Windows Server

Active Directory 95 Solutii

Group Policy 89 Solutii

WSUS 41 Solutii

Sharepoint Server 40 Solutii

Basic 72 Solutii

Hyper-V 34 Solutii

Funcționalități eliminate și învechite în Windows Server 2025

Windows Server 2025 introduce îmbunătățiri majore în materie de securitate, identitate și platformă, dar continuă totodată procesul de eliminare a componentelor, protocoalelor și instrumentelor de administrare mai vechi inițiat de Microsoft. Pentru administratori, acest lucru este important deoarece unele funcționalități sunt eliminate complet și nu mai sunt disponibile, în timp ce altele sunt doar învechite, ceea ce înseamnă că există încă în prezent, dar nu mai sunt dezvoltate activ și ar putea dispărea într-o versiune viitoare.

Funcții învechite vs. funcții eliminate

O funcție învechită este încă prezentă în Windows Server, beneficiază în continuare de suport pentru utilizarea în producție și primește în continuare actualizări de securitate și de calitate, conform ciclului de viață al produsului. Cu toate acestea, Microsoft nu o mai dezvoltă în mod activ, iar aceasta ar putea fi eliminată într-o versiune viitoare. Pe de altă parte, o funcție eliminată nu mai este disponibilă în imaginea produsului instalat, iar aplicațiile sau fluxurile de lucru care depindeau de aceasta trebuie să treacă la o alternativă.

[mai mult...]

Stocarea cheilor de recuperare BitLocker în Active Directory

Baza de date Active Directory poate fi utilizată ca locație centrală pentru stocarea cheilor de recuperare BitLocker. Puteți configura Politica de grup (GPO) pentru a salva automat cheile de recuperare pentru computerele cu BitLocker activat în AD. Administratorii pot apoi recupera în siguranță cheile de recuperare pentru computere din AD și pot debloca unitățile de stocare criptate ale dispozitivelor în cazul în care un utilizator uită parola BitLocker.

Peisajul administrării BitLocker

În prezent, Active Directory nu mai este sistemul principal/recomandat pentru gestionarea cheilor de recuperare BitLocker. Astăzi, pentru administrarea BitLocker, aveți la dispoziție soluții mai bune bazate pe cloud:

Microsoft Endpoint Manager (Intune). Acesta este înlocuitorul principal al MBAM.
Microsoft BitLocker Administration and Monitoring (MBAM) este învechit.
În mediile conectate la Entra ID și în cele hibride, cheile de recuperare BitLocker sunt de obicei depozitate la Entra ID prin intermediul politicilor Intune/de înscriere a dispozitivelor.

Stocarea cheilor BitLocker bazată pe AD este utilizată acum, de obicei, pentru:

  • Mediile locale vechi
  • Dispozitivele hibride alăturate la domeniu
    Rețelele izolate/fără conexiune la internet

Pentru organizațiile care planifică noi implementări, recomandăm să acorde prioritate gestionării BitLocker bazate pe Intune și depozitării cheilor de recuperare în Entra ID în locul stocării de recuperare bazate pe AD DS vechi, ori de câte ori este posibil.

Reguli de decizie

Ar trebui să utilizați copiile de rezervă BitLocker din AD DS în următoarele cazuri:

  • mediu exclusiv Active Directory local
  • nu există o identitate în cloud (Entra ID)
  • rețeaua dvs. este restricționată/izolată

Ar trebui să utilizați Intune/Entra ID în următoarele cazuri:

  • există o identitate în cloud sau hibridă
  • dispozitivele sunt alăturate la Entra ID sau într-un mod hibrid
  • Microsoft Endpoint Manager este disponibil

Nota Bene: Rețineți că Entra ID/Intune este planul de control implicit pentru recuperarea BitLocker în mediile Microsoft moderne. AD DS este o soluție de rezervă mai veche, pe care ar trebui să o utilizați numai în cazul în care identitatea în cloud nu este disponibilă.

În cazul în care utilizați Intune/Entra ID, ar trebui să omiteți toate secțiunile referitoare la schema AD și GPO. În cazul în care utilizați AD DS, omiteți secțiunile referitoare la Intune/Entra.

Cerințe de mediu și validarea schemei Active Directory

Nota Bene: Înainte de a configura backup-ul BitLocker în AD, vă recomandăm să verificați dacă schema AD a fost extinsă corespunzător și dacă atributele legate de BitLocker sunt prezente la nivel de schemă.

