Skip to Content

IT nieuczesane.
category

Category: w-files

UR5 do VMM – uwaga

nie zrobiłem screenshota /: więc tak pół-informacyjnie: po instalacji UR5 do SCVMM zaczął sypać błędami podczas zakładania maszyny wirtualnej. coś w stylu:

„method get_protectionProvider in type hardwareConfigSettingsAdapter from assembly microsoft.systemcenter.virtualmachinemanager does not have an implementation”

kombinowaliśmy z poprawkami do .NET framework, których ostatnio trochę się pojawiło, ale dopiero cofnięcie UR5 pomogło. sądząc po braq wyników w googlu chyba mieliśmy odosobniony przypadek…

eN.

przeszukiwanie logów aplikacyjnych

chaoschciałem zrobić szybką wrzutę na temat odczytywania zdarzeń z logu ‚applications and services logs’… i okazuje się, że to całe małe universum XMLowe…

najważniejsze informacje: logi systemowe można czytać łatwo i przyjemnie przy pomocy ‚get-EventLog’. jednak kiedy chce się odczytać coś z logów aplikacji zaczynają się schody. jest polecenie ‚Get-WinEvent‚, jednak mechanizm za nim się kryjący jest okrutnie nieprzyjemny. cała architektura oparta jest na XMLu, w związq z czym jakiekolwiek przeszukiwanie albo jest pop(*^@#!@ne albo niewydajne. przykłady filtrów XML – standardowy i xPath ze strony technet:

w dużym skrócie – jest to zupełnie nieprzydatne w zastosowaniu codziennej administracji ponieważ:

  • trzeba nie tyle ‚znać’ obsługę XML ale ‚mieć ją wkompliowaną w mózg’. jak ktoś z tego korzysta dzień w dzień, to może trzepnie taki kodzik na kolanie, ale jak raz na jakiś czas trzeba coś wyszukać…
  • nie da się na stałe zrobić zapytania, ponieważ zdarzenia mają różną strukturę – składają się z różnych elementów. jak to w XML – trzeba ‚crawlować’  po elementach, bo ich struktura nie jest z góry znana
  • dwie różne metody, dwa totalnie różne zapisy, do tego w żaden sposób nie przystające do reszty PS

a przecież XML można przedstawić za pomocą obiektu… czemu ten wynalazek nie zwraca normalnego, ludzkiego obiektu z atrybutami?

polecam art, w którym można poczytać jak się przez to przegryźć.

a na szybko, bez developerki, może niewydajnie, ale działa:

scenariusz: znaleźć logi hyper-v, w których są wpisy dotyczące maszyny o nazwie ‚VMNAME’

inne pomocnicze polecenia na początek to ‚get-WinEvent -listProvider *’ oraz ‚get-WinEvent -listLog *’. trzeba jakiś list otwarty do scripting guy’a napisać, żeby ponaciskał na uczłowieczenie dostępu do logów aplikacyjnych… ahhh.. żeby tak czas pozwolił to można własny moduł napisać… /:

eN.

 

magia storage migration

wits„tyle magii w całym mieście,

nie widziałeś tyle jeszcze,

popatrz.. o popatrz…”

dzisiejszy dzień mianuję swoim ‚dniem archeologa’. podstawowe założenia – cuda nie istnieją. ale kategoria i tak do w-files. a wszystko zaczęło się od zupełnie zwykłego taska administracyjnego opisywanego w poprzednim wpisie: trzeba usunąć CSV i stworzyć nowy. czyli musi być jakiś pośredni – temp, i maszynki trzeba przenieść najpierw na tempa, dokonać odpowiednich modyfikacji na macierzy, stworzyć nowe CSV i na nie poprzenosić już docelowo maszyny. no i się zaczęło…

podczas przenoszenia maszyn, wszystko idzie sprawnie, aż na koniec informacja, że migracja nie powiodła się. efekty różne łącznie z takim, że maszyna po prostu znika! (SIC!) ale żeby jeszcze zupełnie znikęła, a to nie – niby jest a jej nie ma. niby jej nie ma, a jest… no po prostu burdel na kółkach. ale udało się dużą część wyjaśnić…

finalnie okazało się, że są dwa powody nieudanych migracji: jeden to snapshoty DPM a drugi to jakiś wewnętrzny błąd SCVMM, którego póki co nie umiem wyjaśnić.

