Допустим, example.org — это корневой домен вашего AD-леса.
Стоит задача в ADUC добавить колонку с пользовательским атрибутом EmployeeID, в котором хранится табельный номер сотрудника.
1. От имени Enterprise Admin'а запускаете любой продвинутый LDAP-браузер, например, родной виндовый ADSI Edit (adsiedit.msc из пакета Support Tools).
2. Если ещё не подключена, то подключаете Configuration-партицию вашего AD (CN=Configuration,DC=example,DC=org)
3. Раскрываете иерархию CN=DisplaySpecifiers,CN=Configuration,DC=example,DC=org
4. Там ниже несколько контейнеров для настройки опций отображения для разных локалей. Если все админы в вашей организации используют системы с английской локалью, т.е. запускают только англоязычную оснастку ADUC, то достаточно будет сделать изменения в CN=409. Если же есть те, кто запускает русскоязычный ADUC, то те же настройки потом нужно будет повторить в CN=419.
5. Раскройте объект конфигурации:
CN=default-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=example,DC=org
и посмотрите его атрибут extraColumns. В нём перечислены колонки, которые по умолчанию можно добавить (через меню View — Add/Remove columns) для отображения списка объектов в ADUC.
extraColumns — это многострочный параметр вида:
c,Country,0,-1,0
company,Company,0,150,0
department,Department,0,150,0
displayName,Display Name,0,100,0
и т.д.
Каждое значение описывает одну из расширенных колонок. Параметры разделены запятыми. Первый параметр — название атрибута объекта, второе значение — название колонки в ADUC, третий параметр — отображать колонку по умолчанию (0 — нет, 1 — да), третий параметр — ширина колонки в пикселах (-1 — автоматический подбор ширины), последний параметр — опциональная фича (не знаю, какие бывают, тут обычно всегда 0).
Добавляете туда ещё одну значение для колонки Employee ID:
employeeID,Employee ID,1,-1,0
6. Но значение атрибута extraColumns в CN=default-Display влияет только на дефолтовое отображение (в частности для Saved Queries). А если эту колонку нужно добавить также и для просмотра OU и для просмотра дефолтовых контейнеров, которые не являются OU, (типа Users или Computers), тогда нужно будет открыть соответственно
CN=organizationalUnit-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=example,DC=org
CN=container-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=example,DC=org
и в их атрибут extraColumns скопировать все значения из одноимённого атрибута объекта CN=default-Display вместе с добавленной колонкой.
По умолчанию в CN=organizationalUnit-Display и в CN=container-Display атрибут extraColumns вообще не задан.
7. Пункты 5-6 повторить для CN=419 (для русскоязычных оснасток ADUC).
8. Теперь можно открыть ADUC на любом компьютере в данном AD-лесу, перейти в любой OU, далее в меню View — Add/Remove columns добавить колонку «Employee ID» (хотя для тех, кто впервые запустит консоль ADUC, эта колонка будет выводиться по умолчанию).
Колонки с атрибутом extensionAttributeX я так добавлять не пробовал, но с некоторыми другими (в частности EmployeeID) без проблем.
P.S. Иногда в консоли ADUC в WinXP/2003 нужно не просто просматривать какие-то специфические атрибуты, которые в свойствах объекта по умолчанию даже не видны, но ещё и изменять их. В этом случае в контекстное меню объекта можно добавить соответствующий пункт и повесить на него скрипт. Это опять же делается через редактирование конфигурации AD.
Например, в контекстное меню для пользовательских объектов я добавил пункт Employee ID, при выборе которого появляется диалоговое окошко, отображающее текущий EmployeeID (табельный номер) сотрудника и дающее возможность поменять его на любое значение (или сделать пустым/незаданным). Таким образом в ADUC в WinXP/2003 я получил возможность просматривать и изменять атрибут EmployeeID, что по умолчанию там не реализовано.
Насчет DevOps хорошо сказал специалист из yandex: в крупном сервисе на каждого системного администратора приходится как минимум 10 разработчиков и одному человеку приходится следить и разбираться в том, что же там написали 10 разработчиков.
Необходимый софт. Exe to MSI Converter freeware и всем известная orca
Да, программка конвертера полезная, но ужасно кривая. К сожалению, толковой бесплатной альтернативы не знаю.
А вот вместо Orca попробуйте InstEd, намного удобнее, взять хотя бы генерацию GUID прямо в полях ProductCode и UpgradeCode.
