SCCM и перенаправление папок в терминальной ферме


В этом году использование технологий удаленной работы стало особенно популярным, и я уже поделился опытом эксплуатации терминальной фермы на основе Windows Server 2019 в предыдущих постах. Забыл упомянуть про один подводный камень. Если вы используете SCCM и перенаправление с помощью групповых политик папок на серверах терминальной фермы (таких как, например, Desktop и Documents), то в настройках SCCM клиента вам нужно выключить настройку «Enable user data and profiles», которая находится в Compliance Settings\Default Settings в той политике клиента, которая применяется в серверам. Если эта политика включена, то политики перенаправления папок не будут работать. Некоторые подробности можно найти на форуме. Удивительно, что новые классы WMI перекрывают настройки групповых политик, которые по определению должны иметь приоритет, но это факт.

AppLocker и CRL


Проверка списков отзыва сертификатов (CRL) полезная вещь позволяющая нам избежать взаимодействия с системами, у которых скомпрометирован сертификат.

Со временем политика использования сертификатов на Windows системах ужесточается. Мы все ощутили это в то время, когда RDP клиент на Windows 7 начал делать жесткие проверки сертификатов. Многие инфраструктуры пришлось тогда подчистить и подправить, чтобы пользователи не испытывали проблем с подключениями к удаленным рабочим столам.

Проверки CRL также могут вызывать проблемы — в виде задержек. Это уже было в нашем опыте с Sharepoint и Exchange серверами. Собственно это все тот же CAPI.

На днях выяснилось, что этой проблеме подвержен AppLocker. Оказывается, даже если он выключен, он всё равно работает где-то в недрах системы, пытается что-то проверять и даже провоцирует проверки сертификатов и CRL. А уж если он включен, и настроены правила Publisher, то и подавно.

Это имеет один неожиданный побочный эффект. Собственно так это и было обнаружено. Суть в том, что PowerShell имеет встроенную поддержку AppLocker, т.е. делает специальные вызовы API, чтобы проверить можно ли запускать тот или иной скрипт. Побочный эффект в том, что из-за проверок CRL в AppLocker PowerShell может работать медленнее: задержка запуска, задержки при загрузке модулей, задержки при выполнении скриптов.

Надо отметить, что эта проблема чаще всего возникает в изолированных сетях. Но иной раз и в сетях, которые просто неправильно сконфигурированы (фаервол и, особенно, DNS).

Неправильно сконфигурированные сети надо лечить.

Рекомендация для изолированных сетей простая: групповыми политиками уменьшить тайм-аут проверки CRL.

Ссылки:

Рекомендация отсюда

Обсуждение PowerShell

Group policy – настройка несистемных сервисов


В некоторых случая установка ПО сопровождается установкой дополнительного сервиса, который может оказаться совершенно не нужным. Такой сервис не только потребляет ресурсы, но может активно мешать пользователям. Например, установка Acrobat Reader тащит за собой сервис AdobeARMService. Если вы устанавливаете и обновляете ПО централизованно, а пользователи лишены административных прав, то постоянные напоминания об установке обновлений, которые порождает этот процесс, будут только раздражать пользователей.

Читать далее