Windows Admin Center - эволюция встроенных средств управления⁠⁠

Выйди на улицу, хотя бы с бабами погуляй.

Думаю, вы правы, я тоже хочу сказать, что если человек привык и ему так удобно, то пускай так и делает. Тут вопрос в том, что если у него 1..2..5 серверов, то может ему так быстрее, если больше, то тогда, наверное, временные затраты стоит оптимизировать. Я не админ давно, и слава богу, но я в курсе о чём вы. Но возможность выбора инструментария это всегда хорошо. Я лишь сомневаюсь, что это хорошо для безопасности. Торчащие из сервера "лишние" открытые порты это не всегда хорошо. Тем более учитывая, что если апдейты по безопасности регулярно выпускают, то нет гарантии, что в этом инструменте все на 100% надежно.

и еще про рдп - у меня домен контроллер на винсервере 2003. но вы упорно пишете что "Народ цепляется RDP к контроллеру домена, что-бы создать пользователя. тем временем, подобное можно сделать из удаленной консоли." тем самым выставляя это подключение как глупость. расскажите, как с вашим способом подключится в вин 2003? ведь

Для управления поддерживаются следующие операционные системы:

Windows 10 старше 1709

Windows Server 2012-2019

никак? так может не стоит всех кто пользуется рдп считать глупыми?

TV намного круче и безопаснее, хотя платный и они гандоны, сделали автообновление

Вы почему-то пытаетесь подменить сладкое квадратным.

Речь не о требованиях софта. Речь о том, что данный инструментарий требует для своей работы множества открытых портов на множестве машин. Это становится более актуальным, если управляемая машина находится вне пределов локальной сети.

Согласитесь, держать открытым наружу один порт (в данном случае, рдп) или держать открытыми наружу пару десятков портов - это не совсем одно и то же.

Впрочем, если вы не заморачиваетесь этим и надеетесь только на доменные учетные записи...каждому - свое, как говориться.

Нормальные статьи пишешь. Пиши ещё.

Иногда очень хочется сказать. Ну и хорошо. Знаете есть масса вариантов где эти самые обновления не очень то и нужны. А качать по несколько гигабайт обновлений это то ещё счастье. Ах да забыл конечно же самый кайф когда эти самые обновления устанавливаются

т.е. на винде у тебя крутится гипер-V, в котором крутится дебиан, и ты подключаешься к винде а не к дебиану? а зачем тогда писать про дебиан?

установил на сервер 2016, вместо 10, настройка доступа появилась х_х

@mfc166 товарищ! прошу, поделись мнением, что я делаю не так. прочитал, вдохновился, полез ставить. в домеме сделал отдельную машину на вин10, установил wac, сервера добавил, на этой машине с 10 все ок, но по веб интерфейсу не пускает, пишет нет разрешения на просмотр этой страницы. гугление дало мне вот такой скрин, у чувака в настройках есть кнопка "доступ", у меня же ее нет, чего ему надо? расширение какое или что? все вроде по инструкциям сделал, но вот ни в какую.

не ставить ?

А как добавить несколько серверов за NAT ?

Я работаю на Windows 8.1, Windows 7. А ну и Android куда Ж без него. 😀 И да Linux не пользуюсь. Хотя знаком с ним.

Лично Я не пользуюсь вообще. Здравый ум и понимание происходящих процессов защищают меня надёжнее чем шпионские free продукты от непонятно кого, и чего. Сейчас очень много чего режет сам провайдер да и интернет не такой чтобы уж open free space. А В большинстве случаев знаете есть ещё системы на которых вирусы вроде как не страшны. Ну то такое не будем о них тут.

"Два чая этому господину !" ©

Руками и ногами голосую за Ваш коммент !

Если позволите, выскажусь по-простому:

    Люто и бешенно заебали индивиды на каждом углу вопящие о своей "крутости", потому что сумели настроить репликацию в SQL и в то же время обсирающие бухов за "тупость".

      Сунуть бы этого "крутого" за комп во время годовой отчётности и посмотреть, как он будет дебет с кредитом сводить.

    Вы прям молодец, очень грамотно и умно написали.

Можно посоветовать им распечатать Ваш коммент и повешать на стеночку рядом с ихними сертификатами.

