» Флейм для сисадминов (часть III)

nikolaevsergey
Да может и дожно. Всегда думал, что эта политика предназначена для того, чтоб у пользователя после логона заработал сразу, грубгря, аутглюк или нечто подобное.
Все самописные вещи всегда запускал через сценарии. По крайней мере без сбоев.
Есть еще такая фича, когда скрипты лежат в сети, что-то вроде "всегда ожидать инициализации сети при входе"... щас гляну... ну да, почти так и называется, лежит в конфиге компа - шаблонах - система - вход в систему. Замедляет загрузку, но повышает КПД всех этих логон скриптов.

Цитата:

HTA вообще вещица странная. Почему бы не зарускать html батником?
Преимущества: батник правит не надо, а html можно править в любой момент.

именно для того, чтобы затруднить кулхацкеров.

HTA может быть зашифрован и располагагаться в доверенном месте. И ему могут быть разрешены привилегированные действия - броузеру запрещенные.

Все это изобреталось задолго до .NET и лозунга "Least Privilege"

ну, ёлки.. "вот я ему давеча говорю - доцент, у меня насморк, так он".. (с :)

---

andrejvb
Цитата:

А я ххховорю - низзя!"

про сценарий - стопудово так, а про вход в систему - моння, аднака!..
я вчерась спецом сам проверял, прежде чем написать.. :)
правда, не стал заморачиваться с АД, а тупо, в локальной политике прописал первый попавшийся тхт файлец - работает.. :)
ещё раз акцентирую - это НЕ сценарий, это ВХОД (гпедит.мск - конфиг компа - адм.шаблоны - система - вход в систему)..

Цитата:

Запускать-то можно, а вот получить вывод на экран - низзя Запуск-то идет от имени system, т.е. рабочего окружения исчо нема.

и ещё раз - аще неправда ваша, гражданин начальнег.. :)
ну вот ты сам возьми и проверь, а заодно увидишь, что файлец твой будет запущен и - от имени юзера, а не систем.. :)

---

Цитата:

Мож твой пров дурит? Или трасса гикнулась, трафик по обходному маршруту идет

не, не в прове дело, я по запасному каналу проверял.. видать чё-т сглюкнуло по дороге.. бывает..

---

Ici Chacal
Цитата:

Не то же по одной простой причине - так работает. А вот .hta как-то не очень...
Просто из практики - батник ака сиэмди - исполняется всегда.

уху.. имха, винда считает пакетники "безобидными" скриптами, а хта - всё-тки "приложение", как-никак.. :)
с другой стороны - ну, дык, переименовать хта в хтм, пущай как "документ" заводится..
если надо окошко без рамы ИЕ - флаг в руки и джава-скрипты в догонку..

---

nikolaevsergey
и всё-тки - попробуй на "реальной" машине засадить свою хта (а лучше - хтм :) во вход в систему для компа..
хуже точно не будет.. :)
кста, вчера бухтели: а у тебя загрузочная политика-то ваще применяется на реальном клиенте, не проверял?

LevT
Да я не претендую.
Только, получив пару седин, не только в бороду, могу сказать, что соразмерность защиты - вещь немаловажная. Образно - не стоит выезжать на Т-90, чтоб расстрелять воробья, жрущего твою черноплодку. И топлива сожжешь и от черноплодки мокрого места не останется точняком.., а вот воробей может и срулить. Вот, падла, за секунду до выстрела и улетит. Да еще накакать успеет на триплекс.
Пример, как всегда во флейме, длиннее чем сама мысль. Ну где там кулхацкеры и зачем им оно надо. Ну максимум kids with scripts.
А насчет того, что запускать hta безопасней нежели html... Сильно не уверен. Очень сильно. Но тут я лишь в теории.

