Доброе время суток, хабраграждане!

Спешу с Вами поделиться одной из своих вещиц, которые были призваны облегчить работу мне, как системного администратора, который разбирается в, доставшимся ему по наследству, хламе в Active Directory.
Самые проблемные из доставшегося добра, по моему мнению, это группы. О них и пойдет речь в данной статье.
А именно: заходим в Active Directory, бороздим просторы подразделений и видим группы, совершенно с безликими названиями (например Ugin, Vassa, Opel, www etc) и без описания. Внимание вопрос: определите для чего нужны эти группы.

Некоторое время назад в компании была развернута терминальная ферма.
Первым делом в неё были выселены пользователи некой желтой программы.
После чего отдел поддержки желтой программы спросил меня, можно ли отсылать сообщения пользователям фермы всем сразу. XaocCPS посоветовал мне играться в сторону WPF. Нужный скрипт был написан, но его работой я неудовлетворился:
1. Надо ставить внешний компонент PowerShellPack.
2. Компонент ставиться на сервера фермы (х64) отказался.
3. Распространять такое решение из за пункта 1 всем желающим не очень удобно.

Xaegr подсказал что я могу избавиться от прослойки WPF.
Писать можно, можно даже писать красиво. Скрипт выполняется везде где есть .Net Framework — XP, Win7 и скорее всего пойдет даже на х64 серверах фермы.
Как писать — под катом.

UPD по просьбам скрипт выложен на SkyDrive, ссылка в конце

Введение

В данном топике я подробно расскажу о том, на какие грабли можно наткнуться при автоматической установке, удалении принтеров средствами Active Directory.

Если у вас возникло желание поддерживать рабочие станиции в максимально «защищённом» состоянии, а так же насколько возможно «автоматизировать» этот процесс, то этот пост для вас.

Будет использоваться:

Немного batch файла
Немного Linux сервера
Немного Windows Server 2008 R2 и Групповых политик

Идея в следующем — незаметно от самого юзера, чтобы не нарушать его работу, делать еженедельное копирование его профиля, дабы исключить потерю данных, и сохранять его на сервере в максимально защищённом виде.

Для этого начнём с клиентской части.

Итак, мы хотим добиться балансировки нагрузки на наши терминальные сервера, их отказоустойчивость, или же хотим добавить к уже имеющемуся терминальному серверу второй для увеличения производительности сервиса. В моем примере я буду реализовывать следующую схему:

Технология Windows Installer (MSI) является стандартом де-факто в мире системных администраторов, занимающихся распространением и поддержкой программного обеспечения для десктопных и серверных версий Windows. Формат MSI поддерживается всеми крупнейшими системами управления конфигурациями (Microsoft SCCM, CA Unicenter и многими другими), а для некоторых систем распространения ПО — является единственным поддерживаемым форматом.
Мой опыт работы с этой технологией — как теоретический, так и практический — приобретен за время работы в компании «Инфопульс Украина» и связан с созданием MSI-пакетов и подготовкой готовых MSI-пакетов к автоматической установке в корпоративной среде.

Многие помнят то чувство, когда компания расширяется до тех размеров, когда рабочих групп недостаточно, и поднимается первый домен Active Directory: «О, уж теперь-то все будет как следует!» Ан нет, домен потихонечку разрастается, создаются новые учетки, блокируются старые, добавляются, удаляются компьютеры, девушки выходят замуж, меняют фамилии и, в конце концов, база данных службы каталогов выглядит, как полный швах. В этом топике мы наладим связь между базой Active Directory и кадровой системой предприятия, а также создадим механизм для поддержания данных сотрудников в AD в актуальном состоянии.

В преддверие выхода новых версий продуктов семейства System Center, версий 2012, думаю, будет не лишним напомнить, что в принципе представляет собой System Center. Во-первых, такой краткий обзор может послужить отправной точкой для последующего более детального рассмотрения конкретных продуктов, их возможностей и сценариев использования. Во-вторых, мне никогда не нравилось то, как эта информация изложена на microsoft.com. То есть, возможно, с точки зрения ИТ-руководителя или маркетолога информация там представлена как раз так, как надо, но мне почему-то всегда не хватало четкости и конкретики.

