Köszönöm!

Nálam is GPO-val vannak beállítva a kliensek, ott nem lett módosítva semmi, mégis a Microsofttól szerzik be a frissítéseket, a wsus felé maximum jelentenek, de nem kérnek onnan le semmit.
Próbálkozok még, hátha...

Srácok, adott egy teszt virtuális környezet egy fizikai VM hoston. Többek között van egy WinServer 2012 frissen telepítve, AD létrehozva, alap dolgok bekonfigurálva, kliensek (jelenleg a fizikai vason 4 db kliens van) feltelepítve, beléptetve a domainbe.

Amit meg szeretnék valósítani, de nem megy: az összes AD-beli usernek legyen egy shared foldere, ami csak a saját accountjával érhető el, de bármelyik kliensen belépve. Tehát ahogy már most működik: én is be tudok bármelyik kliensen lépni a sajátomba, a kollégám is. Na ugyanez a shared folderrel. Maga a saját shared folder persze a szerveren lenne. Jelenleg egy 4 TB-os storage van a fizikai vason, ebből 30-30 GB allokálva a klienseknek, 1 TB a szervernek (30 TB system, a többi data). Ja, az extra kérés, hogy az így létrehozott sared folderek a data partíción legyenek, jogosultság automatikusan kiosztva (tulaj maga a szóban forgó user, neki full acces, plusz Administrators groupnak is, mindenki másnak semmi access).

Valahogy úgy képzelem el, mint a Linux+Samba esetén, amikoris mindig van egy //szerverhost/homes folder, ami, ha Pista van belépve, akkor annak a célja a /home/pista, ha Feri van belépve, akkor /home/feri, dinamikusan. Én Linux szervereket használok, és nálam Windows kliensen fel van csatolva a céges gépen az U: (mint userfolder) és az a sajátomra mutat. A kollégámnál pedig a saját Linuxbéli home-jára.
Na ez kéne Winen. Biztos létre lehet hozni ilyet, és nem egyesével (szép is lenne egy több ezer felhasználót tartalmazó AD esetén), hanem globálisan.

Ha tud valaki segíteni, megköszönném

Nem egy életbevágó kérdés, de azért nekünk fontos lenne. Mi nem vagyunk rendszergazdák, szoftvert tesztelünk, a fizikai rendszergazdák Amerikában vannak és egy belső projekt kedvéért (sem) fognak nekünk segíteni. A mi feladatunk most, hogy a készülő szoftverhez megalkossunk egy virtuális környezetet (ez van az említett VM hoston, 1 db szerver, 4 db kliens), de ennél a pontnál elakadtunk.

Szia,

ezt fusd át:
[link]

Készitesz a server megosztáson egy mappát majd az ADUC-ban felcsatolsz a usereknek egy home mappát ami felcsatolodik
\\server\share\%username% formátumban

(#1243) szallasi007 && (#1244) zolee001

Nagyok vagytok skacok! Még nem csináltam meg, de ahogy átolvastam mindkét javaslatot, szerintem ez tökéletesen az, amit én szeretnék.
Mindkettőtöknek köszönöm!

Jó, ez tényleg nagyon egyszerű volt, és automatikusan létrejöttek a folderek mindegyik kijelölt userhez.

[ Szerkesztve ]

Sziasztok!

Tudom, hogy nem mai darab ez az OS, de még pár helyen erősen dolgozik, és a segítségeketek szeretném kérni. :)
Szóval, Windows 2012 R2, és TLS + cipher suites.

Valaki el tudná magyarázni nekem, hogy mi alapján aktiválódik egy adott cipher suite ezen a Windows verzión? Adott a következő cipher suite lista a következő kulcs alatt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002\Functions
https://docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-8-1

