📼 Архив видео Channel 9
https://walkingcat.github.io/ch9-index/index.html

Microsoft потихоньку убивает с разной степенью жестокости старые добрые ресурсы:
• блоги MSDN/TechNet все-таки вернули в архивном виде
• старые статьи MSKB удаляют безвозвратно
• скрипты галереи TechNet "живые" авторы могли перенести на GitHub, а остальное кануло в лету

Что характерно, осенью 2021 года Microsoft удалила целиком все файлы этих ресурсов - вложения и картинки блогов, архивы со скриптами и т.д. 🙉

📅 В прошлом году дошла очередь и до Channel 9 - главном техническом видеоресурсе для ИТ-специалистов и разработчиков. Формально ресурс стал частью Microsoft Learn. Но, как я понял, туда попали только активные шоу, а все остальное похоронили.

⌛️ Искать в архиве можно разве что поиском по странице, но и то хлеб. Например, в разделе Blogs почти 2700 видео с российского ресурса TechDays, который давно закрыли, а ролики загрузили в Channel 9. Когда-то OSZone в рамках партнерства с российским офисом Microsoft внедрял у себя все эти видео. Теперь это все быльем поросло...

Так или иначе, пока живы прямые ссылки на видео, с помощью архива можно быстро скачать самое ценное. Рядом с каждой ссылкой значок веб-архива ведет на архивную копию страницы Channel 9, откуда также можно скачать видео и дополнительные материалы к ролику ✌️

🧩 Позавчерашней викториной я решил проверить новую форму подачи информации в канале. Надеюсь, вам понравилось!

Я выбрал не самый очевидный вопрос и понимал, что многие будут отвечать не проверяя в системе - это нормально. Но все-таки я удивлен самым популярным неправильным выбором 🤷‍♂️ Получается, что большинство не знает супер-сочетание клавиш для запуска команд из "Выполнить" от имени админа.

После публикации мне в личку и чат написали несколько человек. Отвечу на их вопросы и тезисы в канале.

🔹 Сочетание клавиш не работает
Такое возможно, если выпилены приложения XBOX. Проверяется в #PowerShell: Get-AppxPackage *xbox*. Кроме того, необходимо активировать любое окно 👈 Если просто ткнуть в панель задач или свернуть все окна, запись не начнется. Наконец, запись не работает на древних видеокартах. Об этом напишут на экране, но только если пытаться записать из приложения GameBar (Win+G).

🔹 Записывается только приложение, активное на момент начала записи
Да, ведь эта фишка для записи игры 🎮 На практике зачастую и нужно одно приложение записать. Ценность фичи в том, что она есть из коробки.

Для остального есть масса стороннего ПО, в том числе прекрасный ScreenToGif, о котором я писал в канале. Там же упомянуто и сочетание клавиш из викторины ;)

🔹 Непонятно, куда сохраняется запись
По окончании записи должно быть уведомление. К сожалению, не стандартное, а оверлеем. Если ткнуть в него, откроется галерея и сведения о записи, см. картинку. Но можно проявить смекалку и найти запись... в стандартной папке Видео :)

🔹 Это не считается, потому что функция не встроена в систему
Приложение входит в поставку ОС (адепты LTSC сами себя лишили фичи). Это все равно что отрицать способность ОС открывать текстовые файлы. Магия исчезнет, стоит вам выпилить блокнот. И да, теперь это легко ✌️

⚙️ О предотвращении установки проблемных обновлений Windows

Довольно долго Microsoft предлагала скрывать проблемные обновления с помощью пакета Fix It под названием WuShowHide. Он был абсолютно необходим потому, что в домашних изданиях не было возможности поставить обновления на паузу.

⌛️ Существовало аж две статьи базы знаний, из которых можно было скачать пакет: KB3183922 и KB3073930. Одна была про драйверы, вторая - про обновления ОС. Теперь обе ссылки ведут в FAQ по Windows Update, но про скрытие обновлений там не упоминают и на пакет не ссылаются.

⬇️ Прямая ссылка пока жива, впрочем. И я даже залил файл к себе в блог, когда Microsoft прекратила поддержку Fix It. Иначе мог потерять смысл рассказ об этом средстве в моей статье про доставку обновлений.

