🖥 Подавляющее большинство новых компьютеров и материнских плат, выпущенных с 2013 года, поставляются с UEFI прошивками классических BIOS. Использование нативной UEFI загрузки требует наличия таблицы разделов GPT (вместо MBR), на которой можно создать более 4 основных разделов размерами более 2 Тб. Cамое главное, что для UEFI поддерживается режим безопасной загрузки Secure Boot, защищающий от подмены загрузчика и запуска сторонних зловредов до этапа загрузки ОС.

🛠 Если по какой-то причине вы установили Windows на современном железе в режиме совместимости Legacy BIOS (CSM), можно выполнить онлайн конвертацию таблицы разделов загрузочного диска из MBR в GPT без потери данных и без переустановки ОС. Для этого в Windows 10, начиная с версии 1703, доступна встроенная утилита MBR2GPT.

🔹 Проверить что Windows загружен в режиме Legacy BIOS:

$env:firmware_type

🔹 Проверяем, что на загрузочном диске используется таблица разделов MBR и создано не более 3 первичных разделов:

Get-Disk |Get-Partition

🔹Проверить возможность конвертации:

mbr2gpt /validate /allowfullos

🔹 Выполнить преобразование таблицы разделов из MBR в GPT:

mbr2gpt /convert /allowfullos

✅ Осталось перезагрузить устройство и в настройках UEFI BIOS включить нативный UEFI вместо режима совместимости (Legacy CSM).

Конвертируем загрузочный диск Windows из Legacy BIOS в UEFI

🔄 Ранее мы показывали, как настроить резервное копирование контроллеров домена AD с помощью встроенного средства архивации Windows Server Backup. Но такой бэкап не всегда целесообразно использовать для восстановления вышедшего из строя DC, если их у вас больше одного.

✅ В большинстве случае гораздо быстрее и самое главное, безопаснее для консистентного состояния AD, будет удалить старый контроллер домена и развернуть рядом новый DC, который синхронизирует данные AD с оставшихся на плаву DC.

🤔 Зачем тогда нужен бэкап AD? Он поможет в сценариях полномочного (authoritative) восстановления AD тогда, когда в домене есть единственный DC или база AD на всех контроллерах вышла из строя/зашифрована.

⚠️ При использовании Non-authoritative сценариев восстановления, начиная с Windows Server 2012, при использовании родного режим восстановлении службы каталогов через WSB, для контроллера домена генерируется новый Invocation ID (уникальный идентификатор DC). Этим сообщается другим DC, что он был восстановлен из бэкапа и ему нужно получить все изменения в AD начиная с момента создания резервной копии. Этот механизм внедрен, чтобы избежать известной проблемы с откатом USN Rollback. Windows Server Backup и большинство других коммерческих средств резервного копирования знают о необходимости сброса Invocation ID при неполномочном восстановлении. Но есть сценарии, когда обнаружение USN Rollback не срабатывает (например, восстановление DC в филиале с отсутствующим линком), и вы можете оказаться в ситуации, когда входящая и исходящая репликация на восстановленном DC встанут. Поэтому, если вы не погружены глубоко в архитектуру AD и репликации, проще не рисковать и развернуть рядом новый DC, стянув базу AD через репликацию. Это окажется гораздо быстрее, чем разбираться с проблемами неавторитативного восстановления.

Восстановление контроллера домена Active Directory

🌐Как правило, среда предустановки WinPE используется либо для установки Windows, либо для выполнения каких-либо операций обслуживания/восстановления локальной системы. Наличие рабочего сетевого подключения в среде WinPE требуется довольно редко. Но в некоторых сценариях может быть крайне полезным, например при сетевом развертывании или восстановлении образа системы, когда нужно обновить антивирусные сигнатуры по сети для офлайн сканирования, получить доступ к репозиторию скриптов или инструментов в сетевом расположении, и т.д.

🛠 В этой статье мы рассмотрим, как вручную загрузить драйвер сетевого адаптера и инициализировать сеть в среде WinPE, задать статический IP адрес, подключить сетевой диск, и управлять файерволом.

