PowerShell ISE匯出AD電腦清單(包含系統及IP資訊)

網域控制站建置後相關維護計畫其實必須時常進行,通常電腦在加入網域後若不立即進行分類(或透過電腦命名規則)會造成Computers中非常難以分辨,接下來可以透過PowerShell來初步將清單給匯出進行整理:

開啟PowerShell ISE

輸入指令:

Get-ADComputer -Filter * -Property * | Select-Object Name,OperatingSystem,OperatingSystemVersion,ipv4Address | Export-CSV computerslist.csv -NoTypeInformation -Encoding UTF8

到目錄下開啟CSV檔案用Excel整理一下就可以初步來分類。

ps.定期整理網域的帳號資訊(無論是人員或電腦)有助於網域健康及資訊安全。

Acrobat Reader透過GPO部署

這個課題困擾我一陣子,除了最近稍微忙一點以外,中間一些問題的debug的確花了點時間,不抱怨了,首先先從官方來源下載必要檔案:

1.Acrobat Reader安裝檔案,以中文下載路徑:ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/1500720033/AcroRdrDC1500720033_zh_TW.exe

2. 更新檔案msp,以目前最新版號2019.021.20061: ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/1902120061/AcroRdrDCUpd1902120061.msp

3.acrobat customization wizard,下載路徑:ftp://ftp.adobe.com/pub/adobe/acrobat/win/AcrobatDC/misc/CustWiz1900820071_en_US_DC.exe

製作部署檔案接下來請依順序進行:

1.將執行檔案透過7-zip解壓縮:

2.開啟命令提示字元(建議使用管理者權限),切換到目錄下執行:

msiexec /a AcroRead.msi

以下是執行後的流程畫面:

這裡注意,目錄必須跟解壓縮放置的位置”不同”,也就是另外放置位置,否則會出現錯誤:

3.接下來將更新檔給封裝進來,透過命令提示字將剛位置下的msi檔案將msp更新封裝起來(記得不是原本解壓縮那個msi),輸入:

msiexec /a C:\software\AcroRdrDC\AcroRead.msi /p AcroRdrDCUpd1902120061.msp

以下是執行後的流程畫面:

msp封裝就可以同位置:

4.將 acrobat customization wizard 安裝好,基本上就是下一步到完成。

5.在 C:\software\AcroRdrDC\先透過記事本建立一個空的setup.ini檔案,否則接下來在進行 customization wizard 會出現以下錯誤:

建立一個空的setup.ini

6.執行acrobat customization wizard (以下步驟可以依照各公司需求自行調整):

開啟部署資料夾中的msi檔案:

Professionalization…:安裝第一項先勾選同意EULA:

Installation Options:這邊我調整部分為:勾選Reader為預設PDF瀏覽器、移除所有版本的Reader(這個是預設選項)、安靜安裝、略過重開機:

Online Services…這項我停用了產品更新和Adobe服務:

完成後建立mst檔案:

然後Save起來。

7.開啟網域控制站上GPMC設定群組原則

電腦原則-原則-軟體設定-軟體安裝-新增-封裝:

選擇網路路徑(權限記得設定好)msi檔案:

選擇進階:

部署勾選以下選項:

再來修該記得將透過 customization wizard 製作好的mst檔案給載入:

8.完成後就可以套用在電腦帳號上進行部署作業

以下有幾點可能要注意:

1.部署請先少量測試在逐步進行部署(特別留意頻寬負載)

2.若已經安裝比較新的版本基本上這個部署不會去移除

透過GPO(群組原則)新增本機管理帳號

最近剛好碰到早期在GPO(群組原則)直接透過”控制台設定”中的”本機使用者和群組”可以去新增本機管理者或變更密碼,現在設定會出現以下訊息:

路不轉人轉,轉透過Powershell來協助進行本機使用者及密碼、權限設定:

Code如下:

$Username = "使用者名稱"
$Password = "密碼"

$group = "Administrators"

$adsi = [ADSI]"WinNT://$env:COMPUTERNAME"
$existing = $adsi.Children | where {$_.SchemaClassName -eq 'user' -and $_.Name -eq $Username }

if ($existing -eq $null) {

   Write-Host "Creating new local user $Username."
   & NET USER $Username $Password /add /y /expires:never
   
   Write-Host "Adding local user $Username to $group."
   & NET LOCALGROUP $group $Username /add

}
else {
   Write-Host "Setting password for existing local user $Username."
   $existing.SetPassword($Password)
}

Write-Host "Ensuring password for $Username never expires."
& WMIC USERACCOUNT WHERE "Name='$Username'" SET PasswordExpires=FALSE

放置到群組原則上,透過PowerShell啟動指令碼:

套用到電腦帳號OU上:

將用戶端電腦重開,確認帳號資訊:

微軟Microsoft Assessment and Planning Toolkit(MAP)資產掃描軟體

微軟的MAP其實不是新的東西,但有兩個重要特點可以輔助企業無論在收集、分析整體的系統狀態有所幫助 :

1.收集企業內部的資產資訊

2.收集效能進行分析

安裝方式很簡單,首先到微軟官方網站上下載最新版本:

ttps://www.microsoft.com/en-us/download/details.aspx?id=7826

開始執行安裝程序,依照慣例Next按下去:

