Happy Birthday Windows!

Azi sistemul de operare Windows implineste 25 de ani de la lansarea versiunii 1.0 pe 20 Noiembrie 1985.

Putina istorie aici.

PS:Mai vechi de 3.0 eu nu am prins, dar daca mai e cineva care s-a jucat cu astfel de dinozauri il astept sa ne povesteasca.

Tot despre domain controllere si Accounts Policy

Postul vine ca raspuns la doua intrebari pe care le-am primit in privat:

– pot muta DC-urile in afara OU-ului Domain Controllers?

DA. La W2K am un semn de intrebare daca se poate sau nu si nici nu mai am cum sa testez. Nu va recomand insa asa ceva. Sincer am efectuat operatiunea asta doar ca test, intr-un mediu productiv nu am scos niciodata DC-urile din OU-ul Domain Controllers.

– ce se intampla daca am mai multe politici link-ate la nivel de domeniu?

Se aplica setarile din politica cu cea mai mare prioritate. Deci in functie de ordine GPO-urilor DC-urile pot citi password policy si din alt GPO, nu neaparat din Default Domain Policy. Mai exact, modul normal de aplicare al GPO-urilor.

Sper ca am clarificat si aceste aspecte.

Cum se aplica Accounts Policy pe Domain Controllere

Am fost invatati de pe vremea lui Windows 2000, ca putem avea o singura politica de parole la nivel de domeniu, definita in Default Domains Policy. Mai exact vorbim de Accounts Policy nu doar de politica de parole. Incepand cu Windows 2008, lucrurile s-au schimbat si a fost introduse Fine Grained Password Policies dar mai multe intr-un alt post.

In continuare si in Windows 2008, daca nu folosim Fine Grained Password Policies, se aplica setarile din politica de domeniu.

Nu de putine ori am vazut admini incercand sa seteze Accounts Policy in politica ce se aplica pe containerul Domain Controllers – Default Domain Controllers Policy. Setarile puse acolo nu au nici un efect. Si o sa explic si de ce.

Da, stiu, putem seta pe un alt OU care contine computer accounturi, Accounts Policy, dar setarile se vor aplica si vor avea efect doar pentru conturile locale, iar cele de domeniu folosite pe acele masini nu vor fi afectate. Cum domain controllerele nu au conturi locale, mecanismul asta nu se aplica. Domain controllerele citesc Accounts Policy numai din politica de domeniu si ignora orice altceva setat intr-o politica legata de containerul Domain Controllers sau alt OU.

In afara de Accounts Policy se mai citesc din politica de domeniu si urmatoarele aflate Security Settings/Local Policies/Security Options:

Accounts: Administrator account status
Accounts: Guest account status
Accounts: Rename administrator account
Accounts: Rename guest account
Network security: Force logoff when logon hours expire

Pentru intrebari va astept pe forum.

Event ID 1411 pe Domain Controllere

Weekendul asta am reinstalat cateva domain controllere si am dat devent-ul din titlu (1411 de la DS RPC Client).

Event Type: Error
Event Source: NTDS Replication
Event Category: DS RPC Client
Event ID: 1411
Date: Date
Time: Time
User: NT AUTHORITY\ANONYMOUS LOGON
Computer: ComputerName
Description:
Active Directory failed to construct a mutual authentication service principal name (SPN) for the following domain controller.
Domain controller:
Server_GUID._msdcs.DnsForestName
The call was denied. Communication with this domain controller might be affected.
Additional Data
Error value:
8589 The DS cannot derive a service principal name (SPN) with which to mutually authenticate the target server because the corresponding server object in the local DS database has no serverReference attribute.
For more information, see Help and Support Center at
http://go.microsoft.com/fwlink/events.asp.

 

Dupa ce m-am documentat mi-am dat seama ca nu e nimic grav. http://support.microsoft.com/kb/938704
Unul din serverele vechi ramasese scris in atributul repsTo si se pare ca e nevoie de ceva timp ca KCC-ul sa il scoata automat de acolo. Nici nu am mai aplicat workaroundul din KB, ci am asteptat pana azi ca KCC-ul sa-si faca treaba. Si si-a facut-o.

De mentionat ca atributele repsTo si repsFrom sunt stocate la nivel de partitie AD, insa ATENTIE, valorile atributelor sunt stocate la nivel de DC – adica nu sunt replicate. In felul acesta, in functie de ce DC interoghezi, e posibil sa vezi valori diferite pentru aceste atribute.

Group Policy Log View–monitor mode

Initial scris pentru Vista dar merge foarte bine si pe Windows 7.

http://www.microsoft.com/downloads/en/details.aspx?familyId=bcfb1955-ca1d-4f00-9cff-6f541bad4563&hash=OkpenMTOuklGLUEBSmULWEznkYipiBpwPa%2bkzUuBBZtZpkpC2KU7KupxSzyMzvJaFxajFRbpaQeCgXxEuHBKSQ%3d%3d

O sa ma rezum doar la modul “monitor” care poate fi activat cu gplogview.exe –m.

In acest mod se pot loga la consola toate activitatile legate de procesarea GPO, fie background refresh, fie fortata cu gpupdate.