Ha jól értem, lehet konfigurálgatni további registry kulcsokkal, hogy ezekből mi legyen az aktív. Mindent a következő kulcs alatt kell érteni, az egyszerűség kedvéért nem írom ki mindenhova.
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Nálunk ez a felállás jelenleg:
Letiltva:
Ciphers\NULL\
Ciphers\DES 56/56
Ciphers\RC2 40/128
Ciphers\RC2 56/128
Ciphers\RC2 128/128
Ciphers\RC4 40/128
Ciphers\RC4 56/128
Ciphers\RC4 64/128
Ciphers\RC4 128/128
Ciphers\Triple DES 168
Engedélyezve:
Ciphers\AES 128/128
Ciphers\AES 256/256
Letiltva:
Hashes\MD5
Hashes\SHA
Engedélyezve:
Hashes\SHA256
Hashes\SHA384
Hashes\SHA512
Engedélyezve:
KeyExchangeAlgorithms\Diffie-Hellman
KeyExchangeAlgorithms\PKCS
KeyExchangeAlgorithms\ECDH
Letiltva:
Protocols\Multi-Protocol Unified Hello\Client
Protocols\Multi-Protocol Unified Hello\Server
Protocols\PCT 1.0\Client
Protocols\PCT 1.0\Server
Protocols\SSL 2.0\Client
Protocols\SSL 2.0\Server
Protocols\SSL 3.0\Client
Protocols\SSL 3.0\Server
Protocols\TLS 1.0\Client
Protocols\TLS 1.0\Server
Protocols\TLS 1.1\Client
Protocols\TLS 1.1\Server
Engedélyezve:
Protocols\TLS 1.2\Client
Protocols\TLS 1.2\Server

Ennek eredményeképp az MS oldalán levő listából mindössze ez a 6 cipher suite aktív
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256

Tehát csak azok, amik AES-t használnak, illetve GCM a bulk encryption.
Ha én engedélyezni szeretném mondjuk a TLS_RSA_WITH_3DES_EDE_CBC_SHA suite-t, akkor mit kell megváltoztatni? Mert önmagában a "Ciphers\Triple DES 168" engedélyezése nem elég. Ezzel totálisal elakadtam. GPO elvileg nincs a szervereken.
Remélem sikerült érthetően leírni a problémát, és elnézést, hogy hosszú lett.

Köszönöm és üdv,
Pepe

Sziasztok!
Van arra ötlet, hogy hogyan lehet szabályozni azt, hogy csak engedélyezett makrókat lehessen futtatni egy domain gépen Excelben? Azaz van-e arra mód, hogy csak digitálisan / elektronikusan engedélyezve, aláírva lehessen futtatni makrókat? pl: AD azonosítás után a saját nevét írja ki a felhasználónak az Excel, akkor az biztonságos vagy veszélyes? Sajnos abban nem vagyok otthon, hogyan lehet ezt szabályozni bármilyen formában is. Esetleg van valamiféle makró ellenőrző biztonsági szoftver? Ezeket az engedélyek hogyan "teríthetők" ki a felhasználóknak?

hi,
A makro beállítást érintő group policy-k eléggé limitáltak, ilyen témákban keresgélj: [link]

Csak egy kis generális kérdés: mi alapján döntöd el, hogy egy makró veszélyes? Pláne ha encryptálva és obfuszkálva van és az AMSI interface-en keresztüli vizsgálat is bypassolva van?

Hát ez jó kérdés. Szerencsére, ahol ez felmerült, nem ilyen típusú makrók készülnek.
Köszönöm a linket!

Sziasztok!

Az oprendszer, amivel "birkózók" már a server2019-de nem találtam ilyen topikot, ezért gondoltam itt is tudtok segíteni.
Szóval szeretném, ha RDP-vel el tudná érni több felhasználó is egyerre a szóban forgó szervert. Meg is vásároltam az ehhez szükséges CAL licenszet. Sikerült is aktiválnom, legalább is a "Távoli asztal licenckezelőjében" minden rendben lévőnek tűnik. De amikor indítok egy távoli asztal elérést, akkor "huhog", hogy valami nincs rendben a licenszekkel. Ha elindítom a "Távoli asztali licencelési vizsgálómodult", akkor az azt írja, hogy "Ehhez a távoli asztali munkamenetgazda-kiszolgálóhoz nincs szabad licenc és a Távoli asztali lincencelési vizsgálómodul licencelési problémákat azonosított a távoli asztali munkamenetgazda-kiszolgálón."
Mi lehet a probléma? Tudtok segíteni?

Köszi előre is!

