CPasswords i zmiana haseł w GPO

27 stycznia 2015 at 07:07

Od czasu wprowadzenia GPP (Group Policy Preferences) automatyczna zmiana haseł kont lokalnych stała się prosta łatwa i przyjemna. Niestety przyszedł dzień 13.05.2014 i znaleziona (znana już wcześniej) „luka” bezpieczeństwa spowodowała, że Microsoft całkowicie wycofał się z możliwości zmiany haseł dla kont lokalnych z wykorzystaniem GPP… Co więcej nie dotyczyło to tylko nowych systemów operacyjnych, lecz wraz z zainstalowaniem którejś z kolejnych poprawek – wycięło tą możliwość również z już działających starszych systemów. O co tak naprawdę zrobiono tyle szumu? – Burza w szklance wody Przeanalizujmy z czego wynika zamieszanie: 1. Zarówno GPO jako i GPP są utrzymywane na zasobie SYSVOL w postaci plików konfiguracyjnych XML oraz towarzyszących im metadanych. 2. Aby móc pobrać i przetworzyć GPO lub GPP należy mieć do nich uprawnienia – uprawnienia z GPO są przenoszone na SYSVOL 3. Atrybut CPassword jest szyfrowany 32-bitowym AES’em i w takiej postaci jest zapisywany do pliku XML   Zatem zamiast zmienić szyfrowanie na bezpieczniejsze – Microsoft wyciął możliwość zarządzania hasłami lokalnymi w jakże prosty i intuicyjny sposób… Swoją drogą wystarczyło być świadomym administratorem i do GPO obsługującego hasła lokalne przyciąć uprawnienia jedynie dla stacji domenowych (odebrać uprawnienia odczytu i przetworzenia zasad użytkownikom) – dzięki czemu użytkownik w swoim imieniu nie […]

MTU 1504 i wiszące sesje…

26 stycznia 2015 at 09:58

Dosyć nietypowy problem na stacji jednego z użytkowników: Połączenie z domeną Active Directory działa prawidłowo, jest dostęp do zasobów sieciowych, poczty elektronicznej i całego pozostałego BackEndu, jednak pojawił się problem przy połączeniu z bazą danych. Połączenie było nawiązywane prawidłowo, jednak po pewnym czasie było zawieszane z nieokreślonej przyczyny.  Przy wspólnej analizie z zespołem sieciowców udało się ustalić przyczynę takiego stanu rzeczy – była nią nieprawidłowa wartość parametru MTU na interfejsie sieciowym, który był wyższy niż MTU na switchu, do którego była wpięta stacja. Z tego też względu żaden z dostępnych mechanizmów wbudowanych w system (jak PMTU, czy fragmentacja pakietów) nie był w stanie obsłużyć tego przypadku, bo pakiety były dropowane już na warstwie 2, bez informacji zwrotnej…. Skąd się wzięła rozbieżność w konfiguracji MTU? Windows domyślnie ustawia wartość 1500, natomiast w tym wypadku ustawione było 1504. Po dłuższym googlowaniu udało się ustalić, że HP wypuścił „trefną” serię sterowników z ustawionym MTU na wartość 1504… Karty sieciowe, które były dotknięte tą przypadłością to m.in: HP NC382 HP NC532 HP Flex-10 10Gb 2-port 530FLB Niepoprawne sterowniki były wypuszczane w seriach od 7.4.x.y – dopiero serie 7.8.x.y mają poprawioną konfigurację MTU. OK – zlokalizowaliśmy przyczynę problemów – ale teraz czas na znalezienie globalnego […]