В версии #Windows10 1903 появилась пауза в домашних изданиях, правда лишь на неделю. Обновления драйверов вроде тоже перестали форсировать 🙏 FAQ по WU теперь предлагает именно паузу в качестве временного решения. Рекомендация скрывать обновления с помощью wushowhide практически потеряла актуальность. Поэтому в FAQ ее нет. Но есть нюанс...

Пауза - это палка о двух концах. Если удалить проблемное обновление и задать паузу на неделю (дефолт), то с большой вероятностью за семь дней ничего не исправят и придется повторять упражнение. Если же притормозить обновления на максимальные 5 недель (до следующего накопительного), можно пропустить внеочередное обновление безопасности 🔓

Впрочем, такие случаи редки, да и пишут о них на каждом углу. В конце концов, все исправления безопасности можно скачать вручную из каталога MU ✌️

⚙️ О процессах vmsp.exe и vmplatformca.exe

Сегодняшний пост публикуется в рубрике "Я просто оставлю это здесь", потому что проблема скорее всего специфична для моего железа. Я обратил внимание, что в моей системе эти два процесса потребляют ровно по 12% CPU каждый.

Оба продолжали работать даже после выключения всех ВМ Hyper-V. И если vmsp успешно убивался, то vmplatformca возрождался сразу после завершения. Завершить его удавалось только перезапуском службы Host Guardian Client Service (HgClientService).

Restart-Service HgClientService; Stop-Process -Name vmsp,vmplatformca -Force

🔐 Я уже видел vmsp у себя ранее. VMSP означает Virtual Machine Security Process, т.е. процесс безопасности виртуальной машины. Тогда я установил его связь с диском хранилища ключей (key storage drive) в ВМ Hyper-V первого поколения. На этом маленьком диске хранится ключ BitLocker, что позволяет зашифровать системный диск ВМ без виртуализации TPM.

ℹ️ На смену первому поколению ВМ давно пришло второе, с поддержкой виртуализированного модуля TPM. Логично было предположить, что у процесса vmsp ноги растут оттуда же. И действительно, TPM был включен на моих ВМ с #Windows11, потому что это позволяло установить новую ОС без плясок с бубном.

Возможно, причина потребления CPU в конфликте аппаратной конфигурации / драйверов немолодого ноутбука ThinkPad с реализацией Hyper-V 🤷‍♂️

После отключения TPM и перезапуска ВМ оба процесса перестали появляться. В моих задачах виртуализации наличие TPM не критично. Но если вы успешно решали такую проблему, отпишитесь в чате ✌️

👀 Новый диспетчер задач в последней инсайдерской сборке
https://twitter.com/XenoBetaStuff/status/1483885636247601153

Включение

vivetool addconfig 35908098 2
vivetool addconfig 36898195 2
vivetool addconfig 37204171 2
vivetool addconfig 15681380 2
vivetool addconfig 8749962 2

Community объясняет происходящее:
По всей видимости, обновлённый «Диспетчер задач» создаётся с использованием технологии XAML Islands, которая позволяет использовать современные элементы управления WinUI в устаревших приложениях.

В итоге инструмент получил новый заголовок окна, новое навигационное меню, новый раздел настроек, но в области контента выводится привычные разделы из старого «Диспетчера задач».

⚙️ Новое в блоге: Как предотвратить назначение буквы разделу или получить доступ к служебному разделу

Я решил написать в блог после очередного вопроса в чате инсайдеров. Срыва покровов тут нет, но полезно было систематизировать раскиданные по документации технические сведения и разобрать ключевые моменты.

Также было любопытно посмотреть, как решает эти задачи #PowerShell в сравнении с diskpart.

➡️ https://www.outsidethebox.ms/21409/

⚙️ Об изменениях в управлении групповыми политиками в смешанной среде Windows 11 и Windows 10

До выхода #Windows11 достаточно было использовать шаблоны групповой политики от новейшей версии Windows. Если параметр не работал в предыдущей версии, он игнорировался. Это работало потому, что шаблоны обладали обратной совместимостью. Она не исчезла, но теперь наборы шаблонов отличаются! Одни шаблоны доступны только в Windows 11, а другие - только в Windows 10 🙉

➡️ На днях в блоге Core Infrastructure and Security появился пост с разъяснениями: Windows 10 or Windows 11 GPO ADMX - Which One To Use For Your Central Store?