Автоматически удалить приложение теми же средствами развертывания не получится
Думаю, всё-таки желательно предусмотреть функционал удаления приложения, используя вызов Custom Action по аналогии с Custom Action для установки приложения.
При установке описанным выше методом у вас появятся как бы две копии софта.
Уменьшить хаос в Add/Remove Programs можно с помощью добавления в таблицу Property записи ARPSYSTEMCOMPONENT=1, это скроет запись об MSI-установщике.
А вот прекрасная статья на технете, как ввести\вернуть рабочую станцию в домен, если сам домен недоступен.
https://technet.microsoft.com/en-us/library/offline-domain-join-djoin-step-by-step(v=ws.10).aspx
Тоже частовато встечаюсь с этой проблеммой. Есть простой способ восстановить учетную запись компьютера. Если на компьютере, который вылетел с домена, есть незаблокированный локальный администратор, то можно запустить следующую команду на произвольном компьютере: wmic /NODE:ip_address/user:"ip_address\local_admin" /password:"local_admin_password" process call create "cmd.exe /C Netdom resetpwd /Server:domaincontroller /UserD:domain_admin /PasswordD:domain_password"
где ip_address — ip адресс компьютера, который вылетел с домена,
local_admin — локальный администратор,
local_admin_password — пароль локального администратора,
domaincontroller — fqdn контроллера домена
domain_admin — администратор домена,
domain_password — пароль администратора домена.
При этом не требуется даже перезагрузка компьютера.
В свое время столкнулся с такой же проблемой. Действительно, драйверы для этих МФУ под Windows ужасны. Удивительно, но для Linux эти же МФУ имеют отличные драйвера hplip с полной поддержкой всех опций сканирования (податчики и т.п.), что не удивительно, т.к. их пишет сам HP. На терминальном терминальном сервере решил проблему так: на одном из серверов под Linux поставил sane и hplip, подключил к нему все МФУ, на терминал поставил порт xsane под Windows (он уже давно не развивается, быть может, есть что-то новее) и подключил к серверу с sane. Результат — пользователи терминала видят все МФУ в сети с понятными именами (типа «МФУ Бухгалтерия Иванова») и могут с каждого сразу сканировать в PDF.
есть сервисы, с которыми дружит LastPass. Я пользую (и для других вещей, в том числе и RDP публичных серверов) этот www.duosecurity.com. Бесплатного доступа вполне хватает для бытовых нужд.
Где-то читал про интересный костыль:
На обычной системе (не гипервизоре) настраивается расширенный рабочий стол (несколько мониторов), туда — на второй монитор — вытягивается окно виртуальной машины и пробрасываются usb-клавиатура с мышкой. Правда непонятно что с 3d ускорением.
Ваш вопрос ввел меня в легкий ступор.
Нигде, ни в энторнетах ни на сайте Citrix не нашел информации об ограничениях триальной версии.
Есть (или была раньше) версия XenClient Express, но кроме как у софтлайна нигде упоминаний о ней не нашел.
Резюме такое: есть Xenclient, качается после короткой регистрации отсюда. Попутно к нему высылается триальный ключ без явно указанных ограничений (не нашел ничего про это).
Как это все работает можно посмотреть как в статьях на хабре- 1,2,3 так и где-нибудь еще.
Я у себя его хотел поставить для пробы, да железа нужного под рукой не оказалось. Пока отложил это затею.
Говорят (по-моему, даже здесь в комментах), что dom0 можно запустить совсем без видеоадаптера. Другое дело, поддерживает ли процессор, чипсет, биос и материнка ноута VT-d. Шансы мне кажутся скромными.
Моё грубое определение Load в Linux — это число процессов, находящихся в состоянии R (running or runnable (on run queue)) + число процессов в состоянии D (uninterruptible sleep (usually IO)). Load average усредняет эти значения по хитрой формуле (кажется, это экспоненциально взвешенное скользящее среднее).
Посмотреть статусы можно через ps.
Статья в таком виде не даёт никакого понимания о LA в Linux.
Мало того, LA в Linux вообще не информативен, ибо смешивает очередь I/O и очередь на выполнение процессором. Как я уже говорил, смотреть нужно в ps.
Некоторое время назад искали замену календарям от Google и рассматривали, в том числе, Kolab — но решение отвалилось из-за того, что не было нормальной поддержки CalDav. Для каждого календаря надо было иметь ссылку, которую необходимо послать другому человеку.
Остановились на Horde (Kronolith)- там можно шарить календари сразу всем и гибко ими управлять.
