Archive for the ‘Windows’ Tag

Je tato tiskárna důvěryhodná (aktualizováno)

Od systému Windows 2000 je implementována funkce “Ukázat a tisknout” (Point and Print). Tato funkce slouží k automatickému nainstalování ovladačů a konfigurace pro sdílené tiskárny. Jak to funguje? Uživatel si vybere (ukáže) jednoduchým způsobem tiskárnu, následně je mu ze vzdáleného serveru nahrán ovladač a je provedena jeho konfigurace. Od této chvíle daný uživatel může tisknout.

Funkce Ukázat a tisknout se často používá ve velkých sítích, kdy např. uživatelé cestují s notebooky a potřebují mít k dispozici různé tiskárny. Další její využití je v logon skriptech, kdy uživateli dle umístění nainstalujeme všechny potřebné tiskárny.

Ve Windows Vista a 7 však můžeme narazit na nutnost potvrzení důvěryhodnosti tiskárny. To je v kombinaci s UAC “smrtící” pro pracovníky s uživatelskými právy. Taktéž nám v tomto případě neprojde přiřazení tiskárny přes logon skript, nebo skupinovou politiku. Co s tím? Microsoft nám to tentokrát lehce zkomplikoval.

Řešením je úprava skupinové politiky “Omezení funkce Ukázat a tisknout”. Bohužel pro různé operační systémy jí musíme konfigurovat na různých místech.

Windows Vista

V GPO: Konfigurace uživatele – Šablony pro správu – Ovládací panely – Tiskárny – Omezení funkce Ukázat a tisknout

Windows 7

V GPO: Konfigurace počítače – Šablony pro správu – Tiskárny – Omezení funkce Ukázat a tisknout.

Pokud nechcete dělat příliš velké restrikce, použijte nastavení:

Uživatelé mohou odkazovat a tisknout pouze na těchto serverech: Zakázáno

Uživatele mohou odkazovat a tisknout pouze v počítačích ve vlastní doménové struktuře: Povoleno

Při instalaci ovladačů pro nové připojení: Nezobrazovat upozornění ani dotaz na zvýšení úrovně

Při aktualizaci ovladačů pro existující připojení: Nezobrazovat upozornění ani dotaz na zvýšení úrovně

PaP

Aktualizace 27.7.2016

Po aktualizacích KB3170455 (Windows 7) a KB3163912 (Windows 10) přestal Microsoft podporovat nastavení “Omezení funkce Ukázat a tisknout” pro starý typ ovladačů typu "non-packaged".

V tuto chvíli nevím, zda se jedná o trvalé nastavení, nebo jen dočasnou reakci na objevenou zranitelnost.

Pokud vám tedy nastavení funguje, zkontrolujte, zda je ovladač zabalen. To lze udělat přes MMC konzoli – Správa Tisku – Ovladače.

V případě, že je ovladač označen jako Nepravda, požádejte výrobce zařízení o nový ovladač.

Advertisements

Nefunkční aktualizace Windows Update

Udržovat software aktualizovaný je poměrně zásadní věc. Jednak aktualizovaný software chrání před bezpečnostními hrozbami, tak často dokáže aktualizace zvyšovat jeho výkon. Ve světě softwaru Microsoft funguje velice dobře služba Windows Update. Ta dokáže elegantně udržovat nejen “zdraví” vašich Windows, ale i dalších produktů Microsoft, jako jsou Office, Windows Defender, či různých HW ovladačů. Co ale dělat, když se aktualizace porouchají?

V praxi se můžeme setkat s hláškou při spouštění počítače “Probíhá konfigurace aktualizací systému Windows. Dokončeno 0%. Nevypínejte počítač”. V lepším případě hlášku nahradí chyba “aktualizace se nezdařila” a systém pokračuje do logonu. V horším zůstanete vyset na původní hlášce hodiny a hodiny, kdy ani restart nepomáhá…

Při většině potíží s instalací aktualizací pomáhá pročištění aktualizační složky. Jak na to?

  • Spusťte počítač v nouzovém režimu (použitím klávesy F8 při začátku bootování)
  • Jděte do složky WindowsSoftwareDistributionDataStore. Zde se nachází soubor DataStore.edb. Ten vymažte.
  • Nyní pokračujte do adresáře WindowsSoftwareDistributionDownload. Celý obsah této složky vymažte.
  • Dále pokračujte do složky WindowsSoftwareDistributionEventCache. Opět vymažte celý obsah složky.

Nyní zcela standardním způsobem restartujte počítač. Windows Update se sám znovu rekonfiguruje, zjistí nainstalované produkty a potřebné záplaty.