В чужом коде разбираться Я не буду. Так как не специалист в этой среде. Но закрытость ни к чему хорошему не приводит. Об этом можно долго размышлять. Аваст и иже с ним могут гореть в аду. Но при загрузке системы вижу нагрузку на диск 100% источник думаю Вам известен. Насчёт неопытности пользователей зря Вы так. Вы например знаете как профессионально работать в векторе, или может быть Сапр? Очень сомневаюсь. Охотно верю что Вы разбираетесь в работе и приёмах работы с ОС, и собственно не стоит недооценивать пользователей. Для них ОС это всего лишь оболочка для работы, не более того. Вобщем обсуждать это можно долго, думаю у нас с Вами просто разная точка зрения. И возможно мы решаем разные задачи и преследуем разные цели.

Вы как опытный специалист возможно не видите. Но вот на той же 10 отключить обновления не так то уж и просто. Думаю Вам это тоже известно. Или например при каждой загрузке происходит сканирование на вирусы. Я думаю пользователь в праве сам решать но нет. Да и вообще если честно относительно последних версий окон уж очень настырно они себя ведут не оставляя выбора. Что же касается read-only устройств тех же маршрутизаторов и принтеров это немного из другой серии. А вот насчёт открытости и закрытости кода это Вы зря. Это очень важный момент. И думаю если Вы рассматривал бы продукт с точки зрения внедрения на критичном сервисе. Очень хочется знать что внутри используемого продукта нет бяки.

Всё же не соглашусь с Вами. Считаю что методика обновления от Microsoft достаточно агрессивная и навязчивая в особенности это касается последних версий ос. В приведён ной ссылке
По изменению обновлений также не нашёл логики и удобства. Присутствие закрытого кода и не всегда логичности лицензионной политики создают достаточно много проблем. Многолетний аптайм говорит о стабильности системы и её модульности. Не предлагающий по каждому чиху грузить систему. И если позволите моё мнение как бы Microsoft не хотелось но они все же идут к модели Linux. И как только он обретает юзерфрендли аля андроид то думаю что пользователей сильно поубавится. Да и вообще сейчас open-source сейчас жутко в моде. Да и цены на продукты мелкомягких ой как кусаются в наше нелегко время

Многолетний аптайм, прежде всего означает, что в системе есть гарантировано критические уязвимости.

Это Вы уже со стороны администратора смотрите. А Я имею ввиду простых пользователей. Вот скинул на ноутбуке ос в заводские настройки. И сиди потом обновления качай. То что в производстве есть инструменты не сомневаюсь.

А для того, чтобы оно не мешало, кластеризуются наиболее важные сервисы, и апдейты проходят прозрачно для пользователей.

С кластеризаций в 2К3 тоже все достаточно печально.

Пиши, думаю многим полезно будет почитать. Скилловые админы тут есть, и не мало, которым ты Америку не откроешь.

Но многие будут тебе благодарны, я думаю.

P.S.: Самому, что ли, что нибудь написать, поборов лень?

Это понятно что нужны. И голова на плечах нужна. Но.... Когда обновление мешает основной работе это знаете ли... Я устанавливаю ОС не для того чтобы с утра до вечера качать и ставить обновления.

Я и не спорю. Но, частенько во многих организациях чуть ли не пользовательские проблемы решают логинясь под учеткой доменного админа. А по умолчанию учётные данные кэшируются.Чем и пользуется Mimikatz.

Не прижилось массово разграничение учеток у нас. А SRP, App-V, и ещё куча умных букв - про них знает далеко не каждый.

Но в большинстве своем, права админа, логинившегося на рабочую станцию можно запросто выдернуть с помощью того же Mimikatz...

1 VM) WS 2016 Core: AD DS, DNS, DHCP

2 VM) WS 2016 GUI: RDS

какое железо, должна иметь машина крутящая этот конфиг ?

и для каких задач там RDP ?

Ну и поэтому нужно кому-то бить по рукам? Одни умные с окладом, другие некст-некст, зачем категоричность. У меня как ит руководителя есть и первые и вторые в подчинении

Т.е. реально важнее хитровыпердышност решения задачи, нежели скорость и ее результат? Если задача быстро решается троекратным нажатием кнопки Некст, зачем что-то выдумывать?

