Cum sa exporti/importi share-urile de pe un server Windows
Operatiunea asta este in special utila atunci cand reinstalezi OS-ul de pe un file server (si nu poti folosi FSMT) si poate fi folosita de la NT incoace.
Informatiile despre share-uri sunt stocate in registry in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares:
Nu am avut ca exemplu acum decat un domain controller asa ca o sa vedeti si share-urile Netlogon si Sysvol. Mai sus vedeti datele generale de configurare ale share-urilor, iar daca mergem si in Security gasim si ACL-urile (stocate binar).
Exportand aceste chei si importandu-le pe noua instalare puteti restaura foarte simplu un file server. Doar ca datele trebuie sa fie la locul lor 
.
Din nou despre Windows Intune – Review
Se pare ca asta e saptamana Windows Intune. Un review despre Windows Intune am mai facut si aici acum aproape un an insa de atunci si pana acum sa zicem ca am mai aflat si alte detalii plus ca serviciul este deja Live si ar fi util ceva mai complet.
Foarte important e ca a fost publicat pretul. Windows Intune se licentiaza per PC la pretul de 11$/luna. O fi mult, o fi putin, imi este greu sa spun. As putea face comparatie cu scenariile in care achizitionezi Windows OEM si AV separat si ai iesi mai ieftin pe perioade mai mari de un an, insa nu ar fi o comparatie corecta deoarece ar lipsi “serviciile” furnizate online de MS.
Si cica pentru deal-uri mari cu sute de computere se poate negocia pretul (mi se pare normal) sau daca ai deja Software Assurance. Pentru inca 1$ in plus pe luna mai primesti acces si la MDOP (desktop optimization pack) – parerea mea e ca trebuiau sa-l dea gratis.
Dar hai sa vedem din nou ce primesti daca platesti acesti 11$/luna/PC. Pai ai licente de Windows Enterprise, licenta de antivirus (e Home Security Essentials 2 / Forefront putin modificat), serviciile online de management/inventariere si Easy Assist (remote assistance).
Managementul se face accesand manage.microsoft.com de unde puteti accesa interfata de administrare facuta in Silverlight.
Acum, e nevoie ca pentru fiecare client pe care dorim sa-l administram sa instalam clientul Intune. Clientul asta e de fapt o colectie de agenti, antivirus, etc care se instaleaza pe statie si care vrea update din prima clipa dupa instalare, cu toate ca fost downloadat de pe site-ul Intune.
Mai jos puteti vedea toate componentele instalate pe o statie cu Windows Home Edition.
BTW, Windows Home nu este suportat cu Intune, insa se pare ca functioneaza. Oricum update-ul de la Windows Home la ceva suportat (Ultimate sau Business, ca Enterprise e versiune separata si nu cred ca merge direct) ar trebui sa fie destul de simplu prin Windows Anytime Upgrade. Si XP Pro e suportat.
Pe client interfata care merge pornita dintr-un shortcut de pe desktop arata cam asa:
Observati si denumirea antivirusului Windows Intune Endpoint Protection.
Altfel, interfata e identica cu Microsoft Security Essentials 2.0. De fapt e acelasi produs, doar ca atunci cand l-au copilat au schimbat numele ferestrei. 
In rubrica Computers din interfata web putem gestiona grupurile de calculatoare:
By default orice sistem pe care instalam agentul va aparea in grupul Unassigned Computers:
Ce e foarte interesant e ca putem crea grupuri in grupuri (group nesting) putand face ceva asemanator unei structuri de Organizational Unit in Active Directory.
Grupurile astea sunt foarte importante, pentru ca sunt folosite pentru partea de update-uri si pentru politici (un fel de GPO-uri) despre care vom discuta putin mai tarziu.
Partea de update-uri e foarte simplu de administrat de cei familiari cu WSUS. E WSUS 100%. Cu approval de update-uri, pe grupuri, cu deadline-uri etc.
Si poti vedea foarte simplu caror sistemele le lipsesc update-urile:
Pe partea de AV nu e mare lucru de configurat, mai ales atunci cand nu ai malware pe sisteme .
Atentie ca imediat dupa instalarea sistemului e posibil ca serviciul online sa raporteze anumite probleme cu antivirusul. E bine sa instalati update-urile, sa-l restartati si sa-i dati macar 30 de minute ca sa actualizeze serviciul.
In interfata web mai avem si rubrica de software inventory care arata cam asa:
Putem vedea toate versiunile de software instalate pe sisteme si pe ce sisteme sunt instalate aceste versiuni. Se pot genera rapoarte iar listele pot fi exportate.
Initial se zvonea ca ar fi inclus si un hardware inventory, insa nu am vazut urma de asa ceva.
Optinea Licenses e bine venita insa doar pentru cei ce au un Agreement Number
Introducand Agreement Number-ul se poate face o comparatie intre ce este fizic instalat pe sisteme, si ce este inclus in agreement-ul cu Microsoft.