Output-ul merge salvat si in XML sau HTML.

Cum sa nu te chinui cu RunAs pe Windows XP

De cand cu Windows Vista si 7, RunAs e un subiect de care lumea a inceput sa uite. Totusi multi dintre noi inca folosesc XP la greu iar de curand a trebuit sa ofer ceva consultanta intr-un scenariu cu multe XP-uri. Bineinteles, cel mai greu lucru e sa dezveti userii sa ruleze de pe cont de admin.

Usor de spus, dar greu de facut in real world. Nici macar eu nu imi dau seama cateodata cat de greu poate fi. Din postura de domain admin vezi lucrurile diferit. Cam orice admin pe care il stiu, pardon … sa extind putin: cam orice om de IT pe care il stiu ruleaza ca admin macar pe calculatorul lui. Nu, nu folosim contul de “domain admin” pentru taskurile de rutina, ci doar un cont care este admin local pe masina pe care lucarm in fiecare zi. Faza cu admin-ul local ne ofera o oarecare comoditate si flexibilitate de care avem nevoie pentru a lucra cat mai eficient. Si din cauza ca suntem admini locali, nici nu ajungem sa folosim RunAs. Pentru ca daca avem nevoie sa rulam ceva folosind un cont de domain admin, ne conectam direct pe un server cu acele credentiale. Si conceptul asta e valabil in continuare si la Windows Vista si 7.

Acum hai sa privim si in partea cealalta, acolo unde este nevoie de RunAs. La user-ul care nu lucreaza in IT e nevoie de RunAs. Dar o sa faca el RunAs? LOL. Daca ii zici de asa ceva o sa zica ca il injuri. Omul de la IT Support, Helpdesk, Deskside Support sau cum vreti voi sa-i spuneti o sa fie nevoit sa foloseasca RunAs pe statia userului.

Luam cel mai simplu scenariu. Suna userul si spune ca nu poate sa deschide un anume tip de fisier. ITstul se uite si vede ca e nevoie sa instaleze aplicatia care deschide acel fisier. Are mai multe variante:

a. ruleaza setup-ul aplicatiei folosind RunAs si un cont de admin.

b. logoff, logon cu un cont de admin local (userul Administrator local  sau un cont de domeniu care face parte din grupul local Administrators), install de aplicatie, logoff, logon din nou cu contul userului

c. logoff, logon cu cont de admin, adaugat contul userului in grupul de admini locali, logoff, logon pe contul userului, install de aplicatie, logoff, logon pe cont de admin, scos contul userului din grupul de admini, logoff, logon din nou cu contul userului.

Cu cat mai pun cate o varianta, parca devine din ce in ce mai complicat, nu? Pai atunci ne oprim la prima. Ar fi bine, insa in XP nu merg toate asa de simplu.

Din nou o sa dau un exemplu: Userul suna si spune ca nu poate accesa un anume website. ITstul se uita si vede ca serverul DNS configurat pe adaptorul de retea e gresit. Cum il schimba, ca RunAs pe adaptorul de retea nu merge. Ar fi variantele B si C de mai sus, dar par foarte “time consuming”, nu? Plus ca trebuie sa inchizi toata sesiunea userului.

Variante ar fi asa:

a) sa rulezi CPL-ul asociat cu network connections cu RunAs (nu stiu numele pe dinafara dar il gasiti printr-un simplu search)

b) sa accesezi Control Panel dintr-un Internet Explorer pornit cu RunAs

c) sa accesezi Control Panel dintr-un Explorer pornit cu RunAs

Acum sa le discutam pe fiecare in parte.

a) Nu toate CPL-urile ruleaza cu RunAs.

b) mi-a funtionat bine pe IE6. recen t am incercat pe statii cu IE8 si ghinion. Nu a mai mers.

Pentru cei ce inca vor sa foloseasca aceasta varianta iata in mare cateva explicatii. Dupa ce deschizi IE accesezi un drive local:

IE-ul va lua forma lui Windows Explorer si daca deschideti my Computer o sa vedeti si optiunea Control Panel.

E ok, e o optiune care a mers o buna perioada de timp doar ca nu stiu de ce nu mai merge pe IE8. Trecem la ultima varianta.

c) By default daca incercam sa rulam Windows Explorer cu RunAs nu o sa se intampla nimic. Asta pentru ca o singura instanta de Explorer poate rula. Dar nu disperati, lucrurile se pot rezolva. Avem doua variante de data asta:

1. Deschidem un CMD cu RunAs pe un cont de administrator. Deschidem un Task Manager. Inchidem procesul explorer de pe userul curent.

Pornim un nou explorer din CMD-ul ce ruleaza ca admin. O putem lucra ca si cum am dat logoff/logon cu contul de admin.

2. Facem ca Windows Explorer sa poata rula cu RunAs. Ca sa-l facem sa mearga e nevoie sa activam urmatoarea optiune in folder options:

Atentie: bifa asta trebuie pusa pe contul folosit pentru a rula noua instanta de Explorer – adica pe contul de admin.