1. DPM.

błąd

przypadek ciekawszy, ponieważ po wykonaniu migracji maszyna jest, ale jej nie ma. błąd migracji:

Error (2901)
The operation did not complete successfully because of a parameter or call sequence that is not valid.
The parameter is incorrect (0x80070057)

Recommended Action
Ensure that the parameters are valid, and then try the operation again.

maszyna pozostaje w VMM z informacją ‚incomplete VM Configuration’. jest również widoczna w klastrze, ale zasób konfiguracji jest niedostępny. natomiast, żeby było ciekawie, zostaje wyrejestrowana z samego hosta Hv. po analizie logów na hoście Hv, na którym maszyna była zarejestrowana pojawiają się na koniec migracji trzy wpisy:

  • Event ID 18303 ‚The Virtual Machine Management service successfully completed the export operation of virtual machine’
  • Event ID 13003 ‚The virtual machine ‚<VMName>’ was deleted’
  • Event ID 16300 ‚Cannot load a virtual machine configuration: The system cannot find the file specified. (0x80070002).

wnioski

owy plik, który cannot be found to snapshot zrobiony przez DPM. okazuje się, że w wyniq utraty komunikacji w trakcie robienia backupu, DPM zostawia informację o snapshocie. specjalnie napisałem ‚informację’ ponieważ okazuje się, że jest xml z informacją, widać go w interfejsie tudzież używając get-vmsnapshot, ale sam katalog, gdzie powinny znajdować się pliki snapshota (vsv i bin), jest pusty. sam proces ‚storage migration’ działa jako: export VM -> delete VM-> import VM, wywala się na ostatnim kroq. maszyna zostaje usunięta z Hv, a durny VMM nie zapewnia atomowości. nie dość, że migracja się nie udaje, zostają pełne zapisy w clustrze i VMM, sama maszyna znika.

rozwiązanie

po fakcie jest tylko jeden sposób:

  • usunąć zasób klastra
  • zaimportować maszynę. zapyta nas o położenie checkpointów – trzeba usunąć, bo ich tak na prawdę nie ma
  • dodać zasób do klastra

a żeby zapobiec, najlepiej zrobić hurtowe zapytanie o snapshoty typu recovery i je pousuwać. łatwo odróżnić te, które są ‚w trakcie’ do tych, które wiszą, ponieważ w nazwie mają daty:

widać, że to są jakieś snapy z przed wielu dni, więc na pewno do wywalenia. po upewnieniu się, że wszystkie są stare i żaden backup teraz się nie wykonuje:

następnie warto odświeżyć VMM, ponieważ ma stare informacje. można np. hurtem wszystkie maszyny: get-scVirtualMachine|read-scVirtualMachine|out-null

2. zła nazwa

błąd

drugi przypadek jest dziwny i wygląda na wewnętrzny błąd VMM. migracja wywala się w ostatnim etapie z błędem o niedostępności zasobu. po weryfikacji okazuje się, że maszyna jest jednak zmigrowana i dyski wskazują na nowy CSV. jeśli jednak spojrzy się do konsoli klastra okazuje się, że maszyna ma w zależnościach wpisy dotyczące i starego i nowego CSV. to dokładnie efekt opisywany ostatnio.

analiza polega na spostrzegawczości. błąd migracji jest następujący:

Error (12711)
VMM cannot complete the WMI operation on the server (<HOSTNAME.FQDN>) because of an error: [MSCluster_Resource.Name=&quot;SCVMM VMNAME Configuration&quot;] Element not found.

Element not found (0x490)

Recommended Action
Resolve the issue and then try the operation again.

natomiast po przyjrzeniu się wynikom czy to z PS czy w interfejsie widać, że maszyna nazywa się po prostu ‚VMNAME’ a nie ‚SCVMM VMNAME’ /:

wnioski

VMM jest głupi.

rozwiązanie

post factum można to zrobić tak, jak we wspomnianym wpisie – czyli przez WMI usunąć z privateparts zależność do dysq. można to też zrobić prościej – i metoda powinna dać efekt post factum et pro eo – odświeżyć konfigurację maszyny na klastrze:

