Helyi csoport tagság módosítása GPO-val

Sokszor előjön, hogy a local administrator group tagjait Group Policy-ból kellene kezelni. Van
egy beállítási lehetőség a Computer Configuration\Windows Settings\Security Settings\Restricted Groups.

Local_group_users_restricted_group_policy

 

Itt ha hozzá adjuk a kívánt felhasználót, akkor szokott jönni a meglepi mert ez a beállítás felülírja a már gépen lévő beállítás felülíródik  😊.
Célszerűbb és  jobban szabályozható megoldás ha a GPO Preferenciest használjuk.
Ennek előnye, hogy sokkal finomabban tudjuk állítgatni a lokális Felhasználó csoportokat pl. Remote  Desktop Users, Administrators. (Update, Item level targeting, Create,remove ). Én például mindig létre hozok egy ad csoportot és ezt adom hozzá a serverek local admin csoportjához, így később elég már csak az ad csoport tagsággal szabályozni. Ugyan ezzel a módszerrel lehet klienseken is a lokális csoportokat kezelni.

 

Local_user_grpup_members_management_gpo

Reklámok

Windos Server 2016 REFS CSV Volume mindig Redirect Acess

Egy érdekes dolgott tapasztaltunk a héten egy új Dell storage beüzemelése során. Adott vot egy 3 tagból álló Windows Server 2016 cluster melyhez, hogy kiváltsuk a régi ISCSI storage-ot egy Dell storage-ot kötöttünk FC-vel. Feltelepítettünk mindent ami szükséges az MPIO-hoz (pl. DSM driver). Költözés közben, a VM mozgatás közben feltűnt, hogy a mozgatás sokkal lassabb, ha a csv volume-nak nem az owner a gazdája. Megnézve a forgalmat látszott, hogy a adatok a cluster hálózaton keresztül másolódik és mivel a szerverben csak gigabites lan-ok voltak ezért volt jóval lassabb a mozgatás. Érdekes volt, mert korábban tapasztaltuk, hogy ilyen esetben nem a hálózatott kellene használni, hanem közvetlen az adott node érné el a volumet.  Meg is néztük a másik storage-ot és ott szépen is működött ahogy kell neki. Beállítások ugyan azok storage típus is ugyan az. Ami más volt, hogy 2012 R2 helyett Windows Server 2016 és NTFS, helyett már REFS re volt formázva a csv kötett. Ugyebár 2016-tól érdemes REFS-t használni a vhdx-et tartalmazó lemezeket mert van pár előnye az NTFS-sel szemben.

Egy kutatás után egy ms forum-ban elbújva volt egy megjegyzés, hogy REFS CSV volume esetén a Windows Server 2016  mindig -redirect elérést használ nem direct IO-t,  van míg NTFS-esetén direct elérés működik.. Mivel még a storage üres volt, tudtunk tesztelni és tényleg, NTFS esetén mindegy volt ki a tulaj az adot host direct-ben érte el a volume-ot, Míg REFS esetén a hálón keresztül ami a gigabit miatt jóval lassabb volt. Igazából nem értem miért lehet így, csak arra tudok gondolni, hogy Microsoft-nál úgy gondolkodtak, hogy úgyis 10 gigabites-lan okat használnak, ott meg nem akkora probléma a nem direkt elérés? Így kicsit úgy érezem, hogy vissza lépés a 2008 as szerver időkbe, ahol nagyon nem volt mindegy melyik vm- és csv kötetnek ki a gazdája mert szép teljesítmény csökenést tudott okozni egy sql szervernél. Most kicsit úgy érezem, hogy melyik kezembe harapjak REFS előnye vagy a gyorsabb elérés.
2019 Serverrel nem volt lehetőségem kipróbálni, de ha valaki kitudná kíváncsi lennék ott is így van e.
Én egyenlőre úgy döntöttem cluster esetén  a csv volume-okat NTFS-re formázom, és sima host esetén használok REFS-t ha nincs pár RDMA kompatibilis 10 g  lan adapter a hostokban.