Si ca sa nu mai dam logoff, putem deschide un CMD cu RunAs, de acolo un regedit. Cu Regedit setam urmatoarea cheie pe DWORD 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SeparateProcess.

Imediat ce am setat valoarea pe 1 putem rula Windows Explorer cu RunAs:

Dupa cum puteti vedeam, am un Explorer deschis cu user-ul Andrei si unul cu user-ul Administrator.

Si inca doua tips&tricks pe scurt:

– RunAs depinde de serviciul  Secondary Logon. Daca serviciul e oprit RunAs nu o sa mearga.

– Daca optiunea RunAs nu apare, tineti apasat pe SHIFT + right click.

PS: astept si alte sugestii pentru a completa articolul. Am descris doar metodele pe care le-am intalnit si folosit eu pana acum.

Total caractere

Completam azi un formular și era un câmp unde trebuia să nu introduc mai mult de 3000 caractere. Când am văzut eroarea i-am zis ceva frumos dar până la urmă trebuia să mă conformez și să fac cum trebuie… Nu știam cum să fac să număr caracterele în tot textul și fără să pierd numărul acestora la fiecare telefon sau mail

Și atunci m-am gândit la Excel, poate știe el să facă asta… După o căutare rapidă am găsit și formula – LEN(CelulăCuText).

Deci dacă am cuvântul ”cinci” în celula A1 și în A2 am formula ”=LEN(A1)”, rezultatul va fi 5

Atenție că se numără și spațiile.

Mail templates in Office Outlook

Să presupunem că trebuie să trimitem același mail dar cu unele date diefrite (de ex: instalarea automată a update-urilor), către toți utilizatorii lunar, săptămânal etc., procedăm în felul următor:

1. Scriem mail-ul
   
2. Salvăm mail-ul ca template. File – Save As – la Save as type selectăm Outlook Template (*.oft). Automat, Outlook-ul va schimba automat calea către directorul unde se salvează toate template-urile (pentru Windows 7 directorul este %appdata%\Microsoft\Templates). După ce am salvat mail-ul, putem să-l închidem fără să salvăm modificările.
   
3. Când trebuie să trimitem mail-ul, îl deschidem în felul următor:
   • Din Outlook, selectăm New Items – More Items – Choose Form.
     
   • Selectăm User Templates in File System
     
   • Selectăm template-ul dorit și alegem Open.
     
4. Acum nu ne rămâne decât să modificăm data, oră și cui trimitem mail-ul. Send.
   

E randul nostru sa ajutam un MVP

Razvan Socol (MVP pe SQL Server) are nevoie de ajutorul nostru.

Putin cate putin eu cred ca putem face ceva pentru el.

Nu mai stati pe ganduri si ajutati un MVP, la fel cum si el facea atunci cand voi aveati probleme cu SQL Server.

http://ticket4life.wordpress.com/

Install Configuration Manager v.Next

Am facut un screencast despre instalarea noii versiuni de Configuration Manager v.Next, aflat in Beta 1 acum.

Pasii pe care i-am urmat sunt cei de mai jos. Daca vreti sa vedeti screencast-ul, il gasiti aici:

On DC1

• Insert vNext DVD
• Open cmd and type d:\SMSSETUP\BIN\X64\extadsch.exe
• Check ExtADSch.log in C:
• Open AD, select View – Advanced Features
• Grant ConfigMgr computer account full control on this object and this descendent objects

On ConfigMgr

• Install Report Viewer 2008 SP1 Redistributable
• Open Server Roles – Features
• Select .NET Framework 3.5.1 Features, BITS, Group Policy Management and Remote Differential Compression
• From Web Server (IIS) select WebDAV Publishing, ASP.NET, ASP, Windows Authentication, Dynamic Content Compression and IIS 6 WMI Compatibility
• Run Windows Update to install latest updates
• Configure WebDAV
• Sites – Default Web Site – WebDAV Authoring Rules
• Add Authoring Rule – All Content, All Users, Read
• WebDAV Settings
• Allow anonymous property queries – True
• Allow custom properties – False
• Allow property queries with infinite depth – True
• Allow hidden files to be listed – True
• Apply
• Open Administrative Tools – Windows Firewall with Advanced Security
• Select Inbound Rules – New rule
• Port – TCP – 1433 – allow the connection – next – SQL TCP 1433
• Port – TCP – 4022 – allow the connection – next – SQL TCP 4022
• Insert SQL Server 2008 DVD
• Select Run program
• Select New SQL Server stand-alone installation
• Select features
• Database Engine Services
• Reporting Services
• Client Tools Connectivity
• Management Tools
• Integration Services (optional)
• Use default instance
• Use the same account for all SQL Server services
• SQL Server Browser set to Automatic
• Add Current User
• Install SQL
• Windows update (SQL Server 2008 SP1)
• Open SQL Server Management Studio to test connectivity
• Open Server Manager – Roles – New Role – Windows Deployment Services
• Open Server Manager – Roles – New Role – Windows Server Update Services
• Insert ConfigMgr DVD – Install
• Install SQL hotfix
• Run prerequisite Check again
• Install ConfigMgr