HopelessN00b's questions

Qual é a maneira mais fácil de obter a UO que contém um objeto LDAP no PowerShell?

Estou trabalhando em um script para gerenciar alguns grupos que tornei "dinâmicos" com um script e posso obter o nome distinto completo com o seguinte:

$PseudoDynamicGroupDN = (Get-ADGroup -Filter {Name -like $PseudoDynamicGroup}).DistinguishedName

Ele retorna algo como:

CN=MyPseudoDynamicGroup,OU=Users,OU=BusinessUnit,OU=Site,OU=Company,DC=domain,DC=forest,DC=tld

E estou procurando descartar o CN=MyPseudoDynamicGroup,bit, então acabo com:

OU=Users,OU=BusinessUnit,OU=Site,OU=Company,DC=domain,DC=forest,DC=tld

Como faço isso da forma mais fácil possível? Tentei usar o operador Split , mas isso retorna uma matriz e remove as vírgulas, forçando-me a adicioná-las novamente. Suspeito que haja uma maneira melhor.

Eu tenho vários servidores Windows executando várias versões do Tomcat 8 e preciso adquirir o caminho de log do Tomcat em um script do PowerShell para executar funções administrativas com esse script.

O Tomcat supostamente fornece uma API de log contendo essas informações, mas não tive sucesso ao acessá-lo com o PowerShell (e suspeito que isso esteja longe de ser a maneira mais fácil de obter o que quero em qualquer caso). No entanto, notei que, pelo menos para meus servidores Tomcat, o caminho do log é uma subpasta do caminho de instalação do aplicativo, como:

C:\Program Files\Apache Software Foundation\Tomcat 8.0\logs

Então, como posso obter programaticamente esse caminho de log do meu script do PowerShell?

Eu tenho um servidor de aplicativos, executando o Windows 2012 R2, que gera um grande volume de arquivos de log, a ponto de executar o volume do aplicativo sem espaço livre semi-regularmente. Devido a restrições do próprio aplicativo, não posso mover ou renomear os arquivos de log ou habilitar a desduplicação de dados NTFS e, como não faz mais dez anos, não quero usar um lote ou vbscript para fazer isso para mim.

Os arquivos de log estão todos em várias subpastas do diretório de instalação do aplicativo, com diferentes extensões (um componente adiciona a data como a extensão do arquivo de log), e o diretório de instalação do aplicativo tem um espaço nele, porque os desenvolvedores do aplicativo são malévolos. As subpastas onde os logs são gravados são usadas exclusivamente para fins de gravação de logs, pelo menos. Este também é um aplicativo fortemente vinculado à CPU, portanto, não quero compactar as próprias pastas de log e incorrer na penalidade de CPU associada à gravação de arquivos compactados para os logs.

Como posso usar o PowerShell para habilitar a compactação NTFS, in-loco, em arquivos de log com mais de x dias?

Estou tentando implantar algumas máquinas Windows 10 no trabalho e preciso remover ou desabilitar os aplicativos pré-instalados.

Por alguma razão, a gerência considera que o aplicativo Xbox e o Candy Crush Soda Saga (etc.) não devem ser instalados em uma estação de trabalho corporativa.

Tentamos desinstalá-los após o fato, mas eles aparecem novamente para qualquer novo usuário que faça login, o que não é aceitável. Como realmente nos livramos desses aplicativos de nossa imagem corporativa do Windows 10?

Estou no processo de configuração de uma nova autoridade de certificação ADCS (Active Directory Certificate Server) raiz para um domínio filho em um ambiente multiflorestal que já possui várias CAs existentes. Eu gostaria muito de não repetir o que o último cara fez, que foi configurar as coisas de maneira ad hoc e não documentar nada, então estou procurando uma maneira de padronizar a configuração de nossos CAs.

Para esse fim, existe uma maneira de visualizar/exportar/determinar a configuração de um Windows ADCS CA? Em particular, as configurações que não consigo determinar são Private Key Cryptography options, como no diálogo de configuração abaixo.

As CAs existentes são Server 2008 R2 ou Server 2012 R2, portanto, idealmente/esperançosamente, estou procurando uma solução que funcione para ambos.

Meu novo empregador tem configuração de redirecionamento de pasta para suas centenas de usuários, e a pessoa que a configurou realmente não sabia o que estava fazendo. Como resultado, as práticas recomendadas para permissões em pastas/diretórios iniciais redirecionados não foram seguidas.

