roaima's questions

Eu tenho um GPO de computador em uma rede baseada no Windows Active Directory (com controladores de domínio locais) que atualmente instala um aplicativo \\MYDOMAIN\NETLOGON\...\application.msina inicialização. Isso funciona bem para todas as minhas máquinas conectadas à rede na inicialização, mas tenho um número crescente de usuários do Windows se conectando via VPN, o que significa que a máquina não está conectada à rede até algum ponto após o login do usuário.

Na ausência de qualquer alternativa óbvia de prática recomendada, minha solução proposta é copiar o application.msipara uma pasta dedicada oculta C:\localappse instalar a partir daí.

A criação de pastas de nível superior funciona bem. Copiar o arquivo de configuração funciona bem. Permissões herdadas na árvore de pastas funcionam bem. O que não funciona é que o application.msiarquivo não pode ser copiado.

Frustrantemente, se eu renomear application.msipara application.msi.zzzo mesmo GPO pode - e faz - copiar o arquivo para a máquina local com bastante alegria.

Pesquisas adicionais psexec -i -s explorer.exeme dão uma janela do Explorer sendo executada como a conta SYSTEM do GPO. Na verdade, posso navegar para o local apropriado \\MYDOMAIN\NETLOGINe posso copiar arquivos de lá, a menos que sejam nomeados como executáveis ​​ou instaladores. Todos os arquivos na pasta herdaram permissões e confirmei que são as mesmas. Todos os arquivos são "desbloqueados". Todos os arquivos têm o mesmo proprietário ( MYDOMAIN\Administrators). Não estou tentando executar o MSI do compartilhamento de rede, apenas copiá-lo.

Conclusão empírica: a conta SYSTEM usada pelo GPO não pode copiar *.msiou *.exearquivos do \\MYDOMAIN\NETLOGON\compartilhamento.

Isso não parece ser um estado de coisas razoável, então como faço para que meu GPO copie o application.msicomo está, para que na próxima oportunidade ele possa ser instalado a partir do disco local?

Estou tentando renomear uma estação de trabalho que ingressou em nosso domínio na semana passada. Foi reiniciado pelo menos uma vez desde então.

Meu domínio é baseado no Windows 2012 R2 e os membros em questão estão executando o Windows 10 Pro. Caso seja uma informação útil, tenho três DCs (e, sim, eles estão sincronizados).

A renomeação funciona na maioria das vezes:

$aa = Get-Credential [email protected]
Rename-Computer -ComputerName mynewpc -NewName alpc001 -DomainCredential $aa
WARNING: The changes will take effect after you restart the computer mynewpc.

Mas eu tenho algumas máquinas que teimosamente se recusam a permitir a renomeação:

Rename-Computer -ComputerName otherhp -NewName alpc005 -DomainCredential $aa
Rename-Computer : Fail to rename computer 'otherhp' to 'alpc005' due to the following exception: Cannot create a file when that file already exists.
At line:1 char:1
+ Rename-Computer -ComputerName otherhp -NewName alpc005 -DomainCredent ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OperationStopped: (otherhp:String) [Rename-Computer], InvalidOperationException
    + FullyQualifiedErrorId : FailToRenameComputer,Microsoft.PowerShell.Commands.RenameComputerCommand

Aqui está outra tentativa:

netdom renamecomputer otherhp /newname:alpc005 /ud:contoso\administrator /pd:*
Type the password associated with the domain user:

This operation will rename the computer otherhp
to alpc005.

Certain services, such as the Certificate Authority, rely on a fixed machine
name. If any services of this type are running on otherhp,
then a computer name change would have an adverse impact.

Do you want to proceed (Y or N)?
y
Cannot create a file when that file already exists.

The command failed to complete successfully.

Não há nenhum computador (ou outra conta) com esse novo nome e também não há nenhuma entrada no AD DNS para ele.

O relatório de erro adicional $error[0] | fl -fconforme solicitado em um comentário é o seguinte:

writeErrorStream      : True
Exception             : System.InvalidOperationException: Fail to rename computer 'otherhp' to 'alpc005' due to the following exception: Cannot create a file when that file already exists.
TargetObject          : otherhp
CategoryInfo          : OperationStopped: (otherhp:String) [Rename-Computer], InvalidOperationException
FullyQualifiedErrorId : FailToRenameComputer,Microsoft.PowerShell.Commands.RenameComputerCommand
ErrorDetails          :
InvocationInfo        : System.Management.Automation.InvocationInfo
ScriptStackTrace      : at <ScriptBlock>, <No file>: line 1
PipelineIterationInfo : {0, 1}
PSMessageDetails      :

Não tenho nenhum suporte de TI no escritório do usuário, então fazemos o máximo possível remotamente. Se tudo mais falhar, suponho que poderia conceder privilégios suficientes ao usuário final para desvincular o PC, renomeá-lo e reiniciá-lo. Mas eu realmente não quero fazer isso se houver uma alternativa realista.

Sugestões recebidas com gratidão, obrigado.

Me pediram a saída de NETDOM QUERY /Domain:{domain} WORKSTATIONcada DC. O PC aparece na lista para todos os três; aqui está um trecho dos resultados:

PS C:\Windows\system32> NETDOM QUERY /Domain:contoso.com /Server:DC1 WORKSTATION
List of workstations with accounts in the domain:

ALPC004      ( Workstation or Server )
...
OTHERHP
...