Согласно новым веяниям на других машинах. Хотя в некоторых небольших фирмах как и раньше все на одной машине. Это было чертовски удобно до 50 пользователей. Один сервер AD, DNS,DHCP,RDP. Второй серв это бэкап и второй кд. И все, один офис полностью укомплектован и работают повторюсь чуть ли не с выхода того самого 2003.

Спасибо конечно, но здесь мне не нужна помощь, я могу реализовать DHCP наверное десятью разными способами.

Разговор не об этом,разговор о стабильности, удобстве, надежности новых версий серверной системы Microsoft. И о том что я вижу это в реальности в разных поколениях одновременно. Я могу назвать пару тройку вещей которых мне не хватает в 2003. Но так же я могу назвать 20 и более моментов которые откровенно бесят в 2016. Я называю это "переразвитием". Это когда замечательный Nero  начал весить 2 гига и делать все чего его не просили, причем делать плохо.

Еще один момент которые начал раздражать с начала 10 семейства это собственно моя работа. А именно поиск неисправности, любой. Раньше по ошибкам, мануалам, форумам я мог найти корень проблемы всегда, вплоть до  ошибки в драйвере.

Сейчас вин 10 например может не подключиться к wifi. Не выдать никакой ошибки, и никогда больше к ней не подключиться. И вы никогда не узнаете почему. В серверных системах это еще хуже.

Эти все на железе.

Именно так. 2003 сервер все ок, 150 пользователей.

2016 48 ядер 120 опреативки. Из ролей терминал , файловый и DHCP. Рейд 10 с кэшем. Утро , офис просыпается, в средем пускай 60 человек, если все пришли вовремя то тонкие клиенты включаются почти одновременно, но асетаки не синхронно. У каждого естественно сразу 18 процессов хрома и 6 процессов 1с, но речь не об этом. И обязательно на паре клиентов адрес не придет. Это видно в логах. Если в этот момент локально быть на сервере видно, что дисковые ресурсы используются на 110-130%. И DHCP таки да, не отвечает вовремя. Проверено неоднократно.

Похожая ситуация с выключением, ибп кричит что батарейки хватит на 5 минут. Скрипт пишет всем шутдаун без прелюдий. И думаете сработает ? Нет. А 2003 успевает всех загасить и уйти в спячку.

Если доёбываться, то и SQL сервер не должен в локальную сеть смотреть

Я очень рад за ваше отношение к нормальной безопасности машин в сети. Благодаря таким как вы, у меня всегда будет работа. :)

Одна, хотите мне рассказать для терминального  48 ядерного сервера служба стала слишком тяжёлой  ? Та служба которая в любом роутере за 5$ работает всегда и весит 800 кб ?

"отказоустойчивость DHCP" ))) 5 пользователей решили одновременно зайти в терминал и ей некогда выдавать адреса, действительно повысилась.

На мой взгляд бОльшая часть с нововведений с переносом элементов управления в непонятные места, введением новых полурабочих оснасток, порой конфликтующих между собой, панелей управления серверами носит носит маркетинговый и косметический характер. Мне приходится каждый день уже много лет работать с серверными системами, и мое личное мнение , что отказоустойчивость повысилась только в идеальных условиях. В реальных снизилась на порядок. Одно из самых важных изуродовали донельзя систему резервного копирования . Распределение ресурсов в терминале стало страннее некуда.  И повторюсь все это 2019 тое , со всеми свистелками перделками просто зависает к чертям, часто, настроенное по рекомендациям микрософта.

Если бы оно это все "старше 2012" не висло порой к хуям до хард резета, тогда да.

Ну как так то ? Сделал себе статистику, 2003 и 2008 в такое состояние "работаю еще, но хуй чем подключишься" падают в 5 раз реже новомодного 2012-19 ?

Почему в 2003 служба например DHCP была настолько простой и приоритетной что работала всегда и до последнено , а в 2016 чуть нагрузка на дисковую систему адрес хрен получишь ?

Или почему управление сеансами пользователей из диспетчера задач убрали ?

И много еще чего.

Все эти "center" прикольные в сферическом вакууме, а в реальности сервер работает, а команда shutdown не проходит.

Ну вот на счет безопаснее это вы загнули. Данные так-то через чужие сервера гоняет проприетарное ПО.