ℹ️ В центральное хранилище можно скопировать только один набор ADMX. Поэтому предлагается опираться на доминирующую ОС. Допустим, ваша организация уже переходит на Windows 11. Тогда в центральное хранилище помещаются шаблоны новой ОС, а с #Windows10 предлагается поступить так:

1. Установить новейшую версию Windows 10 (21H2).
2. В дополнительных компонентах установить RSAT: Group Policy Management Tools.
3. Задать в реестре параметр EnableLocalStoreOverride = 1.
4. После перезагрузки использовать установленную оснастку Group Policy Management для управления политиками. Административные шаблоны теперь подтянутся из локального хранилища.

В посте приводится таблица различий между шаблонами Windows 11 и Windows 10 версии 21H2, а также ссылки на них ✌️

⚙️ Обход системных требований Windows 11 при чистой установке с помощью файла ответов

Я уже публиковал все параметры реестра для обхода проверок, заложенных в программу установки ОС. Нераскрытой оставалась лишь тема автоматизации процесса. Это легко!

👉 На этапе установки windowsPE параметры импортируются в реестр асинхронными командами из файла ответов. Его надо положить в корень флэшки или ISO.

ℹ️ И если уж вы беретесь автоматизировать этот аспект установки, логично ускорить и другие. Вам поможет #классика блога с простым файлом ответов. Вы можете просто скопировать в компонент Microsoft-Windows-Setup узел RunAsynchronous (строки 9-35) из прикрепленного ниже файла.

Публикация этого способа - не призыв к действию. Однако в некоторых случаях прием может пригодиться. Я на прошлой неделе рассказывал, что виртуализация TPM в Hyper-V у меня сопряжена с повышенным потреблением CPU. Конечно, можно просто выключать TPM в ВМ после развертывания #Windows11. Но когда я недавно тестировал различные аспекты установки и вытекающих из нее процессов, мне быстро надоело переключать настройку туда-сюда ✌️

⚙️ Устаревшие политики Windows Update в Windows 11 и Windows 10 20H2+

Продолжу тему странностей в групповых политиках. На прошлой неделе в блоге Windows IT Pro появился пост Why you shouldn’t set these 25 Windows policies. На самом деле их 24, причем в списке политики не только групповые, но и CSP (Configuration Service Provider). Их применяют в решениях для MDM - в частности, Microsoft Intune.

ℹ️ Microsoft объясняет, что по мере эволюции Windows Update к версии 20H2 накопилось много политик, которые вообще не работают или не функционируют в соответствии с их описанием. Какие-то политики заменили новыми, a 7 из 35 групповых политик WU в Windows 10 не работали изначально. Впрочем, это теперь явно указано в их описаниях.

В #Windows11 устаревшие групповые политики собрали в отдельную папку Legacy Policies. А в #Windows10 не собрали 🙄 Вам придется ориентироваться как и прежде по описаниям политик (Supported on), но теперь можно еще сверяться с блогом.

При этом важно понимать три момента.

1️⃣ В Windows 11 все устаревшие групповые политики не поддерживаются, и в будущем их выпилят. В Windows 10 работающие политики поддерживаются, но применять их Microsoft не советует.

2️⃣ Помещение групповой политики в список устаревших не означает, что она не работает. Туда могут попадать действующие политики, потому что на замену выпустили более гибкий вариант или поменялась политика... партии! Нужно читать объяснения в таблице.

3️⃣ Групповая политика может заменяться политикой CSP или не иметь там прямого эквивалента, и в этом случае предлагается использовать какие-то другие политики - групповые или СSP. Однако актуальная рекомендация Microsoft может не приводить к такому же эффекту, как использование устаревшей политики. На днях я объясню это отдельным постом на конкретном примере.