Добавлено:
TheBarmaley
Да при чем здесь "считает не считает". Надо помнить исток разговора. Человеку надо, чтоб у каждого пользователя получался на экране текст с картинками. Я так понимаю, что реализован ли он будет через обои рабочего стола, или через вазилин гендиректора значения не имеет. Естественно, что хочется без вазилина
А окошко "без рамы" запускается без всякой джавы. Ключик такой -k Дешево, надежно и практично

Ici Chacal
Цитата:

Надо помнить исток разговора. Человеку надо, чтоб у каждого пользователя получался на экране текст с картинками

угу, только ещё он и рулить этим хочет через АД/ГП, в этом и затык, сопссна..

Цитата:

А окошко "без рамы" запускается без всякой джавы. Ключик такой -k Дешево, надежно и практично

за ключик - отдельный решпект, не знал.. занятный режим, надо будет на вооружение взять..
но тока, чую, без джавы тут никак - окно во весь экран и заветного крестика в углу нету.. :)
ну.. юзеры потом забодают вопросами - чё за на и как закрыть.. как пить дать.. ;)

Или $99 за софтовый BD/DVD плеер есть феерическая жадность, или последствия кризиса, или я чего-то не понимаю...

еще раз убеждаюсь что ру-борд в беде не оставит.
раз уж моя проблема вызвала такой живой интерес, вот типа ТЗ:
1) при логине юзера, а еще лучше - определенной группы юзеров, необходимо показать текст с картинками а-ля приказ по фирме или объявление о субботнике/корпоративе;
2) продлжаться сей показ дожен 2-3 дня, ручное включение/выключение приемлемо;
3) простота и удобство включения/выключения, ака "администрирование", показа;
4) юзер не может у себя отключить показ. диалоги о "закрыл не читая" опускаются, важно показать;
4) проблемы с созданием (вёрсткой) страницы показа - отдельный разговор.

повторюсь: идея о создании на расшареном ресурсе и показ HTA-файла юзеру постредством ГП - работает (в вируальной сети). сейчас ищу у себя где перекрываются политики и почему на реальном железе это не сработало. и вот возник вопрос: может ли влиять на работу ГП какая-либо остановленная служба на пользовательском компе?
проблему временно решил методом ярлыков в автозагрузке "All users" - метод 4) от TheBarmaley.
всем спасибо огромное

nikolaevsergey

А зачем именно "при логоне"? Чем не устраивает принудительно заданная домашняя страница броузера?

sarti
Цитата:

феерическая жадность

оно самое, совсем буржуи озверели.. наш достойный ответ чемберлену - здесь.. ;)

---

LevT
Цитата:

А зачем именно "при логоне"? Чем не устраивает принудительно заданная домашняя страница броузера?

внимательно - п.1 и 2 "ТЗ"..
а если юзер неделю браузер не откроет, тогда как?.. или чё - принудом при входе его запускать?..
не-не, идея с автозапуском через ГП очень даже интересна.. имха.. и хорошо управляема, к тому же..

---

nikolaevsergey
Цитата:

почему на реальном железе это не сработало

тут и здесь смотрел? ничё не подходит?
Цитата:

может ли влиять на работу ГП какая-либо остановленная служба на пользовательском компе?

на одном или на всех сразу?
ещё раз - на юзерских компах проверял применение политики в реестре? ну, или в гпедите?

LevT
Цитата:

Чем не устраивает принудительно заданная домашняя страница броузера?

не устраивает... как принудительно её установить??? те же ГП.. немаловажно что лиса и опера не воспринимают ГП никак. бегать по каждому компу и ручками прописывать, а через пару дней отписывать. очень уж утомительно..

TheBarmaley
Цитата:

еще раз - на юзерских компах проверял применение политики в реестре? ну, или в гпедите?

все забываю отписаться - да, проверял на трёх пользовательских компах. не работает...
рабочие станции установлены с дистрибутива, которые года два назад готовил сам по теме из "Андеграунда", немного поднастроил в виде отключения некоторых служб. какие именно не помню, т.к. сборка полуторагодичной давности, исходника уже нет.. надо глянуть службы на пользовательских машинах...