Si acum sa vorbim despre ceva mai interesant. Remote Assistance cu Easy Assist (un tool initial folosit de cei din organizatia de support din cate stiu). Asta e o modalitate prin care utilizatorul unui sistem inrolat in Windows Intune poate cere ajutorul remote al administratorului.
Pentru ca Easy Assist sa fie functional e nevoie sa cel putin un recipent ce urmeaza sa primeasca alertele:
Atentie ca exista un delay intre momentul join-arii administratorului la sesiune si momentul in care userul primeste mesajul de confirmare.
Administratorul are nevoie de Easy Assist Support Console. Gasisti link-ul de download aici:
http://support.microsoft.com/ph/925#tab7
Altfel nu va putea sa deschida cererile de remote assistance. Puteau macar sa puna link-ul de download in interfata Intune.
Si ultima chestie ce merita pomenita e partea de politici. Insa nu va faceti mari sperante ca nu se poat configura foarte multe chestii.
Tot ce poti configura sunt setarile pentru antivirus, datele de contact din Intune Center, si setarile pentru Windows Firewall.
De exemplu setand o politica pentru Intune Center:
Si aplicand-o peste un grup de computere:
Pot seta urmatoarele date de contact in Intune Center:
Atentie ca intervalul la care statiile isi aplica policy-urile este foarte mare (peste 8 ore) si nici nu merge sa fortezi aplicarea. Nu inca. Deci nu va asteptati ca daca setati ceva sa fie aplicat pe statii instantaneu. Ci de pe o zi pe alta.
Trebuie mentionat ca se pot aplica politici si peste statii joinate la domeniu (da, clientul Intune merge pus si pe statii membre din domeniu) insa daca setarile aplicate via Intune intra in conflict cu cele din GPO, vor castiga cele din GPO (e si normal).
Si cam atat azi despre Windows Intune. Personal imi place, insa sper ca urmatoarea versiune sa aduca multe lucruri in plus pentru ca e destul de limitat in momentul de fata.
PS: Daca ar scadea si pretul la un 9-10$ ar fi si mai bine.
Probleme Exchange 2007 SP3 RU3
Exchange 2007 Service Pack 3 Update Rollup 3 a fost retras de la download. Pana la rezolvarea problemei si republicare, MS recomanda dezinstalarea acestui update rollup deoarece exista riscul de a se corupe MDB-urile in anumite conditii. Mai multe detalii aici : http://blogs.technet.com/b/exchange/archive/2011/03/29/potential-for-database-corruption-as-a-result-of-installing-exchange-2007-sp3-ru3.aspx
Geo-Tagging
In caz ca o sa uitati vreodata unde stati, folositi fotografiile pe care le-ati facut cu smartphone-ul si le-ati postat pe facebook sau twitter sau… oriunde pe internet. Sigur o sa va ajute sa gasiti drumul 
Cum e posibil? detalii aici: http://icanstalku.com/
AGDLP–sau despre group nesting pe Windows
Uite ce inseamna AGDLP: http://en.wikipedia.org/wiki/AGDLP
Cautand un tool de modificat ceva in DACL-uri pe NTFS am dat de un post (si nu am salvat link-ul) in care cineva chiar dadea exemplu ca in ghidul de MCSE se recomanda folosirea grupurilor locale pentru acces la resurse. Personal m-am lovit de problema asta si muncesc de o saptamana sa corectez greselile unor astfel de MCSE care au dat acces pe resurse folosind grupuri locale de pe un server.
Guys! Domain Local nu se refera la grupuri locale pe server! Ci la tipul de grup numit Domain Local (spre deosebire de Global sau Universal) in Active Directory.
Schema AGDLP e foarte buna si recomandata in cursurile de MCSE (sau cum i-o mai zice acuma) doar nu confundati “Domain Local” cu Local.
Reminder – Concurs
http://www.winadmin.ro/2011/03/04/mai-avem-hard-disk-uri-de-dat-de-data-asta-cu-usb-3-0/
Pana acum numarul celor ce se califica este foarte foarte mic. Deci oricine are o sansa iar conditiile de participare sunt foarte usor de indeplinit.
Atentie, mai sunt doar cateva zile.
Intune–Multi account
Pentru ca Windows Intune pare a fi la moda zilele astea, hai sa vorbim mai mult despre el sau ea, sau ce-o mai fi si asta…
Pentru a putea face management la mai multe conturi (mai exact la conturile mai multor clienti), Clientul X trebuie sa va adauge ca administrator pe contul lui. Atentie ca se accepta doar conturi Live ID (live.com, msn.com, hotmail.com si orice alt domeniu daca a fost “promovat” ca Live ID).
Dupa ce a fost facut admin, “adminul” respectiv cand va deschide http://manage.microsoft.com va vedea un sumar al tuturor conturilor pe care le “manage-iueste” si va putea alege ce cont sa administreze.
De la un cont la altul putem trece foarte usor prin “Switch to another account”
To trust or not to trust…
Asta e intrebarea! 
