Skip to Content

IT nieuczesane.
archive

> Monthly Archives: Luty 2014

W-Files Live

to będzie bardzo pracowity okres w kontekście prac społecznych (; do tego stopnia, że trzeba opublikować W-Filesowe kalendarium zdarzeń. od marca będę miał przyjemność poprowadzić cykl krótkich, ok. 5o min, prezentacji w ramach WGUiSW o PowerShell, otworzę prezentację Windows Cloud Labs… i być może dojdzie jeszcze jeden event w marcu.

 

  • o4.o3.2o14 – WGUiSW „Umiesz klikać – naucz się pisać cz.I. – konfiguracja środowiska PS”
  • 17.o3.2o14 – WCL „Office 365 & Windows Azure – Twoja drabina do chmur”
  • [niepotwierdzone – jeszcze jedna sesja o PS]
  • o1.o4.2o14 – WGUiSW „Umiesz klikać – naucz się pisać cz.II – pisanie funkcji w PS cz. I”
  • o3.o6.2o14 – WGUiSW „Umiesz klikać – naucz się pisać cz.III -pisanie funkcji w PS cz. II”

pomimo, że temat PS na WGUiSW już był prezentowany, skrypty są tematem, który można klepać na okrągło. pokazują to choćby statystyki w-files, gdzie jednym z topowych wpisów po dzień dzisiejszy są lekcje … z cmd!

będę starał się przekazać wiedzę praktyczną, która pozwoli korzystać z PS wygodnie (: wszystkie sesje są darmowe! przypomnę, że spotkania WGUiSW odbywają się w każdy pierwszy wtorek miesiąca w siedzibie Microsoft przy al. Jerozolimskich w-wie i nie trzeba się zapisywać – po prostu przyjść. na WCL są zapisy – miejsc na sali jest ok. 15o [?].

PS. coś się rozjechało z szablonem na WF /: nie wiem o co c’mon i nie wiem kiedy będę miał czas do tego usiąść – za co przepraszam. choć pewnie większość i tak czyta z RSS q:

eN.

We can’t verify who created this file

dość standardowy komunikat podczas uruchamiania skryptów z dysq sieciowego. powód – ścieżka nie jest rozpoznawana jako ‚local Intranet’ i nie jest zaufana – czyli rozwiązaniem jest dodanie adresu do odpowiedniej strefy w Internet Settings Zones. o ile same strefy koncepcyjnie są dobrym pomysłem, o tyle ich realizacja, działanie i zarządzanie prosi się o złożenie krwawych ofiar z IE team na ołtarzu Wielkiego Admina. kilka zebranych ciekawostek dotyczących tego tematu…

1. zarządzanie strefami via GPO…

tak najlepiej – bo globalnie. to rozwiązanie ma jednak sporo ograniczeń przez co traci na przydatności. najlepiej zerknąć jak strefy są zapisywane w rejestrze. ustawienia mogą być per user [HKCU] lub per komputer [HKLM] w kluczu:

HKxx\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

w nim są dwie gałęzie – Domains oraz EscDomains, które będą używane zależnie od tego czy IE odpalony jest w trybie ESC czy pełnym. dalej są już wpisy z wartością DWORD przypisującą do odpowiedniej strefy. podobnie jest to widoczne w GPO – gdzie podaje się listę stron i definiuje odpowiednią wartość przypisania. co z tego wynika? ponieważ lista jest płaska:

  • wpisy w żadnym scenariuszu nie są sumowane! zawsze wygrywa jedna lista, i ta jest traktowana jako całość. a więc nie ma możliwości ‚dodania wpisu’ dla danej grupy czy usera – trzeba zawsze podawać pełną listę.
  • wpisy dla komputera zawsze wygrywają – to aqrat standard dla GPO
  • pozostaje kwestia metody dodania wpisów – czy będzie to IE Maintenance Mode, czy GPP. w GPP można na dwa sposoby – przez konfigurację IE oraz przez dodanie wpisu bezpośrednio do rejestru

brak granularności jest koszmarnym utrudnieniem i generuje muliplikowanie polis i wpisów – różnica w pojedynczym wpisie wymaga przepisania całości. jakimś obejściem problemu jest dodawanie wpisów poprzez dodanie klucza w rejestrze.

