Программы и сценарии

Выявление файлов, которыми владеет пользователь

Администраторы систем и безопасности со стажем несомненно помнят случаи, когда необходимо обратиться к отказавшему компьютеру Windows. Возможно, неисправен системный диск или пользователь так изменил систему, что ее не удается корректно загрузить. Случается, что бывший сотрудник изменяет пароли или блокирует систему сложным способом.

До появления системы Windows разработка многих программ следовала в строгом соответствии с процедурным подходом

Многогранные возможности инструмента управления учетными записями

Позвольте сценарию поработать за вас

Схема службы каталогов Active Directory (AD) содержит классы, атрибуты, определяющие типы объектов, которые можно создавать в AD, и свойства, которые можно настраивать для данных объектов

Контроль состояния принтеров - постоянная обязанность системных администраторов Windows. Microsoft многое сделала для того, чтобы находить и устанавливать принтеры через графический интерфейс Windows стало проще, но пользователям все равно приходится выполнять какие-то действия, добавляя нужные принтеры.

Недавно я принимал участие в учебном семинаре по Windows Server 2003. Во время дискуссии, развернувшейся в нашем классе, инструктор рассказывал о действиях, которые можно автоматизировать с помощью сценариев. В аудитории присутствовало около 20 опытных системных администраторов, но лишь немногие из нас имели хотя бы какие-то навыки в использовании сценариев.

В статье "Организуем хранение" я предложил решения на основе сценариев для компоновки и упорядочивания данных в общих папках. После выхода статьи я получил множество вопросов относительно управления данными и удаления файлов. Наиболее часто задаваемые вопросы я привожу в данной статье. Имейте в виду, что отрывки кодов и сценарий, приведенные в данной статье, могут удалять или перемещать папки или структуры каталогов. Прежде чем внедрять эти решения в производство, убедитесь, что они корректно работают в тестовых средах. В данной статье, я обозначал тела циклов команды For с помощью двух символов процента, аналогично тому, как они должны использоваться в сценариях (например, %%i, %%j). Если вы хотите запустить код непосредственно из командной строки, используйте одиночный знак процента (например, %i, %j).

Каждый, кому приходится заниматься администрированием средств безопасности, знает, что это предполагает регулярный просмотр журнала безопасности и других журналов для выявления имеющихся угроз, да только где взять на это время? Средства автоматического манипулирования текстовыми файлами радикально упрощают анализ журнальных файлов и дают администратору возможность с легкостью анализировать огромные объемы данных, поступающих от сетевых устройств, брандмауэров и серверов. Для анализа и обработки выходных файлов любого из упомянутых устройств можно использовать средство sed.

Одними из наиболее частых вопросов, которые я получаю по поводу миграции данных, связаны с владением файлами. Права владельца часто теряются в процессе копирования. Robocopy XP010 ? самая последняя версия этой утилиты, входит в комплект утилит Microsoft Windows Server 2003 Resource Kit и поддерживает NTFS- атрибуты копируемых данных, включая информацию о владельце файла. Другие утилиты миграции могут не сохранять подобную информацию. Если вы используете группу Creator Owner для предоставления прав, потеря информации о владельце во время переноса данных может привести к нарушению безопасности. Наиболее простой и легкий путь заново присвоить признак владельца к переносимым файлам - это использование утилит, восстанавливающих этот признак. Ими можно воспользоваться и в тех случаях, когда вам необходимо переназначить право владения во время переноса данных, например, в случае переноса файла, чей владелец отсутствует в организации.

При установке оснастки Group Policy Management Console (GPMC) консоли Microsoft Management Console (MMC) в Windows Server 2003 устанавливается несколько объектов COM, поддерживающих автоматизацию работы с помощью сценариев. При этом открывается масса новых возможностей, связанных с манипулированием объектами групповой политики (GPO) службы Active Directory (AD). Я уже рассказывал о том, как, основываясь на этих возможностях, использовать объекты GPM для добавления или удаления разрешений групповых политик Read и Apply для участников групп безопасности (security principals) на такие объекты AD как GPO, диапазон управления (Scope of Management ? SOM) и фильтры WMI (Windows Management Instrumentation). Для того чтобы устанавливать на эти объекты разрешения Set или Custom, необходимо, как и ранее, использовать программные инструменты ADSI (Active Directory Service Interfaces), такие как IADsSecurityDescriptor или библиотека Microsoft adssecurity.dll.

В сетях, которые предполагают наличие «блуждающих пользователей», то есть таких пользователей, которые каждый день работают за разными компьютерами, администратору может понадобиться информация о том, в какой системе происходит регистрация пользователя. Эти сведения необходимы для того, чтобы удаленно устранить проблему (например, отсутствие параметров реестра, отсутствие переменных окружения) в системе перемещающегося пользователя.