Загрузка сетевого драйвера и инициализация сети в среде WinPE

📸Для сотрудников техподдержки понадобилось средство быстрого получения скриншотов рабочего стола пользователей в корпоративной сети без необходимости подключаться к ним средством удаленного просмотра экрана.

</> В статье рассмотрен пример PowerShell скрипта для получения снимка рабочего стола и сохранения его в PNG файл. Для удаленного запуска скрипта в сессии пользователя предполагается использовать PsExec.

.\PsExec.exe -s -i 1 \\wks-msk123 powershell.exe -executionpolicy bypass -WindowStyle Hidden -file "\\fs01\scripts\PS-Capture-Local-Screen.ps1"

✅ Скрипт делает скриншот в сессии пользователя и складывает его в сетевую папку, откуда его может забрать техподдержка.

Сделать скриншот рабочего стола на локальном или удаленном компьютере через PowerShell

ℹ️ С помощью классической утилиты Bginfo от Microsoft на рабочий стол пользователя можно выводить любую системную информацию прямо поверх текущих обоев: имя компьютера, домен, сайт AD, IP адрес, версия Windows, свободное место на диске. Это должно быть особо востребовано службой HelpDesk, сотрудникам которым не нужно будет каждый раз объяснять пользователю как набрать ipconfig в командной строке или сказать имя компьютера. Вся информация есть прямо на рабочем столе пользователя 🧑🏻‍💻 Также это будет удобно для системного администратора, который будет меньше путаться, когда у него одновременно открыты несколько десятков сессии с удаленными серверами.
✅ BgInfo довольно гибкая штука, поэтому вы можете получить и отобразить на рабочем столе любые данные с компьютера, полученные через WMI, VBS или PowerShell скрипт.

🛠Настройка довольно простая:

1️⃣ Настраивается шаблон BgInfo, который определяет, какую информацию нужно показывать, ее внешний вид и положение
2️⃣ Затем через логон скрипт в GPO этот шаблон применяется к компьютерам пользователей. Можно использовать такой bat файл:

reg add HKEY_CURRENT_USER\Software\Sysinternals\BGInfo /v EulaAccepted /t REG_DWORD /d 1 /f
%logonserver%\NETLOGON\Bginfo\Bginfo.exe %logonserver%\NETLOGON\Bginfo\bg_config.bgi /silent /TIMER:00 /nolicprompt

3️⃣ Путем небольшой манипуляции, можно показывать системную информацию Bginfo в том числе на экране входа/блокировки Windows.

Вывод информации о компьютере на рабочий стол пользователя с помощью BgInfo

🌐 Большинство администраторов, когда возникает необходимость организации безопасного доступа к некоему сервису, вспоминают про VPN. Но в некоторых случаях схема с организацией полноценного VPN доступа будет избыточной, особенно когда нужно организовать доступ ограниченному числу управляемых клиентов к одному сервису (сетевому порту) на сервере.

⚙️ Организовать защищенное TLS подключение для произвольных сетевых приложений, которые сами не умеют шифровать данные, можно с помощью Stunnel. В статье мы рассмотрели, как с помощью stunnel настроить безопасный доступ (с шифрованием и аутентификацией по сертификатам) между клиентом и сервером на Windows.

ℹ️ Настройка TLS туннеля между клиентом и сервером Windows с помощью stunnel

🛠 Административные шаблоны (Administrative templates) – это специальные ADMX (и языковые ADML ) файлы, которые используются в редакторе групповых политик для изменения параметров компьютера или пользователя. В ADMX файлах содержатся определения различных настроек, в которых описано какие параметры можно настроить, и их допустимые значения. По сути, в административных шаблонах описываются те изменения, которые нужно выполнить в реестре для применения различных настроек.

ℹ️ Существуют встроенные ADMX шаблоны для Windows, и сторонние разработчики могут создавать собственные шаблоны для централизованного управления настройками их ПО. При выходе новых версий Windows, в которых добавляется новый функционал, разработчики могут добавлять новые настройки в ADMX шаблоны групповых политик. Чтобы в доменном редакторе GPO появились опции для управления новым функционалом, файлы административных политик нужно обновить на более новые версии.

✅ В статье рассматриваем как установить или обновить файлы административных шаблонов GPO на отдельном компьютере, или в центральном хранилище (в папке PolicyDefinitions) на контроллерах домена AD.