A solução para permitir que as pessoas acessem seus locais de pasta redirecionados foi, em vez disso, aplicar Full Controlpermissões (permissões NTFS, não permissões de "compartilhamento", é claro) Everyoneno diretório raiz ("Início") e propagá-lo para todas as subpastas e arquivos abaixo da raiz .

O que poderia dar errado, certo? Não é como se o CEO tivesse informações confidenciais em sua My Documentspasta ou alguém fosse infectado pelo CryptoWall e criptografasse os arquivos de todos os outros. Certo?

Então, de qualquer forma, agora que a infecção do CryptoWall foi removida e os backups restaurados, várias pessoas gostariam que substituíssemos as permissões atuais por algo menos horrível, e eu gostaria de não ter que clicar nos diálogos de permissões em vários cem pastas.

Como o PowerShell pode resolver esse problema para mim e tornar a vida digna de ser vivida novamente?

Minha pergunta básica é, como o título pergunta: há alguma vantagem notável (ou desvantagem) em usar firmware EFI e discos de inicialização GPT em um ambiente ESXi? Por "notável", quero dizer qualquer coisa que não seja o conhecido limite de 2 TB para discos MBR e a restrição de que o firmware de inicialização do BIOS deve usar discos MBR para inicializar.

A opção de VM específica está na captura de tela abaixo.

Caso isso faça diferença, alguns antecedentes e detalhes sobre meu ambiente específico estão abaixo, embora eu esteja interessado no caso geral, bem como em qualquer coisa que se relacione especificamente ou apenas a um ambiente Windows.

Como resultado de alguns projetos recentes, onde consegui arrastar meus senhores corporativos em $[day_job] para a década atual, estarei substituindo muitos de nossos sistemas de home office. Esses sistemas, bem como o que eles serão substituídos, são principalmente sistemas operacionais Windows Server virtualizados no ESX 5.5 (atualização 1 agora, em breve será a atualização 2 e VMFS5, portanto, suporte a grandes volumes). As VMs, assim como todo o armazenamento que elas acessam, estão em uma SAN (EMC VNX 5400), que é apresentada aos hosts ESXi por meio de compartilhamentos NFS. Tudo é thin-provisioned.

Na maioria das vezes, simplesmente atualizarei vários sistemas PITA grandes e complicados para plataformas mais novas - por exemplo, nossos servidores de arquivos multi-TB que atualmente são executados no Server 2003 R2 e não usam DFS serão atualizados para Servidor 2012 R2, ser colocado em namespaces DFS, fazer uso da replicação DFS e começar a usar o Server 2012 Data Deduplication. Nosso sistema SharePoint, que atualmente roda no Server 2003 R2 e SQL Server 2005, será atualizado para o SharePoint 2013, rodando o Server 2012 R2, e colocado em um mecanismo SQL Server de 2008 R2 ou superior. E assim por diante.

Ao examinar os servidores de arquivos e como lidar com a quantidade de dados neles (cada um dos servidores de arquivos de nosso escritório doméstico possui dados com mais de 2 TB), examinei e decidi pelo recurso de eliminação de duplicação de dados no Server 2012. Como isso funciona por volume, funciona melhor se todos os dados forem um volume, em vez de divididos em vários volumes, como nossa bagunça atual. Isso levantou a questão dos discos GPT serem os melhores para nossos volumes de dados e me levou à questão do firmware EFI x BIOS. Todos os nossos servidores têm discos OS [virtuais] de 50 GB separados de qualquer volume de dados e, pelo menos no momento, pretendo mantê-lo assim - ser capaz de anexar um volume de dados a uma nova VM é bastante útil .

Portanto, com isso em mente, não consigo imaginar um cenário em que precisemos ou desejemos que uma VM seja inicializada a partir de um volume que precisa ser GPT por estar acima do limite de disco MBR de 2 TB. O fato de o ambiente ser puramente virtual parece anular as vantagens de capacidade de recuperação dos discos GPT, portanto, não consigo encontrar nenhum motivo convincente para começar a criar nossas novas VMs com firmware de inicialização EFI e/ou volumes de inicialização GPT. Claro, também não consigo encontrar nenhum motivo convincente para manter o firmware de inicialização do BIOS e os discos MBR e, portanto, minha pergunta:

Existem vantagens (ou desvantagens) notáveis ​​em usar firmware EFI e discos de inicialização GPT em um ambiente ESXi? (Por "notável", quero dizer qualquer coisa que não seja o conhecido limite de 2 TB para discos MBR e a restrição de que o firmware de inicialização do BIOS deve usar discos MBR para inicializar.)

