Удаленное администрирование серверов Dell PowerEdge — часть 1

Почти два года назад арендовали в дата-центре стойку с десятком серверов Dell под новую ИТ-инфраструктуру, «закладывались» основательно:

  • у каждого сервера есть резервный блок питания
  • используются дисковые массивы RAID-10 на высокоскоростных 10k и 15k SAS дисках (каждый RAID-массив с hotspare дисками)
  • установлены 2-х и 4-х портовые гигабитные сетевые карты
  • в серверах есть контроллеры удалённого доступа iDRAC 7 Enterprise
  • сама стойка имела 3-уровневую отказоустойчивость по электропитанию и резервирование каналов связи

Как водится, планы наполеоновские, рук не хватает, работа кипела в режиме «цейтнот». Изначально планировалась вся инсталляция силами тех. поддержки дата-центра вплоть до установки последних апдейтов на хостовые ОС, однако по факту самостоятельно они смогли лишь воткнуть в стойку сервера, а по остальным манипуляциям (создание RAID-массивов, установка ОС/драйверов и пр.) меня постоянно дергали с глупыми вопросами, поражая своим уровнем некомпетентности. В итоге кое-как работы приняли, ни о каких оповещениях и мониторинге железа и хостовых ОС уже и речи не было. Мне же некогда было даже зевнуть, так что, учитывая изначальный запас прочности на физическом уровне и кластерную инфраструктуру, я на тот момент махнул рукой.

Сейчас же появилась необходимость на парочке хостов развернуть начисто ОС с гипервизором, но как представил себе предстоящие нервотрепки с тех. саппортом ЦОД-а, руки сами зачесались наконец-то настроить удаленный kvm-доступ на физические сервера посредством технологии iDRAC с возможностью удаленной установки из образа или по сети, заодно обновить прошивки/драйвера и настроить мониторинг с оповещениями. Читать далее Удаленное администрирование серверов Dell PowerEdge — часть 1

Права доступа на файловом сервере в доменной среде

Постараюсь сформулировать набор общих правил/рекомендаций/тезисов по организации прав доступа на файловом сервере в доменной среде на серверах Windows Server 2012 R2, основываясь на собственном опыте и наблюдениях:

  1. На файловом сервере не устанавливаем никаких ролей и служб, кроме роли файлового сервера. Чем чище — тем лучше. Организовываем репликацию данных на другой файловый сервер, резервное копирование данных на backup-сервер, мониторинг/аудит/скрипты и все… RDP-доступ должен быть только у администраторов, не надо разворачивать терминальный сервер, устанавливать клиентское ПО и пускать на сервер пользователей.
  2. Доступ к данным для пользователей осуществляется посредством предоставления общего доступа к корневой папке (на мой взгляд, в идеале «расшаривается» только одна корневая папка). Нет смысла публиковать несколько папок, находящихся на одном диске и на одном уровне иерархии, так как все замечательно «рулится» правами доступа на вкладке «Безопасность» и опцией «Включить перечисление на основе доступа» (Access Based Enumeration или ABE) — папки, к которым нет доступа, не будут отображаться. На серверах Windows Server 2012 R2 опция ABE находится здесь:fs01Имеет смысл «расшаривать» несколько папок в следующих случаях: Читать далее Права доступа на файловом сервере в доменной среде

скрипт формирования отчета по правам доступа — часть 1

Представляю первую версию скрипта для формирования отчета по текущим правам доступа указанной папки $RootPath и ее подкаталогов. (В планах его оптимизировать, так что будет продолжение).

Скрипт не ищет права доступа для встроенных или системных субъектов безопасности, для включения этих объектов в поиск надо редактировать фильтр свойства IdentityReference.

Скрипт не ищет унаследованные права доступа подкаталогов, унаследованные права ищет только для корневой папки $RootPath. Для включения в поиск унаследованных прав подкаталогов надо редактировать или убрать фильтр свойства IsInherited.

Скрипт не фильтрует «мусорные» списки доступа, оставшиеся после удаления учетных записей (в списках доступа помимо учетных записей и групп доступа попадаются SID-идентификаторы «мертвых душ»).

Скрипт формирует csv-файл со следующими полями:

  • FullName — полный путь текущего каталога;
  • CreationTime — дата и время создания;
  • LastAccessTime — дата и время последнего открытия;
  • LastWriteTime — дата и время последнего редактирования;
  • FileSystemRights — права доступа (FullControl, Read, Modify и пр.);
  • AccessControlType — тип правила (Allow или Deny);
  • IdentityReference — субъект безопасности: учетная запись или SID;
  • IsInherited — унаследовано от родительской папки или нет;
  • InheritanceFlags — определяет семантику наследования элементов управления доступом («Только для этой папки», «Для этой папки и ее подпапок» и т.д.);
  • PropagationFlags — определяет порядок распространения действия элементов управления доступом на дочерние объекты.

Читать далее скрипт формирования отчета по правам доступа — часть 1

работа с API yandex mail в powershell — часть 2

Пример скрипта, который из папки «c:\tmp\csv\» перебирает все csv-файлы (фильтр отсутствует, поэтому в папке должны быть только csv-файлы «правильного» шаблона, имя каждого csv должно соответствовать имени почтового домена) и блокирует/удаляет почтовые ящики согласно отметкам в csv-файлах в графе comment: block или delete. Скрипт ведет 2 лога:  block_log.txt и delete_log.txt. Собственно сам скрипт с комментариями: Читать далее работа с API yandex mail в powershell — часть 2

вылетает диспетчер печати

Впервые столкнулся со следующей проблемой: на некоторых компьютерах пропали установленные принтеры (у юзеров естественно нет прав на удаление принтеров). Поверхностная проверка показала, что выпадает с ошибкой служба диспетчера печати. По логам ничего внятного не нашел, кроме ссылки на дампы падения spoolsv: «c:\ProgramData\Microsoft\Windows\WER\ReportQueue\» и «c:\ProgramData\Microsoft\Windows\WER\ReportArchive\».

На просторах интернета найдено решение:

del c:\Windows\System32\spool\PRINTERS\*.* /q /f
net start spooler

Запускать естественно с правами админа. Первая строчка чистит очередь печати, вторая запускает службу диспетчера печати. Без очистки очереди печати служба spooler при старте натыкается на некий «проблемный» файл, висящий в очереди печати, пытается его скормить принтеру и снова уходит в нокаут.

В моем случае этим проблемным файлом оказался документ Word (расширение doc). При открытии этого файла через Word Online — печатает успешно, при конвертации в pdf и печати из Acrobat-а — тоже все норм. При печати из MS Office — возникает описанная проблема. Служба вылетает при печати на принтеры HP LJ 1102/1212/1214. На принтер HP LJ M425dn печатает без проблем.