» Флейм для сисадминов (часть V)

vlary

Цитата:

Нормальная ситуация для виндузовых программ

да не нормально всё это!
виндуз - уже НЕ нормально
скрипт и еПанутый "закон" - тоже НЕ нормально

та пестец плять, кругом одни дебилы
кругом - рубилово бабла
кругом одни питары, вары и убийцы
как жеж всйо сайепало
==========

зы.
Бесплатные регистраторы доменов: пополняем копилку

Недавно мне сообщили, что введенный в домен ПК нельзя просто переименовать. Для того что бы правильно переименовать ПК в домене, его с начало нужно вывести из домена, потом переименовать и заново ввести в домен. Так ли это?

Mosl

Истинну сказали

grumm
А какие проблемы могут возникнуть если просто переименовать доменный ПК?

Mosl

В принципе переименование компьютера сводится опять же к тому, что он сначала выводится из AD, и снова вводится только под новым именем ....

Например из командной строки

netdom renamecomputer компьютер /newname:новое_имя_компьютера/userd:имя_домена\имя_администратора /passwordd:* /usero:локальный_администратор
/passwordo:* /reboot:время в секундах до автоматической перезагрузки

grumm

Цитата:

Истинну сказали
В принципе переименование компьютера сводится опять же к тому, что он сначала выводится из AD, и снова вводится только под новым именем ....

А можно попросить пруфлинк о том, что переименование делается через удаление старого и заведение нового объекта? Мне кажется, что это не так. При том, что гуй виндовый и netdom достаточно умны, чтобы менять всё что нужно в AD (далеко не единственный атрибут!), около неё (например, вызывать API кербероса и DNS) и ещё дальше (например, менять параметры сервиса lanmanserver) в рамках единой транзакции.

И если ты вдруг прав - то что будет, если "воскресить" tombstoned удалённый объкт?

..и вот однажды оно случилось! Я НЕ ЗНАЮ В КАКУЮ ТЕМУ НАПИСАТЬ!!

Вступление.
Подходил к концу кувырнадцатый день попыток вструмить ексчендж в Ад (AD). внезапно он увидел всех юзверей со всеми контактами и попытался сделать для них ящики, но там, где адресов не было он заботливо добавил в префикс поле nicname, которое отсутствовало и было интеллектуально заменено отображаемым именем (которое, ясен пень, русское из двух слов). не известно, в какой кодировке m$ обменивается данными, но это явно не та, в которой он их хранит. действительно, а зачем?
короче! все адреса электронной почты приняли вид "??????? ????@company.name", чему эксчендж несказанно обрадовался и сказал - надо исправить! ну надо, так надо..
удалить старые? спросил он. а что бы вы ответили!!
я даже не предполагал, что слово "удалить" в его понимании применимо к учетным записям в АДу
..ну вы понели..

Процесс.
Если не считать прописывания групп, то ручной сброс паролей занял около часа для полсотни юзеров.
Восстановление их учеток заняло секунд 20.
Гугленье на тему безопасного и быстрого восстановления - часа четыре.

Особенности.
Ряд юзеров имел в профиле перенаправленные папки на специальный ресурс в DFS.
Я предполагал, что может произойти какая-нибудь попа с правами и поэтому предусмотрительно проверил на всех (!) 30-ти папка права доступа и хозяев. убедился, что ничего не сбросилось и преспокойно отошел ко сну.

Послевкусие.
При первом входе в систему пользователью предлагается сбросить пароль, а после он вводит новый и работает как и раньше. Но это только у тех, чьи папки не были перенаправлены на общий ресурс (NTFS мля!)
Этим пользователям повезло меньше - они после входа видели девственно чистую систему.
Происходило это примерно так:
пользователь входит на сервер;
загружается политика;
перенаправляются папки;
????
имеющаяся папка пользователя удаляется;
создается новая папка, куда копируется чистый профиль по умолчанию..

Реакция.
Одно радует, что я моментально въехал в тему и размонтировал шару после первого же "пустого стола" Диск был сразу же переведен в офф-лайн, но целиком данные восстановить так и не удалось..

НЕПОНЯТКИ
Шара была скопирована и пересоздана, но непонятка осталась..
Виндец по каким-то своим мыслям внезапно сносит профиль на общем диске!!
ДА! чуть не забыл!! нашлось 10% пользователей, у которых профиль пришлось восстанавливать 2 раза и 3% которым я заливал профиль из копии 3(!) раза!!
Никаких других действий я не предпринемал! тупо винда только с третьего раза поняла, что это родной профиль и сносить его не надо..

Почему на локальной машине он этого не сделал и понял всё правильно?
Почему он снес папку, а не попытался подключиться к ней или перезаписать?

Скажи мне, Windows, зачем ты так со мной?