O PC em questão ( OTHERPC) não possui a ( Workstation or Server )cláusula - mas muitos dos meus PCs também não a possuem.

Eu tenho um servidor Windows 2012 R2 rodando como uma VM (em cima do KVM/Libvirt). Possui um disco extra "interno" definido comoF:

Se eu capturar o volume lógico do host baseado em Linux representando F:e montá-lo no host, recebo muitos arquivos marcados como sendo um ponto de nova análise não suportado .

O que quero fazer é fazer backup do sistema de arquivos do host, e é por isso que comecei aqui.

Aqui está um exemplo da perspectiva do anfitrião

lvcreate --name shares-snap --size 10G --snapshot /dev/crypt_md3/shares
mount -o ro,offset=$((129*1024*1024)) /dev/crypt_md3/shares-snap /mnt/dsk
ls -l /mnt/dsk/mfc70.dll
lrwxrwxrwx 1 root root 26 Jan  5  2002 /mnt/dsk/mfc70.dll -> unsupported reparse point

No convidado do Windows, a caixa de diálogo de propriedades do arquivo mostra que seu tamanho é de 952 KB, mas com o tamanho no disco de 0 bytes. Isso é clássico para um ponto de nova análise. Os atributos avançados são APL, com a Lconfirmação de que o arquivo é de fato um ponto de nova análise.

Copiar o arquivo remove os atributos Pe da cópia.L

A pesquisa me leva a Como você encontra o alvo de um link simbólico criado com mklink e sua resposta aceita . Baixei a junção 1.06 e o ​​NTFSLinksView .

Correr junctionnão me traz nada de útil:

F:\> c:\local\bin\junction mfc70.dll

Junction v1.06 - Windows junction creator and reparse point viewer
Copyright (C) 2000-2010 Mark Russinovich
Sysinternals - www.sysinternals.com

F:\mfc70.dll: UNKNOWN MICROSOFT REPARSE POINT

Correr dir /Ltambém não me traz nada de útil:

F:\>dir /L mfc70.dll
 Volume in drive F is Folder shares
 Volume Serial Number is B600-69DE

 Directory of F:\

05/01/2002  04:48           974,848 mfc70.dll
               1 File(s)        974,848 bytes
               0 Dir(s)  233,785,053,184 bytes free

A execução dir /A:Linclui o arquivo, então é definitivamente um ponto de reanálise de algum tipo.

NTFSLinksViewsimplesmente não lista o arquivo.

Depois de todas essas informações básicas, a questão é realmente bastante simples:

1. Como descubro detalhes do ponto de nova análise?
2. O que eu digo ntfs-3gno host para remapear os pontos de junção para que eles resolvam?

Por vários motivos, um número significativo de nossos PCs com Windows não está associado ao nosso domínio Windows 2012 R2 Active Directory. Estamos corrigindo isso e ingressando em PCs por escritório.

Vários de nossos funcionários agora têm PCs com Windows 8.1 e, quando foram comprados, seguiram obedientemente a insistência da Microsoft em criar uma conta do Microsoft Live associada ao PC. Os nomes de usuário estão na forma de um UPN, que, para os propósitos desta questão, tratarei como sendo o domínio de demonstração da Microsoft, ou seja, [email protected]. Esses PCs foram configurados de boa fé por nossa equipe remota; só agora estou em posição de trazê-los para o nosso domínio.

Sem surpresa, o UPN que nosso pessoal escolhe coincide com o real que damos a eles para nosso domínio, então os usuários se conectam ao PC usando seu endereço de e-mail (UPN) e depois se conectam aos serviços centrais também usando o mesmo nome de conta. (Isso não é SSO porque não há relação de confiança entre o Microsoft Live e nosso domínio.)

Posso ingressar os PCs no domínio CONTOSO com bastante facilidade e em qualquer outro lugar em que o UPN funcione. Também tenho um GPO pronto para usar que persuadirá esses PCs com Windows a usar como padrão um nome de usuário não qualificado para entrar em nosso domínio em vez de no Microsoft Live. No entanto, parece que a maneira como o Windows 8.1 diferencia entre uma conta local verdadeira, uma conta vinculada ao Microsoft Live e uma conta de domínio é que a conta local usa um nome não qualificado, a conta Live usa um UPN e a conta de domínio é empurrada para trás para usar DOMÍNIO\estilo de nome de usuário. Mudamos do formulário CONTOSO\Nome de usuário há cerca de um ano, como parte de nossa migração paralela de serviços de email para o Office 365, e prefiro continuar fazendo com que os usuários entrem em qualquer lugar com um UPN.

Sei que posso migrar o perfil local de um usuário para um perfil de domínio usando algo como o assistente de migração de perfil de usuário Forensit , para lidar com os dados.

No entanto, existe alguma maneira sensata de migrar a forma de login UPN nesses PCs do Microsoft Live para o nosso domínio? Eu realmente não quero que algumas pessoas possam fazer login com um UPN, mas outras precisam se lembrar de usar o antigo formato DOMÍNIO\Nome de usuário.