完成安裝後,執行程式:

建立資料庫,給個名稱,選擇OK:

接著設定開始掃描內部資產:

這邊注意一點就是掃描的資訊,依照想要收集的資訊勾選,基本上以下這幾點我都會勾選起來:

搜尋除了ADDS外另外選擇IP範圍:

輸入AD可登入帳號資訊:

勾選網域:

輸入掃描IP範圍:

輸入驗證資訊,注意通常帳號密碼分權需要分別給予:

分別檢視一下資訊:

確認後Finish進行掃描作業:

軟體開始進行掃描:

掃描完成:

檢查掃描資產資訊:

可匯出Excel彙整:

以上就是大致上MAP資訊資產掃描功能的大略說明,企業資產的掌握其實非常重要,所以建議可以導入一套可靠性高的資產管理軟體掌握整個企業狀況。

Tortoisegit上傳至GitLab

上次談完GitLab的安裝,雖然有Web管理介面,接下來開始將程式Upload到GitLab這段作業,我自己嘗試了幾套還是發現Tortoisegit(以下簡稱小烏龜)其實算好用(個人喜好),不過回歸到版控要推的好不外乎就是透過簡單易用的平台,這樣接受度會高很多,當然我聽過透過KPI方式的也不算少數。

先下載Git for Windows後安裝:

這邊記得可以的話調整一下:

這邊留意一下,取消Enable Git C…

小烏龜軟體下載:

http://download.tortoisegit.org/tgit/

直接找最新版本下載即可:

下載後執行:

以上就完成安裝,接下來就是設定作業,逐步來設定…

登入GitLab建立一個新的專案,輸入一些必要資訊:

建立後顯示一些資訊:

到Settings->Member調整一下權限,choose a role permission就是指派權限,選擇maintainer(維護者)具備部分權限:

預設Global,設定Name和E-Mail:

在本地端先建立倉儲,資料夾右鍵Git Clone:

輸入URL選擇資料夾:

OK後本地端倉儲建立完成:

將程式放置在倉儲內,新增:

確認勾選程式:

完成後進行Commit…將GitLab上倉儲的代碼和本地的代碼合併:

Message必須要輸入,然後Commit:

接下來Push…進行提交:

輸入帳號、密碼:

完成上傳後,可以在GitLab上查看到已經完成程式碼上傳作業:

基本上每次提交程式碼都會要求輸入帳號、密碼,可以透過修改.git/config(找不到.git資料夾記得將顯示隱藏打開)開啟後新增:

[credential]

helper = store

儲存後輸入第一次帳號、密碼後第二次就會記住…

Adobe Acrobat Reader DC軟體更新

偶爾要寫一下營養文章,這篇來談談Adobe Acrobat Reader DC軟體更新流程。

開啟Adobe Acrobat Reader DC軟體於[說明][檢查更新]:

[下載並安裝]:

更新過程中若提示程式執行中,請將Adobe Acrobat Reader DC軟體關閉:

完成更新:

VMWare ESXi 6.7 Update3更新

原廠在8/20釋出Update3更新,延遲快一個月今天準備來刷一下:

還未更新的朋友可以下載來安排維護時間進行更新,至於差異可以參考原廠release notes:

https://docs.vmware.com/en/VMware-vSphere/6.7/rn/vsphere-esxi-67u3-release-notes.html

關閉或移轉vm進維護模式後,透過SSH下更新指令:

# esxcli software vib update -d /vmfs/volumes/[Store_Name]/Patch/upd
ate-from-esxi6.7-6.7_update03.zip

製作Windows 10 USB安裝/升級媒體

作業方式其實在官網上可以找到,不過還是依序的過程紀錄保留下來,首先至官網連結:

https://www.microsoft.com/zh-tw/software-download/windows10

立即下載工具,請注意官方提醒的要點:

•網際網路連線 (可能需支付網際網路連線費用)。

•電腦、USB 或外部磁碟機上有足夠的資料儲存空間可供下載。

•至少有 8GB 空間的空白 USB 快閃磁碟機,或是空白的 DVD (和 DVD 燒錄機) (如果您想要建立媒體的話)。我們建議使用空白的 USB 或空白的 DVD,因為其上的任何內容都將被刪除。

•從 ISO 檔案燒錄 DVD 時,如果系統指出光碟映像檔案太大,您就必須使用雙層 (DL) DVD 媒體。

建議採用外接式USB儲存裝置來製作,一方面在安裝/升級速度上會比傳統DVD方式快很多(當然千萬別拿個USB 2.0隨身碟來比較),一方面現在安裝檔案基本上都很大,不小心都會超過單層DVD 4.7G的容量限制。

下載後直接執行,先將8GB容量以上USB接上電腦(格式好),這步驟稍微等待一下:

選擇接受:


選擇建立另一部電腦的安裝媒體,選擇下一步:

選擇好語言、版本、架構等等:

USB快閃磁碟機:

確認是否選到正確USB快閃磁碟機:

系統開始下載及製作(整個過程依照對外頻寬、電腦效能而異,大概20-30分鐘):

到此步驟完成,退出USB媒體即可: