Archivio

Archivio per la categoria ‘Sistemista@Work’

Ripristinare Impostazioni di Protezione Predefinite

21 Dicembre 2011 Commenti chiusi

 

In alcune circostante è utile, se non addirittura necessario, ripristinare le impostazioni di protezione ai modelli di default.

La procedura è semplice, i tempi variano a seconda delle prestazioni della macchina:

Windows XP

Dal prompt dei comandi:  secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

Windows Vista/7

Dal prompt dei comandi: secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

 

La procedura necessità di diritti amministrativi

 

Parametri di Secedit , tratti dalla kb313222

/configure: Specifica che le opzioni di protezione del sistema vengono impostate da Secedit.exe.

/DB file_name: Fornisce il percorso di un database contenente il modello di protezione da applicare. È un argomento obbligatorio. Tuttavia, il file di database non deve necessariamente esistere se si utilizza il parametro /CFG per specificare un modello di protezione. /CFG file_name: Questo argomento è valido solo se viene visualizzato con il parametro /DB. Si tratta del percorso del modello di protezione che verrà importato nel database e applicato al sistema. Se questo argomento non è specificato, viene applicato il modello già archiviato nel database.

/overwrite: Questo argomento è valido solo se viene utilizzato anche l’argomento /CFG. L’argomento specifica se il modello di protezione nell’argomento /CFG sovrascrive qualsiasi modello o modello composito archiviato nel database anziché aggiungere i risultati al modello archiviato. Se non è specificato, il modello nell’argomento /CFG viene accodato al modello archiviato.

/areas NomeArea1NomeArea2: Specifica le aree di protezione da applicare al sistema. Il valore predefinito è relativo a tutte le aree. È necessario inserire uno spazio tra un’area e l’altra

NomeAreaX Descrizione
SECURITYPOLICY Criterio locale e criterio di dominio per il sistema. Sono inclusi i criteri account, i criteri di controllo e altri.
GROUP_MGMT Impostazioni dei gruppi con restrizioni per tutti i gruppi specificati nel modello di protezione.
USER_RIGHTS Diritti di accesso degli utenti e concessione di autorizzazioni.
REGKEYS Protezione delle chiavi del Registro di sistema locale.
FILESTORE Protezione dell’archivio file locale.
SERVICES Protezione di tutti i servizi definiti.

Nota Ogni area coincide con un nome analogo nel modello di protezione.

/log percorsoregistro È possibile utilizzare questo parametro per configurare il percorso del file di registro utilizzato per tenere traccia delle modifiche.

/verbose: specifica informazioni dettagliate sullo stato di avanzamento.

/quiet: limita la quantità di commenti visualizzati durante l’aggiornamento e nel file registro

 

Guida in linea disponibile %windir%\help\secedit.chm

 

Rifemento kb313222

 

 

Tombstone-Lifetime

16 Dicembre 2011 Commenti chiusi

 

Tombstone-Lifetime è il tempo, numero di giorni, dopo il quale un oggetto viene rimosso da Active Directory, un oggetto cancellato infatti può essere ripristinato entro tale tempo.

E’ importante che tale tempo sia superiore a quanto ne occorre per una replica completa nella propria foresta in quanto il tombstone (dove sono collocati temporaneamente gli oggetti AD cancellati) viene replicato tra i DC, il superamento del Tombstone-Lifetime causa la cancellazione dell’oggetto quindi impossibilità di recupero.

Le modalità di ripristino di oggetti e dei loro attributi variano a seconda della versione di Windows, e bisogna arrivare a Windows 2008 R2 per avere un Cestino di Active Directory.

Il Tombstone-Lifetime determina anche la validità di un backup SystemState, infatti la procedura di recovery non supporta il ripristino di un SystemState più vecchio del Tombstone-Lifetime della foresta.

Questi i valori di default

Windows 2000 Server 60

Windows Server 2003 w/o SP 60

Windows Server 2003 SP1/2180

Windows Server 2003 R2 (SP1) 60

Windows Server 2003 R2 SP2 180

Windows Server 2008/2008R2 180

L’impostazione può essere modificata operando sullo schema di Active Directory

Alcune risorse collegate

 

 

Si sta tentando di aprire un tipo di file bloccato dall’impostazione dei criteri del Registro di sistema.