Установка и обновление административных шаблонов групповых политик (ADMX)

🧾Вместо использования текстовых лог файлов в скриптах, можно записывать информации о важных событиях непосредственно в журналы Event Viewer.

Можно записывать событий в журнал с помощью PowerShell:
1️⃣ Добавить отдельный источник:

New-EventLog -LogName Application -Source "MyScript"

2️⃣ Записать информационное событие в журнал Application с собственным источником:

Write-EventLog -LogName Application -Source "MyScript" -EntryType Information –EventID 1 –Message "Запущен PowerShell cкрипт опроса состояния сервера "

Событие будет добавлено в журнал.
3️⃣ Можно создать отдельный EVTX журнал для своих событий:

New-EventLog -LogName CustomPSLog -Source PS1Script

✅ В BAT скриптах можно писать событий в Event Viewer с помощью команды:

eventcreate /t information /l application /id 1 /d "BAT script started"

Запись событий в журнал Event Viewer из PowerShell/CMD

🎂 День рождения WinITPro.ru

Сегодня исполнилось 15 лет проекту WinITPro.ru 🥳. Небольшой возраст для человека, но большой юбилейный возраст для информационного ресурса. Первоначально 15 лет назад, когда этот домен был зарегистрирован 25 февраля 2010 года, сайт планировался как небольшой личный блокнотик, но со временем он вырос до чего-то большого.

Хочу поблагодарить, всех тех, кто участвовал в наполнении сайта, инвестировал в него свои силы, время, творчество, вчитывался в статьи, задавал вопросы и отвечал на комментарии, и в конце концов помог этому проекту стать заметным техническим ресурсом Рунета!

Что будет дальше, во что трансформируется сайт и останется ли он на плаву следующие 15 лет, я не знаю, но мы будем продолжать 😎

https://winitpro.ru/

🌦 Виджеты на экран блокировки системы были добавлены в Windows 11 и 10 в 2024 году. Теперь при блокировке компьютера прямо поверх экрана показываются отображаются виджет погоды, информации о котировках, новости спорта, пробки на дорогах (список зависит от языковых настроек и локализации системы). Виджеты экрана блокировки включены по умолчанию, и скрыть их можно в настройках персонализации или на уровне политики.

🧩В предварительной сборке Windows 11 (22635.4870 от февраля 2025 года) появилась возможность настраивать виджеты экрана блокировки под себя. Теперь виджеты можно добавить, настроить, изменить их порядок, отключить ненужные. Видимо скоро возможность настройки будет внедрена в основной канал.

🔹Для корпоративного сектора, на мой взгляд, эта фича абсолютно не нужна, поэтому предпочитаю отключать их через GPO.

Отключить виджеты на экране блокировки Windows 11

Создаем программный RAID 1 с помощью встроенных средств Windows

🖴 Если материнская плата вашего сервера не поддерживает создание RAID на аппаратном (псевдоаппаратном 😊) уровне, в Windows есть встроенные средства для организации программного RAID из нескольких дисков. Для этого можно использовать Storage Spaces или динамические диски. При всей простоте и удобстве, недостаток Storage Spaces в том, что она не позволяет создать RAID для системного раздела.

❓ Но что делать, если Windows уже установлена на одном из дисков, а вы хотите задействовать для повышения его отказоустойчивости RAID конфигурацию?

🛠 В статье рассмотрено пошагово, как с помощью динамических дисков создать зеркало RAID1 системного диска на отдельном физическом диске, скопировать EFI загрузчик и обновить конфигурацию BCD загрузчика, так чтобы можно было загружать Windows с любого из дисков. Также отдельно мы рассмотрели, как заменить неисправный диск в программном RAID1 и обновить информацию в загрузчике после замены.