 3. to nie koniec magii

a bo inne ciekawe przypadłości podczas całej operacji wyszły, mniej-lub-bardziej wyjaśnialne. ot np. taki niuans:

jedna maszyna ma w VMM status ‚incomplete VM configuration’ a VMM pokazuje, że maszyna jest na hoście HOSTo3. w klastrze ta sama maszyna działa i ma się dobrze, i działa na hoście HOSTo5. póki co nijak nie udało mi się odświeżyć tej maszyny. prawdopodobnie trzeba to będzie zrobić via SQL. ale jeszcze fajniejsza rzecz:

załóżmy, że ta VMo2 to ta, której nie ma. to samo polecenie dla hosta, na którym ta maszyna działa, nie pokazuje jej. ale przecież Hv manager jej nie pokazuje, i jej tam nie ma! o co c’mon? otwieram drugą konsolę, kopiuję polecenie i…

eeeee.. ale że o co c’mon? i znów na spostrzegawczość: przecież get-VM nie ma parametru ‚VMHost’ tylko ‚ComputerName’ – co zresztą podpowiada tab. zatem muszą to być dwa różne polecenia… oto odpowiedź:

konsola A

konsola B

 wnioski

VMM jest nie tylko głupi, ale również wredny.

eN.

właściciel plików: administrators

UAC_insigniaprodukty eMeSa wykazują się niesamowitą inkoherencją. z jednej strony  genialnością i pomysłowością, po czym trafia się na opcje [lub ich brak] lub mechanizmy, które zaburzają cały obraz. jednym z najbardziej niedopracowanych i kontrowersyjnych mechanizmów jest UAC – User Account Control. dość często na niego przeklinam i trafiłem na kolejny argument, świadczący o tym, że był wymyślany na złość administratorom. a tak na prawdę będzie to połączenie kilq bezsensownych i niewyjaśnialnych zachować systemu.

chodzi konkretnie o własność [ownership] plików zakładanych przez użytkownika, który należy do grupy administratorów lokalnych. czyli praktycznie zawsze – bo któż inny zarządza serwerem? pliki w takim przypadq mają jako właściciela wpisywane… ‚Administrators’ – zamiast konkretnej osoby. dla windows 2oo3 dało się to wyregulować polisą GPO:

„Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\System objects: Default owner for objects created by members of the Administrators group”

problem polega na tym, że takiego ustawienia nie ma dla systemów w2k8+. w taki czy inny sposób polisę można przywrócić w interfejsie, ale nie ma to znaczenia, ponieważ systemy jej nie respektują. a jest tak ponieważ zespół wdrażający UAC uważał, że jest tak samo genialny i nieomylny jak ten, który zarządził, że metrointerfejs będzie standardem wszędzie, zawsze i bezwzględnie, łącznie z serwerami. można znaleźć KB, które opisuje, że to właśnie ten wspaniały mechanizm zapewnia, że uprawnienia będą automatycznie nadawane na konkretną osobę, ponieważ nie ma tokena administratora.

wszystko by się nawet kleiło, gdyby nie jeden podstawowy fakt – ktoś, kto to wymyślał raczej nigdy nie administrował serwerem pliqw, pozostając w jakiejś sferze teorii. w ogóle poruszanie się po zarządzanym serwerze jest mało wykonalne bez uprawnień admina, więc nie ma innego wyjścia jak UAC obejść – czy to odpalając jakiegoś file managera w trybie ‚run as administrator’, czy to po prostu wyłączając cały mechanizm. pozostaje jeszcze jeden opisywany radośnie przypadek – UAC nie działa przy operacjach zdalnych, przez sieć, więc tu też zawsze będzie ‚owner:administrators’.

jak to obejść? jedyny sposób jaki znam, to utworzenie grupy, która będzie miała pełne uprawnienia do wszystkich pliqw, ale nie będzie w grupie adminów. takie to trochę naciągane, mało wygodne i zastanawiam się, czy kiedykolwiek widziałem zastosowane w praktyce? uważam, że to jest poważne niedociągnięcie w bezpieczeństwie, ponieważ nie daje łatwej metody sprawdzenia kto dany plik/katalog założył. oczywiście, że ownera da się zmienić, więc można polemizować ‚jakież to tam zabezpieczenie’, jednak z doświadczenia mogę powiedzieć – w większości przypadqw poziom wiedzy, ignorancja i lenistwo są na tyle powszechne, że bardzo podstawowe mechanizmy wystarczają aby odpowiedzieć na podstawowe pytania. a przeciw tym na prawdę dobrym, działającym z premedytacją i tak ciężko coś przeciwdziałać. wielokrotnie też miałem przypadek, kiedy nie chodziło o bezpieczeństwo sensus stricte a po prostu zwykłe wyjaśnienie – ‚kto ten katalog/plik utworzył?’.

eN.