Невзирая на то, что BIOS является мощным средством защиты, существуют способы обхода установленного в ней пароля.
Иногда любопытные или стремящиеся максимально защитить свои данные пользователи ставят пароли на всём, на чём только можно, но нередко эти пароли ими забываются. Тяжело переносится забытие пароля на BIOS (пароль на загрузку системы), зачастую это может привести к покупке новой материнской платы, однако этого можно избежать воспользовавшись слабостями архитектуры построения ЭВМ и преднамеренно оставленными разработчиками «чёрными ходами».

0x4553-Intercepter 0.8.1

Несколько приятных обновлений:

• 1. Анализ pcap дампов из консоли, ./intercepter -t dump.cap
  на выходе будет dump.cap.txt со всей сграбленой информацией.
• Автостарт снифинга при запуске приложения. В конфигурационном файле
  необходимо указать порядковый номер интерфейса в графе autorun.
• MiTM через ICMP редирект. Не очень распространенная техника, особенно под Windows.
  Позволяет проводить точечные атаки на целевые адреса. Возможно на ее базе будет создан
  более универсальный метод позволяющий перехватывать почти весь трафик.

Видео MiTM:

Официальная позиция mozilla по поводу msi дистрибутивов выражена в статье. Рекомендуется делать обертки FirefoxSetup.exe в msi, а так же запрещено любое распространение не оригинальных дистрибутивов. Но при использовании оберток теряются все плюсы msi — автогенерация отката вносимых изменений, self-repair, сложнее управлять обновлением, удалением и патчами. В багтрекере мозиллы багу #231062 Provide Firefox MSI package уже 7 лет! При этом у Chrome поддержка msi и GPO встроенная. Немудрено, что и для ФФ появилась сторонняя сборка от компании FrontMotion Firefox Community Edition, которая имеет свои особенности:
[+] Применяет политики, установленные через FirefoxAdm, без помощи доп. расширений
[+] Имеет свои adm/admx расширения для консоли GPP
[+] Предустановлены плагины Flash, IETab
[-] Браузер перекомпилирован, и не факт, что при этом в него не добавили новых возможностей кроме GPO)
[-] Используется нестандартное название ярлыков (Frontmotion Firefox) на столе и в меню Пуск. (что еще можно обойти, через transforms для msi)
[-] Используется другая иконка (от nightly ветки) — черная, что критично для юзеров, которые ищут рыжую лису.
[-] Не применяются автоматические обновления, т.к. сборка своя. Канал обновлений выставлен на default (спец. канал, где нет обновлений)

Если минусы вас не устраивают — предлагается воспользоваться платной службой для сборки пакетов. Я же опишу как собрать пакет самому и избавиться от вышеперечисленных минусов.

Привет, хабр!

О StartSSL я узнал от небезызвестного lissyara, в связи с чем ему очень благодарен.

Для начала расскажу, что же за зверь это. Как известно, SSL сертификаты выдаются центрами сертификации, чьи корневые сертификаты хранятся в хранилище сертификатов браузера\ОС (либо другого ПО, использующего SSL). Цена на большинство сертификатов зашкаливает, и платить приходится за каждый сертификат. Но у StartSSL весьма интересный подход — сами сертификаты у них бесплатные, вы платите только за проверку вашей личности.

Так же не может не радовать наличие русскоязычной поддержки.

В предыдущей статье я рассказал о возможностях, которые предоставляет закон № 152 владельцу персональных данных. В этой частью статьи представлен сам механизм и формы запросов для реализации своих прав. В статье не рассматриваем вопрос, когда оператор вообще не имеет права обрабатывать персональные данные. Задача — сделать так, чтобы оператору персональных данных незаконная обработка этих данных стоила серьезных финансовых и временных затрат.

Многие небольшие и крупные компании во всем мире периодически сталкиваются со снижением производительности своих бизнес-критичных приложений и падением качества сервисов ИТ, которые могут быть вызваны сбоем в работе одного из компонентов их ИТ-инфраструктуры. Чтобы свести к минимуму возможные потери, компаниям необходимо обеспечить быстрое обнаружение первопричины таких сбоев и оперативное принятие мер по их устранению, максимально автоматизировав эти операции.