14 Dicembre 2011 Commenti chiusi

Aprendo dei documenti Word viene visualizzato un messaggio di errore quando si tenta di aprire un file che è stato bloccato dalle impostazioni dei criteri del Registro di sistema.

Si sta tentando di aprire un tipo di file bloccato dall’impostazione dei criteri del Registro di sistema.

Prosegui la lettura…

Microsoft BE IT

12 Dicembre 2011 Commenti chiusi

 

Spesso parlando con amici/colleghi o clienti IT-PRO scopro che non conosco una risorsa molto utile sia per conoscere le novità dei prodotti Microsoft che per un un approccio alle varie tecnologie, questa risorsa è Microsoft BE IT dove è possibile trovare webcast, eventi registrati in streaming sulle tecnologie Microsoft.

Aggiungi il gruppo di protezione Administrators ai profili utente comuni

9 Dicembre 2011 Commenti chiusi

 

Usando i Roaming Profoli di default l’accesso alle directory dei profili è riservato al solo utente proprietario, tuttavia per motivi di gestione e supporto può essere utile poter accedere a tali directory. Per fare ciò basta creare una Policy da applicare al DC.

Prosegui la lettura…

FSMO Flexible Single Master Operation

7 Dicembre 2011 Commenti chiusi

La struttura di Active Directory è di tipo multimaster, (da qui l’abbandono del concetto PDC-BDC in uso hai tempi di Windows NT Server) tuttavia ci sono alcune operazioni, tipo la gestione di conflitti nella modifica degli oggetti, che necessitano di poter contattare un’autorità e cioè un Domain Controller che nell’intero dominio può eseguire una data operazione.

Questi ruoli sono chiamati FSMO Flexible Single Master Operation ed i Domain Controller che li detengono sono definiti Operations master roles

Prosegui la lettura…

Exchange 2007 POP3 Client attivazione via PowerShell

5 Dicembre 2011 Commenti chiusi

 

Powershell è un importante strumento di configurazione e spesso più rapido dell’interfaccia grafica, ecco due righe su come abilitare il pop3 via powershell per Exchange 2007

Prosegui la lettura…

Hyper-V & Linux

5 Dicembre 2011 Commenti chiusi

 

E’ stata rilasciata l’ultima  versione Linux Integration Services 3.2 per Virtual Machine Linux in ambiente Hyper-v. Le novità e fix sono :

Driver support: Linux Integration Services supports the network controller and the IDE and SCSI storage controllers that were developed specifically for Hyper-V.

Fastpath Boot Support for Hyper-V: Boot devices now take advantage of the block Virtualization Service Client (VSC) to provide enhanced performance.

Timesync: The clock inside the virtual machine will remain synchronized with the clock on the virtualization server with the help of the pluggable time source device.

Integrated Shutdown: Virtual machines running Linux can be shut down from either Hyper-V Manager or System Center Virtual Machine Manager by using the “Shut Down” command.

Symmetric Multi-Processing (SMP) Support: Supported Linux distributions can use up to 4 virtual processors (VP) per virtual machine.

Heartbeat: Allows the virtualization server to detect whether the virtual machine is running and responsive.

KVP (Key Value Pair) Exchange: Information about the running Linux virtual machine can be obtained by using the Key Value Pair exchange functionality on the Windows Server 2008 virtualization server.

Integrated Mouse Support: The cursor is no longer bound to the VMConnect window when used with the Linux Graphical User Interface

 

Con questo rilascio viene aggiunto il supporto alle versioni

  • Red Hat Enterprise Linux 6.0 and 6.1 x86 e x64 (Up to 4 vCPU)
  • CentOS 6.0 x86 e x64 (Up to 4 vCPU)

Versioni precedentemente supportate

  • SUSE Linux Enterprise Server 10
  • Red Hat Enterprise Linux 5

Reequsiti dell’Hypervisor sono:

  • Windows Server 2008, Windows Server 2008 R2, Windows Server 2008 R2 SP1Windows Server 2008 with Hyper-V RTM Update (KB950050) applied Microsoft Hyper-V Server 2008
  • Windows Server 2008 R2 Hyper-V RTM
  • Microsoft Hyper-V Server 2008 R2 RTM

Link

Linux Integration Services Version v3.2 for Hyper-V

Microsoft Hyper-V Server 2008R2 SP1

Categorie:News, Sistemista@Work Tag:

Ripristinare un accesso amministrativo

2 Dicembre 2011 Commenti chiusi

 

Un’interessante post di Ermanno su come ripristinare l’accesso amministrativo ad un sistema in maniera off-line. Ritengo la procedura valida anche se invece di un virtual disk accediamo ad un disco fisico.

