curropar's questions

Eu gostaria que as máquinas clientes em minha organização atualizassem os Certificados Raiz de um local centralizado DENTRO da organização. Isso costumava funcionar com o WSUS, mas a Microsoft deixou isso de lado em 2014, eu acho.

A questão é que os clientes não têm acesso direto à internet, mas por meio de um proxy com portal de autenticação, como em um hotel. Este proxy, que pertence a uma organização terceirizada/pai, desconecta automaticamente os clientes após 8 horas. Então, quando os clientes tentam atualizar os certificados do site da Microsoft, com o cliente sem acesso à internet, ele registra um evento de erro.

Isso em si não é grande coisa. Mas como temos os clientes encaminhando os eventos de erro para um coletor de eventos, esse servidor fica inundado com esses erros.

Ignorar esses erros não é uma opção (desejada), pois podemos dispensar clientes que realmente não estejam atualizando os certificados, mesmo com acesso à internet.

Alguma ideia?

Eu estava fazendo um script do PowerShell para uma maneira mais rápida de fechar arquivos bloqueados em um grande servidor de arquivos do Windows Server 2008 R2 (mais de 2.500 arquivos abertos neste momento e o horário de pico foi de 3 a 4 horas atrás) e eu para escolher entre net filesou openfiles. Então eu fui openfilescomo é mais recente e pode fornecer o caminho completo do arquivo ( net filestambém pode fazer isso, mas você deve consultar cada ID).

Eu estava tendo problemas com isso: alguns arquivos não fecham. Eu verifiquei com os arquivos da rede e estava tudo bem ... Então comecei a dar uma olhada mais de perto e isso é (um trecho de) o que encontrei:

C:\> net files

ID         Path                                    User name            # Locks

-------------------------------------------------------------------------------
3221368833 G:\Users\...                            SomeUser              3
2550215683 G:\Users\...                            SomeUser              3
3422797829 G:\Users\...                            SomeUser              0
805310474  F:\Recursos\...                         SomeUser              3
335585292  G:\Users\SomeUser\My Documents          SomeUser              0
4026636306 G:\Users\SomeUser\Desktop               SomeUser              0
2684396568 G:\Users\...                            SomeUser              0
2952839192 G:\Users\...\EXCEL\SomeFolder2016       SomeUser              0
4160993304 G:\Users\...                            SomeUser              0
1610613364 F:\Recursos\Suministros                 SomeUser              0
The command completed successfully.

C:\> openfiles /query /v

Files opened remotely via local share points:
---------------------------------------------

Hostname        ID       Accessed By          Type       #Locks     Open Mode       Open File (Path\executable)

=============== ======== ==================== ========== ========== =============== ============================================================================
MyServer        32213688 SomeUser             Windows    3          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].XLS
MyServer        25502156 SomeUser             Windows    3          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].xls
MyServer        34227978 SomeUser             Windows    0          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].xls
MyServer        80531047 SomeUser             Windows    3          Write + Read    F:\Recursos\Suministros\[SomePath].xls
MyServer        33558529 SomeUser             Windows    0          Read            G:\Users\SomeUser\My Documents
MyServer        40266363 SomeUser             Windows    0          Read            G:\Users\SomeUser\Desktop
MyServer        26843965 SomeUser             Windows    0          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].XLS
MyServer        29528391 SomeUser             Windows    0          Read            G:\Users\SomeUser\My Documents\EXCEL\SomeFolder2016
MyServer        41609933 SomeUser             Windows    0          Write + Read    G:\Users\SomeUser\My Documents\[SomePath].XLS
MyServer        16106133 SomeUser             Windows    0          Read            F:\Recursos\Suministros

Espere, os IDs são diferentes... Droga, não, os openfilesIDs estão truncados!!

Obviamente, para o script em si, no momento estou indo para net files, obter os IDs, consultar cada ID individual para obter o caminho completo e, a partir daí, posso reutilizar o restante do script.