В целом, попытка расчистить Авгиевы конюшни засчитана! Лучше поздно, чем никогда. Но непонятно, что помешало навести порядок 15 месяцев назад. Возможно, бюджет нашелся только под новую ОС ✌️

☁️ О переносе списка приложений в Windows 11

В описании вышедшего 25 января предварительного обновления KB5009596 для #Windows10 есть интересный абзац.

Adds a new feature called Sync Your Settings for users who are migrating to Windows 11, original release. You’ll use Sync Your Settings to automatically back up a list of your applications to your Microsoft Account. Then, you can quickly restore those application on a Windows 11, original release device. This new feature that will deploy over the coming weeks.

ℹ️ Вкратце, в систему добавили новую возможность. Теперь список установленных приложений сохраняется в учетной записи Microsoft (MSA), и после перехода на #Windows11 их можно быстро восстановить. Эта функциональность будет развертываться в ближайшие недели.

🧩 Пока для меня это - самая загадочная фича Windows 11. Если во время установки системы вы входили с MSA, то могли видеть новый экран OOBE, он на картинке↓ Список систем сопровождает расплывчатый текст: после входа в систему у вас будет возможность восстановить приложения с предыдущего ПК.

⚙️ В Windows 11 управление возложено на переключатель Remember my apps в параметрах синхронизации. В Windows 10 там ничего подобного не появляется после установки KB5009596.

Вероятно, речь только про магазинные приложения, потому что перенос классики - слишком сложно и ненадежно. Скриншот я сделал до появления фичи в Windows 10, поэтому там только физические ПК и ВМ с Windows 11. Но что бы я не выбирал, после первого входа мне не поступало предложений восстановить приложения по списку 🤷‍♂️ Равно как их автоматической установки не происходило.

Возможно, только у меня что-то не работало. Но более вероятно, что фича еще не была включена в облаке, а заработает только теперь. На это намекает последнее предложение в ее описании из статьи KB. В общем, расскажите в чате, когда / если вам удастся ее завести ✌️

🏒 О шайбах Microsoft

Недавно я писал о народной любви, сегодня пятничный рассказ о признании Microsoft. Я 15 лет подряд получал от компании награду наиболее ценный специалист - сначала Microsoft MVP, потом Windows Insider MVP. Физическая награда приходила в коробке: диплом (самый первый тут), памятный значок и стеклянная шайба с годом награды.

В 2000-х каждый год дарили отдельную стеклянную стелу, как на картинке справа↓ Но потом решили поберечь окружающую среду ♻️ В смысле деньги компании :) Теперь стела одна, и на нее нанизываются шайбы. У Microsoft MVP шайбы круглые, а у Insider MVP - квадратные, такая дань плиткам, видимо 🤷‍♂️

В какой-то год изготовитель инсайдерских шайб накосячил - они не насаживались на боковое ребро стелы 🤦‍♂️ Пришлось их заново выпускать и рассылать по всему миру. Я, кстати, отказался, т.к. шайба нормально садилась на верхнюю грань подставки. И вообще, кривизна - нормально же для инсайдерской шайбы! :) Но другие лауреаты очень переживали в Yammer.

Каждые 5 лет присылают юбилейную шайбу - 5 years, 10 years. Это делается не просто так, а чтобы у ветеранов на подставке хватило места. Это мы узнали совершенно точно, когда Вадимс Поданс запросил у программы Microsoft MVP новую стелу и получил отлуп. Мол, ежегодные снимай, пятилетние надевай! :) Но, как видно на картинке, там еще сверху полно места 👌

А так, самым ценным в программе Microsoft MVP было то, что я познакомился с замечательными людьми. И до сих пор поддерживаю с некоторыми из них отношения 🏈 Инсайдерская же программа MVP была исключительно онлайн. Рулевых программы можно было встретить разве что на саммите MVP в Сиэттле. Или в Африке, куда они любили ездить в поисках новых вдохновляющих историй :)

В инсайдерской программе российских MVP больше нет, по крайней мере публичных. Для меня последним стал 2020 год. Я номинировал Антона Капранова, лидера Community, и он получил награду. Но вскорости инсайдерская программа предъявила ему, что некошерно публиковать на сайте перевод статьи Windows Central о Sun Valley (Windows 11), поскольку ОС была недоступна публике 🙉