LevT

Надеюсь не надо объяснять что такое $$$ для чего он и как он генерится ????

тогда милости просим на technet

упс ....global relative identifier (RID) )))) сорри

Цитата:

Недавно мне сообщили, что введенный в домен ПК нельзя просто переименовать. Для того что бы правильно переименовать ПК в домене, его с начало нужно вывести из домена, потом переименовать и заново ввести в домен. Так ли это?

Цитата:

Истинну сказали

grumm, не гадьте людям в мозг!

Люди, не слюшайте его! он застрял в АДу2000

MAGNet

каюсь

значит в 2012 появилось много фишек

MAGNet

Цитата:

я даже не предполагал, что слово "удалить" в его понимании применимо к учетным записям в АДу

Эпично. Не имею опыта работы с эксченджем... учту

grumm, больше скажу. АД не приемлит никаких насильственных действий!
Я на прошлой неделе сервер телминалов переименовывал (задание руководства) - вот это был квест)))
Успешно переименовалось через стандартную виндовую управлялку. Гемор был в пересоздании ярлыков на подключение для юзверей, изменении некоторых жестких ссылок и привязке желтой прграммы (там есть свои приколы)
В остальном всё прошло гладко.

Ах да! чуть не забыл)) Этот сервер был ещё и корневым концентратором ДФС)))
К слову, я и при переименовании об этом забыл)) Выхватил тучу приколов и пересоздал корень - вот и всех делов..

..ну а так, в целом, ничего не произошло неожиданного, если сравнивать с выше изложенными приколами

MAGNet
вскользь прошелся по 2012 ...скорее всего надо ставить и смотреть ...

(пока на VM 5-ю перейти не могу по причине жадности хомяков а на 4 2012 не встает )

Mosl говорил о переименовании простого компьютера (имени) в домене ...ты я смотрю пошел дальше

Цитата:

ты я смотрю пошел дальше

я не сам - меня заставили (с)
))))

MAGNet
сталкивался с похожей фишкой Exch.

Цитата:

я даже не предполагал, что слово "удалить" в его понимании применимо к учетным записям в АДу
..ну вы понели..

для почтовых адресов был вариант disable вроде
шутка такая тесной интеграции с АД:
delete - в смысле полностью
disable - удаление атрибута "почтовый ящик"

мне тогда повезло, было всего 3 пользователя на которых тренировался, и был бэкап

Может, кто сталкивался, в конторе около десяти icq по ним общаются с клиентами. Попросили на всех поменять пароли, как это грамотно сделать? Слышал, что icq очень уязвимы. Может, есть какие-то решения.

niko7

ICQ это личная учетная запись (за редким исключением) и за паролями пользователь номера должен следить сам, а на счет уязвимости... ICQ так же уязвима как скажем почта на mail.ru или yandex.ru, все относительно главное иметь рабочий способ восстановить пароль.

Если же вопрос подразумевал какую то автоматизация в данной смене паролей, то могу сказать точно, что этот инструмент станет еще одним местом уязвимости

[more] Подскажите, уважаемые рубоярдовцы!
Дано: Домашний компьютер с Windows 7, интернет ADSL (2 Мбит / 500 кбит)
Задача: Обезопасить исходники программы (сам процесс программирования не требует подключения к интернету). Мне они даже дороже интернет паролей от всяких Paypal и т.п.

Почитал по верхам в инете, но так и не понял как выкрутиться.
Вариант:
1. Поставить два компа (один для инета, другой для программирования, флэшкой перебрасывать релизы). Но в доступном пространстве размером с холодильник это нереально

2. Сделать две учетных записи (еще добавить обычную).
Вроде как пишут, что на обычной лазить по интернету безопаснее. Но так ли это? Мне что-то не верится. Я хакеров не считаю за дурачков и думаю уже давно есть способы влезть в админку (и добраться до моих исходников).
Попробовал использовать обычную запись для интернета, уж очень неудобно! Пример как у меня было с одной админкой: делаю дистрибутив, смотрю в интернете примеры кода как его делать, копирую себе и тут же тестирую (запись в Program Files). А теперь нужно смотреть интернет из обычной записи, потом что нарыл скидывать в какую-то папку, заходить админом (каждый раз вводить пароль) брать из этой папки коды. Это в тысячу раз дольше и муторней чем старый Ctrl+C/Ctrl+V

Подскажите, как надежней решить задачу?
[/more]

PowUser "Все мозги разбил на части, все извилины заплел" (с) В. Высоцкий.
Ну, во-первых, спрячь свой комп за НАТом, и никакие злые хакеры к тебе не доберутся.
Вернее, не доберется хакерствующая школота, а серьезным людям ты не интересен.
Ну а уж если паранойя совсем заела, то сделай у себя на компе контейнер TrueCrypt, подключи его как секретный диск, и храни там исходники.
Поработал над программой без подключения к интернету, отключаешь диск, тестируешь программу. Потом опять отрубаешь интернет, подключаешь диск, курочишь исходники, и так далее.