Egy link a témával kapcsolatban link

Windows Notepad cseréje Notepad++ -ra

Ha szeretnénk a Windows saját notepad alkalmazását lecserélni a Notepad++ ra akkor tegyük a következőket:

  1.  Indítsunk egy paranssort  cmd.exe-t admin módban
    1. Jobb gomb a  cmd.exe  és  “run as administrator”.
    2. Tartsuk lenyomva Ctrl-gom és  Shift-gombot és indítsuk el cmd.exe (parancssort)
  2. 32-bites verziójú  Notepad++ esetén az alábbi parancs:
    1. reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe” /v “Debugger” /t REG_SZ /d “\”%ProgramFiles(x86)%\Notepad++\notepad++.exe\” -notepadStyleCmdline -z” /f
  3. 64-bites vetuziójú Notepad++ esetén az alábbi parancs:
    1. reg add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe” /v “Debugger” /t REG_SZ /d “\”%ProgramFiles%\Notepad++\notepad++.exe\” -notepadStyleCmdline -z” /f

A parancsok az alapértelmezett editort cseréli a Notepad++ -ra

Ha vissza szeretnénk csinálni akkor a parancs:

reg delete “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe” /v “Debugger” /f

“TCP port is already in use” SQl szerver hibaüzenet 2018.07.10 frissítések telepítését követően

A július 10.-én kiadott windows patch-eknek lehetett egy kellemetlen mellékhatása az SQL service-t illetőn. A frissítés telepítése után Windows Server 2008R2,Windows Server 2012 és R2 valamint Windows 7 és Windows 8.1-en az SQL elérhetetlené vált és TCP port is already in use hibaüzenetet generál. Az Microsoft kiadata azóta a javításokat újra, mely telepítése után már nem jelentkezik a hiba. A hiba mentesek pacth-ek és bővebb hiba leírás itt elérhető: link

The function requested is not supported hiba távoli asztalra történő kapcsolódáskor (Encryption Oracle Remediation Policy)

Felfedeztek egy biztonsági hibát még márciusban, ami a Credential Security Support Provider protocol (CredSSP) érintette. Sebezhetőség (CVE-2018-0886) (Encryption Oracle Remediation ) leírása link.
Viszont a májusi frissítéssel-el érkezett egy szigorítás, hogy pl. nem patchelt szerverre nem tudunk távoli asztal használatával  kapcsolódni és az alábbi hiba üzenetet kapjuk, ha hiányzik az áprilisi KB 4093120 patch.

An authentication error has occurred.
The function requested is not supported

Remote computer: <computer name>
This could be due to CredSSP encryption oracle remediation.
For more information, see https:/go.microsoft.com/fwlink/?linkid=866660

Az event logba pedig bekerül:
6041
A CredSSP authentication to <hostname> failed to negotiate a common protocol version. The remote host offered version <Protocol Version> which is not permitted by Encryption Oracle Remediation.

Megoldás az KB 4093120 update telepítése, vagy ha ez hirtelene nem lenne  lehetséges, akkor registry kulcs, vagy GPO-val tudjuk engedélyezni a csatlakozást a patch telepítéséig aminek leirása itt található (Computer Configuration -> Administrative Templates -> System -> Credentials Delegation): Link

Update1: Itt található egy leirás pl. Azure gépek esetén

Végleges lett a Project Honolulu Windows Admin Center néven

Korábban írtam róla link és most elkészűlt a Project Honolulu, végleges neve Windows Admin Center lett.
A Windows Asmin Center egy webalapu adminisztrációs  felület. Egy központi web-es felületről böngészővel tudjuk monitorozni és üzemeltetni a Windows Servereket 2012 verziótól felfele (Hyper-V host, Cluster, AD…stb. ).  Telepítési módok és leirás link

Aduc object username/computername contains other objects. Are you sure you want to delete object and all objects it contains?

Ha törölöni szeretnénk  egy ad objektumot és az alábbi figyelmeztető üzenetet kapjuk:
Aduc object username/computername contains other objects. Are you sure you want to delete object and all objects it contains

user_computerobjectdelete

 

A figyelmeztetés arra figyelmeztet,  hogy az adott objektum még tartalmaz további objektumokat amik szintén törlésre kerülnek.
Hogy mik ezek azt a következő képen tudjuk megtenni:
Az Active Directory And Users and Computers .ben a view -nál kapcsoljuk be a Users, Contacts, Groups, and Computers as Containers –t.

ADus_settings

Ezek után ha a törlendő objektumot lenyitjuk akkor látjuk a további objektumokat alatta és eltudjuk dönteni, hogy töröljük e tényleg.

Powered by WordPress.com. , Anders Noren fejlesztésében.

Fel ↑

%d blogger ezt kedveli: