⚡️Для проверки скорости интернета есть большое количество онлайн сервисов. Если же вам нужно протестировать пропускную способность Интернет-подключения провайдера из командной строки, или передать эти данные в виде метрик в вашу систему мониторинга, можно воспользоваться консольной утилитой Speedtest от Ookla.

📤 Утилита тестирует актуальную скорость download/upload и сетевые задержки до ближайшего сервера speedtest.net (точек проверки действительно очень много, утилита автоматически определяет ближайшую по вашему внешнему IP адресу, или вы можете конкретный выбрать город и провайдера из списка).

✅ Утилита speedtest-cli доступа как под Linux, так и под Windows.

Тестирование скорости Интернета в Windows из командной строки (PowerShell)

📶 Если на хосте Windows доступно несколько активных сетевых адаптеров, операционная система автоматически назначает приоритет сетевым интерфейсам в зависимости от скорости линка.
⚙️ Чем больше скорость линка, тем больший приоритет получает данный адаптер, что отражается в меньшей метрике для маршрутов через него в таблице маршрутизации.
✅ Вы можете вручную изменить приоритет сетевых адаптеров, изменив значение метрики интерфейса с помощью PowerShell.
Вывести список сетевых адаптеров и их приоритеты:

Get-NetIPinterface | where AddressFamily -eq "IPv4"

Увеличить приоритет для Wi-Fi адаптера:

Set-NetIPInterface -InterfaceAlias Wi-Fi -InterfaceMetric 34

Изменить приоритет сетевых адаптеров в Windows

🖧 В некоторых сценариях одному сетевому интерфейсу в Windows нужно назначить несколько различных IP адресов (веб сервер, смена адресации и т.д).
📚 По умолчанию все IP адреса адаптера являются равнозначными и могут использоваться системой для исходящих подключений.
Чтобы это предотвратить, нужно включить для всех дополнительных IP адресов параметр SkipAsSource.

Get-NetIPAddress | Select-Object IPAddress, InterfaceAlias, SkipAsSource
Get-NetIPAddress 192.168.1.90 | Set-NetIPAddress -SkipAsSource $True

✅ В этом случае только IP адрес с флагом SkipAsSource=False будет считаться основным и использоваться для исходящего трафика.

Как назначить несколько IP адресов на один сетевой интерфейсе в Windows

🖨 Один из читателей поделился малоизвестной возможностью известной open-source оболочки для сканирования документов NAPS2.
📑 Начиная с версии 7.2.0 (декабрь 2023), NAPS2 позволяет расшарить локально подключенный сканер и предоставить к нему доступ по локальной сети с других компьютеров по протоколу ESCL.
🔍 Настройка клиентской и серверной части крайне простая; для обнаружения сетевых сканеров NAPS в локальной сети используются широковещательные запросы mDNS.

Как открыть общий сетевой доступ к локальному USB сканеру в Windows

🧾 В предыдущей заметке мы описывали как установить и настроить cервер Graylog. Graylog удобно использовать для централизованного сбора, хранения, визуализации, фильтрации и поиска логов распределенных систем.

⏳ Например, в случае Active Directory администратору, чтобы найти определенное событие безопасности, придется выполнить поиск на всех контроллерах домена Active Directory, что может занять длительное время. Отправка журналов безопасности со всех котроллеров домена в базу Graylog позволит упросить поиск таких событий и реакцию на них.

✅ В следующей статье мы рассмотрели, как настроить отправку журналов событий с серверов Windows через Winlogbeat на сервер логирования Graylog и затем выполнять поиск сразу по всем событиям на всех DC с помощью простых запросов.

Сбор и поиск в журналах событий с серверов Windows и Active Directory с помощью Graylog

ИТ-сообщество с 14-летним стажем

⌨️ ITKB_channel — бесплатное обучение по Windows, Linux, DevOps, Security, Network, программирование
📚 ITKB_Archive — библиотека (книги, курсы, ИТ литература)

🔄 При откате Windows к старому снапшоту/бэкапу, часто можно столкнуться с вылетом компьютера из домена. В этом случае при попытке входа в Windows под доменным пользователем появится ошибка:

Не удалось установить доверительные отношения между рабочей станцией и доменом.