Il post completo qui

Storage, un’analisi interessante

1 Dicembre 2011 Commenti chiusi

 

Un’interessante post sul Blog di Piergiorgio Malusardi su Cloud e Storage, utile come spunto di analisi nella valutazione per l’implementazione di soluzioni storage

Costruire un private cloud: ancora sullo storage

 

Group Policy e Power Management

25 Novembre 2011 Commenti chiusi

Un interessante articolo sul Power Manangement tramite Group Policy

https://blogs.technet.com/b/askds/archive/2008/03/17/managing-power-with-group-policy-part-1-of-3.aspx

Event ID 1054 Windows cannot obtain the domain controller name for your computer network

23 Novembre 2011 Commenti chiusi

Event ID 1054 Windows cannot obtain the domain controller name for your computer network

 

Durante il deploy di software tramite GPO (operazione eseguita tra l’altro in remoto) mi ritrovo questo errore su di un client connesso con cablaggio in cavo in fase di avvio e che spesso proprio a causa di questo non riusciva ad applicare le policy machina. Ed infatti non eseguiva l’installazione del software.

Prosegui la lettura…

Ticket Kerberos, durata e disconnessione dal server

23 Novembre 2011 Commenti chiusi

Successivamente ad una migrazione d Windows 2003R2 a Windows 2008  mi viene segnalato un problema abbastanza anomalo, ad un certo punto viene persa la connessione delle unità mappata, programmi che hanno i file aperti verso il server (doc, xls ecc…) devono essere terminati o richiedono il salvataggio in altro percorso.

Dalle verifiche emerge che tentando di ristabilire le connessioni verso il server è richiesta l’autenticazione, riavviando il client tutto torna normale. All’inizio quello che sembrava un problema sporadico mostra un proprio schema e cioè il problema si manifesta ad un intervallo di tempo ben preciso dall’ultimo login, la causa: scadenza del Ticket Kerbero rilasciato al momento del login

Prosegui la lettura…

RDP, attivazione via Group Policy

21 Novembre 2011 Commenti chiusi

Due righe su come attivare RDP (Desktop Remoto) tramite una Group Policy. Bene ricordare che se, opzione consigliata, il firewall dei client è lasciato attivo è necessario creare una eccezione per il Desktop Remoto, quindi possiamo creare una policy con entrambe le impostazioni.

1 Eccezione per l’RDP

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Firewall > Domain Profile > Windows Firewall: Allow Remote Desktop Exception

2 Attivazione RDP

Computer Configuration > Administrative Templates > Windows Components > Terminal Services > Allow users to connect remotely using Terminal Services

In windows 2008 e successivi il punto 2 cambia come segue:

Configuration > Administrative Templates > Windows Components > Remote Desktop Services >Connections ed impostare  ‘Allow users to connect remotely using Remote Desktop Services su Enabled

Gestione di Hyper tramite tool nativi e di terze parti free–parte 1

20 Novembre 2011 Commenti chiusi

 

Su Technet, potete trovare la prima parte dell’articolo di Ermmano Golleto dedicata alla gestione di Hyper-V tramite tool nativi o di terze parti.

Hyper-V: panoramica e principali strumenti per la gestione locale

Blog di Ermmano dove è possbile trovare anche altri link con tool ed in per la gestione di Hyper-V

Group Policy, lista

18 Novembre 2011 Commenti chiusi

Un’utile link da cui è possibile fare il download di file xls che contengono interessanti informazioni sulle policy quali: nomi file template delle policy,scope di applicazione, nome della policy, chiavi di registry interessate, se richiede riavvio o logoff ecc…

https://www.microsoft.com/download/en/details.aspx?id=25250

Time Out esecuzione script

16 Novembre 2011 Commenti chiusi

mi capita alcune volta, principalmente eseguendo backup tramite script che questo venga interrotto anche nel bel mezzo della procedura. La causa è il raggiungimento del Time Out cioè del tempo massimo di esecuzione dello script.