Como resultado de um teste de penetração recente, no qual não nos saímos bem, fui informado de que nosso servidor Exchange 2010 SP3 voltado para a Internet, com todas as funções em um, não possui firewall instalado e, portanto, é completamente exposto à internet. Eu mesmo verifiquei os resultados e é realmente muito ruim. SMB, LDAP, registro remoto, RDP e todos os outros serviços padrão encontrados em um ambiente Windows Active Directory são expostos à Internet por meio de nosso servidor Exchange.

Naturalmente, gostaria de corrigir isso e pretendo fazê-lo com o Firewall do Windows, mas, pesquisando no Google, tudo o que consegui encontrar em fontes oficiais são referências de porta que parecem se aplicar ao tráfego interno do Exchange e uma postagem no blog da Technet dizendo para não usar essas referências para configurar seus firewalls , porque a única configuração suportada entre os servidores Exchange é o equivalente a uma ANY:ANY allowregra. :/

Visto que usamos Active Sync, OWA, IMAP, compartilhamento de calendário/catálogo de endereços, descoberta automática e acesso de cliente Outlook, alguém sabe quais regras de firewall são necessárias para um servidor Exchange com todas as funções em um voltado para a Internet? (Pontos de bônus na forma de uma pequena recompensa para qualquer um que tenha uma fonte oficial da MS também.)

De cabeça, com muita experiência como administrador acidental do Exchange e segurança de TI acidental, criei a lista abaixo (que parece muito longa e muito curta para mim), mas antes de ir e potencialmente quebrar e-mail para mil usuários chorões, eu realmente gostaria de alguma verificação do que estou planejando fazer.

TCP:25 for SMTP
TCP:465 for SMTPS
TCP:587 for SMTP
TCP:80 for OWA http to https redirect
TCP:443 for https/OWA/Active Sync/EWS/Autodiscover
TCP:143 for Endpoint Mapper/IMAP4 Client Access
TCP:993 for IMAP4 Client Access (also)
TCP:110 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)
TCP:995 for POP3 (because some technological dinosaur of a VIP probably uses POP3 at his beach house/ski cabin/where ever)

Relacionado a esta minha pergunta anterior sobre por que é uma má ideia usar o nome do domínio raiz como o nome da floresta do Active Directory ...

Tenho um empregador, a quem me referirei como ITcluelessinc, para fins de simplicidade (e honestidade). Este empregador tem um site hospedado externamente, www.ITcluelessinc.com , e alguns domínios do Active Directory. Sem saber nada sobre TI, muitos anos atrás, eles se instalaram em uma floresta do Active Directory chamada ITcluelessinc.prv, e cometeram atrocidades indescritíveis contra ela. Essas atrocidades indescritíveis eventualmente os alcançaram e, com tudo desmoronando ao seu redor, eles decidiram pagar a alguém uma grande quantia em dinheiro para "consertar", o que incluía migrar para fora da ITcluelessinc.prvfloresta terrivelmente quebrada.

E, claro, sem saber nada sobre TI, eles não conheciam um bom conselho quando o ouviam, aceitaram a recomendação de nomear sua nova floresta AD ITcluelessinc.com, em vez do conselho sensato que também receberam, e começaram a colocar coisas nele. Avanço rápido para algumas horas atrás, e temos uma empresa com a maioria de suas coisas unidas e usando a antiga ITcluelessinc.prvfloresta do Active Directory, com uma boa quantidade de coisas mais novas unidas e/ou usando a ITcluelessinc.comfloresta. Para fazer isso funcionar de maneira relativamente perfeita, usei encaminhadores condicionais no DNS para enviar o ITcluelessinc.comtráfego para ITcluelessinc.prv, e vice-versa.

(Os domínios corp.ITcluelessinc.come eval.ITcluelessinc.comsão domínios nomeados corretamente que eu entrei e configurei posteriormente e ainda não são relevantes.)