🤝 При добавлении компьютера в домен для него создается учетная запись Computer с паролем. Этот пароль хранится на компьютере и в базе AD. Если пароли не совпадают, компьютер не может установить защищенный канал с доменом (доверительные отношений). При восстановлении из снапшота (бекапа), пароль компьютера может отличается от пароля в AD.
✅ Восстановить доверительные отношений с доменом и сбросит пароля с компьютера, можно через PowerShell.
Проверить статус доверительных отношений:

Test-ComputerSecureChannel -Verbose 

Выполнить сброс и синхронизацию пароля:

Test-ComputerSecureChannel -Repair -Credential winitpro\admin

Восстановление доверительных отношений между компьютером и доменом AD

ℹ️ Режим киоска позволяет запустить Windows в специальном ограниченном режиме для запуска одного или нескольких разрешенных приложений. Доступ к остальным функциям ОС блокируется. Этот режим используется на общедоступных информационных терминалах или устройства самообслуживания.
✅ В статье по ссылки мы рассмотрели простейший способ запуска браузера в режиме киоска Windows 11 и более сложный сценарий киоска, позволяющий создать изолированное пространство для запуска нескольких разрешенных приложений (multi-app kiosk mode).

Настройка режима киоска в Windows 11

🛡По умолчанию в десктопных версиях Windows политика Execution Policy блокируют запуск любых PowerShell скриптов. Для создания безопасной среды среды выполнения администраторы могут подписывать все используемые файлы PowerShell скриптов.
1️⃣ Подписать скрипт можно с помощью закрытого ключа сертификата типа Code Signing (можно сгенерировать самоподписанный сертификат или запросить доверенный серт в своем внутреннем CA).
2️⃣ Чтобы подписать PS1 файл с помощью сертификата из локального хранилища:

 Set-AuthenticodeSignature $file $cert

3️⃣ Открытый ключ сертификата нужно добавить в доверенные на компьютерах клиентов.
4️⃣ Затем изменить настройки PowerShell Execution Policy на Allow only signed scripts через GPO или командой:

Set-ExecutionPolicy AllSigned –Force

✅ Теперь компьютеры смогут запускать PS1 скрипты, подписанные доверенными сертификатами. Если код подписанного PowerShell файла будет изменен, политика заблокирует его запуск.

Как подписать код PowerShell скрипта (PS1) с помощью сертификата?

📚Selenium это популярный фреймворк для автоматизации действий в браузере, который позволяет получить содержимое веб-страницы так, как ее видит пользователь (отрабатываются все JS, стили, куки). Обычно Selenium используется для тестирования сайтов.
🤖Сисадмины могут использовать Selenium в скриптах, где нужно автоматически выполнять произвольные задачи в любых веб-панелях администрирования, которые не имеют средств доступа через CLI/API: из скрипта отправить имя пользователя и пароль для входа в веб-интерфейс, навести курсор мыши, нажать кнопку, перейти по ссылке, получить значение из поля.
✅ Фреймворк Selenium не сложный и должен легко зайти даже администраторам без багажа веб разработчика. В статье описаны базовые принципы использования Selenium в PowerShell скриптах автоматизации.
🔹 выполнить тестирование скорости интернета на speedtest и получить результаты
🔹выполнить авто вход в веб-интерфейс Proxmox и узнать состояние ВМ
Автоматизация действий в браузере с помощью PowerShell и Selenium

📚 Для ограничения области применения групповой политики AD до уровня определенных пользователей, групп, или компьютеров с определенными свойствами, доступны несколько методов:
🔹 Security Filtering – GPO применяется только к объектам которые добавлены в определенную группу безопасности AD. Но объекты в такую группу вам придется добавлять и удалять вручную.
🔹 Item Level Targeting в Group Policy Preferences – позволяет выбрать и скомбинировать условия применения параметра GPP из около 30 опций (версия ОС, разрядность, OU). Однако это доступно только для настроек из раздела Preferences.
🔹 WMI фильтры GPO – специальный запрос к пространству имен WMI, который компьютер должен выполнить перед применением GPO и проверить соответствует ли он указанному условию. С учетом того, что из WMI можно получить практически любую информацию, это наиболее универсальный и гибкий способ гранулярного применения настроек GPO к клиентам.