 

VMM Agent Status: access denied

WTF?w-files combo.

scenariusz: serwery Hv w kilq wersjach [2k8R2, w2k12, w2k12R2, clustry i standalone] zarządzane System Center Virtual Machine Manager 2o12 SP1. w pewnym momencie nie da się założyć nowej maszyny wirtualnej, ponieważ ‚rating’ pokazuje wszystkie maszyny jako niedostępne, nie da się zrobić Live Migration. w ‚Fabric’ status agentów opisany jest jako ‚Access Denied’.

pierwsza próba – ‚sprawdź o co chodzi’ – czyli wywalenie agenta z maszyny i ponowne dodanie. wpis w logu:

przeszukałem net i najwięcej artów dotyczyło konfiguracji winRM. [how to troubleshoot winrm] ale testy winrm bez problemy przebiegały – zarówno lokalnie, jak zdalnie, winrm id -r:<remoteHost>, bez zająknięcia czy opóźnień ślicznie odpowiada. w logach biało jak w staropolskiej zimie na ziemiach wschodnich. ktoś sugeruje, że wystarczy uruchomić agenty SCVMM. lame /: gdzieś indziej znajduję poprawki dla w2k8R2 żeby obsługiwała nowe serwery ale dawno zainstalowane. w ogólnym ‚how to troubleshoot‚  na stronach technet też nic ciekawego. wszystkie testy sieciowe przebiegają pomyślnie, FW na wszelki wypad wyłączyłem, żeby mieć pewność. w końcu trafiam na roqjący pozytywnie wpis dotyczący różnic  w wersji winRM… ale wszędzie mam v3 jak trzeba.

czas leci, godziny są palone, a VMM odmawia współpracy. stawiam nowego VMM – 2o12R2 – upgrade i tak był wpisany w kalendarz, więc zamiast ślęczeć nad debugowaniem po prostu stawiam od nowa.

jak nie ciężko się domyśleć – nadal nie działa – tym razem, tak dla odróżnienia, już nie na wszystkich maszynach. w końcu się wkurzyłem i zmieniłem dwa ustawienia w polisie GPO:

Turn On Compatibility HTTP Listener Disabled -> Enabled
Turn On Compatibility HTTPS Listener Disabled -> Enabled

w zasadzie nie ma to sensu bo compatibility listeners są dla winRM1.1 w w2k3 a takich wynalazków szczęśliwie nie ma. gpupdate na wszystkich maszynach. i działa /:

to była ciekawostka #1 a teraz ciekawostka #2. tak bardzo nie rozumiem dla czego to się tak zachowało [ i wszystkie commandlineowe testy przebiegają poprawnie i część funkcjonalności działa i PSremoting działa…] że postanowiłem te polisy z powrotem wyłączyć.

Turn On Compatibility HTTP Listener Enable-> Disabled
Turn On Compatibility HTTPS Listener Enabled -> Disabled

gpupdate na wszystkich hostach… i dalej działa @_@ w każdym razie póki co. restartów nie robiłem i minęło kilka h. teoretycznie jakby miało przestać to już by nie działało. nie potrafię tego wyjaśnić.

eN.

 

Inspiracje

mousk -eq mózg

eN.

konQrs WGUiSW

zgodnie z zapowiedziami – po 3ciej części mini-serii dotyczącej PowerShell na WGUiSW rozpoczyna się konqrs, w którym do wygrania będzie na szczurach pędzona woda ognista (12to letni chivas). zasady konkursu są proste:

  • celem jest napisanie funkcji efektów dla silnika PowerPresentation czyli:
    • trochę zabawy nad niekonieczną rzeczą
    • dobry powód do nadrobienia zaległości z PS albo pouczenia się trochę
  • oceniane będą:
    • poprawność – czy funkcja napisana jest poprawnie, czyli ma odpowiednie deklaracje, opisy itd
    • fajność – czyli czy efekt robi wrażenie
    • kompatybilność – będzie wymagał możliwie mało zmian w kodzie głównym *[dalej napiszę o co cho]
  • oceniał będę ja, czyli nExoR, na podstawie subiektywnej oceny.
  • kod PP wraz z prezentacjami WGUiSW jako przykłady można zassać stąd.
  • efekty należy tworzyć jako oddzielne pliki zawierające funkcje efektów z podwójnym rozszerzeniem – .ppe.ps1 . takie pliki są automatycznie dot-soursowane przez PP
  • kod można przesyłać na mój adres nexorek[at]gmail.com do końca maja
  • wyniki zostaną podane na kolejnym WGUiSW – o3.o6.2o14

PowerPresentation to skrypt, który wyświetla prezentacje w hoście PS – ci, którzy uczestniczyli we WGUiSWach mieli okazję go zobaczyć w działaniu. na napisanie go nie poświęciłem jakoś specjalnie dużo czasu – chodzi o zabawę, więc proszę się nie czepiać kodu. nie pisałem modułu, ponieważ wymagało by to instalacji czy innych wynalazków a chodzi o to, żeby prezentację można było łatwo uruchomić na dowolnym kompie z PS np. z pendrive’a.