20 минут спустя, после прочтения ветки, полез в логи PDC и, как говорится - есть два типа админитсраторов: кто смотрит логи и кто УЖЕ смотри логи.
Прелюдия.. летом была замена PDC: поднят сервак - дополнительный контроллер - повышение роли - на старом понижение - вывод из работы.. вроде как обычно. полет нормальный, я забыл даже где логи смотреть, только на маршрутизаторе.. пару недель назад пожаловалась девочка на то, что "список компов" у нее тормозит. я не придал значения, т.к. другие сказали что все ОК. на моем компе тоже никаких проблем не наблюдалось.
Людия.. в итоге вот такую ошибку имею Event ID: 4004 в DNS - [more]Event Type: Error
Event Source: DNS
Event Category: None
Event ID: 4004
Date: 17.10.2009 Time: 16:04:04
User: N/A
Computer: SERVER
Description: DNS-серверу не удалось загрузить зону, поскольку не удалось завершить перечисление служб зоны domain.local. Данный DNS-сервер настроен для получения и использования информации этой зоны из Active Directory. Проверьте, что Active Directory функционирует нормально и повторите перечисление зоны. Расширенная информация об ошибке: "". Данные события содержат сведения об ошибке. For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. Data: 0000: 2a 23 00 00 *#..

PS. реальные имена изменены, любое совпадение - случайность[/more]
На пользовательских машинах через одну вагон ошибок из вышеупомянутой темы. свою задачу проверял как на машинах с ошибками, так и без оных. общаюсь со всемирным разумом и думаю план действий.

nikolaevsergey
Цитата:

надо глянуть службы на пользовательских машинах

...и сравнить с запущенными на виртуальных..

сброс ГП не пробовал делать? или "всё настроено, работает и посему влом переделывать"?.. ;)

сравнивать ессно надо.. а вот про сброс ГП по дефолту не знал, спасибо за наводку..

сколько всего интересного узнал пытаясь решить такую простую задачу. если бы все было ОК в сети и задача сработала бы с полтыка, так и остался бы неграмонтным...

Добавлено:
при помощи %windir%\System32\mshta.exe "\\server\docs\index.html" можно запустить любой html-файл (!!!) в отдельном окне с кнопочкой-крестиком и все тут.. ключ -k пару страниц назад предлагался. сдается мне, коллеги, он относится к IE. опять-таки, лиса (а половина моих пользователей именно ей юзают) или опера отобразят страницу в новой вкрадке и все дела. пользователь может не глядя закрыть браузер.

nikolaevsergey
Цитата:

сколько всего интересного узнал

бугога!.. аналогично, коллега!.. ;)

возвращаясь к твоему "ТЗ" (п.4):
про фишку с ключиком -k от Ici Chacal'а не забудь - хрен кто из юзеров окно твоей объявы в один клик закроет.. :)
а если шибко умным и непочтительным к админским мессагам в коде добавить скриптик онклоуз=опен, ваще туши свет.. :)


Добавлено:

Цитата:

ключ -k пару страниц назад предлагался. сдается мне, коллеги, он относится к IE. опять-таки, лиса (а половина моих пользователей именно ей юзают) или опера отобразят страницу в новой вкрадке и все дела. пользователь может не глядя закрыть браузер.

ключ, ессно, для осла.. дык, в чём беда - прямо пропиши в скрипте запуска вывод через него..

ага.. а еще в скриптик добавить счетчик. типа с 15-го раза только закрется

Добавлено:
и тогда строчка будет выглядеть именно так -
Цитата:

%windir%\System32\mshta.exe "\\server\docs\index.html" -k

кстати, а что этот ключик делает©Буратино

Добавлено:
совсем плох стал. запускаю виртуалки..

nikolaevsergey

Цитата:

кстати, а что этот ключик делает©Буратино

Папа Карло says ©

TheBarmaley

Цитата:

за ключик - отдельный решпект, не знал.. занятный режим, надо будет на вооружение взять..

