Образ Windows 10/11 поставляется с предустановленными UWP/APPX приложений, таких как Погода, Новости, Карты, Музыка, Видео, и др.
Вывести установленные UWP приложения для всех пользователей:

Get-AppxPackage -AllUsers | select Name,PackageFullName

Любое из приложений можно удалить из профилей пользователей:

Get-AppxPackage *Weather* -AllUsers| Remove-AppPackage –AllUsers

А затем из системного хранилища, чтобы оно не устанавливалось новых юзерам:

Get-AppxProvisionedPackage -online | ?{$_.PackageName -like "*Weather*"} | Remove-AppxProvisionedPackage -online

Однако в Windows 11 большое число системных панелей управления, системных служб и расширений устанавливается в виде UWP. Например, панель Параметры, панель управления антивирусом и прочие. Нельзя удалять их бездумно. Вывести список системных UWP приложений:

Get-AppxPackage| ? { $_.SignatureKind -eq "System" }

✅ Удаление предустановленных UWP (APPX) приложений в Windows

⬆️ Windows позволяет повысить редакцию с младшей до более старшей без переустановки ОС с сохранением всех установленных программ, документов, настроек.

🖥 Для апгрейда редакции в десктопных версиях Windows 10 и 11 используется встроенная утилита changepk.exe. Это позволяет выполнить апгрейд в направлении Windows Pro -> Enterprise или Windows Home (single language)-> Pro

changepk.exe /ProductKey xxxxxxxxxxxxxxxx

На вход утилите нужно передать ваш ключ, или универсальный ключ (с которым ставится Windows, когда при установке ОС выбирается пункт “Пропустить ввод ключа)”
Как изменить редакцию Windows 10/11 без переустановки ОС?

🗄 В Windows Server для апгрейда редакции со Standard (или Evaluation) до Datacenter используется DISM:

DISM /online /Get-CurrentEdition 
DISM /online /Get-TargetEditions 
DISM /online /Set-Edition:ServerDatacenter /productkey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /accepteula

Апгрейд редакции Windows Server

🖨 Начиная с Windows 10 1511, Microsoft изменила порядок назначения принтера по умолчанию в Windows. Теперь Windows сама переназначает принтер по-умолчанию для пользователя, назначая таким тот, который в текущем местоположении использовался последним.
😞 Это вызывает проблему у пользователей, у которых подключены разные принтеры. В моем случае громче всех жаловался пользователь, у которого одновременно подключен принтер этикеток, цветной и обычный офисный принтеры.
✅ Запретить Windows переназначать принтер по-умолчанию можно,
🔹отключив опцию Let Windows manage my default printer в панели Параметры.
🔹через реестр:

REG ADD "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" -v LegacyDefaultPrinterMode /t REG_DWORD /d 1 /f 

🔹 или с помощью параметра групповой политики Turn off Windows default printer management в разделе User Configuration -> Administrative Templates -> Control Panel -> Printers редактора GPO.
Почему Windows меняет принтер по умолчанию.

📷 В атрибутах пользователя Active Directory можно хранить его фото, которое будет отображаться в приложениях с поддержкой этого функционала (Outlook, Word, Excel, Lync, SharePoint) или использоваться в качестве аватарки в Windows. Фото хранится непосредственно в AD, поэтому не рекомендуется загружать туда большие изображения.
✅ Рекомендуемые размер 10 Кб, 96x96 пикселей.
Для загрузки фото пользователю можно использовать PowerShell

$photo = [byte[]](Get-Content C:\PS\admin_photo.jpg -Encoding byte) 
Set-ADUser vvkuzmin -Replace @{thumbnailPhoto=$photo}  

Загрузка фотографий пользователям Active Directory

🖥 В десктопных версиях Windows 10 и 11 есть ограничение на максимальное количество одновременных сетевых подключений к системе. Если на таком компьютере расшарена общая папка или сетевой принтер, которые используют другие клиенты, то при превышении 20 подключений появится ошибка:

Дополнительные подключения к этому удаленному компьютер сейчас невозможны, так как их число достигло предела.

⛔️Таким образом MSFT ограничивает использование десктопных редакции Windows в качестве сервера, предлагая приобрести лицензию Windows Server, в котором нет таких ограничений.

Вывести список активных сессий:

net session 

Завершить все сессии с указанного IP :

net session \\192.168.31.94 /d /y

Можно уменьшить таймаут для авто отключения неактивных клиентов с 15 минут, до 5:

net config server /autodisconnect:5 

Или мониторить количество активных сессий и отключать их с помощью PowerShell.

Ограничение на количество одновременных сетевых подключений в Windows

⏳Microsoft недавно анонсировала, что в грядущем обновлении Windows 11 24H2 по умолчанию будет включено требование обязательного использование подписывания SMB пакетов при доступе к сетевым папкам. SMB signing позволят защитить пользователей от SMB атак типа man-in-the-middle и NTLM relay.

⛔️ Однако данная мера безопасности может вызвать проблемы с доступом к общим сетевым папкам на хранилищах NAS, на которых в большинстве случаев SMB signing отключено (Synology, ASUStor, QNAP) в целях снижения нагрузки на оборудование.

