокола TCP/IP и Winsock

netsh winsock reset netsh int ip reset %temp%\reset.log

Изменение стандартной картинки блокировки экрана в Windows 8 средствами групповой политики

How to use Group Policy to change the Default Lock Screen image in Windows 8

Накопительное обновление Windows 8 и Windows Server 2012: Ноябрь 2012. Он как раз и содержит новый параметр политики “Force a specific default lock screen image” находящийся в Computer Configuration > Policies > Administrative Templates > Control Panel > Personalization.

раньше было

стало

сам параметр

в результате получим

в просмотрщике  GPO это выглядит

если этот update не стоит, то увидим

принудительное удаление Nod32

если стандартными средствами удалить антивирус не получается

 

Тогда пробуйте следующие действия.

1. Загрузитесь в безопасном режиме.

2. Убедитесь, что ни одна из служб ESET не запущена. Для этого нажмите Пуск-Выполнить, введите services.msc и нажмите Enter. В появившемся окне найдите все службы ESET, и если они запущены, то сначала остановите их,
а затем удалите. У ESET всего 2 службы: ESET Service и ESET Http Server.

3. Удалите, если они есть, следующие папки:

Для Windows XP:
C:\Program Files\ESET
C:\Documents and Settings\%userprofile%\Application Data\ESET
C:\Documents and Settings\All Users\Application Data\ESET

Для Windows Vista и Windows 7:
C:\Program Files\ESET
C:\ProgramData\ESET\
C:\Users\%userprofile%\AppData\Roaming\ESET\
C:\Users\%userprofile%\AppData\Local\ESET\
C:\Users\All Users\ESET\

4. Проверьте удалились ли следующие файлы, если нет – удалите их:
c:\windows\system32\drivers\eamon.sys
c:\windows\system32\drivers\easdrv.sys
c:\windows\system32\drivers\ehdrv.sys

5. Нажмите Пуск-Выполнить, введите Regedit и в появившемся окне перейдите в раздел реестра HK_LOCAL_MACHINE\Software, и удалите запись ESET. Появится окно о подтверждении удаления, нажмите в нем “Да”.

 

Также можно сделать все автоматически утилитой ESETUninstaller.exe. Описание работы с ней тут

Opera — показывать полный адрес в строке адреса

По умолчанию в  опере в адресной строке отображается адрес без GETов, чтобы «вернуть как было раньше»:
Ctrl+F12->Расширенные->Навигация->Показывать полный веб-адрес в поле адреса

Смена OU для компьютеров по умолчанию в Active Directory

При включении компьютера в домен Active Directory при помощи GUI Windows или команды NETDOM.EXE,по умолчанию вновь созданный объект попадает в контейнер (OU) Computers, который является контейнером по-умолчанию для всех вновь созданный объектов типа «Computer».

Недостаток такого подхода заключается в том, что вы не можете назначить ни одной доменной групповой политики на OU Computers, и получается, что на новых компьютерах домена (потенциально небезопасных) вы просто не сможете применить специальные параметры безопасности (помимо стандартных для всего домена).

Разберемся, где же хранятся настройки, определяющие OU  по-умолчанию для компьютеров домена. Откройте консоль Active Directory Users and Computers или же консоль ADSI Edit, при помощи контекстного меню перейдите в свойства домена, а затем перейдите на вкладку Attribute Editor.

Контейнер AD, в который попадают по-умолчанию новые компьютеры, определяются в атрибуте wellKnownObjects.

description: image

Но при попытке дважды щелкнуть по этому атрибуту, появится окно с ошибкой о том, что нет зарегистрированного редактора для обработки такого типа атрибутов. Я предполагаю, что данный атрибут просто защищен от ручного внесения изменений. Поэтому для доступа к данному параметру, я воспользуюсь замечательной утилитой от Марка Русиновича – Active Directory Explorer.

Атрибут  wellKnownObjects содержит примерно такую информацию:

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN=NTDS Quotas,DC=LABHOME,DC=local

244 190 146 164 199 119 72 94 135 142 148 33 213 48 135 219, CN=Microsoft,CN=Program Data,DC=LABHOME,DC=local

9 70 12 8 174 30 74 78 160 246 74 238 125 170 30 90, CN=Program Data,DC=LABHOME,DC=local

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN=ForeignSecurityPrincipals,DC=LABHOME,DC=local

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN=Deleted Objects,DC=LABHOME,DC=local

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN=Infrastructure,DC=LABHOME,DC=local

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN=LostAndFound,DC=LABHOME,DC=local

171 29 48 243 118 136 17 209 173 237 0 192 79 216 213 205, CN=System,DC=LABHOME,DC=local

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU=Domain Controllers,DC=LABHOME,DC=local

 

 

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, CN=Computers,DC=LABHOME,DC=local

 

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN=Users,DC=LABHOME,DC=local

Теперь, когда мы поняли, где хранится нужный нам параметр, попробуем изменить его. Как я уже говорил, атрибут wellKnownObjects  нельзя отредактировать при помощи консолей AD, наверное, это и к лучшему )). Для модификации этого параметра Microsoft разработала специальную утилиту, которая называется redircomp.exe, которая хранится в папке %SystemRoot%\System32 (на системах Windows Server 2003/2008).