Это не нарушало правил программы, но озвученная политика партии не оставляла особого выбора. Антон проявил принципиальность, поэтому теперь у него новых шайб не предвидится :)

Задумались о своей шайбе? Критерии для номинантов в Insider MVP вы найдете в последнем абзаце письма из этого поста. Однако сейчас процесс номинации - тайна за семью печатями. На вопрос о нем не ответили в Твиттере ни официальный аккаунт инсайдерской программы, ни ее руководительница 🙄

⚙️ Файл ответов: выбор между синхронными и асинхронными командами

Для обхода системных требований #Windows11 я воспользовался асинхронными командами на этапе windowsPE. В личку прилетел вопрос, почему именно ими, а не синхронными.

👉 Разницу объясняет документация по параметрам файла ответов. Асинхронные команды выполняются одновременно, а синхронные - последовательно, т.е. следующая не начинается до завершения предыдущей.

ℹ️ В случае с обходом требований у меня было пять команд, каждая импортировала один параметр в реестр. Одновременный импорт асинхронными командами меня устраивал. Синхронные тоже сработали бы, конечно.

Для импорта параметров реестра в профиль Default я задействую синхронные команды. Потому что надо последовательно подключить ntuser.dat, внести в него изменения и отключить куст. Я подробно разберу это в ближайшей статье блога 👌

Впрочем, у Microsoft не бывает все просто. Начиная с Windows 10 на этапе oobeSystem синхронные команды в FirstLogonCommands выполняются асинхронно (других этапов это не касается). Видимо, поведение поменяли с целью ускорить вход на рабочий стол. Однако асинхронность можно вернуть, путем внесения изменений в реестр на более раннем этапе установки... синхронной или асинхронной командой 😎

⚙️ Почему теперь считается устаревшей групповая политика NoAutoRebootWithLoggedOnUsers

Сегодня вторая часть разбора устаревших групповых политик Windows Update (первая тут). Я не мог пройти мимо политики "Не выполнять автоматическую перезагрузку, если в системе работают пользователи". Ведь она фигурирует в моей статье Как избежать нежелательной перезагрузки после установки обновлений Windows 👌

Оригинал объяснений Microsoft на картинке, курсивом мой вольный перевод ключевых утверждений, остальное - мои комментарии.

У этой групповой политики нет эквивалентной политики CSP.
Это - не проблема для работы групповой политики в Windows. Видимо, политику CSP решили не делать из-за нежелательных эффектов групповой.

Групповая политика не работает в точности как описано.
Непонятно, что именно не работает 🤷‍♂️

Применение политики может привести к тому, что накопительные обновления не установятся, потому что многие пользователи сейчас не выходят из системы.
Это лишь подтверждает, что политика работает, препятствуя перезагрузке. Да, последствия применения политики могут оставлять систему уязвимой, о чем я писал в статье. Но это верно уже много лет и никак не связано с выходом новых версий Windows.

ℹ️ По сути предлагается использовать групповую политику "Указание крайних сроков для автоматических обновлений и перезапусков" (ConfigureDeadlineNoAutoReboot=1) или эквивалентную ей политику CSP. Тем самым перезагрузка без ведома пользователя не произойдет до заданного политикой дедлайна.

👉 Однако при наступлении крайнего срока система уйдет в перезагрузку вне зависимости от выполненного входа пользователя! То есть фактически возникнет ситуация, которую призвана предотвратить объявленная устаревшей политика.

Конечно, можно не вникать в такие детали, а просто следовать главной рекомендации Microsoft. Ее даже озвучили в конце поста в блоге - используйте стандартную конфигурацию, которая эффективно поддерживает актуальность системы и доставляет лучший опыт 😎

⚙️ О настройках разработчика и создании ссылок NTFS

В позавчерашней викторине было много вариантов ответа и ложных следов соответственно. Поскольку на объяснение дается лишь 200 символов, я решил подробно разобрать вопрос в канале.

Напомню команду в задаче:
mklink f:\notepad.exe %windir%\notepad.exe
и разберу варианты ответа по порядку.