Van lehetőség Server 2012-vel a tartományban lévő gépeken a local admin fiók jelszavának cseréjére távolról?

Igen, van.

És olyan is, hogy ezt nem egységesen minden gépnek állítom, hanem akár gépenként?

Igen, van olyan is
Pl, a fiatal szovjet mérnökök erre fejlesztették ki a LAPS-t.
[link]

[ Szerkesztve ]

Ezt láttam, szép és jó, de fel kell rakni a kliens gépekre is.

Ez pár perc group policy-vel.

Sziasztok!

Win szerverben kezdő vagyok. Adott egy win2012 szerver és 20-25 kliens gép iskolai hálózaton. A szerveren fel van véve minden kliens a tartományba, és vannak felhasználók is (tanulók).

Van egy általános felhasználó, amivel én is be tudok lépni a legtöbb gépre és itt jön a bibi. Van olyan gép is amire ezzel nem, pedig elvileg tartományban van mind.

Az általános felhasználó alól egy gépre tudok telepíteni, ha megadom a szerver rendszergazdai hozzáférését. A többi gépen ez nem működik. 5-6-on próbáltam. Tudom GPO-val is lehet telepíteni, de ennek a programnak csak exe telepítője van, nincs msi. Persze biztos meg lehet oldani máshogy, de ahogy írtam egyelőre kezdő vagyok.

Szóval a kérdésem az, hogy miért nem tudok telepíteni az általános felhasználó alól, a rendszergazdai hozzáférés megadásával? Ezt kapom, amikor telepítésnél megadom a rendszergazdai hozzáférést: "ezzel a hitelesítő adattal nem lehet bejelentkezni mert a tartomány nem érhető el".

Elvileg tartományban van mind? Ezt azért biztosra kellene tudni.

A hibás gépeken jó a dátum/idő? Lehet róla pingelni a szervert? DHCP-n kapja az ip-t? ipconfig /all jó a dns cím (tehát a szerveré)? Az általános felhasználó ugyanabban a tartományban van mint a gép? tartománynév\felhasználónév formában megadva sem engedi be?
Nem estek ki a gépek a tartományból? [link]

Bocsánat a lassú válaszért. Köszönöm, hogy próbálsz segíteni.

Tartományban vannak (7-8-at próbáltam összesen eddig) Kb. 6-nál be is tudok lépni az általános felhasználóval, kettőnél azzal sem tudok belépni. Pedig mindenhol írja bejelentkezésnél a tartomány nevét. Ahol be tudtam lépni, ott telepíteni eddig kettőn tudtam, a többin a fenti üzenetet kapom a rendszergazdai felhasználó-jelszó párossal.
Az idő siet 5-6 percet. A szerveren is ez volt a helyzet, de ott beállítottam. A kliensen nem tudom, mivel nincs jogom hozzá. :/
A DHCP-t a Kifü routere osztja.
Ahol be tudok lépni, ott tudom pingelni a szervert.

A DNS címnél a szerver címét kell megadni? Ha igen, ezt nem ellenőriztem még, de feltételezem, hogy ha tartományban van akkor azt kapja automatikusan. Vagy manuálisan kell beállítani minden kliensen? A tartománynév\felhasználóneves bejelentkezést is kipróbálom majd a hét elején.

Ezt írták egy fórumon "Ha jól emlékszem, max 5 perc eltérést tolerál a DC és a kliens között."

A DNS címet is a DHCP osztja ki, ha azt egy router osztja, akkor az automatikusan nem tudja a te DNS szervered címét.

"Ahol be tudok lépni, ott tudom pingelni a szervert." Ezeket ott kellene ellenőrizni, ahol nem tudsz belépni. Mondjuk egy helyi felhasználóval.

Ma összehasonlítottam két gép hálózati beállításait. Mindkettőn belép az általános felhasználóval. Az egyiken tudtam telepíteni, a másikon nem. Mindkettő tartományban van (sőt az összes többi gép is, nincs panasz hogy a felhasználók nem tudnak belépni). A DNS is rendben, a szervertől kapják. Pingelni is tudom a szervert mindkettőről.