PP wykorzystuje prosty plik XML jako wsad prezentacyjny. opis podstawowych tagów znajduje się helpie do funkcji – są to tak nieskomplikowane rzeczy, że nie chce mi się tego opisywać w szczegółach. w razie co zawsze można napisać do mnie maila do wyjaśnię.

domyślam się, że ze względu na prymitywizm kodu niektóre pomysły mogą być nierealizowalne lub wymagałyby potwornej akrobatyki. dla tego dozwolona jest modyfikacja kodu PP ale:

  • zmiany powinny być możliwie niewielkie
  • cała reszta musi działać nawet po zmianach – czyli albo nie mogą one wpłynąć na działanie standardowych funkcji albo trzeba je również poprawić.

wszystkie działające efekty zostaną opublikowane (:

zapis sesji WGUiSW dostępny jest na http://wiki.wguisw.org/ w ramach spotkań 59-61.

DOBREJ ZABAWY! =^.^’=

eN.

 

inspiracje

ludzie renesansu:

Elon Musk

Larry Page:

i coś w wersji edukacyjnej

Cosmos – spaceTime odyssey

eN

 

W-Files Live

to będzie bardzo pracowity okres w kontekście prac społecznych (; do tego stopnia, że trzeba opublikować W-Filesowe kalendarium zdarzeń. od marca będę miał przyjemność poprowadzić cykl krótkich, ok. 5o min, prezentacji w ramach WGUiSW o PowerShell, otworzę prezentację Windows Cloud Labs… i być może dojdzie jeszcze jeden event w marcu.

 

  • o4.o3.2o14 – WGUiSW „Umiesz klikać – naucz się pisać cz.I. – konfiguracja środowiska PS”
  • 17.o3.2o14 – WCL „Office 365 & Windows Azure – Twoja drabina do chmur”
  • [niepotwierdzone – jeszcze jedna sesja o PS]
  • o1.o4.2o14 – WGUiSW „Umiesz klikać – naucz się pisać cz.II – pisanie funkcji w PS cz. I”
  • o3.o6.2o14 – WGUiSW „Umiesz klikać – naucz się pisać cz.III -pisanie funkcji w PS cz. II”

pomimo, że temat PS na WGUiSW już był prezentowany, skrypty są tematem, który można klepać na okrągło. pokazują to choćby statystyki w-files, gdzie jednym z topowych wpisów po dzień dzisiejszy są lekcje … z cmd!

będę starał się przekazać wiedzę praktyczną, która pozwoli korzystać z PS wygodnie (: wszystkie sesje są darmowe! przypomnę, że spotkania WGUiSW odbywają się w każdy pierwszy wtorek miesiąca w siedzibie Microsoft przy al. Jerozolimskich w-wie i nie trzeba się zapisywać – po prostu przyjść. na WCL są zapisy – miejsc na sali jest ok. 15o [?].

PS. coś się rozjechało z szablonem na WF /: nie wiem o co c’mon i nie wiem kiedy będę miał czas do tego usiąść – za co przepraszam. choć pewnie większość i tak czyta z RSS q:

eN.

We can’t verify who created this file

dość standardowy komunikat podczas uruchamiania skryptów z dysq sieciowego. powód – ścieżka nie jest rozpoznawana jako ‚local Intranet’ i nie jest zaufana – czyli rozwiązaniem jest dodanie adresu do odpowiedniej strefy w Internet Settings Zones. o ile same strefy koncepcyjnie są dobrym pomysłem, o tyle ich realizacja, działanie i zarządzanie prosi się o złożenie krwawych ofiar z IE team na ołtarzu Wielkiego Admina. kilka zebranych ciekawostek dotyczących tego tematu…

1. zarządzanie strefami via GPO…

tak najlepiej – bo globalnie. to rozwiązanie ma jednak sporo ograniczeń przez co traci na przydatności. najlepiej zerknąć jak strefy są zapisywane w rejestrze. ustawienia mogą być per user [HKCU] lub per komputer [HKLM] w kluczu:

HKxx\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap

w nim są dwie gałęzie – Domains oraz EscDomains, które będą używane zależnie od tego czy IE odpalony jest w trybie ESC czy pełnym. dalej są już wpisy z wartością DWORD przypisującą do odpowiedniej strefy. podobnie jest to widoczne w GPO – gdzie podaje się listę stron i definiuje odpowiednią wartość przypisania. co z tego wynika? ponieważ lista jest płaska:

  • wpisy w żadnym scenariuszu nie są sumowane! zawsze wygrywa jedna lista, i ta jest traktowana jako całość. a więc nie ma możliwości ‚dodania wpisu’ dla danej grupy czy usera – trzeba zawsze podawać pełną listę.
  • wpisy dla komputera zawsze wygrywają – to aqrat standard dla GPO
  • pozostaje kwestia metody dodania wpisów – czy będzie to IE Maintenance Mode, czy GPP. w GPP można na dwa sposoby – przez konfigurację IE oraz przez dodanie wpisu bezpośrednio do rejestru

brak granularności jest koszmarnym utrudnieniem i generuje muliplikowanie polis i wpisów – różnica w pojedynczym wpisie wymaga przepisania całości. jakimś obejściem problemu jest dodawanie wpisów poprzez dodanie klucza w rejestrze.

2. IE Maintenance Mode – czyli zgroza. szczęśliwie został wycofany w IE1o, nieszczęśliwie wiele firm nadal korzysta [i pewnie długo będzie] z IE8/IE9. edytor polis – GPEdit – wspiera się kontrolkami systemowymi. i tak też jest w przypadq IEMM. oznacza to, że wszystko zasysane jest z komputera, na którym wykonywana jest operacja. to z kolei oznacza, że trzeba mieć tyle komputerów bazowych, ile różnych wersji OS i przeglądarek. optymalnie x2 [z ESC i bez]. przy modyfikacji istniejącej polisy trzeba przenieść stację do OU w którym jest polisa, zassać ją, otworzyć GPMC – dopiero teraz GPedit, otwierając IEMM zassie wartości, które można modyfikować. w innym wypadq trzeba będzie wszystko wpisywać od początq.

3. Słowo o GPP. niewątpliwie jest nieporównywalnie lepszym rozwiązaniem, zastępującym IEMM. najlepiej zmigrować polisy do GPP ASAP, chociaż i tutaj nie jest bez niespodzianek – znów, są oddzielne ‚szablony’ w GPP dla różnych wersji IE, i zależnie od tego jaka jest kombinacja wersji OS/IE – niektóre będą widoczne, a niektóre nie /:

4. We Can’t Verify Who Created This File… czyli skąd w ogóle ten temat. taki komunikat zaczął pojawiać się na stacjach klienckich podczas logowania użytkowników. okazało się, że jest uruchamiany przy logowaniu skrypt… jako admin lokalny komputera. no i zaczyna się babol, ponieważ nie da się utworzyć polisy na użytkownika lokalnego. klient ma windows7 z IE8 i polisy robione IEMM. teoretycznie w sukurs może przyjść fakt, że IEMM jest dla usera i komputera, a polisy komputera nadpisują użytkownika – również lokalnego. hura!… ale zaraz.. jeśli doda się pojedynczy link – to nadpisze wszystkie dodane użytkonikowi, bo się nie sumują. kto podejmie się przepisywania wszystkich polis w dużej firmie, przewidzenia konsekwencji zmiany logiki itp itd… a czasu nie ma. trzeba zrobić.

i tu rozwiązaniem okazało się wstrzyknięcie tego pojedynczego wpisu do rejestru:

  • GPEdit/Computer Configuration/Preferences/Windows Settings/Registry
  • i tutaj dodane „Update” dla:
    • Hive: HKLM
    • KeyPath: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\<server.with.domain.ad>
    • Value: *

 

 PODSUMOWUJĄC

jeśli jesteś adminem i nie masz zapędów samobójczych – rób wszystko żeby utrzymać jeden standard – tutaj OS+IE, ale generalnie ustandaryzowane środowisko jest łatwiej zarządzalne.

druga porada – staraj się korzystać z dobrodziejstw nowych metod – GPP zamiast skryptów czy IEMM, folder redirection a nie jakieś roaming profiles i tak dalej…

eN.