Условия подключения к терминальному серверу


Хорошее разъяснение, почему при попытке удаленного подключения к Remote Desktop Service (RDS) происходит отказ в доступе, дано в статье “Allow Logon through Terminal Services” group policy and “Remote Desktop Users” group.

Суть в том, что для получения разрешения на удаленное подключение учетная запись пользователя должна обладать двумя вещами:

1. правом на удаленный вход Remote Logon. Задается в GPO Allow Logon through Terminal Services (Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment). По умолчанию это право имеют групп Administrators и Remote Desktop Users.

2. привилегией на доступ к RDP-TCP Listener. Как только пользователь прошел проверку прав Remote Logon, проверяется его привилегии на подключение к RDP-TCP Listener. Привилегии на доступ к RDP-TCP Listener устанавливаются на вкладке Безопасность в его свойствах. По умолчанию эта привилегия установлена для Administrators и Remote Desktop Users (кроме Domain Controller).

Скриншоты ошибок в случае, если одно или оба из условий не выполнены, можно увидеть в выше упомянутой статье.

Как отобразить атрибут в оснастке ADUC


 

Ситуация: выполняется синхронизация учетных записей в Active Directory с кадровой системой предприятия; в качестве ключа используется табельный номер сотрудника, который записывается в атрибут EmploeeID.

Проблема: EmploeeID не отображается в ADUC

Решение.

В оснастке Active directory users and computers (ADUC) можно настраивать отображаемые в столбцах атрибуты объектов AD: View -> Add/Remove Columns

clip_image001

Но далеко не все атрибуты есть среди доступных для выбора. На скриншоте выше, например, вы можете увидеть, что выбран EmploeeID, но по умолчанию его нельзя выбрать – нет его в списке. Как же он был добавлен?

Запускаем оснастку ADSIEDIT. Открываем контейнер CN=Display specifiers, CN=Configuration, DC=Domain,DC=com. Выбираем контейнер с нужным языком. Например, для англоязычной оснастки ADUC нужно выбрать CN=409, а для русской CN=419.

Далее нас интересует атрибут extracolumns, в котором задается список атрибутов доступных для отображения в ADUC. В этот атрибут надо добавить нужный атрибут:

employeeID,Employee ID,0,100,0

где на первом месте системное имя атрибута, на втором его отображаемое имя, далее 0 – не отображать по умолчанию (1 – атрибут виден по умолчанию), 100 – ширина столбца в пикселях, 0 – этот параметр игнорируется.

Атрибут extracolumns есть в двух объектах CN=default-Display и CN=organizationalUnit-Display. Если атрибут extracolumns в CN=organizationalUnit-Display пуст, то значения будут браться из CN=default-Display и именно тут надо добавить новый атрибут. Иначе правим extracolumns в CN=organizationalUnit-Display. (Как правило CN=organizationalUnit-Display оказывается заполненным после установки OCS или Lync).

Теперь после перезапуска ADUC мы сможем выбрать новый атрибут для отображения.

Полезные ссылки:

1. Modifying Existing User Interfaces

2. kb884402

Бесплатные средства безопасности от Microsoft


 

По мотивам статьи Free Microsoft Security Tools You Should Know About . . .

Полезная сводка инструментов безопасности:

1. Microsoft Security Compliance Manager Версия 2. Этот инструмент позволяет быстро настраивать компьютеры, датацентры и private cloud с помощью Group Policy, Microsoft® System Center Configuration Manager, а также Local Group Policy. Вы можете использовать эталонные конфигурации и дорабатывать их под свои нужды. Кстати MDT 2012 теперь умеет использовать SCM, точнее устанавливать пакеты политик созданных в SCM.

2. Microsoft Baseline Security Analyzer 2.2 Позволяет проверить компьютеры в сети предприятия на отсутствие обновлений безопасности и некоторые уязвимости в их конфигурации.

3. Microsoft Security Assessment Tool 4.0 Средство оценки рисков. Использует целостный подход к оценке системы безопасности, анализируя влияние человеческого фактора, процессов и технологий. Полученные результаты предоставляются пользователям вместе с подробным руководством, рекомендациями по снижению угроз и ссылками на отраслевые руководства, содержащие дополнительные сведения. Эти ресурсы могут помочь организациям получить информацию о средствах и методах, способных повысить безопасность ИТ-среды организации.

