Archive for the ‘Windows Server 2008’ Category

Listarea utilizatorilor din AD in functie de data crearii lor

Daca aveti nevoie sa listati utilizatorii din AD in functie de data crearii lor (de la primul user creat pana in prezent, sau puteti sa ii filtrati si numai pentru o anumita perioada data), folosit scriptul urmator:


$Start = Get-Date -Day 01 -Month 01 -Year 2014 -Hour 00
$End = Get-Date -Day 09 -Month 11 -Year 2015 -Hour 23 -Minute 59
Get-ADUser -Filter * -Properties whenCreated | ? { ($_.whenCreated -gt $Start) -and ($_.whenCreated -le $End) } | Format-Table Name,WhenCreated,DistinguishedName -Autosize –Wrap > C:/User.csv

Partea cu > C:/User.csv este ca sa va exporte lista pe C:/ intr-un fisier .csv. Daca nu doriti asta ci vreti sa vedeti lista in consola, omiteti aceasta parte.

Enjoy

Introducere in PowerShell

Introducere in PowerShell

Am decis ca ar fi util sa scriu o serie de articole legate de PowerShell: ce este, cum il folosim si mai ales de ce.

Un prim articol il puteti gasi aici

Daca aveti sugestii, completari, intrebari sau chiar critici, imi puteti scrie pe adresa:

info@helpdeskcloud.ro

Pe data viitoare!

Cum folosim Group Policy pentru a controla Encrypting File System (EFS)

Azi am fost intrebat cum poti cripta si controla securitatea datelor pe un server Windows. Am spus ceva legat de criptarea datelor si de Group Policy, fara sa fiu insa prea clar in explicatii. Dindu-mi seama ca aceea a fost o intrebare buna, mi-am zis ca merita un raspuns putin mai detaliat, asa ca m-am pus pe scris articolul de fata :)
Encrypting File System (EFS) este o opțiune puternica si (mai ales) gratuita, pentru protejarea datelor stocate pe computerele Windows. EFS a fost inclusa in fiecare sistem de operare de la Windows 2000 incoace. EFS poate fi utilizata securizarea mediului de stocare a datelor. Cu toate acestea, s-ar putea sa nu doriti sa folositi EFS peste tot si sa doriti sa ii restrangeti aria de utilizare si sa aveti control asupra utilizarii EFS. Astfel, puteti sa va folositi de GPO pentru a gestiona EFS.

Cele două etape de Management EFS

EFS are două niveluri de configurare. Primul nivel este stabilit la nivel de calculator, ce prevede dacă va fi sau nu va fi chiar suportata și disponibila aceasta optiune. Al doilea nivel este la nivel de folder și fișier, care realizează criptarea de date.

Windows 2000 (Server și Professional), Windows XP Professional, Windows Server 2003, Windows Vista și Windows Server 2008, toate aceste OS suporta criptarea datelor care se afla pe computer. In mod implicit, toate aceste calculatoare accepta criptarea datelor folosind EFS. Desigur, acest lucru poate fi un lucru negativ, pentru ca unele date sau unele calculatoare nu ar trebui să cripteze date din cauza logisticii.

Si prin logistica ma refer la faptul de a permite utilizatorilor sa cripteze date. Din moment ce toate computerele accepta criptarea în mod implicit și orice utilizator poate cripta,iar datele pot fi criptate pe desktop (local), precum și date care sunt partajate în rețea. Figura 1 ilustreaza opțiunea în cazul în care datele pot fi criptate pe un computer cu Windows XP Professional.

1

Pentru a accesa opțiunea de criptare prezentata în figura 1, aveti nevoie doar sa accesati proprietățile fișierului sau dosarul (folderul) pe care doriți sa-l criptati prin click-dreapta pe obiect, apoi selectand Properties. Apoi, selectati butonul Advanced din caseta de dialog Properties, care va arata la randul sau, caseta de dialog Atribute avansate.

Controlul suportului de EFS pentru calculatoare într-un domeniu Active Directory

Atunci cand un calculator se alatura unui domeniu Active Directory, el nu mai are controlul asupra faptului daca accepta sau nu accepta EFS. În schimb, politica de domeniu implicita stocata în Active Directory (Default Domain Policy) controleaza aceasta capacitate. Toate computerele care sunt integrate intr-un domeniu Windows Active Directory suporta EFS. suport de domeniu Active Directory, prin simpla aderarea la domeniul.

Problema este ca domeniile din Windows 2000 se ocupa de aceasta configuratie Default Domain Policy in mod diferit decat Windows Server 2003 si Windows Server 2008 (da, va veti intreba cine mai utilizeaza azi servere avind pe ele Windows 2000 server instalat. Ei bine, credeti sau nu, am intilnit anul trecut 2 cazuri de genul asta).

Windows 2000 – Controlul asupra EFS

In Windows 2000 EFS va fi suportat diferit diferit decat in sistemele de operare de mai tarziu, motiv pentru care configuratia EFS este diferita în Default Domain Policy. Pentru Windows 2000, cheia pentru activarea si dezactivarea EFS este tot pe baza certificatului de agent de recuperare EFS, inclusa în Default Domain Policy. În mod implicit, contul de Administrator are acest certificat si este configurat ca agent de recuperare de date. (Daca nu exista nici un certificat de recuperare de date, EFS esueaza.)