Да не за что, зря вы её "моей фишкой" ругаете. Типа шутка. Шучу я так.
Это стандартная фича, называется режим киоска, емнип, и во многом не устраивает. На лису, естественно, не действует.

nikolaevsergey
Под ваше ТЗ вполне адекватно подходит стартовая страница. В одном контейнере одна, в другом другая. С разной степеью принудительности. С разным наполнением. Только вот, не все открывают браузер... Да и где-то web надо запустить...
Цитата:

может ли влиять на работу ГП какая-либо остановленная служба на пользовательском компе?

Твердо верую, что НЕТ
Есть, правда, тема, что всюду лезущий каспер может блокировать политику пользователя (выборочно), но к машинной он пока не подобрался.
Кстати, мелкая, но досадная ошибка, может тут порылась собака... Задав политику надо подождать, пока снюхаются все конроллеры, но и этого мало, надо чтоб применилась к локалной машине, тобишь сделать gpupdate /force или secedit /refreshpolicy по старому.
Совсем уж ЗЫ. Один коллега пытался применить политику к пользователям, не находящимся в контейнере. Хоть и не ребенок уже.

Ici Chacal
хе-хе.. не, политика применяется к тому контейнеру где юзер сидит. с этим все ОК. по поводу kiosk - совсем запамятовал, давно было.. юзать -k в данной ситуации нет особой надобности, т.к. HTA сам по себе уже как kiosk работает..
опять-таки к домашней странице. изъян этого метода что работать будет только если ослик - дефолтный браузер.

nikolaevsergey
Цитата:

а еще в скриптик добавить счетчик

зачем счётчик-то? не надо - ты ж окно закрывая, откроешь следующее, точь такое же.. и так до синего..
неслухам и строптивцам - вечная геенна.. карочь, такой кайф тока ресетом гасится.. ;)

Цитата:

и тогда строчка будет выглядеть именно так

не-а, скорее так:
ц:\програм_филез\тырнет_ехплорер\ие.ехе -к \\сервер\док\индех.хтмл

Цитата:

кстати, а что этот ключик делает

товарисч, а в гугл? типа, сёрч "ключи запуска IE".. "режим киоска", вопчем..

Цитата:

совсем плох стал

да-а, завязывать пора с этим грязным делом.. имха, зря ты всю эту байду с автораном развёл - судя по правке последнего поста на прошлой странице (о как загнул :), в результате экскриментов нарисовалась небольшая жопа с ад.. вот говорили же древние - нехрен лазить в пирамиды, так нет же, взял и расковырял.. так бы жил себе спокойно и домен бы потихоньку жужжал бы.. эх-х.. нарушил ты, брат, золотое админское правило - "работает - не трогай".. :(

Цитата:

общаюсь со всемирным разумом и думаю план действий

шашку убери подальше тока.. а то маханёшь сгоряча чё-нить.. :)
кста, как там наше пыво? пока ещё есть?.. ;)

nikolaevsergey
Вы меня заинтересовали. А можно посмотреть сам файл через какой-нибудь обменник?
ЗЫ Динозаур я, видимо. Не знаю, что за браузер такой - ослик.

Цитата:

бегать по каждому компу и ручками прописывать, а через пару дней отписывать. очень уж утомительн

адрес страницы может быть статическим
типа внутреннего портала

Ici Chacal

Цитата:

Динозаур я, видимо. Не знаю, что за браузер такой - ослик

Винни-Пух -> ослик Иа -> iexplore -> IE = осёл. За созвучие и такую же тупость

может, баянъ.. такое кто-нить пробовал сваять?.. чё-та я загорелся.. :)

Цитата:

адрес страницы может быть статическим
типа внутреннего портала

Тем более, что адрес легко указывается в политиках. Которые не действуют на сторонние браузеры, а посему у меня их (сторонних браузеров) нет.
Я понимаю, что юзеру надо сторонний шелл, сторонний брузер, стороннее всё. Кроме админа. Пусть он стороннего админа уже пригласит. Шютк.
А пока я админю, инет будет вполне сносно ходить через ослика, шелом будет эксплорер, и пр. и пр.
По одной простой причине. Не из вредности. Просто... Я за это отвечаю.

Добавлено:
TheBarmaley

Цитата:

может, баянъ.. такое кто-нить пробовал сваять?.

В чем юмор?

Ici Chacal
Цитата:

По одной простой причине. Не из вредности. Просто... Я за это отвечаю.

солидарен.. аналогичный подход.. к тому же и граблей у юзеров при этом на порядок меньше становится..
к сожалению, не всякий чел, руль предержащий, разделяет эту простую истину.. :(
вот и приходится выёживаться и подстраиваться..
причём иногда это даже забавно выходит - по принципу "и юзеры сыты и тачки целы".. :)

Цитата:

В чем юмор?

да сама идея материализовать пресловутый админский бубен улыбнула.. хотелось бы "живой звук" заценить.. :)

TheBarmaley
Цитата:

в результате экскриментов нарисовалась небольшая жопа с ад

походу, жопа нарисовалась еще летом - бзданула она тока чичаз.. в АД я ничего окромя вышеназваной настройки не трогал.. юзверям разрешаю лису юзать, ибо юзаю сам и приучаю своих к хорошему..

Цитата:

может, баянъ..

коллега, сдается мне, это все-таки бубен.. и должен он выглядеть примерно так:


Ici Chacal
Цитата:

А можно посмотреть сам файл

сам файл - обычный html с расширением hta. создается хоть в блокноте, хоть в Dreamviewer`e. экземпл лежит тут

Добавлено:
LevT
Цитата:

адрес страницы может быть статическим

сегодня нужна эта страница, а через два дня не нужна - что делать в этом случае?? как удалять из домашних страниц браузеров?? а если по два-три раза в неделю??

Есть такой продукт SBS 2003. Там из коробки идёт внутренний шарепойнт портал с дефолтным урлом новостей http://companyweb/

То, что актуально - висит, старые новости уползают вниз или явно удаляются...
Готовая доска объявлений, надо только принудительно запихать в браузер.


Народец мелкобузнесовый нипадецки на эту игрушку подсаживается.

LevT
кстати, да, коллега.. слышал я про эту зверушку, даже де-то есть образ этого шайтан-диска.. но вот все руки не доходят его поставить и пошшупать вживую. я, правда, никогда шарпойнт не ставил и иксчэйндж иже с ним. вот малость и побаиваюсь.. но попробовать надо обязательно..

LevT

Цитата:

внутренний шарепойнт портал с дефолтным урлом новостей

Хм... мне тоже интересно стало...

nikolaevsergey
Цитата:

нарисовалась еще летом

чем всё кончилось-то? сброс делать не стал?

Цитата:

бубен.. и должен он выглядеть примерно так:

зэтс ку-у-ул! это уже целое произведение искусства.. :)
там попросче было, так скать, "рабочий вариант".. для решения текущих мелких проблем.. ;)

Цитата:

Цитата:адрес страницы может быть статическим
сегодня нужна эта страница, а через два дня не нужна - что делать в этом случае?? как удалять из домашних страниц браузеров?? а если по два-три раза в неделю??

и ничё страшного - в статическом "стартере" можно прописать переадресацию при запуске на динамическую страничку..
а проще - менять содержимое самих запускаемых файлов, всё-рно это где-то делать придёццо..

зы.
нет смысла городить огород, задача показать некий контент решаема и без всяких ИИСов и иже с ними.. имха..

TheBarmaley
Цитата:

чем всё кончилось-то? сброс делать не стал?

отложил сей процесс до субботы, чтоб было время для манёвров, если что-то подет не так.

Цитата:

нет смысла городить огород

согласен,скрипты в автозагрузку через ГП ложить - сильно круто. ИМХО, моя идея с *.hta наиболее простая для решения данной задачи.