Mas pelo bem da minha sanidade: isso é um bug? Uma característica? O Windows Server 2008 R2 não é novo e não consegui encontrar nenhuma referência a isso, para não falar de um hotfix!

Como resultado de uma nova política da empresa, tive que aplicar o File Screening para arquivos de áudio e vídeo no NAS corporativo, especificamente nos perfis dos usuários. Fiz alguns testes e funcionou perfeitamente, exceto pelos usuários que não podem deletar seus arquivos antigos, como a nova política pede.

Eu acho que isso é uma coisa "é um recurso, não um bug" e não há solução para isso; mas estou tentando obter pelo menos uma solução alternativa. Alguma ideia?

Eu estava tentando encontrar uma maneira de definir "Aplicar política" como "Negar" para um determinado grupo em vários GPOs (cerca de 50), então estava procurando uma maneira de fazer isso automaticamente, quando me deparei com esta postagem em um ( aparentemente) abandonou o blog com o seguinte script:

$strGroup = "my group" 
$strGPO = "my GPO"

$GroupObject = Get-ADGroup $strGroup 
$GroupSid = new-object System.Security.Principal.SecurityIdentifier $GroupObject.SID 
$GPOObject = Get-GPO $strGPO

$GPOPath = $GPOObject.path 
$GPOADObject = [ADSI]"LDAP://$GPOPath" 
$GPOObjSec = $GPOADObject.psbase.ObjectSecurity 
$GPOACLList = $GPOObjSec.GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier])

$extRight = [system.guid]"edacfd8f-ffb3-11d1-b41d-00a0c968f939" 
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid,"ReadProperty, GenericExecute","Deny","None" 
$ace2 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid,"ExtendedRight","Deny",$extRight,"All" 
$GPOADObject.psbase.get_objectSecurity().AddAccessRule($ace1) 
$GPOADObject.psbase.get_objectSecurity().AddAccessRule($ace2) 
$GPOADObject.psbase.CommitChanges()

$GPOGPTstr = "\\"+$GPOObject.DomainName+"\SYSVOL\"+$GPOObject.DomainName+"\Policies\{"+$GPOObject.Id+"}" 
$acl = Get-ACL $GPOGPTstr

$acl.SetAccessRuleProtection($True, $False) 
$rule = New-Object System.Security.AccessControl.FileSystemAccessRule($strGroup,"ReadAndExecute", "ContainerInherit, ObjectInherit", "None", "Deny") 
$acl.AddAccessRule($rule) 
Set-Acl $GPOGPTstr $acl

Eu adicionei um foreachloop, para obter meus grupos de um arquivo de texto. Funciona, exceto para a linha 14:

$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid,"ReadProperty, GenericExecute","Deny","None" 

Isso lança o seguinte erro:

new-object : Multiple ambiguous overloads found for "ActiveDirectoryAccessRule" and the argument count: "4".
At .\denyApplyGPOtoGroup.ps1:16 char:10
+     $ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $GroupSid ...
+    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : InvalidOperation: (:) [New-Object], MethodException
    + FullyQualifiedErrorId : ConstructorInvokedThrowException,Microsoft.PowerShell.Commands.NewObjectCommand

Claro, a linha 16 falha, assim $ace1como $null. No entanto, o script funciona: basicamente, as permissões são aplicadas corretamente ao GPC, mas não ao GPT, o que faz sentido com o código e o erro gerado. Então, quando fui ao GPMC, cliquei no GPO e recebi uma mensagem dizendo:

“As permissões para este GPO na pasta SYSVOL são inconsistentes com as do Active Directory. É recomendável que essas permissões sejam consistentes. Para alterar as permissões no SYSVOL para as do Active Directory, clique em OK.”

Clicar em OK corrige a bagunça, mas ainda estou procurando uma solução para essa solução alternativa ... Alguma ideia?