Kolab выглядит, конечно, очень симпатично, но с учетом того, что в веб-морду Horde достаточно зайти один раз, а потом просто подключить все свои календари в любое приложение — это достоинство нивелируется.
А получают они это через Remote Desktop App? Просто мы на 2008 r2 пытались запустить так 1С и выяснили, что работать в принципе нереально — постоянно скачет фокус по элементам и окнам. Служба техподдержки MS пожала плечами и обещала пофиксить этот новомодный режим RDP, но уже год как воз и ныне там. Забавно, что SeamlessRDP от rdesktop работает на отл, так что неожиданно выяснилось, что Linux на всех десктопах и нужное для бухни ПО на терминалках MS — это великолепный вариант выхода из ситуации.
Самое простое для домашнего компа против шифровальщиков, создать нового юзера backuper, создать папку на харде, права записи на папку только для этого юзера.
Копировать по расписанию свои документы в эту папку из под прав backuper.
Под данной учеткой в интернете и для работы не сидеть, использовать только для бакапа.
Я тоже как-то задался этим вопросом. Полностью готового решения не нашлось, только какой-то самописный скрипт, который пришлось допиливать самому. Подробности читайте тут: habrahabr.ru/post/205204/
На данный момент я этим пользуюсь. Применять по делу, к счастью, пока не приходилось.
Думаю, мое решение спасло бы от данного вируса, т.к. диск большую часть времени лежит не подключенный к компьютеру. Если бы его подключили и начали копирование после зашифровки, то старые копии остались бы не тронутыми. Кроме того, т.к. файлы поменялись, то при копировании был бы перенос новой копии каждого файла, вместо создания хардлинка. Это было бы видно по логам, могло бы насторожить.
Стоит задача в ADUC добавить колонку с пользовательским атрибутом EmployeeID, в котором хранится табельный номер сотрудника.
1. От имени Enterprise Admin'а запускаете любой продвинутый LDAP-браузер, например, родной виндовый ADSI Edit (adsiedit.msc из пакета Support Tools).
2. Если ещё не подключена, то подключаете Configuration-партицию вашего AD (CN=Configuration,DC=example,DC=org)
3. Раскрываете иерархию CN=DisplaySpecifiers,CN=Configuration,DC=example,DC=org
4. Там ниже несколько контейнеров для настройки опций отображения для разных локалей. Если все админы в вашей организации используют системы с английской локалью, т.е. запускают только англоязычную оснастку ADUC, то достаточно будет сделать изменения в CN=409. Если же есть те, кто запускает русскоязычный ADUC, то те же настройки потом нужно будет повторить в CN=419.
5. Раскройте объект конфигурации:
CN=default-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=example,DC=org
и посмотрите его атрибут extraColumns. В нём перечислены колонки, которые по умолчанию можно добавить (через меню View — Add/Remove columns) для отображения списка объектов в ADUC.
extraColumns — это многострочный параметр вида:
c,Country,0,-1,0
company,Company,0,150,0
department,Department,0,150,0
displayName,Display Name,0,100,0
и т.д.
Каждое значение описывает одну из расширенных колонок. Параметры разделены запятыми. Первый параметр — название атрибута объекта, второе значение — название колонки в ADUC, третий параметр — отображать колонку по умолчанию (0 — нет, 1 — да), третий параметр — ширина колонки в пикселах (-1 — автоматический подбор ширины), последний параметр — опциональная фича (не знаю, какие бывают, тут обычно всегда 0).
Добавляете туда ещё одну значение для колонки Employee ID:
employeeID,Employee ID,1,-1,0
6. Но значение атрибута extraColumns в CN=default-Display влияет только на дефолтовое отображение (в частности для Saved Queries). А если эту колонку нужно добавить также и для просмотра OU и для просмотра дефолтовых контейнеров, которые не являются OU, (типа Users или Computers), тогда нужно будет открыть соответственно
CN=organizationalUnit-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=example,DC=org
CN=container-Display,CN=409,CN=DisplaySpecifiers,CN=Configuration,DC=example,DC=org
и в их атрибут extraColumns скопировать все значения из одноимённого атрибута объекта CN=default-Display вместе с добавленной колонкой.
По умолчанию в CN=organizationalUnit-Display и в CN=container-Display атрибут extraColumns вообще не задан.
7. Пункты 5-6 повторить для CN=419 (для русскоязычных оснасток ADUC).
8. Теперь можно открыть ADUC на любом компьютере в данном AD-лесу, перейти в любой OU, далее в меню View — Add/Remove columns добавить колонку «Employee ID» (хотя для тех, кто впервые запустит консоль ADUC, эта колонка будет выводиться по умолчанию).