Использование WMI фильтров групповых политик (GPO) в домене AD

Образ Windows 10/11 поставляется с предустановленными UWP/APPX приложений, таких как Погода, Новости, Карты, Музыка, Видео, и др.
Вывести установленные UWP приложения для всех пользователей:

Get-AppxPackage -AllUsers | select Name,PackageFullName

Любое из приложений можно удалить из профилей пользователей:

Get-AppxPackage *Weather* -AllUsers| Remove-AppPackage –AllUsers

А затем из системного хранилища, чтобы оно не устанавливалось новых юзерам:

Get-AppxProvisionedPackage -online | ?{$_.PackageName -like "*Weather*"} | Remove-AppxProvisionedPackage -online

Однако в Windows 11 большое число системных панелей управления, системных служб и расширений устанавливается в виде UWP. Например, панель Параметры, панель управления антивирусом и прочие. Нельзя удалять их бездумно. Вывести список системных UWP приложений:

Get-AppxPackage| ? { $_.SignatureKind -eq "System" }

✅ Удаление предустановленных UWP (APPX) приложений в Windows

⬆️ Windows позволяет повысить редакцию с младшей до более старшей без переустановки ОС с сохранением всех установленных программ, документов, настроек.

🖥 Для апгрейда редакции в десктопных версиях Windows 10 и 11 используется встроенная утилита changepk.exe. Это позволяет выполнить апгрейд в направлении Windows Pro -> Enterprise или Windows Home (single language)-> Pro

changepk.exe /ProductKey xxxxxxxxxxxxxxxx

На вход утилите нужно передать ваш ключ, или универсальный ключ (с которым ставится Windows, когда при установке ОС выбирается пункт “Пропустить ввод ключа)”
Как изменить редакцию Windows 10/11 без переустановки ОС?

🗄 В Windows Server для апгрейда редакции со Standard (или Evaluation) до Datacenter используется DISM:

DISM /online /Get-CurrentEdition 
DISM /online /Get-TargetEditions 
DISM /online /Set-Edition:ServerDatacenter /productkey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /accepteula

Апгрейд редакции Windows Server

🖨 Начиная с Windows 10 1511, Microsoft изменила порядок назначения принтера по умолчанию в Windows. Теперь Windows сама переназначает принтер по-умолчанию для пользователя, назначая таким тот, который в текущем местоположении использовался последним.
😞 Это вызывает проблему у пользователей, у которых подключены разные принтеры. В моем случае громче всех жаловался пользователь, у которого одновременно подключен принтер этикеток, цветной и обычный офисный принтеры.
✅ Запретить Windows переназначать принтер по-умолчанию можно,
🔹отключив опцию Let Windows manage my default printer в панели Параметры.
🔹через реестр:

REG ADD "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" -v LegacyDefaultPrinterMode /t REG_DWORD /d 1 /f 

🔹 или с помощью параметра групповой политики Turn off Windows default printer management в разделе User Configuration -> Administrative Templates -> Control Panel -> Printers редактора GPO.
Почему Windows меняет принтер по умолчанию.

📷 В атрибутах пользователя Active Directory можно хранить его фото, которое будет отображаться в приложениях с поддержкой этого функционала (Outlook, Word, Excel, Lync, SharePoint) или использоваться в качестве аватарки в Windows. Фото хранится непосредственно в AD, поэтому не рекомендуется загружать туда большие изображения.
✅ Рекомендуемые размер 10 Кб, 96x96 пикселей.
Для загрузки фото пользователю можно использовать PowerShell

$photo = [byte[]](Get-Content C:\PS\admin_photo.jpg -Encoding byte) 
Set-ADUser vvkuzmin -Replace @{thumbnailPhoto=$photo}  

Загрузка фотографий пользователям Active Directory

🖥 В десктопных версиях Windows 10 и 11 есть ограничение на максимальное количество одновременных сетевых подключений к системе. Если на таком компьютере расшарена общая папка или сетевой принтер, которые используют другие клиенты, то при превышении 20 подключений появится ошибка:

Дополнительные подключения к этому удаленному компьютер сейчас невозможны, так как их число достигло предела.

