Zde se dozvíte mnohé nejen z elektrotechniky, ale i z dějin a současnosti letecké techniky i dějin světa, též rady a triky, jak pořídit dobré fotografie.
Pozor, vyhledávač pracuje především na soubory uložené mezi lety 2008 a 2012, nové soubory nahrané od 1.1. do 1.7. 2013 z 99,5% nesnímá!!!, novější soubory nejsou problém.
Při správě serverů není nic vzácného, že PowerShell je potřeba spustit v privilegovaném módu. Určitě všichni správci znají fintu pravého tlačítka na skript a volby Run with PowerShell, ale jak ve sktirptu zkontrolovat, zda byl spuštěn s oprávněním správce? Zkuste následující větvení, které místo pouhých výpisů rolí obohaťte o svůj kód.

if((whoami /priv /fo csv | convertfrom-csv | select "Privilege Name")."Privilege Name" -contains "SeImpersonatePrivilege")
{"admin"}
else
{"user"}

Tento skript využívá toho, že účet správce má dva módy, jeden privilegovaný (obsahuje SID skupiuny Administrators) a jeden běžný (neobsahuje SID skupiny Administrators). Když i správce spustí aplikaci pouhým poklikáním, neběží v privilegovaném módu (až na vyjímky jako je Plánovač, Prohlížeč událostí apod.). Také PowerShell jde pustit v obou režimech a pokud výslovně správce nespustí PowerShell v řežimu správce, má stejná oprávnění jako běžný uživatel. Zobrazit jednotlivá oprávnění daného režimu PowerShellu jde příkazem:

whoami /priv

Více se pak dočtete v dokumentaci Microsoftru v sekci věnované uživatelským účtům.
Dnes Vám ukáži primitivní skript, kterým je možné zjisti stav synchronizace a případně ručně spustit synchronizaci AD s Azure AD.
<#
    Skript vypíše stav synchronizace Azure ADconnect,
    provede pravidelnou nebo celou synchronizaci.
    Skript musí běžet na PC, kde je instalován Azure ADconnect.
#>
$volba = 0
Write-Host "volba 1: Zjištěnís tavu synchronizace"
Write-Host "volba 2: Spustí synchrnizaci"
Write-Host "volba 3: Spustí úplnou (iniciální) synchronizaci"
switch($volba)
{
    1{Get-ADSyncScheduler}
    2{Start-ADSyncSyncCycle -PolicyType Delta}
    3{Start-ADSyncSyncCycle -PolicyType Initial}
}
 
Jak všichni správci AD ví, i počítače dodržují ze zdvořilosti politiku na změnu hesla. Reálně by to ovšem dělat nemusely, protože heslo počítače má 128 míst, takže jeho prolomení se tím značně koplikuje. Vyjímaje doménových řadičů si ovšem počítače mění heslo v souladu s default domain policy.  Pokud si PC např. rok nezměnil heslo, patrně je vyřazený, nebo opravdu nebyl v doashu AD. Následující skript vyhledá taková PC a dokáže je smazat, ale musíte si dát pozor na doménové řadiče.
$Date = ((Get-Date).AddDays(-365))
$DC2 = Read-host -promt "Zadejte druhý řád názvu domény: "
$DC1 = Read-host -promt "Zadejte první řád názvu domény: "
#Počítače s více jak ro neměněným heslem​
Get-ADComputer -Filter 'PasswordLastSet -le $Date' -SearchBase "CN=Computers,DC= $DC2,DC=$DC1" -Properties PasswordLastSet | where Enabled -eq $true | FT Name,PasswordLastSet ​
#zakáže PC s rok neměněnýn heslem​
$zakazat = 0​
$zakazat = Read-Host -Prompt "Pro zakázání všech vypsaných účtů zvolte zadejte 1 jinak 0: "​
if($zakazat -eq 1)​
{​
    Disable-ADAccount -Identity (Get-ADComputer -Filter 'PasswordLastSet -le $Date' -Properties PasswordLastSet | where Enabled -eq $true)​
    Write-Host "Počítače byly zakázány"​
}​
else​
{​
    Write-Host "Žádný úet nebyl zakázán"​
}
 