Колонки с атрибутом extensionAttributeX я так добавлять не пробовал, но с некоторыми другими (в частности EmployeeID) без проблем.
P.S. Иногда в консоли ADUC в WinXP/2003 нужно не просто просматривать какие-то специфические атрибуты, которые в свойствах объекта по умолчанию даже не видны, но ещё и изменять их. В этом случае в контекстное меню объекта можно добавить соответствующий пункт и повесить на него скрипт. Это опять же делается через редактирование конфигурации AD.
Например, в контекстное меню для пользовательских объектов я добавил пункт Employee ID, при выборе которого появляется диалоговое окошко, отображающее текущий EmployeeID (табельный номер) сотрудника и дающее возможность поменять его на любое значение (или сделать пустым/незаданным). Таким образом в ADUC в WinXP/2003 я получил возможность просматривать и изменять атрибут EmployeeID, что по умолчанию там не реализовано.
Хотя такой метод возможно дольше, да. Зато полный контроль над создаваемым msi.
Да, программка конвертера полезная, но ужасно кривая. К сожалению, толковой бесплатной альтернативы не знаю.
А вот вместо Orca попробуйте InstEd, намного удобнее, взять хотя бы генерацию GUID прямо в полях ProductCode и UpgradeCode.
Думаю, всё-таки желательно предусмотреть функционал удаления приложения, используя вызов Custom Action по аналогии с Custom Action для установки приложения.
Уменьшить хаос в Add/Remove Programs можно с помощью добавления в таблицу Property записи ARPSYSTEMCOMPONENT=1, это скроет запись об MSI-установщике.
https://technet.microsoft.com/en-us/library/offline-domain-join-djoin-step-by-step(v=ws.10).aspx
wmic /NODE:ip_address/user:"ip_address\local_admin" /password:"local_admin_password" process call create "cmd.exe /C Netdom resetpwd /Server:domaincontroller /UserD:domain_admin /PasswordD:domain_password"
где ip_address — ip адресс компьютера, который вылетел с домена,
local_admin — локальный администратор,
local_admin_password — пароль локального администратора,
domaincontroller — fqdn контроллера домена
domain_admin — администратор домена,
domain_password — пароль администратора домена.
При этом не требуется даже перезагрузка компьютера.
На обычной системе (не гипервизоре) настраивается расширенный рабочий стол (несколько мониторов), туда — на второй монитор — вытягивается окно виртуальной машины и пробрасываются usb-клавиатура с мышкой. Правда непонятно что с 3d ускорением.
Нигде, ни в энторнетах ни на сайте Citrix не нашел информации об ограничениях триальной версии.
Есть (или была раньше) версия XenClient Express, но кроме как у софтлайна нигде упоминаний о ней не нашел.
Резюме такое: есть Xenclient, качается после короткой регистрации отсюда. Попутно к нему высылается триальный ключ без явно указанных ограничений (не нашел ничего про это).
Как это все работает можно посмотреть как в статьях на хабре- 1,2,3 так и где-нибудь еще.
Я у себя его хотел поставить для пробы, да железа нужного под рукой не оказалось. Пока отложил это затею.
Посмотреть статусы можно через ps.
Статья в таком виде не даёт никакого понимания о LA в Linux.
Мало того, LA в Linux вообще не информативен, ибо смешивает очередь I/O и очередь на выполнение процессором. Как я уже говорил, смотреть нужно в ps.
Ведь мой пароль от порнолаба — самая великая тайна в моей жизни! :)
Остановились на Horde (Kronolith)- там можно шарить календари сразу всем и гибко ими управлять.
Kolab выглядит, конечно, очень симпатично, но с учетом того, что в веб-морду Horde достаточно зайти один раз, а потом просто подключить все свои календари в любое приложение — это достоинство нивелируется.
Копировать по расписанию свои документы в эту папку из под прав backuper.
Под данной учеткой в интернете и для работы не сидеть, использовать только для бакапа.
На данный момент я этим пользуюсь. Применять по делу, к счастью, пока не приходилось.
Думаю, мое решение спасло бы от данного вируса, т.к. диск большую часть времени лежит не подключенный к компьютеру. Если бы его подключили и начали копирование после зашифровки, то старые копии остались бы не тронутыми. Кроме того, т.к. файлы поменялись, то при копировании был бы перенос новой копии каждого файла, вместо создания хардлинка. Это было бы видно по логам, могло бы насторожить.