Puteti citi aici raportul publicat de Comodo, care, recent a fost victima unor atacuri targetate provenite din Iran.
Ca rezultat, 9 certificate SSL (7 domenii diferite) au fost eliberate de UTN-USERFirst-Hardware, (Comodo affilate).
Daca am vrea sa fim sadici am putea spune ca nu e un inceput rau pentru Iran, care cica isi construieste o “Cyber Army”.
Ca sa intelegeti mai exact cam ce s-ar fi putut intampla (sau poate chiar s-a intamplat) in scenariul mentionat, va rog sa cititi si articolul urmator:
Daca o sa am ceva timp o sa revin cu un articol mai detaliat despre CA-uri.
Weekend placut!
Dezinstalare Windows Intune
Nu stiu cati stiu, dar ieri (pe 23 martie) a fost lansat Windows Intune oficial, worldwide. Pana ieri, unii parteneri au putut testa versiunea beta a lui Intune. Dupa aparitia produsului final, au aparut si intrebari de genul: clientii de Intune beta instalati isi pastreaza setarile, datele? Se poate face o migrare sau upgrade etc.? Pai, cum pe 18 aprilie cica se inchid toate conturile de beta si toti sunt sfatuiti sa-si faca upgrade instaleze clientul nou de Intune, pare ca nu se pastreaza nimic. Normal, doar e facut de Microsoft 
Acum vine si partea interesanta [normal, doar e facut de Microsoft 
]. Ca sa instalezi clientul nou de Windows Intune trebuie sa dezinstalezi toate componentele clientului beta. Si nu ar fi o problema daca ar fi de dezinstalat un produs/client/soft (ca doar unul am instalat cand am pus beta-ul, nu?). Problema e ca dupa ce am instalat clientul de Intune, acesta comunica cu MSul si mai instaleaza alte – atentie – 11 componente!! Deci, cum spuneam, ca sa punem clientul nou de Intune, dezinstalam manual sau cu un script (facut tot de amaratul om care a cumparat Intune) toate componentele si intr-o ordine anume [normal, doar e facut de Microsoft ].
Asadar, produsele care trebuie dezinstalate sunt (in ordinea respectiva):
- Windows Intune
- Windows Intune Center
- Microsoft Easy Assist
- Microsoft Online Management Policy Agent
- Windows Firewall Configuration Provider
- Microsoft Policy Platform
- Windows Intune Endpoint Protection Agent
- Windows Intune Endpoint Protection
- Windows Intune Monitoring Agent
- System Center Operations Manager 2007 R2 Agent
- Microsoft Online Management Update Manager
- Microsoft Online Management Client
Stiti ce zice Microsoft despre dezinstalarea automata? Pai, citez: “If you installed Windows Intune client software on multiple computers in a domain at the same time as a published or assigned package in Group Policy, by using a script, or by using another automated deployment method, you can use that method to remove the Windows Intune client software from those computers”.
Dragule Microsoft, sa stii ca este foarte usor sa instalezi un singur produs software prin Group Policy sau script sau SMS/ConfigMgr dar este mai greu sa dezinstalezi alte 11 componente instalate dupa voia ta. Asa ca fii bun si fa ceva pentru ca in versiunea urmatoare aceste componente sa se dezinstaleze automat.
Workgroup to domain migration
Unul dintre tool-urile folosite des folosite pentru migrarea statiilot din workgroup in domeniu pastrand datele si setarile utilizatorului este Profwiz-ul, denumirea oficiala fiind User Profile Wizard; ForensiT fiind compania care a dezvolatat soft-ul.
Sa vedem ce stie sa faca si cum.
Sa zicem ca asa arata desktop-ul meu inainte de migrarea in domeniu si vreau neaparat sa ramana asa! 
Download-am ultima versiune a aplicatiei (are suport pentru XP, Vista si 7).
Rulam Profwiz.exe
La enter the domain introduce numele domeniului (winadmin.local de exemplu) si la account name contul de domeniu al userului. Evident, acest cont trebuie sa fie deja creat in domeniu.
Daca avem mai multe profile pe calculator, alegem contul pe care vrem sa-l migram. Parca poti oricate profile vrei de pe acelasi calculator, dar nu mai tin minte acum… a trecut ceva timp de cand am facut ultima migrare la scara larga
Introducem datele unui cont cu permisiunea de adaugare statii in domeniu
Cateva secunde si gata!
Finish si restart.
Verificam si ADul, sa vedem daca a aparut statia noua…
Dupa restart, ne logam cu contul de domeniu al utilizatorului
Ura! Sunt in domeniu si toate tampeniile mele sunt acolo unde le-am lasat Setarile care se pastreaza sunt nu numai fisierele de pe desktop ci si Recent items, Favorites, wallpaper si cam tot ce e “personal” la un cont.
Profwizul suporta si migrare “Enterprise” dar e pe bani. Mai multe detalii despre o migrare customizata sau pentru a migra sute/mii de statii, gasiti un ghid foarte bun la ei pe site.