⛔️Таким образом MSFT ограничивает использование десктопных редакции Windows в качестве сервера, предлагая приобрести лицензию Windows Server, в котором нет таких ограничений.

Вывести список активных сессий:

net session 

Завершить все сессии с указанного IP :

net session \\192.168.31.94 /d /y

Можно уменьшить таймаут для авто отключения неактивных клиентов с 15 минут, до 5:

net config server /autodisconnect:5 

Или мониторить количество активных сессий и отключать их с помощью PowerShell.

Ограничение на количество одновременных сетевых подключений в Windows

⏳Microsoft недавно анонсировала, что в грядущем обновлении Windows 11 24H2 по умолчанию будет включено требование обязательного использование подписывания SMB пакетов при доступе к сетевым папкам. SMB signing позволят защитить пользователей от SMB атак типа man-in-the-middle и NTLM relay.

⛔️ Однако данная мера безопасности может вызвать проблемы с доступом к общим сетевым папкам на хранилищах NAS, на которых в большинстве случаев SMB signing отключено (Synology, ASUStor, QNAP) в целях снижения нагрузки на оборудование.

✅ Администраторам желательно до момента массовой раскатки обновления 24H2 (ориентировочно сентябрь 2024 года) протестировать наличие поддержки SMB signing на стороне NAS хранилищ и проанализировать изменение нагрузки на устройства.

Возможные проблемы с доступом к общим папкам на NAS после установки обновления Windows 11 24H2

☁️ Пропустил новость, что в Proxmox VE 8.2 (релизнулась в апреле 2024) появилась встроенная возможно прямого импорта виртуальных машин с хостов VMware ESXi. При миграции копируются большинство настроек конфигурации ВМ и сам процесс не сложный. Инструмент, безусловно, полезный особенно для тех, кто планирует потихоньку съезжать с VMware на альтернативные гипервизоры из-за нововведении Broadcom
✅Импортер позволяет смонтировать удаленный ESXi (версий 6,5 по 8.0) хост в виде отдельного хранилища, выбрать ВМ и запустить ее перенос. Все из веб интерфейса. Из недостатков – не поддерживается vSAN хранилища, низкая производительность при переносе ВМ со снапшотами и при миграции через vCenter (предпочтительнее использовать прямое подключение к ESXi).
🛠 В статье подробно рассмотрели особенности переезда Windows ВМ с ESXi на Proxmox, удаление VMTools, установка VirtIO драйверов и смена типа виртуального оборудования для оптимальной производительности.

Перенос (миграция) виртуальных машин с VMware ESXi на Proxmox

📂Для автоматического монтирования сетевых папок с файлового сервера в качестве сетевых дисков можно использовать предпочтения групповых политик. В статье рассматривается пример подключения сетевых дисков пользователю в зависимости от групп безопасности AD, в которые он добавлен.

👥 Такой подход позволит автоматом подключить всем пользователям одного отдела сетевую папку с общими документами. Для этого достаточно добавить пользователя в нужную группу.

Также с помощью GPO можно подключить персональный диск с личными документами пользователя.

✅ Подключение сетевых дисков в Windows через GPO

⚙️ Есть два основных пути для запуска контейнеров Docker в Windows 10 и 11: нативное win приложение Docker Desktop для Windows (требует Hyper-V, отдельную Linux ВМ с Docker) или установка Docker Engine в образ Linux, который запускается в среде Windows Subsystem for Linux (WSL2).

📦 Если вам нужно запускать только Linux контейнеры, то наименее требовательным к ресурсам хоста будет запуск Docker Engine внутри образа WSL. В статье рассмотрены базовые шаги по установке и использованию Docker Engine в среде Windows Subsystem Linux (WSL2).

https://winitpro.ru/index.php/2024/07/11/ustanovit-docker-windows-subsystem-linux-wsl2/