2. IE Maintenance Mode – czyli zgroza. szczęśliwie został wycofany w IE1o, nieszczęśliwie wiele firm nadal korzysta [i pewnie długo będzie] z IE8/IE9. edytor polis – GPEdit – wspiera się kontrolkami systemowymi. i tak też jest w przypadq IEMM. oznacza to, że wszystko zasysane jest z komputera, na którym wykonywana jest operacja. to z kolei oznacza, że trzeba mieć tyle komputerów bazowych, ile różnych wersji OS i przeglądarek. optymalnie x2 [z ESC i bez]. przy modyfikacji istniejącej polisy trzeba przenieść stację do OU w którym jest polisa, zassać ją, otworzyć GPMC – dopiero teraz GPedit, otwierając IEMM zassie wartości, które można modyfikować. w innym wypadq trzeba będzie wszystko wpisywać od początq.

3. Słowo o GPP. niewątpliwie jest nieporównywalnie lepszym rozwiązaniem, zastępującym IEMM. najlepiej zmigrować polisy do GPP ASAP, chociaż i tutaj nie jest bez niespodzianek – znów, są oddzielne ‚szablony’ w GPP dla różnych wersji IE, i zależnie od tego jaka jest kombinacja wersji OS/IE – niektóre będą widoczne, a niektóre nie /:

4. We Can’t Verify Who Created This File… czyli skąd w ogóle ten temat. taki komunikat zaczął pojawiać się na stacjach klienckich podczas logowania użytkowników. okazało się, że jest uruchamiany przy logowaniu skrypt… jako admin lokalny komputera. no i zaczyna się babol, ponieważ nie da się utworzyć polisy na użytkownika lokalnego. klient ma windows7 z IE8 i polisy robione IEMM. teoretycznie w sukurs może przyjść fakt, że IEMM jest dla usera i komputera, a polisy komputera nadpisują użytkownika – również lokalnego. hura!… ale zaraz.. jeśli doda się pojedynczy link – to nadpisze wszystkie dodane użytkonikowi, bo się nie sumują. kto podejmie się przepisywania wszystkich polis w dużej firmie, przewidzenia konsekwencji zmiany logiki itp itd… a czasu nie ma. trzeba zrobić.

i tu rozwiązaniem okazało się wstrzyknięcie tego pojedynczego wpisu do rejestru:

  • GPEdit/Computer Configuration/Preferences/Windows Settings/Registry
  • i tutaj dodane „Update” dla:
    • Hive: HKLM
    • KeyPath: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\<server.with.domain.ad>
    • Value: *

 

 PODSUMOWUJĄC

jeśli jesteś adminem i nie masz zapędów samobójczych – rób wszystko żeby utrzymać jeden standard – tutaj OS+IE, ale generalnie ustandaryzowane środowisko jest łatwiej zarządzalne.

druga porada – staraj się korzystać z dobrodziejstw nowych metod – GPP zamiast skryptów czy IEMM, folder redirection a nie jakieś roaming profiles i tak dalej…

eN.

migracyjna zagadka z certyfikatami

staram się nie wpisywać tego, co się nie da, a raczej rozwiązania, ale tym razem się poddałem – częściowo z braq czasu, ale generalnie nie zmęczyłem tematu. a ciekawostka jest taka:

po migracji użytkowników i kompów między domenami, zaczęły się pojawiać problemy z dostępem do niektórych stron. IE [mówiłem, że nie lubię tego produktu?] pokazuje standardowy błąd, dokładnie taki, jak przy braq komunikacji sieciowej. otwarcie w niekoszernej przeglądarce pokazało od razu problem z certyfikatem użytkownika.

ciekawostka na boq: otwarcie certmgr.msc wymaga uprawnień admina /: bardziej ogólnie – uruchomienie mmc wymaga uprawnień admina…

kiedy otworzy się widok certyfikatów [Internet Options -> Content -> certificates]… wszystkie certyfikaty są i pokazują, że posiadają prawidłowe klucze prywatne O_o

rozwiązanie jest trywialne – wystarczy wyexportować cert i zaimportować z powrotem. oznacza to, że cert jest ok, klucz prywatny ok… tylko gdzieś gubiony jest jakiś kawałek informacji – ale nie udało mi się odnaleźć o co c’mon…

eN.