Všichni jsme se jako admini setkali se situací, kdy potřebujeme rychle zastavit aktulizace Windows v celé síti, ať z důvodu chybné aktualizace, či z jiného důvodu.
Dnes Vám ukáži, jak aktualizace vypnout pomocí PowerShellu, ale nezapomeňme, že je nutné Windows update po nezbytné době opět zapnout, protože podporované jsou jen plně aktualizované systémy ;)
Všichni správici firemních sítí známe situaci, kdy potřebujeme vyhledat zařízení, které jsme vyloučili ze sítě, abychom jeho účat zakázali. Pokud máme souběžně, ať synchronizované, či ne, lokální AD a Azure AD, je vhodné vyřadit soukromá zařízení uživatele, který opustil firmu, nebo takové zařízení, které bylo uživatli zcizeno, či jej uživatel ztratil nebo nahradil. Následující skript řeší problém, který není řešitelní v Azure AD online konzoli, protože zatím (začátek června 2020) nelze podle vlastníka zařízení filtrovat. V článku poskytnutý skrit do dokáže a dokáže rovněž rovnou soukromá zařízení uživatele zakázat všechna jedním příkazem.
Pokud by jste chtěli takto zakázat např. firemní notebook, budete muset vynechat filtrování, které ze všech zařízení eliminuje právě ta, která jsou součástí našeho lokálního AD.
Dané klíče lze použít v kombinaci s aktivací systému pomocí KMS
Pro všechny kteří hledají praktický bezplatný nástroj pro správu sítě je Admin center dobrým typem. V článku Velký malý dárek pro všechny adminy jsem poskytl již základní informace a odkazy, nyní dodávám podrobnější popis možností správy Windows 10 a Windows serveru. Pro další bližší informace čtěte celý článek.

Dnes si řekneme něco málo o vzdálené správě a bezpečnosti pro koncové stanice. Jak jsem již zmiňoval ve školení Instalace a konfigurace Windows serveru, je potřeba mít správně vydefinované Password zóny a používat pro správu uživatelských stanic různé administrátorské účty s různými hesly, které jsou ovšem z pohledu sítě obyčejnými uživateli. Těmto servisním účtům je asi žádoucí povolit RDP přístup, protože ne vše jde pohodlně řešit nástroji jako je Admin center. Pokud máme k dispozici Windows server 2012 a novější, je vhodné tyto servisní účty přidat do skupiny „Protected users“, čímž dojde k vynucení použití Kerberos autentizace uživatele. Nástroje typu Admin center nebo systém center, případně Eset Remote Administrator by měly tvořit hlavní pracovní nástroj každého admina, resp. pracovníka technické podpory.

Nyní se malinko vraťme ke vzdálené ploše, neboli RDP. Jak jsem již zmínil na školení Instalace a konfigurace Windows serveru, RDP budí dojem většího zabezpečení, nežli které reálně poskytuje. Když se podíváte na lištu RDP po připojení k cílovému počítači, je vidět zámeček a v bublinové nápovědě se dozvíte, že spojení bylo ověřeno Kerberos protokolem. Nicméně to není tak zcela pravda. Kerberos protokol byl použit v rámci preautentizace při navázání spojení, zde to pravdou je, ale vaše uživatelské údaje byly odeslány na cílový počítač v plné formě (i heslo bylo v plné formě). S ohledem na to, že vlastní síťové spojení je zabezpečeno s užitím Kerberosu, tak zde problém není, ale problém nastává ve chvíli, kdy je napaden cílový počítač, nebo kdy se k němu dostane jeho lokální admin s potřebnými nástroji. Na cílovém počítači jsou po dobu trvání připojení uloženy login a NTHash (případně Kerberos klíče) v paměti procesu LSASS.exe, odkud je možné je získat. Paměť tohoto procesu může být na Windows 10 odstíněna pomocí virtualizace při nakonfigurování Virtual Secure Mode, případně je možné zvýšit její ochranu vynucením digitálního podpisu Microsoftu na všechen kód, který se snaží do paměti procesu LSASS.exe přistoupit (od Windows 8.1). Dobrým typem je, aby si pracovníci technické podpory využívající servisní účty a přístup pomocí RDP na koncové stanice nepouštěli RDP skrze zástupce ve startu, ale aby si vytvořili cmd soubor s následujícím obsahem:

mstsc /admin

Tento příkaz vynutí speciální autentizaci při připojení, kdy se na cílový PC neuloží hash hesla ani Kerberos klíče. Tato možnost je opět dostupná od Windows 8.1 v doménovém prostředí. Nevýhodou takto navázaného spojení je, že není možné přistupovat na síťové prostředky bez zadání uživatelských údajů, jejichž zadáním dojde ke ztrátě bezpečnosti pro kterou jsme se připojili zrovna takto. Na druhou stranu pokud je vynuceno ověření pomocí Kerberosu, tak se jedná o nejvíce bezpečný mód, který dokáže vzdálená plocha nabídnout.