Pentru a accesa aceasta configuratie în Default Domain Policy,, urmati calea în Group Policy Editor:

Computer Configuration \ Windows Settings \ Security Settings \ politici publice cheie \ criptate agenti de recuperare de date

În aceasta locatie, veti vedea EFS File Encryption Certificate for the Administrator, ca figura 2.

2

Aceasta configuratie este cea care ofera tuturor computerelor posibilitatea de a cripta fisiere. Pentru a elimina aceasta capacitate, ar trebui sa stergeti doar Administrator Certification din GPO. Daca ati dori sa oferiti EFS la doar cateva computere în Active Directory, ar trebui sa urmati acesti pasi:

Creati un nou GPO si legati-l la o unitate organizationala (OU) care contine toate calculatoarele care au nevoie sa suporte criptare.
Accesati Encrypted Data Recovery Agents node în GPO si adaugati într-un certificat care suporta recuperarea de date EFS.
Acest lucru va oferi calculatoarelor la care se aplica GPO abilitatea de a utiliza EFS pentru datele care sunt stocate pe computerele respective.

Windows 2003 si 2008 – controlul asupra EFS

Cele mai noi domenii si sisteme de operare (cele aparute mai tarziu decat Windows 2000) suporta EFS într-un mod similar, dar cu unele diferente specifice.

Nu mai este nevoie de agent de recuperare de date pentru criptare (cum era in Windows 2000).
EFS nu mai este controlat prin includerea certificatului de agent de recuperare de date în GPO.
EFS suporta accesul utilizatorilor multipli la fisierele criptate.
Prin urmare, pentru Windows 2003 si Windows 2008, vom avea un set diferit de taskuri de efectuat, în scopul de a controla EFS pe computerele din domeniu. Setarea exista in continuare in Default Domain Polic, dar noua cale pe care va trebui sa o accesati este:

Computer Configuration \ Windows Settings \ Security Settings \ Politici Publice cheie \ Encrypting File System

Acum, în loc de a modifica data recovery agent, va trebui sa faceti clic dreapta pe Encrypting File System node. Din optiunea meniului afisat, selectati Properties. De acolo, va aparea o caseta de validare (check box) care spune „Allow users to encrypt files using Encrypting File System (EFS)” pentru domeniile voastre Windows 2003. In Windows Server 2008 interfata s-a schimbat radical, oferind suport granular de EFS din Property, asa cum se arata în figura 3.

3

Nota Observati ca pe tab-ul General exista un buton radio cu mentiunea „Nu permiteti”. Aceasta optiune dezactiveaza EFS pe TOATE computerele din domeniu. De asemenea acolo veti observa si multe alte optiuni disponibile pentru controlul EFS.

Aveți posibilitatea de a viza, de asemenea, doar anumite calculatoare din domeniu, urmand pasii de mai sus in sectiunea de domeniu Windows 2000.

In concluzie: EFS este un instrument foarte puternic și util. Se pot cripta datele stocate pe computerele Windows. Criptarea va ajuta la protejarea impotriva utilizatorilor sau atacatorilor care incearca sa acceseze datele, dar nu au acces sau capacitatea de a decripta datele. EFS este un proces in două etape, dar in primul rand EFS trebuie să fie activat pe computer. Aceasta poate fi controlata prin Politicile de grup (GPO), și este activa de indata ce calculatoarele adera la un domeniu. Administratorii au puterea de a activa sau dezactiva EFS pe orice calculator in domeniul prin configurarea unui GPO. Prin dezactivarea EFS pentru toate calculatoarele din domeniu si apoi crearea si configurarea unui nou GPO, calculatoare specificate nu mai pot utiliza EFS.

Windows 2008 – Instalarea si configurarea DNS cu AD DS

Instalarea si configurarea DNS cu AD DS, publicata o gasiti aici

Cum activezi Windows pentru 360 de zile, fara sa ai licenta

Cum activezi Windows pentru 360 de zile

Windows 7 si Server 2008 R2

Varianta cea mai simpla ar fi:
Click pe Start->All Programs->Accessories
Click dreapta pe Command Prompt si alegeti „Run as administrator”.
In consola tastati:
slmgr -rearm
Asteptati pina apare un mesaj de confirmare si apoi restartati.

Daca dupa restart la verificarea perioadei de activare va apare ca mai sint totusi doar citeva zile, puteti incerca asta:

Click pe Start->All Programs->Accessories
Click dreapta pe Command Prompt si alegeti „Run as administrator”.
In consola tastati:
cd C\ (change directory – schimbati in radacina, in C:\)

slmgr.vbs /skms skms.eservices.virginia.edu si apasati Enter

Veti primi un mesaj de genul:
“Key Management Service machine name set to skms.eservices.virginia.edu successfully”

Cum activezi windows
In cazul in care primiti o eroare, verificati daca ati scris comanda corect, daca ati lasat spatiile necesare etc si refacti pasii de mai sus.

Tastati (sau copy/paste) comanda de mai jos:

slmgr.vbs /ato si apasati Enter.
Va aparea “Product activated succesfully” .
Cum activezi windows pas 2

Inchideti consola.
Click pe Start button. Click dreapta pe Computer si apoi click pe Propeties.
Sub Windows activation veti vedea “Windows is activated.”