Rețineți că metoda de stocare a cheii de recuperare BitLocker depinde de arhitectura mediului. Ar trebui să alegeți una dintre următoarele:

  • AD DS local (vechi/hibrid)
  • Microsoft Entra ID (nativ în cloud)
  • Politici BitLocker gestionate de Intune (aceasta este abordarea modernă recomandată)

Cerințe de sistem

  • Computere cu Windows 10 sau 11 care rulează edițiile Pro, Education sau Enterprise;
  • Schema Active Directory trebuie să conțină un set de atribute personalizate ale obiectelor de tip computer pentru stocarea cheilor de recuperare BitLocker (disponibile în AD începând cu Windows Server 2012).

Pentru a verifica versiunea schemei AD:

(Get-ADObject `
(Get-ADRootDSE).schemaNamingContext `
-Properties objectVersion).objectVersion

Această operațiune verifică versiunea schemei AD pentru a se asigura că extensiile schemei sunt aplicate la nivel de pădure. Rețineți că versiunea schemei are doar caracter informativ (trebuie să verificați compatibilitatea cu BitLocker folosind verificarea prezenței ldapDisplayName).

Pentru a verifica prezența extensiei de schemă BitLocker, executați următoarea comandă:

$schemaNC = (Get-ADRootDSE).schemaNamingContext
Get-ADObject $schemaNC -Property objectVersion, name
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext `
-Filter “ldapDisplayName -like ‘msFVE*'” `
-Properties ldapDisplayName |
Select-Object ldapDisplayName

Validarea compatibilității BitLocker cu Active Directory ar trebui să includă:

  • Verificarea versiunii schemelor
  • Confirmarea prezenței atributelor legate de BitLocker (msFVE*)
  • În cele din urmă, verificarea stării de funcționare cu ajutorul comenzii:

Get-ADReplicationFailure -Target * -Scope Forest
Get-ADReplicationPartnerMetadata -Target * | Select LastReplicationSuccess

Chiar și în cazul în care atributele de schemă sunt prezente, copierea de rezervă BitLocker poate eșua din următoarele motive:

  • lipsa aplicării GPO
  • lipsa permisiunilor de scriere pe computer
  • direcționarea incorectă către unitatea organizațională (OU)
  • dispozitivul hibrid nu este conectat corespunzător la AD DS

Pentru o implementare reușită a BitLocker, trebuie să îndepliniți toate condițiile următoare:

  • Există o parolă de recuperare
  • Starea protecției BitLocker este activată
  • Obiectul msFVE-RecoveryInformation există în AD
  • Parola de recuperare poate fi recuperată din ADUC/PowerShell

Atribute obligatorii ale schemei Active Directory

Trebuie să existe următoarele cinci atribute:

  • ms-FVE-KeyPackage
  • ms-FVE-RecoveryGuid
  • ms-FVE-RecoveryInformation
  • ms-FVE-RecoveryPassword
  • ms-FVE-VolumeGuid
[mai mult...]

Cum functioneaza Bluetooth?

Bluetooth-ul este tehnologia pe care iubim sau o uram. Ba nu se conecteaza, ba are lag, dar fara ea am fi legati de fire. Numele vine de la regele danez Harald “Bluetooth” Gormsson, care a unit triburile scandinave (asa cum tehnologia uneste tastatura cu PC-ul).

[mai mult...]

Cum se remediază eroarea:„Remote Desktop can’t find the Computer” în Windows

Când o conexiune RDP eșuează, este posibil să primiți mesajul de eroare: „Remote Desktop Can’t Find the Computer”. Problema apare după ce specificați numele de gazdă RDP (RDS) la distanță în clientul încorporat Remote Desktop Connection (RDC) (mstsc.exe) și încercați să vă conectați.

Remote Desktop nu poate găsi computerul RDPHostName. Acest lucru ar putea însemna că RDPHostName nu aparține rețelei specificate. Verificați prima dată numele computerului și domeniul la care încercați să vă conectați.

Soluții rapide pentru situația în care „Remote Desktop” nu găsește computerul

1. În primul rând, asigurați-vă că numele de gazdă este corect. Încercați să vă conectați folosind adresa IP.
2. Verificați rezolvarea DNS:

nslookup hostname

Dacă comanda nslookup returnează eroarea „DNS request timed out”, înseamnă că serverul DNS nu este accesibil (este offline sau blocat de firewall) sau că în setările conexiunii de rețea este specificat un server DNS incorect.