Причем тут вообще пароль локального администратора?.. Смешались в кучи кони, люди..

Смотря какие source и destination. Для workstation одно, для серверов другое, для админов третье, для domain administrator свои ограничения.

Ну вот у нас, например, да закрыты. Всё, что явно не требуется - заблокировано.

Не на всех скринах домен замазаны. Минимум 2-3 раза, не приглядывался

Ну почему же? На сомнение другого пикубашника о правильности такого выбора из-за сотни открытых портов вы парируете, что "все равно они открыты в домене".

Как по мне, это не самый лучший аргумент, которым можно было бы аппелировать к доводам собеседника.

Я понимаю, что вы в полном восторге от нового инструментария. Но хотя бы уж так сильно-то не палИтесь... :)

В большинстве случаев - да. Если вам кажется это странным, то подумайте, а с какой стати локальная сеть является доверенной? Кто сказал, что ей можно доверять настолько, чтобы не заботиться о портах?

Если бы она была доверенной, то логины и пароли просто теряют смысл. Доверенное же все... Однако, даже внутри сети вы почему-то защищаетесь от несанкционированного доступа паролями. Но забываете защищаться от этого же закрытием портов.

От хотетьплакать спасал выключенный протокол самба1.1, патч его и вырубал по умолчанию.

@mfc166, на четвертом сверху скрине виден полный адрес в поле "виртуальные машины".

поправьте, логи заспамят же перебором..

Ваще не аргумент. Это из другой оперы.

Сейчас много чего унифицируется и интегрируется. Попробуйте в виндомен завести линуксовую машину и вспомните, можно ли так было лет 5-6 назад.

Я тоже не понимаю стремления загнать всех в консоль, с nix-ами понятно, оно там было с рождения, power щель лишь "жалкая пародия", хотя может очень многое. Не отнимайте у windows её окна, и rdp. Я лично буду юзпть rdp, но через openvpn с сертом, пускай ломятся))

Он не запрашивает права администратора домена. Ему нужны права администратора на управляемых серверах

бесполезно. все равно не поимете. всякий инструмент нужен для определенных задач и условий. отверткой сложно забить гвоздь, но шуруп, внешне похожие на гвоздь  вкрутить можно. И если у вас нет шурупов, но есть гвозди молоток и отвертка, то не стоит выбрасывать молоток, чтобы забить гвоздь отверткой, а вы по сути именно это и предлагаете. впрочем все равно не поимете.  извините что заставил подумать.

В большом количестве случаев обновления и не понадобились бы. Обновления - не панацея. И любые героические усилия по спасению мира являются следствием чьего-то раздолбайства.

Так, на вскидку: кто запрещал горе-админам прикрыть 445 порт для доступа снаружи? Или лень было заглянуть в фаервол?

У меня до сих пор стоят в эксплуатации 2003 и 2008 сервера. Атаки, судя по логам, были. И ни одна машина не полегла. Обновления не ставились.

В бывшей моей конторке, где взяли дешевого студента вместо меня, таким образом в одночасье потеряли ВСЁ. От слова "совсем". Бекапов не делалось, моя "бекапочная" машина на линуксе была убита за ненадобностью. В итоге контора закрылась, т.к. вся бухгалтерия на компах была и 90% исходных данных для работы конторы - тоже.

Если есть удаленные машины через инет, то на них что нужно открывать?  И как аутентификация будет осуществляться?

Права администратора домена, конечно же, не нужны

пользователи домена тоже могут туда логиниться ?

Забудьте про RDP

Ох как народ привыкает к этому.

По рукам бить приходиться.

немножко нихуя не ясно:

Для управления поддерживаются следующие операционные системы:

Windows 10 старше 1709

Windows Server 2012-2019

и ниже

Подключимся к консоли машины на ОС Debian.

Что на счёт безопасности, смахивает на ворота без замка

это то тут причем? я спрашиваю как пользоваться предложенным вами инструментом вместо рдп, а не каким-то другим, ведь по вашему те, кто не пользуется предложенными вами способом не очень то хорошие админы, даже если рдп есть, а вашего инструмента нет.

у таких организаций отсутствует необходимость в таких инструментах

да неее, по RDP у тебя один порт открыт, а тут сотня.

сотня открытых портов - это хорошая ситуация проверить твой админский скилл.