PowerShell v 5.0 стартует в ограниченном языковом режиме (constrained language mode) при запуске на компьютере, работающем в режиме белого списка (SRP/Bitlocker). Как этого избежать?

Пришла беда откуда не ждали: после установки PowerShell v 5.0. любой запуск PowerShell на моем компьютере стал сопровождаться сообщением об ошибке:

. C:\Windows\System32\WindowsPowerShell\v1.0\profile.ps1 : Cannot dot-source this command because it was defferent language mode. To invoke this command without importing its contents, omit the ‘.’ operator.

Из сообщения об ошибке понятно, что PowerShell запустился в режиме ограниченной функциональности (constrained language mode) из-за чего и не  смог выполнить профиль. Погуглив, я обнаружил интересный топик на одном из форумов, автор которого утверждал, что причина такого поведения PowerShell v5.0 – настройка компьютера на функционирование в режиме белого списка запускаемых программ при помощи SRP. Я так же использую настройку запуска программ в режиме белого списка, посему решил проверить эту гипотезу, запуская PowerShell при включенном и выключенном SRP, и она полностью подтвердилась. Я сначала понадеялся, что constrained mode удастся отключить при помощи переменной окружения __PSLockdownPolicy, однако, оказалось, что для PowerShell v5  это не так: ни пользовательская, ни системная переменные окружения не смогли заставить PowerShell запуститься в режиме Full Language mode. Я обратился к Вадимсу Подансу, в надежде, что он в курсе нововведений, произошедших в PowerShell v 5.0. Оказалось, что разработчики PowerShell в v5.0 стали закручивать гайки, и на машинах, работающих в режиме белого списка, PowerShell теперь принудительно запускается в constrained language mode. К сожалению, запуск PowerShell в ограниченном режиме (constrained language mode) влечет за собой следующие очень нехорошие последствия: перестает выполняться профиль пользователя (а, значит, невозможно настроить под себя интерактивный режим работы консоли), не работает отладчик (а это уже совсем печально).

Continue reading ‘PowerShell v 5.0 стартует в ограниченном языковом режиме (constrained language mode) при запуске на компьютере, работающем в режиме белого списка (SRP/Bitlocker). Как этого избежать?’ »

PowerShell DSC и Мастер очистки диска (cleanmgr) на win2k8r2

За время функционирования ОС windows в систему устанавливается большое количество обновлений, частично более поздние обновления заменяют более ранние, которые можно было бы и удалить (или сжать), чтобы они не занимали места на диске. Как известно, функционал очистки системы от ненужных обновлений для Win2k8r2/Win7 был почему-то интегрирован в мастер “Очистки диска” (хотя в более старших версиях ОС этот функционал интегрирован в DISM). Для того, чтобы воспользоваться мастером очистки диска для очистки от ненужных обновлений необходимо установить обновление kb2852386, если это еще не было сделано ранее, затем, вызвав мастер “Очистка диска”, “взвести галку” “Очистка обновлений windows” и произвести очистку. Вот тут нас и ожидает сюрприз: мастер “Очистка диска” по умолчанию не установлен в системе. Официально для его установки требуется доустановить компонент Desktop experience, К сожалению этот компонент содержит не только мастера “Очистки диска”, но и много других программ, которые не очень то и нужны на сервере. Существует и другой неофициальный способ установки: нужно скопировать пару файлов из папки WinSxS.

Скопировать эти файлы можно было бы и при помощи обычного startup-скрипта или GPP, но мы не ищем легких путей так же можем воспользоваться технологией Desired State Configuration   (DSС), которая позволяет нам описать желаемую конфигурацию, применить ее к серверу(серверам) и контролировать соответствие сервера заданной конфигурации.