WMI chyba 0x800706ba

S touto chybou jsem se setkal při instalaci aplikace AuditPro. Konkrétní znění bylo “Chyba při instalaci klienta pomocí WMI – 0x800706ba RPC server is unavailable”.

Problém je v tom, že od Windows XP SP2 Windows Firewall může blokovat určitý systémový provoz nezbytný k běhu některých aplikací.

WMI (Windows Management Instrumentation) je základní technologie pro správu systému Windows. WMI můžete použít ke správě lokálních i vzdálených počítačů. Služba podporuje využívání skriptovacích jazyků, jako je VBScript, nebo PowerShell.

Jak tedy službu odblokovat? Spustíme si příkazový řádek s právy správce a použijeme následující příkaz. V případě, že se zdroj nachází na stejné síti, je možno povolit provoz jen na této sítí níže uvedeným příkazem.

netsh firewall set service remoteadmin enable
netsh firewall set service remoteadmin enable subnet

V případě Windows 7 můžete použít novější verzi příkladu

netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes

Nastavení přes GPO

Nejjednodušší způsob, jak provoz povolit pro celou síť je aktualizace skupinových politik. V cestě

Computer Configuration/Administrative Templates/Network/ Network Connections/Windows Firewall/Domain Profile

nastavíme pravidlo Windows Firewall: Allow remote administration exception na enabled a vyčkáme aktualizací cílových stanic.

Jak zobrazit “Nástroje pro správu” v nabídce Start

NastrojeProSpravuNástroje pro správu jsou jedním z nejdůležitějších míst každého Windows Administrátora. Nejen, že velice efektivně pomocí MMC konzole dokáží administrovat Váš počítač (lokální uživatele, firewall, služby, tiskárny…), ale v případě RSAT (Remonte Server Administration Tools), či staršího AdminPak můžeme pohodlně administrovat i ostatní počítače ve Windows doméně a též samotné Active Directory (uživatele a skupiny, skupinové politiky, AD domény a sítě…).

Tuto sadu nástrojů je vhodné mít neustále při ruce. Osobně se mi nejvíce osvědčilo ji umístit do nabídka Start. Jak docílit jejího umístění v tomto místě? Velice jednoduše.

Stačí kliknout pravým tlačítkem na nabídku Start a vybrat Vlastnosti. Následně se překlikněte na kartu Nabídka start a klikněte na tlačítko Přizpůsobit. Nyní si již můžete vybrat způsob, jak budou administrační nástroje zobrazeny.

Jak na hromadné úpravy v systémových službách (services)

V určitých případech se nám může stát, že na velkém množství počítačů potřebujeme udělat úpravu v systémových službách. Opět si ukážeme, že běhat kolem stanic není nejsnadnější řešení.

Služba Windows je v operačním systému Microsoft Windows speciální program, který je spuštěn dlouhodobě a není v přímém kontaktu s uživatelem (na rozdíl od běžných aplikací). Služba Windows se spouští při startu operačního systému, případně automaticky v případě potřeby nebo ručním zásahem uživatele. Koncept služeb Windows je obdobou unixového démona.

Jak hromadně upravit službu

serivcesPokud potřebujeme základní úpravy služby (zastavení, spuštění, zakázání service) a zároveň máme k dispozici doménu na Windows 2008, nebo novějším a klientské stanice s Windows 7, Vista, případně XP s rozšířením Group Policy Preference Client Side Extensions můžeme použít tzv. GPO Prefences.

V Group Policy Management editoru přejdeme do Computer Configuration\Preferences\Control Panel Settings a zda do položky “Services”. Zde již velice snadno přidáme nový záznam pro úpravu služby.

Jak upravit službu bez GPO Preferences

V případě, že používám starší verzi domény, nebo nechci uvedený způsob použít je možnost udělat změnu zásahem do registru.

Windows services se v registrech nacházejí v následující cestě:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

Nyní pod položkou s názvem služby nalezneme několik klíčů. Nás bude zajímat klíč “Start”. Jeho hodnota určuje, jakým způsobem se služba bude spouštět.

  1. Služba se spouští při inicializaci jádra systému (např. ovladače)
  2. Služba se spouští automaticky bez ohledu na druh služby
  3. Služba se spouští ručně
  4. Služba je zakázána

Jak službu úplně odstranit

Pokud službu potřebujeme úplně smazat, použijeme klasický příkazový řádek (ve Win Vista/7 s právy správce) se syntaxí

sc delete ServiceName, tj. například sc delete “FortiClient SSL VPN”