Konwersja Excela do pliku CSV w powershellu

23 stycznia 2015 at 10:19

Powershell + plik CSV = „sky is the limit” ale… Użytkownik końcowy woli jednak pracować w oparciu o Excela i niekoniecznie chce mu się konwertować go do pliku CSV. Administrator z kolei nie chce na to tracić czasu, bo ma ważniejsze zadania do realizacji Dla mnie najwygodniej uruchamia się skrypty będąc w lokalizacji, gdzie jest skrypt i podając do niego ścieżkę z parametrami w postaci .\skrypt.ps1 .\plik_wejściowy Aby zautomatyzować przekształcanie plików Excela do plików csv, które następnie będą obrabiane i przetwarzane w skrypcie można wykorzystać następującą funkcję:

  Działa sprawnie w przypadku odpalania skryptów powershell’owych oraz Excela z tej samej lokalizacji w strefie DFS (\\twoja.domena\fileshare\skrypty\…) Jako parametr wejściowy podawana jest ścieżka do pliku na zasobie, gdzie umieszczony jest skrypt oraz wejściowy Excel. Wyjściem jest ścieżka do zapisanego pod ta samą nazwą pliku csv, który następnie można zaimportować: 1. Przypisanie do zmiennej $plik ścieżki do utworzonego pliku csv na podstawie parametru wejściowego skryptu (pliku Excela) – $file 2. Pobranie zawartości pliku csv do zmiennej $Dane

 

Instalacja fixa .msu z użyciem Dism

20 stycznia 2015 at 10:57

Podczas próby instalacji poprawki systemowej (hotfixa) z paczki *.msu otrzymywany jest następujący błąd świadczący o rzekomym braku kompatybilności pakietu z systemem operacyjnym: Co jednakże nie jest prawdą i zgodnie z informacjami producenta pakiet ma zastosowanie w systemie operacyjnym. Aby rozwiązać tenże problem i pomyślnie zainstalować pakiet .Msu należy: 1. Wypakować pliki składające się na pakiet *.msu poleceniem:

, gdzie C:\Windows6.1-KB2634907-v2-x64.msu jest lokalizacją pakietu *.msu natomiast C:\poprawka miejscem, gdzie zostanie on wypakowany 2. Zainstalować wyodrębniony plik *.cab z wykorzystaniem Dism:

Fix zostaje poprawnie zainstalowany:

Wyrażenia regularne Powershell

19 stycznia 2015 at 13:49

    Mała ściągawka dla zapominalskich ( ) o operatorach wykorzystywanych do budowania wyrażeń regularnych w Powershell’u. Znaki w wyrażeniu Znaczenie \n Nowa linia \w Słowo \W Nie-słowo \d Znak \D Nie-znak \s „Biały” znak (spacja, tabulator itp.) \S Nie-biały znak \t Tabulacja   Kotwice Znaczenie ^ Początek linii \A Początek ciągu znaków $ Koniec linii \Z Koniec ciągu znaków \b Granica słów \B Nie-granica słów \< Początek wyrazu \> Koniec wyrazu Kwantyfikator Znaczenie * Zero lub więcej znaków (jak najwięcej) *? Zero lub więcej znaków (jak najmniej) + Jeden lub więcej znaków (jak najwięcej) +? Jeden lub więcej znaków (jak najmniej) ? Zero lub więcej znaków (jak najwięcej) ?? Zero lub więcej znaków (jak najmniej) {2} Dokładnie ‘2’ znaki {2,} ‘2’ Lub więcej znaków {2,5} ‘2’ do ‘5’ znaków   Przydatne gotowe wyrażenia regularne: Sprawdzenie adresu IP

Jednakże w przypadku podobnego zapisu, który jest błędnym adresem IP – ww. wyrażenie również zwróci prawdę Aby tego uniknąć należy zastosować bardziej złożone wyrażenie regularne które wygląda tak:

Sprawdzenie SID obiektu w AD:

Sprawdzenie GUID obiektów w AD:

Sprawdzenie daty w formacie „dd-MM-yyyy” z separatorem w postaci spacji, kropki, myślnika lub slasha

Sprawdzenie maski podsieci – tutaj […]

© Marcin Krzanowicz