Еще в 1990-х годах компания HP предлагала разные инструменты удалённого мониторинга для разных линеек своего оборудования. Возможно, кто-то из матёрых администраторов ещё помнит такие инструменты, как PRS, HAO и HPFN, Predictive. В 2001 году компания представила новый продукт HP Instant Support Enterprise Edition (ISEE), обеспечивающий управление событиями и конфигурациями для серверов и устройств хранения данных. Продолжением технологии ISEE стал выпущенный в 2007 году HP Service Essentials Remote Support Pack (RSP), который позволяет интегрировать средства мониторинга в единую консоль для управления инфраструктурой HP Systems Insight Manager. Первый релиз имел номер версии 05.00. Весной 2009-го года, когда вышла версия под номером 05.20, произошло объединение продуктов в портфолио HP Insight Software и RSP был переименован в HP Insight Remote Support (IRS). Таким образом, этот продукт имеет долгую историю и при этом весьма активно развивается, например, с 2007 года по настоящее время вышло уже восемь релизов данного продукта.

HP Insight Remote обеспечивает простой и надежный круглосуточный мониторинг с расширенными функциями обнаружения сбоев и оповещения о них, а также автоматически генерирует заявки на обслуживание в центр поддержки HP. По оценкам самой HP, применение IRS в среднем на 20% ускоряет разрешение проблем и дает почти 100-процентную точность их диагностики.

Событие (поломка вентилятора на корзине) с автоматически генерируемой информацией о нахождении сломанной запчасти, парт-номером запчасти на замену и ссылкой на видеоролик, описывающий процедуру замены запчасти (для CSR)

Вопрос безопасности всегда будет актуальным, особенно в Сети. По этому, чтобы в один прекрасный день не получить на своем ресурсе такую картинку нужно уметь проверять на предмет уязвимостей себя самого.

Под катом — краткий обзор и типовые примеры использования бесплатных утилит, которые помогут (а точнее уже во всю помогают) хакерам, администраторам, разработчикам, тестировщикам проверить свои ресурсы конкурентов в автоматизированном режиме.

У статьи довольно низкий порог вхождения для понимания и использования, по этому, надеюсь, придется по душе многим. Раскрывается лишь базовый функционал программ.

Статья о том, как в нашей небольшой организации используются технологии корпораций Microsoft и Cisco в плане ограничения предоставления доступа к сети различным устройствам. Под катом будет рассказано про NAP, MAB и как все это можно использовать.

В связи с недавним релизом Office 365 в России, совместно с СКБ «Контур», хотелось бы немного поговорить о средствах, предлагаемых Office 365, призванных облегчить администраторам задачу перевода инфраструктуры предприятия в «облако». Сегодня остановимся подробнее на одном из них, а именно на синхронизации локальной службы каталогов Active Directory c Office 365.

Продолжение «опытных мелочей». Предыдущие части: раз, два, три, четыре, пять, шесть.

Сегодня мы поговорим об одном интересном параметре в Group Policy. Да, именно так. Один единственный параметр, который может облегчить вам жизнь (ну или усложнить ее, такое тоже возможно)

Продолжение «опытных мелочей». Предыдущие части: раз, два, три, четыре, пять.

В этом посте я расскажу о небольшом, но по-своему интересном опыте использования протокола SNMP для сбора статистики печати в организации.

В компании, о которой идет речь, довольно много печатают. Есть и большие, мощные принтера (типа HP 9000) и средние, и совсем уж Home класса. Благо, все они сетевые, и ассортимент производителей узок, всего два: HP и Ricoh (в разных ипостасях, от NRG до MB). И вот в один прекрасный весенний день, посмотрев на счета за канцелярию, бережливым руководством была поставлена задача: регулярно собирать статистику печати, «чтоб потом анализировать». Причем сильно они и не заморачивались: «Все принтера сетевые, у них есть страничка статистики, с утра сели обошли по списочку, записали циферки в Excel, вот и все — делов-то»!

Доброго времени суток, %username%!

Рано или поздно ко всем администраторам сети приходит руководство, и просит сделать доступ к внутренним ресурсам сети компании через Интернет. Руководству, чрезвычайно приятно попивая сок, на Мальдивских берегах, мониторить прогресс решения поставленных задач в корпоративной системе управления проектами. Вот и становиться задача организации доступа.