❌ Ярлык на блокнот
В Windows нет специальных утилит или команд для создания ярлыков, хотя можно задействовать WSH. Из сторонних утилит первой на ум приходит nircmd, конечно.

❌ Жесткая ссылка на блокнот
Жесткая ссылка создается с параметром /h, которого в команде нет. Но даже если б он был, жесткие ссылки возможны только в пределах одного тома. А у нас разные диски, которые в один том не объединены по условию задачи.

✅ Символическая ссылка на блокнот
Это - правильный ответ. Следующие четыре варианта для отвода глаз. Их выбрали в совокупности более половины участников викторины.

❌ Ничего, нет прав на выполнение mklink
Команда выполняется с обычными правами, но по условиям задачи также включены настройки разработчика. Начиная с Windows 10 1703 это помимо прочего позволяет создавать ссылки NTFS без прав администратора. То есть mklink при запуске с обычными правами отработает нормально. Я рассказывал об этом в блоге, кстати.

Вернемся к жесткой ссылке. Допустим, она создается на блокнот в пределах тома "C":
mklink /h c:\temp\notepad.exe %windir%\notepad.exe
Права на запуск есть, но результатом будет "отказано в доступе", потому что владельцем блокнота является TrustedInstaller! Команда сработает только при запуске от имени TI.

❌ Ничего, со съемными дисками это не работает
Пожалуй, это можно выяснить только эмпирически. И да, я перепроверил прежде чем включать этот вариант :)

❌ Ничего, нет прав на запись в корень диска
Это - отсылка к одной из прошлых викторин. Там действительно запись в корень не сработала, потому что в задаче был раздел с ОС. У съемных дисков разрешения NTFS по умолчанию другие.

❌ Ничего, неверный синтаксис команды
Я сам долго путал порядок параметров, но после многократного вызова справки mklink выучил его: Link Target. В команде все верно: f:\notepad.exe - это ссылка, а %windir%\notepad.exe - ее назначение.

Бонус: статьи про ссылки NTFS в блоге ✌️

⌛️ О дефрагментации MFT и старой документации Microsoft

В комментариях блога один из читателей засветил на скриншоте аж два сторонних дефрагментатора. Оказалось, один ему нужен был для MFT. Я заметил, что встроенный дефраг умеет это уже лет 15.

🗄 Доставить пруфы по запросу оказалось нелегко, хотя я знал ОС (в 2006 вышла Vista) и даже помнил примерное название статьи в базе знаний Microsoft. Оттуда ее выпилили раньше, чем Вадимс Поданс завел свой уютный архив. Google не помог, все погребено под тоннами более современного инфошума. Мы пойдем другим путем - ссылка нашлась в одном из обсуждений дефрага в форуме OSZone!

🌐 Статья была KB942092: Features of the Windows Vista hard disk defragmentation utility. В веб-архиве текст исчезает после загрузки страницы, но Invoke-WebRequest рулит - PDF для любознательных здесь. Upd. Вадимс добавил статью в свой архив https://mskb.pkisolutions.com/kb/942092

Но дальше еще интереснее! Тот же пост форума содержал ссылку на KB227463: Disk Defragmenter Limitations in Windows 2000, Windows XP, and Windows Server 2003. Ее не удалили, а перенесли в документацию. Только из названия убрали версии ОС и сделали применимой к Windows 10 / Server 2012 🙄

Да, официальный док теперь ошибочно гласит что дефраг Windows 10 построен на стороннем Diskeeper 🙈 Но, кстати, про неумение дефрагментировать MFT там ничего нет. Копаем дальше!

🕒 В том разделе документации много таких архивных статей, например, KB174619. Там сказано In Windows, the defrag utility defrags the MFT. Но удаление версий ОС по всему тексту скрыло срок давности. Порывшись в веб-архиве, можно выяснить, что в NT 4.0 / Windows 2000 дефрага MFT еще не было, а в XP появился.

Таким образом, встроенный дефраг справляется с MFT почти 20 лет. Наверное, уже можно забыть про стороннее ПО ✌️

😎 Подкайки реестра и подметатель веб-сайтов-шпионов

От создателей выиграть и развращения данных 👌

#автоперевод