✅ Администраторам желательно до момента массовой раскатки обновления 24H2 (ориентировочно сентябрь 2024 года) протестировать наличие поддержки SMB signing на стороне NAS хранилищ и проанализировать изменение нагрузки на устройства.

Возможные проблемы с доступом к общим папкам на NAS после установки обновления Windows 11 24H2

☁️ Пропустил новость, что в Proxmox VE 8.2 (релизнулась в апреле 2024) появилась встроенная возможно прямого импорта виртуальных машин с хостов VMware ESXi. При миграции копируются большинство настроек конфигурации ВМ и сам процесс не сложный. Инструмент, безусловно, полезный особенно для тех, кто планирует потихоньку съезжать с VMware на альтернативные гипервизоры из-за нововведении Broadcom
✅Импортер позволяет смонтировать удаленный ESXi (версий 6,5 по 8.0) хост в виде отдельного хранилища, выбрать ВМ и запустить ее перенос. Все из веб интерфейса. Из недостатков – не поддерживается vSAN хранилища, низкая производительность при переносе ВМ со снапшотами и при миграции через vCenter (предпочтительнее использовать прямое подключение к ESXi).
🛠 В статье подробно рассмотрели особенности переезда Windows ВМ с ESXi на Proxmox, удаление VMTools, установка VirtIO драйверов и смена типа виртуального оборудования для оптимальной производительности.

Перенос (миграция) виртуальных машин с VMware ESXi на Proxmox

📂Для автоматического монтирования сетевых папок с файлового сервера в качестве сетевых дисков можно использовать предпочтения групповых политик. В статье рассматривается пример подключения сетевых дисков пользователю в зависимости от групп безопасности AD, в которые он добавлен.

👥 Такой подход позволит автоматом подключить всем пользователям одного отдела сетевую папку с общими документами. Для этого достаточно добавить пользователя в нужную группу.

Также с помощью GPO можно подключить персональный диск с личными документами пользователя.

✅ Подключение сетевых дисков в Windows через GPO

⚙️ Есть два основных пути для запуска контейнеров Docker в Windows 10 и 11: нативное win приложение Docker Desktop для Windows (требует Hyper-V, отдельную Linux ВМ с Docker) или установка Docker Engine в образ Linux, который запускается в среде Windows Subsystem for Linux (WSL2).

📦 Если вам нужно запускать только Linux контейнеры, то наименее требовательным к ресурсам хоста будет запуск Docker Engine внутри образа WSL. В статье рассмотрены базовые шаги по установке и использованию Docker Engine в среде Windows Subsystem Linux (WSL2).

https://winitpro.ru/index.php/2024/07/11/ustanovit-docker-windows-subsystem-linux-wsl2/

🔀 Если вы планируете сменить имя сервера Windows, то для плавной миграции клиентских устройства на новое имя, на сервере можно добавить дополнительное (альтернативное) имя компьютера. Это позволит постепенно перенастроить клиентов на новое имя, не теряя старого имени.

✅ В Windows Server для добавления альтернативного имени компьютера можно использовать утилиту netdom:

netdom computername fs01 /ADD new-fs01.corpdev.loc 

Команда сама создаст CNAME (алиас) для нового имени в DNS и обновит SPN имена в учетной записи компьютера в AD.

🚫 В дестопных Windows 10 и 11 утилита netdom отсутствует, поэтому в них придется вручную добавить новое имя в DNS, в параметр реестра AlternateComputerNames и обновить SPN.

Добавить несколько альтернативных имен Windows-компьютера

📚 Одна из полезных, но почему-то редко используемых опций SMB файлового сервера (будь то Windows или Samba) является ABE (Access-Based Enumeration или перечисление на основе доступа).
✅ Если включить эту опцию в свойствах сетевой папки, то пользователи будет видеть в ней только те каталоги и файлы, к которым у них есть NTFS права доступа (как минимум Read). Все остальные объекты в каталоге для него будут скрыты. Опция ABE очень удобна при доступе к сетевым шарам с большим количеством вложенных подкаталогов (например, папок отдела). Пользователь видит только те папки, которые ему разрешены.
🔹 Access-Based Enumeration включается в свойстве папки через Server Manager или из PowerShell:

Get-SmbShare DOCS | Set-SmbShare -FolderEnumerationMode AccessBased 

🔹 В Samba надо добавить в smb.conf :

hide unreadable = Yes

Другая опция скрывает сами шары при просмотре сетевого окружения:

access based share enum = Yes

Скрываем папки недоступные пользователю с помощью Access-Based Enumeration (ABE) в Windows Server

☁️Клиент облачного хранилища OneDrive предустановлен во всех версиях Windows 11 и 10, глубоко интегрирован в операционную систему и запускается автоматически при входе пользователя. По умолчанию в Windows используется per-user версия OneDrive, а это значит, что клиент устанавливается в профиль каждого пользователя (%localappdata%\Microsoft\OneDrive).

🗑Если вы не используете OneDrive, вы можете удалить его. Но придется удалять его для каждого профиля пользователя на компьютере.
Кроме того, чтобы предотвратить установку OneDrive в профили новых пользователей, нужно внести изменения в реестр пользователя Default, который используется в качестве шаблона при создании новых пользователей.
✅ Чтобы удалить строку установки OneDrive из реестра аккаунта Default, можно воспользоваться командами:

reg load "hku\Default" "C:\Users\Default\NTUSER.DAT"
reg delete "HKEY_USERS\Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "OneDriveSetup" /f
reg unload "hku\Default

Как удалить OneDrive в Windows 10/11

🍺 Сегодня последняя пятница июля, и это значит, с днем Системного Администратора все прогрессивное человечество 😎!

Сисадмин это состояние души!
С праздником, коллеги!🎉

#sysadminDAY

🏃Начиная с Windows 8, MSFT сделала диспетчер задач основным инструментом для управления автозапуском приложений. На отдельной вкладке Автозагрузка в Task Manager содержится список программ (как win32 так и MS Store /UWP) автоматически стартующих при входе пользователя. Здесь же можно включить или отключить автозапуск для каждой программы и посмотреть влияние приложения на общую скорость загрузки компьютера.

🤷‍♂️Однако из диалогового окна Task Manager нельзя добавить в автозагрузку пользователю новые программы . Дело в том, что Task Manager строит список автозагрузки на основании нескольких источников:

🔹 Папки автозагрузки текущего пользователя (команда перехода shell:Startup) и для всех пользователей (shell:Common Startup)
🔹 Нескольких веток реестра текущего пользователя (HKCU) и системы (HKLM)

✅Если вы хотите отредактировать список автозагрузки, нужно добавить/отредактировать/удалить соответствующие элементы в этих источниках.
Исследование и управление автозагрузкой в Windows 10/11.

📜Небольшой PowerShell скрипт, который выведет список событий установки/удаления MSI пакетов, MS Store приложений и обновлений, установленных через Windows Update за последние 7 дней. А также информацию о пользователях, которые запустили установку/удаление ПО.

$DaysAgo = (Get-Date).AddDays(-7)
$RealiabilityFilter= "TimeGenerated > '$DaysAgo' and (SourceName='Microsoft-Windows-WindowsUpdateClient' or SourceName='MsiInstaller')"
Get-CimInstance -ClassName Win32_ReliabilityRecords -filter $RealiabilityFilter|Select TimeGenerated,ProductName,User,message |Out-GridView

✅ Скрипт получает данные из журнала Монитора стабильности Windows (Reliability Monitor). Его удобно использовать, когда нужно быстро нужно получить информацию о последних изменениях в ОС.

Просмотр истории установки и удаления программ в Windows

⚠️ Критическая уязвимость в стеке TCP/IP во всех поддерживаемых версиях Windows CVE-2024-38063 (9.8 баллов из 10). Злоумышленник с помощью специально сформированных пакетов IPv6 может удаленно выполнить произвольный код (без взаимодействия с пользователем или аутентификации). Т.е. IPv6 пакет судя по описанию может привести к RCE 🤯.
🔐 Обновления для Windows выпущены 13 августа и доступны для загрузки. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
В качестве временного решения можно отключить IPv6 на сетевом адаптере, но это может вызвать проблемы с некоторыми системными компонентами (особенно на Windows Server).

🔒 В списке безопасного извлечения устройств в трее могут отображаться не только привычные USB флешки, но и другое оборудование, которое совсем не хочется видеть здесь: NVMe/SSD/SATA диски, дисковые контроллеры, сетевые карты, GPU, мониторы и прочее.

♆ Чтобы определенное устройство не мозолило глаза в списке Safely Remove Hardware and Eject Media, нужно определить его ID и в его ветке реестра изменить значение параметра Capabilities на 60 (HEX). Значение сбрасывается при перезагрузке, поэтому нужно менять его при каждой загрузке Windows.
🔹Автоматизируем это с помощью планировщика:

schtasks /create /tn "Hide_Device_From_Safe_Removal" /sc ONSTART /ru SYSTEM /rl HIGHEST /tr "reg.exe add 'HKLM\SYSTEM\CurrentControlSet\Enum\USB\VID_2357&PID_010C\00E04C0001' /v Capabilities /t reg_dword /d 0x00000060 /f" 

✅После этого устройство не будет отображаться в списке безопасного извлечения

Убрать (скрыть) определенное устройство из меню безопасного извлечения

🔄 Настройки групповых политик в Windows обновляются при загрузке компьютера, при входе пользователя, и автоматически в фоновом режиме (по умолчанию в течении произвольного интервала от 90 до 120 минут). Фоновое обновление настроек GPO происходит, если служба Group Policy Client (gpsvc) увидела, что версия политики изменилась (номер версии политики в хранится в файле \\<dcName>\SYSVOL\<domain>\Policies\<guid>\gpt.ini).

💨 Если нужно немедленно применить новые настройки GPO на удаленном компьютере, можно использовать:
🔹 консоль управления доменными GPO (gpmc.msc) – правый клик по OU и выбрать Group Policy Update
🔹 PowerShell команду:

 Invoke-GPUpdate –Computer PC01 -RandomDelayInMinutes 0

Как применить (обновить) настройки групповых политик в Windows?