Программный RAID1 (зеркало) для загрузочного диска в Windows

🕐 Синхронизация времени Active Directory с внешним NTP источником времени

В Active Directory домене используется строгая иерархическая схема синхронизации времени:
🔹PDC-эмулятор (в корневом домене) является основным источником времени домена
🔹Остальные DC получают время от PDC-эмулятора
🔹Рядовые рабочие станции и сервера берут время у ближайшего контроллера домена

⚙️По умолчанию PDC синхронизирует время с аппаратными часами физического сервера (гипервизора, если DC запущен на ВМ). Соответственно, если время на аппаратных часах неточное, это может вызвать проблемы при взаимодействии со внешними системами. Поэтому нужно обязательно настроить синхронизацию времени на PDC с внешним надежным источников времени (NTP) и отключить синхронизацию с локальными часами/гипервизором.

✅В этой статье мы рассмотрели, как правильно настроить синхронизацию времени в домене, и что делать если что-то работает некорректно.

Настройка синхронизации времени в домене Active Directory

🗝Сбросить забытый пароль к IPMI для сервера Supermicro (или изменить стандартный ADMIN/ADMIN) можно непосредственно из установленной на сервере операционной системы с помощью утилиты IPMICFG. Эта утилита позволяет изменять базовые настройки контроллера управления сервером (Supermicro Baseboard Management Controller, BMC), в том числе настройки сети, управлять пользователями и ролями. IPMICFG доступна как для Linux, так и для Windows.

🔹 Получить список пользователей:

IPMICFG-Win.exe -user list

🔹 Изменить пароль пользователя с ID 2:

IPMICFG-Win.exe -user setpwd 2 mypasswdd

Сброс пароля IPMI на серверах Supermicro

За статью спасибо Alex.

Диагностика и исправление неполадок в WMI репозитории Windows

📚 WMI это одна из ключевых подсистем Windows, и если она неисправна, на компьютере могут наблюдаться проблемы с работой служб, получением системной информации от WMI провайдеров, выполнением скриптов и ошибки в работе сторонних приложений. WMI репозиторий это база данных, в которой хранятся статические данные, об объектах, такие как классы, определенные поставщиками WMI.

🔹 Проверим работу WMI с помощью простого тестового запроса из PowerShell:

Get-CimInstance Win32_OperatingSystem

🔹Проверить целостность WMI репозитория:

winmgmt /verifyrepository 

✅ Скрипт полного сброса WMI репозитория (%SystemRoot%\System32\Wbem\Repository), перерегистрации библиотек WMI, службы и перекомпиляции MOF файлов приведен в статье. Мы подробно рассмотрели выполнить диагностику работоспособности WMI и исправить типовые проблемы, если WMI репозиторий поврежден.

WMI: Исправление ошибок, восстановление репозитория в Windows

⚠️ Несколько раз сталкивался с тем, что при установке Windows Server на десктопную материнскую плату, появляются проблемы с установкой драйверов для сетевых адаптеров Intel.

🤷‍♂️ Ушлые ребята из Intel посчитали, что ставить серверную ОС на бытовое железо нельзя и заблокировали в INF файле сетевых драйверов для Windows Server возможность установки драйверов десктопных адаптеров (серий Intel I211, I217-V, I218-V, I219-V, I225-V, I226-V).

✅ Это ограничение можно обойти, модифицировав INF файла драйвера (сложно и не всегда будет корректно работать на современных версиях Windows из-за того, что драйвера подписаны) или установив похожий драйвер, поддерживающий серверные ОС.

Не удается установить драйвер сетевого адаптера Intel в Windows Server

📚 По умолчанию на Windows устройствах, DNS запросы к серверу являются предпочтительным способом резолвинга имен. Но если DNS сервер отсутствует/не доступен/не нашел запрошенную запись, Windows будет пытаться использовать альтернативные способы разрешения имен, такие как:

🔹 MulticastDNS (mDNS)
🔹 Link-Local Multicast Name Resolution (LLMNR)
🔹 NetBIOS (NBNS)

Все эти три способа разрешения имен включены по умолчанию, и отлично работают для разрешения имен в простой локальной сети (рабочей группе), в которой отсутствует собственный внутренний DNS сервер.

⚠️ Однако в доменной сети, в которой DNS сервис, по сути является гарантированным, особенности этих протоколов могут быть использованы злоумышленником в LAN для реализации спуфинг, relay и MITM атак, что потенциально может привести к перехвату паролей/хэшей.

✅ Отключаем широковещательные протоколы (mDNS, LLMNR, NetBIOS) на компьютерах в домене Windows