Перед использованием утилиты redircomp.exe, создадим новый Organizational Unit, в который в дальнейшем будут  попадать объекты Computer. Для примера я создал OU StagedComputers.  Выполним следующую команду:

redircmp OU=StagedComputers,DC=LABHOME,DC=local
description: image

А затем при помощи Active Directory Explorer просмотрим содержимое атрибута wellKnownObjects (как вы увидите, оно изменилось):

170 49 40 37 118 136 17 209 173 237 0 192 79 216 213 205, OU=StagedComputers,DC=LABHOME,DC=local

98 39 240 175 31 194 65 13 142 59 177 6 21 187 91 15, CN=NTDS Quotas,DC=LABHOME,DC=local

244 190 146 164 199 119 72 94 135 142 148 33 213 48 135 219, CN=Microsoft,CN=Program Data,DC=LABHOME,DC=local

9 70 12 8 174 30 74 78 160 246 74 238 125 170 30 90, CN=Program Data,DC=LABHOME,DC=local

34 183 12 103 213 110 78 251 145 233 48 15 202 61 193 170, CN=ForeignSecurityPrincipals,DC=LABHOME,DC=local

24 226 234 128 104 79 17 210 185 170 0 192 79 121 248 5, CN=Deleted Objects,DC=LABHOME,DC=local

47 186 193 135 10 222 17 210 151 196 0 192 79 216 213 205, CN=Infrastructure,DC=LABHOME,DC=local

171 129 83 183 118 136 17 209 173 237 0 192 79 216 213 205, CN=LostAndFound,DC=LABHOME,DC=local

171 29 48 243 118 136 17 209 173 237 0 192 79 216 213 205, CN=System,DC=LABHOME,DC=local

163 97 178 255 255 210 17 209 170 75 0 192 79 215 216 58, OU=Domain Controllers,DC=LABHOME,DC=local

169 209 202 21 118 136 17 209 173 237 0 192 79 216 213 205, CN=Users,DC=LABHOME,DC=local

И наконец, с целью тестирования, я попробовал включить Windows XP (имя ПК VMXP-001) в домен LABHOME, действительно новый объект типа Computer появился в контейнере StagedComputers.

description: image

 

ssh клиент под Windows

всем широко известный Putty имеет форк (модифицированную версию программы) Kitty с дополнительными функциями

KiTTY имеет все возможноcти исходной программы, кроме этого в неё было добавлено следующее:

Самое часто запрашиваемое:

Технические усовершенствования:

Усовершенствования в пользовательском интерфейсе:

Другие нововведения:

Приятное дополнение:

 

настройки может хранить как в реестре, так и в папке. При первом запуске импортирует все настройки из putty

мне не понравилаось что по умолчанию по F7 вызывается окно печати. Невозможно создать каталог в любимом mc. Решается все просто: создаем файлик kitty.ini в папке с kitty и в него вставляем

[KiTTY]
shortcuts=yes

 

[Shortcuts]
print={F12}
printall={SHIFT}{F12}

теперь F7 свободна от вызова стандартного окна печати

 

Как правильно ассоциировать типы файлов с программами в Windows 8, и почему вам нужно учиться этому заново

Как вы ассоциируете типы файлов с программами? Предположу, что чаще всего вы делаете это при установке программы или впоследствии из ее настроек. Если так, то в Windows 8 вас ждет сюрприз, и я бы не назвал его приятным…

подробности здесь

Общее описание схемы (schema) в Active Directory

Схема (schema) является шаблоном для всех объектов домена. При создании нового леса схема, принятая по умолчанию, содержит определения для пользователей, компьютеров и доменов. Поскольку для объекта не может быть нескольких определений, для каждого леса допускается существование только одной схемы.

 

Файл SCHEMA.INI содержит определение схемы, принятой по умолчанию, а также первоначальную структуру файла NTDS.DIT (хранящего данные каталога). Файл SCHEMA.INI располагаться в каталоге %systemroot%\ntds (хотя в процессе создания контроллера домена расположение может изменится). Файл имеет простой текстовый формат, поэтому его можно создать вручную.