Наверняка кому-то из читателей приходилось иметь дело с операциями, которые необходимо выполнять на нескольких компьютерах, и при этом результаты нужно получить как можно быстрее. Один из способов решения этой задачи - разделить входной список имен узлов на несколько списков, меньших по размеру, и независимо обрабатывать их во множестве окон командной оболочки. Однако при разделении входного списка можно случайно пропустить или, наоборот, указать несколько раз имя какого-либо узла. Еще одна проблема данного метода заключается в том, что необходимо объединять все выходные файлы для получения итогового результата. Кроме того, придется следить за тем, чтобы все независимые процессы были завершены до объединения результатов, и, возможно, вам потребуется, чтобы результаты выдавались в том же порядке, в котором узлы были указаны во входном файле. При объединении результатов вручную (вырезать?вставить) вы снова рискуете пропустить, продублировать или неправильно расположить записи. Так как множество процессов используют отдельные входные и выходные файлы, необходимо создавать независимые копии сценария или кода сценария, для того чтобы учитывать параметры путей к входному и выходному файлам.

В 2002 году Microsoft выступила с инициативой Trustworthy Computing, суть которой заключается в том, чтобы сделать платформу Windows более защищенной. Компания задержала выпуск всех своих новых продуктов до тех пор, пока разработчики не пересмотрят существующий код с целью выявления проблем, связанных с уязвимостью систем. В результате появления данной инициативы многие компоненты Windows Server 2003 были доработаны, получив ряд преимуществ с точки зрения безопасности. Эти изменения затронули, в том числе, и компонент Windows Management Instrumentation (WMI) COM/Distributed COM (DCOM). Большинство доработок не слишком значительны и представляют интерес преимущественно для тех программистов на языке C++, которые пользуются возможностями низкоуровневых интерфейсов WMI/COM, однако некоторые из них актуальны также для администраторов и разработчиков сценариев с использованием WMI.

В статье «Запросы и обновления Active Directory» я рассказывал о том, как можно использовать модули Net::LDAP языка Perl для автоматизации инфраструктуры службы Active Directory (AD) с помощью языка Perl и стандартного протокола Lightweight Directory Access Protocol (LDAP). Но некоторые из функций, которые необходимо реализовать, такие как поиск или удаление объектов, не могут постоянно выполняться на основе стандартных операций LDAP. В некоторых случаях протокол LDAP накладывает на клиента ограничения, не давая ему выполнять нежелательные действия, например, удалять целое дерево иерархии каталогов. Однако во многих ситуациях действительно потребуется выполнять действия, которые невозможно осуществить на основе стандартных операций протокола LDAP. В таких случаях в игру вступают средства управления протокола LDAP.

Когда возникает необходимость в извлечении данных из AD или Windows Management Instrumentation (WMI), в нашем распоряжении есть несколько инструментов. В данном случае весьма полезными являются такие средства как Scriptomatic (scriptomatic.exe) и утилита командной строки Csvde (csvde.exe). В большинстве случаев для форматирования полученных данных и построения понятного и удобочитаемого отчета можно использовать Microsoft Excel. В данной статье описывается несколько сценариев, с помощью которых это может быть реализовано.

Удаленная диагностика проблем, связанных с пользователями и их компьютерами, является одной из наиболее трудоемких задач технической поддержки, выполняемых администратором. Порой это больше похоже на головоломку, в ходе решения которой вы пытаетесь разгадать секрет, который поможет вам понять, почему компьютер ведет себя таким образом, или почему пользователю не хватает прав для работы. И даже когда при подобной диагностике используется специальное программное обеспечение удаленного управления, то на удаленной системе, для того чтобы выявить причину проблемы, все равно приходится запускать различные команды и утилиты. Мной был разработан сценарий Diag.bat, который позволяет запускать на пользовательском компьютере некоторый набор команд, с помощью которых можно быстро собирать необходимую диагностическую информацию. Этот сценарий можно модифицировать по своему усмотрению, обеспечив, таким образом, сбор той информации, которая требуется для проведения работ по диагностике в вашем конкретном случае.

Сколько раз вы попадали в следующую ситуацию: как системному администратору вам необходимо перенести совместно-используемые ресурсы на другой сервер или отключить их. Вы отправляете несколько уведомлений через Net Send пользователям, которые подключены к серверам, отправляете предупреждение на корпоративный портал. Кажется, что все идет прекрасно до того момента, когда несколько пользователей, возможно руководителей или менеджеров, сообщают вам о том, что они не знают куда переместились их данные. Либо вы начинаете искать отказавшие приложения, которые были подключены к перенесенным ресурсам через учетные записи служб и их работа зависела от перенесеных данных.