A helyi felhasználó és az idő jó ötlet volt. Sikerült belépni helyi felhasználóval (rendszergazdai jogokkal), amit eddig nem tudtam, hogy hogyan lehet tartományban lévő gépnél (innen is látszik hogy szerverben kezdő vagyok.) Beállítottam az időt, újraindít és egyből ment is a telepítés... Ezt egyelőre csak egy gépen bírtam megcsinálni, többre nem volt időm. Remélem ez lesz a megoldás a többi gépnél is. Nagy-nagy köszönet az ötletekért!!

Na, akkor ez volt a baj. Lehet az időkiszolgálót is kiosztani DHCP-vel, ill. tartományban leginkább csoportházirendből. Van itt logouton egy elég részletes leírás [link]

Sziasztok!

Egy kis segítséget szeretnék kérni.
Több server verziónál is előfordult az alábbi:

Windows Server 2022 Standard: beállított működő RDP-k, majd WinUpdate után a mezei felhasználókat ez fogadta. Rendszergazdák simán kapcsolódtak. (le kellett szednem az updatet hogy újra be tudjanak lépni)

Windows Server 2016 Essentials: friss telepítés után mezei tartományi felhasználó szintén ezt kapta.

Természetesen a felhasználók hozzá vannak adva az "Asztal távoli felhasználói"hoz.

Találkozott mostanság valaki hasonlóval?

Köszi előre is a segítséget!

@

Hmm, pedig nagyon jogosultsági problémának tűnik nekem így...

[ Szerkesztve ]

Ez biztos. De az hogy hol nyúl bele az update a beállításokba?
Látszólag jogosultságok a helyükön, de közben mégsem...

Friss telepítésnél (Server2016 Ess.) is ezt adja sima usernek, pedig máskor pöccröff ment minden...

@

Sziasztok!
Meglévő és használatban lévő windows 2008R2 szervereimet (2 db terminálszerver és 2 db fájlszerver) kellene virtualizálnom a rendelkezésre álló windows 2012 szerveremre hyper-v virtualizálással. Tudnátok segíteni, hogyan lehet átmozgatni a fizikai vason lévő w2k8R2 szervereimet az említett w2k12 hyper-v alá? A fájlszerverek nem tűnnek nehéznek, a terminálszerverektől tartok, a telepített speciális alkalmazások miatt.
Segítségetek előre is köszönöm

Retró klubbot alapítassz? Kb kukázni kéne mindet és legalább Server 2019-el újraépíteni, mert már egyikre sincs security patch.
A Windows 2012 milyen hardveren van? Ezt is legalább Server 2016-ra fel kéne húzni.

A folyamat amúgy egy sima backup / restore megfelelő eszközzel.
Az ingyenes Veeam Agent is tud ilyet, lemented, a recovery ISO-t boot-olod a virtuális gépbe és visszatöltöd a mentést. Ugyanezt meg lehet csinálni a Veeam Backup and Replication konzolból is.

De van rá sok egyéb megoldás, a mentő szoftverek többsége tud ilyet, de a legtöbb az fizetős.

Szóba jöhet még a disk2vhd amivel egy .vhd file-t tudsz csinálni a gépről, azt pedig némi szerencsével be tudod indítani mint VM.

A virtualizáció után persze a hardverhez függő driverek pucolása, integration tools frissítése, egyéb optimalizációk, mentés beállítása, stb.
Valamint a forrás gép kikapcsolva legyen a művelet alatt amint a végső mentés elkészült.

Állami intézmény, azzal főzök, amim van
De köszönöm a hasznos tanácsokat. Elindulok majd az egyik irányba.

Azért egy Windows Server 2022 standard nem olyan őrült összeg, azzal le lehet fedni a host-ot meg 2 db VM-et is.
Milyen hardvered van amin szeretnéd futtatni a Hyper-V-t? Mert van ingyenes belőle teljes funkcionalitással, csak GUI nélkül, így legalább a host-on rendes újabb OS lehetne.

Fujitsu Primergy RX2530 M1

Server 2016-ot is támogat, ha kis pénz kis foci van, akkor én egy [link] Hyper-V server 2019-et tennék a vasra, majd erre virtualizálnám a többi gépet.
De inkább kisírnék egy Server 2022 standard-ot