Z dílen Microsoftu vyšla již před nějaký časem naprostá pecka, která navíc konečně dospěla. Aplikace Admin center z dílen Microsoftu je jednoduchým nástrojem pro centrální správu všeho, co žije na platformě Windows.
Aplikaci je možné nasadit i v nedoménovém prostředí a je dostatečně robustní, aby zvládla spravovat i poměrně velká prostředí (osobně ji užívám na správu 300 PC a 8 serverů ve 3 doménách zároveň). Rozhodně se nejedná o náhradu Systém Centeru, tomu se neblíží ani zdaleka, ale někdy může být její jednoduchost naopak i výhodou.

Aplikce umožňuje pomocí online přístupu spravovat počítače, servery, clustery a vše integrovat s Azure službami. Admin center je možné instalovat na Windows server 2019, Windows server 1803 a novější a Windows 10 verze 1803 a novější. Přístup do aplikace je možný skrze Microsoft Edge a Google Chrome, vlastní aplikace nemá žádné nastavení nebo vlastní grafiku, vše se řeší pomocí webového prohlížeče, tudíž je vhodná pro instalaci na server Core.
Na cílových počítačích musí být aktivní služba WinRM a příslušné výjimky ve Firewall, což se dá obojí zajistit příkazem: winrm qc -q
Vyjímaje provádění konkrétních úkonů správy (např. správy pravidel Firewall, instalace Update...) je k dispozici i přístup na Adminshare, kde je možné pracovat se soubory a PowerShell remoting (vzdálené připojení PowerShellem) je k dispozici i možnost vyvolání RDP připojení.
Mezi počítači je možné vyhledávat a je možné si je pomocí štítů třídit do různých skupina a na jejich základě si je filtrovat.

Tentokrát mohu potvrdit, že nasazení je od verze 1904 jednoduché, rychlé, bezstarostné a vše funguje, jak má. Na cílové PC není potřeba instalovat žádného klienta. Za mě opravdu povedená aplikace a rozhodně stojí za těch 30 minut, které jsou potřeba k tomu, aby jste ji instalovali, zvykli si na ni a nabyli ji všemi Windows zařízeními.
Pro všechny začínající správce, studenty informatiky a správce, kteří přechází ze starších Windows serverů na verzi 2016 a novější je určen můj kurz Instalace a konfigurace Windows serveru, který vyučuji v Globisu. prezentaci k tomuto kurzu dávám ke stažení v tomto článku. Kurz částečně souvisí s článkem o instalaci Windows 10, který naleznete v rubrice Win10.
1
Adobe reader 9.4 porteble.jpg
Převod skenů do editovatelného textu.pdf  208.3kB
Sken, tištěnou předlohu či vyfotografovaný text převedu do formátů doc, docx, rtf, html, či txt. Text dokážu převést i ze zabezpečených souborů pdf. bližší info na kontaktech v inzerátu.

Líbí se vám tyto stránky?

Ano (3593 | 24%)
Ne (3838 | 26%)
líbí se mi obsah (1927 | 13%)
líbí se mi grafika (1967 | 13%)

Našli jste zde co jste hledali??

Ano, vše (1681 | 20%)
Ano, z větší části (1692 | 20%)
Ano, z měnší části (1706 | 20%)
Ne, to co jsem hledal(a) (1693 | 20%)

Která rubrika se Vám líbila nejvíce?

Dějepis (2910 | 6%)
Letecká technika (2863 | 6%)
logitronik (2835 | 6%)
Ledkovky (2867 | 6%)
Anna Franková (2808 | 5%)
schematické značky (2867 | 6%)
číselné systémy (2817 | 5%)
jednotky soustavy SI (2898 | 6%)
vývoj počítačů (2746 | 5%)
integrované obvody (2833 | 5%)
schemata (2915 | 6%)
Psychologie (1614 | 3%)
Pedagogika ( | 0%)
Knihovnička ( | 0%)
PC Software ( | 0%)
Děkuji za návštěvu a doufám, že nalezené informace byli dostatečné Váší potřebě.
V případě potíží mě kontaktujte na e-mail: petrasek.jan@windowslive.com .
administrátor Petrásek Jan
přístup: http://www.webgarden.cz/index.php?action=logoutuser
Name
Email
Comment
Or visit this link or this one