Continue reading ‘PowerShell DSC и Мастер очистки диска (cleanmgr) на win2k8r2’ »

Fixing component store corruption

По следам своего недавнего инцидента: Перестали устанавливаться некоторые обновления на одном из серверов Win2012 R2. Впервые столкнулся ситуацией, когда обновления не ставились не из-за проблем с агентом обновления Windows Update или повреждением папки %windir%\SoftwareDistribution. Неисправность проявлялась очень странно:
часть обновлений устанавливалась без проблем, а установка некоторого подмножества других обновлений всегда стала завершаться одной и той же ошибкой (0x800F0831).

Continue reading ‘Fixing component store corruption’ »

Резервное копирование Windows 2008 R2/2012 при помощи скрипта на PowerShell.

Давно уже написал скрипт для резервного копирования Windows 2008 R2/2012 штатными средствами, но руки все никак не доходили написать статью в бложек, исправляюсь. Скрипт, да и сама статья несколько вторичны. Основные идеи, которые легли в его/ее основу, были заимствованы из статей Вадимса, которые он написал еще аж  в 2009 году. Поэтому сильно рекомендую сначала перейти по ссылке и прочитать эти статьи, а потом возвращаться сюда. Зачем потребовалось вообще что-то писать, если Вадимс уже все написал? Ну, хотя бы потому, что шаблон-скрипт, который он опубликовал, содержит ошибки и немного не работает Подмигивающая рожица. Ну, и кроме того, некоторая информация, которую он опубликовал также содержит ошибки, IMHO. Поэтому,  очень рекомендую прочитать еще и вот эту статью: Backup Version and Space Management in Windows Server Backup.

Continue reading ‘Резервное копирование Windows 2008 R2/2012 при помощи скрипта на PowerShell.’ »

Антивирус Касперского и KB2823324

MS выпустил обновление kb2823324, после установки которого на компьютеры, где установлены антивирусы Касперского KAV6 и KES8, начинаются следующие чудеса:
при загрузке ОС стартует chkdsk, который проверяет и правит системный раздел, после чего следует перезагрузка с нормальной загрузкой ОС. При следующей перезагрузке ОС все повторяется снова (т.е. в процессе работы ОС с системным разделом что-то происходит, и он помечается, как «грязный»).
KL судорожно выпустила патчик и предлагает его всем желающим на тестирование. Патчик помагает. Однако недавно, MS выпустила бюллетень безопасности и статью kb, в которых призывает удалить обновление kb2823324, т.к. оно приводит к сбоям.

Microsoft is investigating behavior where systems may not recover from a restart, or applications cannot load, after security update 2823324 is applied. We recommend that customers uninstall this update. As an added precaution, Microsoft has removed the download links to the 2823324 update while we investigate.

support.microsoft.com/kb/2839011/en-us

V2.0 (April 11, 2013): Added links to Microsoft Knowledge Base Article 2823324 and Microsoft Knowledge Base Article 2839011 under Known Issues. Removed Download Center links for Microsoft security update 2823324. Microsoft recommends that customers uninstall this update. See the Update FAQ for details.

technet.microsoft.com/en-us/security/bulletin/ms13-036

Continue reading ‘Антивирус Касперского и KB2823324’ »

Управление IE10 при помощи групповых политик в среде Windows 2008 R2/Windows 7

Не так давно Microsoft сделала доступной версию Internet Explorer 10 для windows 7. Начитавшись различных хвалебных статей о его быстроте, я решил посмотреть на это своими глазами и для начала установил его себе на рабочее место. Потренировавшись на кошках, пришел к выводу, что субъективно он действительно работает быстрее, чем IE9 и уж тем более IE8, и собрался уже было приступить к развертыванию его на всех компьютерах предприятия, как внезапно обнаружил, что на IE10 почему-то не действуют мои старые групповые политики и, более того, в редакторе групповых политик на моем компьютере исчез узел “Настройка Internet Explorer”/“Internet Explorer Maintenance” (IEM).

Continue reading ‘Управление IE10 при помощи групповых политик в среде Windows 2008 R2/Windows 7’ »

Гостевая ОС, работающая на хосте под Windows 2008 R2 c Hyper-V, теряет сеть.