4. Microsoft Safety Scanner Средство сканирования на наличие вирусов и их удаления.

5. Microsoft Malicious Software Removal Tool (MSRT) Средство удаления наиболее распространенных вредоносных программ.

6. Microsoft Security Essentials (MSE) Бесплатный, простой антивирус для персональных компьютеров. Microsoft Security Essentials доступен для предприятий малого бизнеса, в которых установлено до 10 компьютеров. Если на предприятии больше 10 компьютеров, воспользуйтесь для их защиты программой Microsoft Forefront Endpoint Protection

7. Windows Defender Защитник Windows представляет собой бесплатно распространяемую программу, обеспечивающую защиту компьютера от внедрения всплывающих окон, снижения производительности и угроз для безопасности, вызываемых программами-шпионами и другими потенциально нежелательными программами.

Средние и крупные фирмы могут воспользоваться преимуществами программ лицензирования для предприятий и использовать платный продукт Microsoft Forefront Endpoint Protection (требует System Center Configuration Manager 2007 R2).

Генерация сложного пароля с помощью Powershell


До чего только не доводит безделье! Вот пришлось написать самую популярную функцию :-)

В Active Directory мы все за редким исключение используем сложные пароли. Для этого в политике безопасности задаем минимальную длину пароля и требование сложности. Требование сложности заключается в том, чтобы в пароле обязательно присутсвовали символы как минимум трех категорий из четырех следующих: цифры, большие латинские, малые латинские, знаки пунктуации.

Слегка поискав в Интернете функцию генерации сложного пароля, обнаружил множество вариантов. Только это были функции либо просто генерации пароля заданной длины без гарантии сложности, либо на удивление заумные функции, которые не так то легко проверить на правильность (а вдруг автор ошибся где-то?).

Вот и родилась достаточно простая функция генерации сложного пароля заданной длины.
Идея простая. Сначала генерируем пароль нужной длины. Проверять то, что пароль получился заданной сложности не будет. Поступим проще. Берем из каждой категории символов по одному случайному символу и заменяем этими символами четыре случайно выбранные позиции в сгенерированном пароле. Все! :-)

 

function global:Get-RandomPassword
{
<#
.SYNOPSIS
Get random complex password.

.DESCRIPTION
This function generate random complex password.

.PARAMETER PasswordLength
Set needed length of password.

.EXAMPLE
PS C:\> Get-RandomPassword 8
.EXAMPLE
PS C:\> 5..7| Get-RandomPassword
#>

[CmdletBinding()]
param(
[Parameter(Position=0, Mandatory=$true, ValueFromPipeline=$true)]
[ValidateRange(4,15)]
[Int]
$PasswordLength
)
Begin{}
Process{

$numberchars=0..9 | % {$_.ToString()}
$lochars = [char]'a' .. [char]'z' | % {[char]$_}
$hichars = [char]'A' .. [char]'Z' | % {[char]$_}
$punctchars = [char[]](33..47)

$PasswordArray = Get-Random -InputObject @($hichars + $lochars + $numberchars + $punctchars) -Count $PasswordLength

$char1 = Get-Random -InputObject $hichars
$char2 = Get-Random -InputObject $lochars
$char3 = Get-Random -InputObject $numberchars
$char4 = Get-Random -InputObject $punctchars

$RndIndexArray = Get-Random (0..($PasswordLength-1)) -Count 4

$PasswordArray[$RndIndexArray[0]] = $char1
$PasswordArray[$RndIndexArray[1]] = $char2
$PasswordArray[$RndIndexArray[2]] = $char3
$PasswordArray[$RndIndexArray[3]] = $char4

return [system.string]::Join('', $PasswordArray)

}
End{}
}

Бюллютень безопасности MS11-100 и Exchange Server


29 декабря 2011 года выпущен бюллютень безопасности MS11-100 , в котором описана уязвимость в .Net Framework позволяющая выполнять повышение привелегий.

Команда разработчиков Exchange протестировала все версии Exchange 2003/2007/2010 и рекомендует установить соответствующее обновление для устранения уязвимости. Источник: Microsoft Security Bulletin MS11-100 and Exchange Server

Пакетная загрузка фотографий в Active Directory


В большой организации не редкость, когда приходится общаться с коллегой, которого никогда не видел. После этого сталкиваешься с человеком лично и не понимаешь, кто он на самом деле. Outlook 2010 и Lync 2010 могут отображать фотографию контакта при ее наличии, поэтому присутствие фотографии в контакте будет очень кстати, чтобы избежать подобных неловкостей.

Подготовить и загрузить в Active Directory большое количество фотографий достаточно трудоемко. К счастью некоторые операции можно автоматизировать и выполнить в пакетном режиме.

Читать далее