5. Testați portul RDP:

Test-NetConnection nume gazdă -Port 3389

Dacă primiți TcpTestSucceeded: False, înseamnă că portul este blocat sau că RDP este dezactivat.
4. Verificați dacă Remote Desktop este activat pe gazda țintă (target host).

[mai mult...]

Process Monitor (ProcMon) pentru monitorizarea modificărilor aduse fișierelor și registrului

Instrumentul Process Monitor (ProcMon) este utilizat pentru a monitoriza activitatea diverselor procese din sistemul de operare Windows. Acest utilitar vă permite să vizualizați în timp real modul în care procesele accesează fișierele de pe disc, cheile de registru, activitatea de rețea etc.

Ce poți face cu ProcMon?

Urmăriți evenimentele de pornire și oprire ale proceselor și firelor de execuție, inclusiv informații despre codul de ieșire (utilitarul capturează evenimentul Process Exit, care furnizează starea de ieșire);
Colectați date despre parametrii operațiunilor de intrare și ieșire. Este important de reținut că acest instrument nu numai că afișează acești parametri, ci și rezultatul (de exemplu, SUCCESS, NAME NOT FOUND, ACCESS DENIED);
Setați filtre pentru a afișa numai informațiile necesare. De exemplu, despre acțiunile unui proces specific, accesul la un anumit fișier sau la o cheie de registru;
Înregistrați toate operațiunile din timpul pornirii sistemului (procesele de pornire, serviciile, încărcarea driverelor). Acest lucru este util pentru diagnosticarea pornirii lente a Windows.

Instalare ProcMon

ProcMon nu este un utilitar de sistem integrat, așa că trebuie să îl descărcați manual de pe site-ul Microsoft. Process Monitor nu necesită instalare. Dezarhivați fișierul și rulați fișierul executabil procmon.exe (procmon64.exe sau Procmon64a.exe pentru arhitectura ARM64) ca administrator.

Când porniți Process Monitor pentru prima dată, pe ecran apare un acord de licență (EULA) care necesită confirmarea utilizatorului (totuși, atunci când automatizați sau creați scripturi, utilizatorii pot ocoli fereastra EULA folosind comanda /AcceptEula).

La pornire, ProcMon instalează un driver de sistem special, PROCMON24.SYS. Acesta interceptează apelurile către funcțiile de sistem legate de operațiunile sistemului de fișiere, accesul la registru, ciclul de viață al proceselor și al firelor de execuție, precum și conectivitatea la rețea (TCP/UDP).

Instalare ProcMon folosind winget

1. Deschideți PowerShell sau Command Prompt ca administrator.
2. Executați următoarea comandă:

winget install Microsoft.Sysinternals.ProcessMonitor

3. Odată ce procesul se finalizează, puteți lansa instrumentul tastând „procmon” în terminal sau accesând meniul Start.

[mai mult...]

Cum se exportă politicile de acces condiționat din Cloud în format CSV cu PowerShell

Politicile de acces condiționat (CA) reprezintă unul dintre cele mai importante niveluri de control din Microsoft Entra ID. Exportarea lor periodică vă oferă o „copie de rezervă a configurației” utilă, pe care o puteți analiza în timp, verifica pentru a depista abaterile și utiliza în scopuri de guvernanță(controlul modificărilor, audituri și evaluări peer reviews). Cea mai fiabilă și susținută metodă de exportare a politicilor CA în prezent este prin Microsoft Graph (v1.0), folosind Microsoft Graph PowerShell SDK.

Cerințe preliminare

Înainte de a efectua orice operațiune de export, asigurați-vă că identitatea contului sau a automatizării poate citi efectiv politicile CA prin intermediul Graph.

  • Roluri de administrator necesare: Identitatea cu care v-ați conectat trebuie să dețină un rol Entra acceptat pentru a citi politicile de acces condiționat în scenarii de delegare. Roluri acceptate: Global Reader, Conditional Access Administrator, Security Reader, Security Administrator și Global Secure Access Administrator.
  • Permisiuni Microsoft Graph necesare: Pentru exportarea politicilor CA prin Microsoft Graph v1.0, permisiunea cu privilegii minime pentru această API este Policy.Read.All (delegată sau de aplicație).
  • Module PowerShell: Aveți nevoie de modulul Microsoft Graph PowerShell SDK care conține cmdlet-urile de acces condiționat: Microsoft.Graph.Authentication și Microsoft.Graph.Identity.SignIns (conține Get-MgIdentityConditionalAccessPolicy).
[mai mult...]