Имеется у нас сервер Dell R510 с установленной на нем Windows 2008 R2 в режиме core с ролью Hyper-V. На этой хостовой машине развернута «виртуалка» Windows 2008 R2, на которой (в свою очередь) установлен SQL сервер. Все было хорошо, но, по прошествии некоторого времени, гостевая машина начала «терять сеть». Происходило это с завидной периодичностью (где-то раз в месяц или чаще). Причем в логах гостевой машины можно было наблюдать только события, которые являлись следствием «потери сети» (невозможно связаться с DC, невозможно применить политику, невозможно выполнить синхронизацию времени и т.п.), но не их причиной. Снаружи по сети гостевая машина также была недоступна (и даже не пинговалась). В логах хостовой машины так же ничего подозрительного обнаружить не удалось. После перезагрузки гостевой машины все приходило в норму до следующего раза. Continue reading ‘Гостевая ОС, работающая на хосте под Windows 2008 R2 c Hyper-V, теряет сеть.’ »

Сбор информации об установке “заплаток” (HotFix’ов) в ОС Windows (на примере HotFix’ов из бюллетеня безопасности MS12-020)

13.03.2012 Microsoft выпустила очередную порцию обновлений, устраняющих недавно обнаруженные уязвимости. Среди этих “заплаток” имеет место быть и критическое обновление, устраняющее уязвимость в протоколе RDP. Успешная эксплуатация этой уязвимости позволит злоумышленнику удаленно выполнить произвольный код на атакуемой машине. Процитирую бюллетень безопасности MS12-020:

Настоящее обновление для системы безопасности устраняет две обнаруженные пользователями уязвимости в протоколе удаленного рабочего стола. Наиболее серьезная из этих уязвимостей делает возможным удаленное выполнение кода, если злоумышленник отправляет уязвимой системе последовательность специально созданных пакетов RDP. По умолчанию протокол удаленного рабочего стола (RDP) отключен во всех операционных системах Windows. Системы, на которых не включен RDP, не подвержены данной уязвимости.

Это обновление безопасности имеет уровень “критический” для всех поддерживаемых версий Microsoft Windows

Continue reading ‘Сбор информации об установке “заплаток” (HotFix’ов) в ОС Windows (на примере HotFix’ов из бюллетеня безопасности MS12-020)’ »

Установка 1с v 8.2 в корпоративной среде при помощи групповых политик

Что-то забросил я свой уютненький. Исправляюсь. Сегодня речь пойдет об установке 1c v8.2 в корпоративной среде при помощи групповых политик. И так, какие же способы развертывания совего софта нам предлагает 1с?

  1. Установка с помощью logon-скрипта
  2. Установка, путем размещения в общем сетевом каталоге
  3. Установка с помощью групповых политик

Continue reading ‘Установка 1с v 8.2 в корпоративной среде при помощи групповых политик’ »

Настройка сервера Dell R510 для работы с Hyper-V. Часть 1я (“железная”).

Недавно довелось настраивать свежеприобретенный сервер Dell R510 для работы с Hyper-V. Ниже размещу этапы “большого пути” с описание шишек, которые удалось набить и ссылками на источники информации, которые помогли в решении возникающих проблем. Последний раз покупка новых серверов у нас происходила несколько лет назад и, хотя в прошлый раз мы приобретали сервера того же производителя, выяснилось, что многое позабылось. Главная проблема для меня, как и, наверное, для всех бывших советских людей, – это проблема выбора Подмигивающая рожица. Когда начинаешь работать с серверами Dell на тебя сваливается огромное количество информации, подробнейшей документации, служебного ПО, позволяющего выполнить одни те же задачи разными способами, что порой не понятно – с чего начать? Собственно, чтобы в следующий раз не терзаться муками выбора, я и решил написать эти заметки.

Continue reading ‘Настройка сервера Dell R510 для работы с Hyper-V. Часть 1я (“железная”).’ »