Ууууу, до чего паранойа дошла.
А ведь по нормальному надо иметь систему контроля версий, багтрекер итд.
А они еще могут на отдельных серверах стоять.

[more] vlary

Цитата:

Ну, во-первых, спрячь свой комп за НАТом, и никакие злые хакеры к тебе не доберутся.

У меня роутер ASUS WL500 gPv2 с прошивкой Олега.
А если проброшены порты для качалок, то это сильно упрощает жизнь хакерам?
И еще вопрос, могут ли хакеры ко мне подобраться через спутниковый ресивер или NAS (на них linux), подключенных к роутеру? (На ресивере работает клиент кардшаринга. На NAS работает Transmission и порты для него тоже проброшены с роутера.)


Цитата:

а серьезным людям ты не интересен.

А может я достигну такого уровня?


Цитата:

сделай у себя на компе контейнер TrueCrypt, подключи его как секретный диск, и храни там исходники.

Уже вчера BitLocker прикрутил, а внутри него TrueCrypt


Цитата:

отрубаешь интернет, подключаешь диск, курочишь исходники, и так далее

Золотые слова! Спасиб. Для переключений bat-ник сделаю.

goletsa

Цитата:

Ууууу, до чего паранойа дошла

Это жадность Не хочу я своими исходниками делится с хакерами. Я их конечно уважаю, они открывают для людей много интересного. Но все-таки в борьбе с хакерством хотелось бы выступать на стороне победителя, с какой бы стороны не пришлось выступать.


Цитата:

А ведь по нормальному надо иметь систему контроля версий, багтрекер итд.
А они еще могут на отдельных серверах стоять.

Разрабатываю только я сам. Так что отдельные сервера не нужны. Пробовал локальный http://tortoisesvn.net/
Наигрался и удалил, у меня не миллион строк - это хобби без фанатизма. Все пока помню, комментирую подробно. Плюс пачка листов А4 и ручка. [/more]

Всех с Днем Системного Администратора!!!

PowUser
Цитата:

Уже вчера BitLocker прикрутил, а внутри него TrueCrypt

"Береженного бог бережет! - сказала монахиня, одевая презерватив на стеариновую свечку"
(с) Из фольклора монастыря кармелиток.

Помогите с реализацией задачи, есть несколько почтовых ящиков надо чтобы у почтовых клиентах на нескольких компьютерах локальной сети были одни и те же письма во всех папках, входящие, отправленные и т.п. Сейчас это реализовано так на всех компьютерах стоит The Bat! фалы с данными, в которых The Bat! хранит свои письма лежат на одном из компьютеров, а остальным The Bat! прописан путь по сети к этим файлам. При подключении по wi-fi тормозит сильно. Получается, что все почтовые клиенты работают с одними и теми же файлами данных. Текущее решение видится мне каким-то не оптимальным, нормальна ли такая работа для The Bat!?

niko7

Цитата:

Помогите с реализацией задачи, есть несколько почтовых ящиков надо чтобы у почтовых клиентах на нескольких компьютерах локальной сети были одни и те же письма во всех папках, входящие, отправленные и т.п.

А что IMAP уже не канает ???? все на сервере - у клиентов IMAP

grumm
Цитата:

А что IMAP уже не канает ???? все на сервере - у клиентов IMAP

Думаю так и сделать.
Надо как-то придумать, как почту резервировать, а то кто-нибудь удалит случайно нужные письма? А папка отправленные при использовании imap будет одинакова у всех?

niko7
Цитата:

Надо как-то придумать, как почту резервировать

Элементарно, Ватсон! Бэкапишь периодически на сервере папку с мэйлбоксами, в случае чего - восстановишь из бэкапа.

vlary
Цитата:

Бэкапишь периодически на сервере папку с мэйлбоксами, в случае чего - восстановишь из бэкапа.

Сервер не мой, сервер хостера. Хочу чтобы бэкап лежал у меня локально на компьютере.

niko7
Цитата:

Сервер не мой, сервер хостера.

Вон оно чо, Михалыч!
Ну, в принципе, если стрельнуть из пушки по воробьям, можно в локалке поставить Коммунигейт, настроить юзерам ящики, у юзеров прописать RPOP (забор почты с сервера хостера, по расписанию). И будет все дополнительно храниться на сервере.
Либо что полегче, hMailServer, например, он тоже такое наверное умеет, а если и не умеет,
то элементарно сделать программу, которая будет по расписанию лазить на сервер хостера, забирать письма юзеров, и забрасовать на локальный сервак.