Nulla di allarmante, è sufficiente modificare o la policy locale o distribuire una opportuna policy per aumentare il tempo di time out

TimeOutScrip1

 

La policy è
Computer Configuration \ Administrative Templates \ System \ Scripts  – Maximum wait time for Group Policy scripts

Il valore da inserire è in secondi, quindi 3600 = 1 ora

 

Stato Bloc Num all’avvio

4 Novembre 2011 Commenti chiusi

Può capitare di preferire o avere necessità del Bloc Num attivo in fase di logon e di non aver modo di attivare l’opzione dal bios della macchina. Per poter far ciò è sufficiente agire nel registry della macchina modificando la seguente chiave

HKEY_USERS\.Default\Control Panel\Keyboard\InitialKeyboardIndicators

I valori possono essere

0 Num Look OFF

2 Num Look ON

La chiave è di tipo REG_SZ ed il valore di default è 0

Questo per quanto riguarda la fase precedente al logon, va ricordato che Windows ne memorizza per ogni utente lo stato, la chiave relativita all’utente è invece

HKEY_CURRENT_USER\Control Panel\Keyboard\InitialKeyboardIndicators

I valori sono gli stessi della precedente

Ovviamente tutto si può anche impostare la chiave in modo che il Bloc Num sia/resti spento.

 

Ulteriori approfondimenti

https://support.microsoft.com/kb/824555/en-us

https://technet.microsoft.com/en-us/library/cc978657.aspx

Uno script da poter eseguire in fase di avvio tramite GPO e modificare lo stato Block Num

https://support.microsoft.com/kb/314879

Copia condivisioni e trasferimento file

1 Novembre 2011 Commenti chiusi

Il  trasferimento di file e cartelle può avvenire attraverso il sempre presente xcopy.exe ricordandosi di usare tra gli altri swith /O /X che permettono di copiare anche i permessi di accesso, in alternativa possiamo usare robocopy.exe (tra gli altri vantaggi non è soggetto alle limitazioni di lunghezza percorso+nomefile di xcopy che causa errore di “memoria insufficiente”), tra l’altro al termine dell’operazione presenta un breve log dell’operazione che permette di vedere quanto e con quale esito sia stato copiato.

Robocopy.exe è presente nel resourcer kit di Windows Server ed è scaricabile  (nota informativa, il programma funziona anche su Windows 2000 e XP).

CondivisioniIl trasferimento delle condivisioni da un server ad un altro è spesso un’operazione complessa per fare ciò possiamo ricorrere sia tool di terzi parti, sia “aggirare” il problema esportando la necessaria chiave dal registo di Windows utilizzando regedt32.exe,

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares

Esportando prima tale chiave dall’attuale file server e importandola nel nuovo ricreeremo automaticamente tutte condivisioni con I relativi permesi, per rendere effettiva la modifica è consigliato riavviare il sistema, in alternativa (ma sconsigliato) al riavvio fermare e riavviare il servizio “server”

Microsoft mette a dispozione Microsoft File Server Migration Toolkit (FSMT) è possibile trovare info sul tool, mentre qui  è possibile eseguirne il download, il tool è valido per il trasferimento delle condivisioni da Server NT o Windows 2000 a Windows 2003

Meritevole di attenzione è anche scopy.exe si applica però solo ai sistemi Windows NT 4.0

Migrazione server Windows DHCP

1 Novembre 2011 Commenti chiusi

Qualora si usasse un server Windows come server DHCP potrebbero verificarsi casi in cui sia necessaria o magari utile migrare la configurazione ed il database di tale funzione, magari a seguito di sostituzione di un domain controller, o più semplicemente perchè si vuole demandare tale compito ad altra macchina, dalle KB di Microsoft vediamo come possa essere possibile fare cioò senza dover riconfigurare tutti i parametri precedentemente immessi.

La KB in  questione è 325473 , vi rimandiamo al link per la consultazione, illustra come trasferire il DHCP da un’origine Windows Server NT/2000/2003 ad un server Windows 2003, qui invece una breve guida su come trasferire in pochi passaggi il database da un Server 2003 ad un’altro.

Inoltre vi segnaliamo  la documentazione Technet relativa al server DHCP di Windows 2003.