Algumas horas atrás, uma funcionária não técnica da ITcluelessinc notou que não conseguia navegar para www.ITcluelessinc.com de sua estação de trabalho (dentro da rede corporativa da ITcluelessinc) e decidiu que isso era um problema, então ela entrou em contato Funcionário VIP da ITcluelessinc, que decide que isso deve ser resolvido mais Ricky-tick. Normalmente, não é um grande negócio, adicione um registro A para wwwsob a zona DNS para ITcluelessinc.com, e você pode navegar no site, contanto que não tente o link simples.

Então, parece que está tudo configurado corretamente. Encaminhadores, wwwentrada de host no DNS e, ainda assim, clientes que usam o ITcluelessinc.prvcontrolador de domínio como servidores DNS obtêm um tempo limite de conexão ao tentar navegar para www.ITcluelessinc.com , em vez da página da Web que obtenho da minha rede doméstica.

Alguém tem alguma ideia de como posso permitir que clientes internos do ITcluelessinc.prvdomínio naveguem www.ITcluelessinc.com , dada a presença da ITcluelessinc.comfloresta do Active Directory e dos encaminhadores condicionais necessários? Ou, alternativamente, alguém [mais] está convencido de que a única maneira de fazê-lo funcionar é se livrar da ITcluelessinc.comfloresta do Active Directory?

Parece que a configuração que tenho agora deve funcionar, mas claramente não é, e não tenho ideia de onde conseguir um ambiente de teste tão confuso para experimentar. E pelo que vale a pena, sugeri educadamente que a única maneira de consertar isso é migrar para as florestas com nomes apropriados que configurei e, quando essa não for uma resposta boa o suficiente, planeje hospedar um espelho do site em todos nossos controladores de domínio até que quebre tudo .ITcluelessinc.com

Devido à carga de trabalho gerada por recentes surtos de ransomware (Cryptolocker/Cryptowall/etc.), recebi recentemente a tarefa de implementar políticas de Restrição de Software para bloquear a execução de programas de diretórios temporários. Geralmente, isso funciona bem, mas temos um problema quando precisamos instalar o software, pois essas políticas de restrição de software impedem que os instaladores acessem os diretórios temporários da máquina.

Nossa hierarquia do Active Directory é basicamente organizada de acordo com as linhas de nossos sites físicos, e nossos objetos AD herdam cerca de duas dúzias de GPOs cada um da raiz do domínio e de suas OUs de site específicas. Como tal, não tenho a opção de criar uma OU de política bloqueada na raiz do domínio (já que não herdar as configurações de política de grupo específicas do site causa grandes problemas com as máquinas e os usuários remotos não são qualificados o suficiente para resolvê-los ), ou revincular objetos de política de grupo mais próximos das OUs filhas (pois isso envolveria várias centenas de operações de desvinculação e revinculação, o que não estou disposto a fazer) ou criar uma OU filha em cada uma com herança bloqueada (porque eu teria várias centenas de operações de ligação a fazer nesse caso).

Dito isso, preciso de uma maneira de interromper temporariamente a aplicação do GPO da política de Restrição de Software, para que possamos instalar o software de tempos em tempos. Tentei resolver isso inicialmente criando uma OU filha em cada site e vinculando uma política inversa de Restrição de Software, pensando que a precedência mais alta da política inversa substituiria a herdada, mas isso não funcionou - um RSOP mostrou que os computadores estavam recebendo cortesia disallowe unrestrictedregras, e as disallowregras vencem nesse cenário.

Portanto, com tudo isso em mente (não é possível vincular novamente todos os nossos GPOs, não é possível criar uma UO bloqueada por herança simples e um GPO com precedência mais alta não parece resolver meu problema), o que posso fazer para [temporariamente] bloquear a aplicação de GPOs de Restrição de Software herdados? Suponha que os clientes do Windows 7 em um domínio/floresta do Server 2008 R2 FL.

Especialmente com a opção de instalar o Server Core no Server 2008 e superior, conectar-se a servidores Windows por meio de uma CLIcapacidade cada vez mais útil, se não muito difundida entre os administradores do Windows.

Praticamente toda GUIferramenta de gerenciamento do Windows tem a opção de se conectar a um computador remoto, mas não existe essa opção no Windows integrado CLI( cmd.exe), o que dá a impressão inicial de que isso pode não ser possível.

É possível gerenciar ou administrar remotamente um Windows Server usando uma CLI? E se sim, que opções existem para conseguir isso?