Медленное подключение MMC Computer Management к удаленным компьютерам


В SCCM консоле мы активно используем Recast RCT (Right Click Tools). В частности запускаем оснастку MMC Computer Management. В один прекрасный момент эта оснастка стала подвисать при запуске на окне с ползунком прогресса, да ещё иной раз аварийно завершаться, если не дождаться завершения подключения.

Команда netstat показала SYN_SENT. Иначе говоря на целевых компьютерах фаервол что-то блокировал. Аудит правил фаервола ничего не дал: все правила удаленного управления были на месте.

С коллегой провели некоторые изыскания. Просто запустили mmc.exe и перебирали все оснастки, которые подгружаются в Computer Management. Обнаружили, что проблема есть с двумя из них: Performance и Windows Backup. Удивительно, что в фаерволе нет стандартных правил для них.

Существует групповая политика, которая позволяет управлять (включать и запрещать) оснастками MMC. Мы попытались выключить эти две оснастки, которыми не пользовались. Оказалось, что в политике нет варианта для Windows Backup.

Решением стало добавление разрешающих правил в фаервол для двух процессов plasrv.exe и wbadmin.exe. (Найти их помогла всё та же утилита netstat -ano)

Как только политика с правилами фаервола применилась к компьютерам, оснастка Computer Management стала снова быстро подключаться.

Реклама

Task Scheduler и gMSA


Решил привести в порядок запускаемые по расписанию задачи. Для консолидации таких задач существует продукт SCOR. Microsoft прекратила его развитие, хотя не так давно переписала номер версии на 2016. Но история не об этом. Читать далее

О проблемах установки обновлений


Своевременная установка обновлений это хорошая профилактика от вирусных атак. Это ещё раз подтверждает последння волна червей, начавшаяся с WannaCry.

И вот вроде бы все нужные обновления регулярно ставим, но червь как-то просочился на несколько компьютеров. По совокупности защитных мер ничего страшного не произошло, тем не менее выводы на будущее надо было сделать. Читать далее

Анализ AD паролей


Для анализа безопасности паролей в Active Directory нужно выгрузить хэши паролей и потом прогонять их через специальные программы, которые делают проверки на «хорошо известные» пароли и пытаются взломать хэши. Здесь пойдет речь о простейшем способе выгрузки хэшей паролей. Читать далее

Изменения в применении групповых политик GPO


С появлением обновления безопасности KB3163622 могут возникнуть проблемы с применением групповых политик. Суть в том, что фильтрация применения GPO, основанная на учетных записях пользователей (и группах пользователей), работать не будет. В то же время для GPP фильтрация Item-Level Targeting будет работать как и прежде.

Подробнее у Дмитрия Разборнова

И в статьях KB3163622 и KB3159398

Скрипт для поиска проблемных GPO

Централизованная система управления паролями встроенных учётных записей администраторов


Долгое время у администраторов корпоративных сетей на базе Active Directory существовала головная боль по поводу встроенных административных локальных учётных записей (Built-In Administrator) и их паролей. Читать далее

Скрипт инвентаризации структуры DFS


Distributed File System (DFS) достаточно удобная вещь для консолидации ресурсов файловых серверов. По мере разрастания структуры DFS становится актуальным её аудит и очистка от мусора. Читать далее