Сисадмин

Это будет летопись великого падения домена, где безопасники “чуть-чуть подкрутили политики”, а потом в домене не осталось НИ ОДНОГО админа. Ни локального, ни доменного. Кроме.... Очень злого... У которого от этого седина вылезла, а в должностных инструкция обязанности разгребать такое... Всё началось с фразы: “У нас тут сроки поджимают. Мы тут внедрили best practices.” Эта фраза в переводе с безопасничьего означает: “Мы нажали галочки, смысл которых понимаем приблизительно.” И вот: Безопасники довольны. Контроллеры — живы, но теперь без обслуги и живут своей жизнью. Ты смотришь на DC. Он смотрит на тебя. Между вами — GPO. Попытка логина: “The account is disabled.” Ты: “Я ЖЕ АДМИН.” AD: “БЫЛ.” И тут приходит понимание: в домене больше нет никого, кто может включить админа. Поздравляю. Ты достиг состояния Absolute Zero Trust. Единственный путь — DSRM. Тот самый режим, про который некоторые знают, но крайне редко использует и почти никогда с таким не сталкивался в реале… …пока домен н

Раньше безопасность строилась по принципу: “Если ты внутри сети — ты свой.” Сисадмин такой: “Ну он же в офисе… Ну он же с VPN… Ну у него же доменная учётка…” И именно в этот момент: Zero Trust говорит: “Ага. Красиво. А теперь докажи.” Никаких “внутри” и “снаружи”. Есть только: Каждый раз. Без сантиментов. Zero Trust — это: “Никому не верь. Никогда. Даже себе. Особенно себе.” Не: А: Маркетинг говорит: “Zero Trust — для повышения безопасности бизнеса.” Реальность: Zero Trust — чтобы сисадмин мог наконец сказать “НЕТ” и быть правым. Сколько раз было: Zero Trust отвечает: “Плевать. Правила есть. Проверка не пройдена — гуляй Вася.” И это официально.С подписью.С логами. Старая модель: Если зло попало внутрь - оно гуляет, как у себя дома. Zero Trust говорит: “Каждый сервис — это отдельная крепость.” Даже если ты: Это ничего не значит. Каждый доступ проверяется отдельно. Zero Trust — это не один продукт. Это стиль жизни. Обычно в комплекте: И главное: доступ даётся не “пользователю”, а “п

В мире Windows есть иллюзия порядка: “DNS? Да что там сложного — сервер есть, IP есть, работает.” И тут в домене появляется: И Windows такая: “Окей, у меня 3 DNS-сервера, 2 интерфейса, один туннель и чувство тревоги. КУДА МНЕ ИДТИ?” Вот тут и выходит на сцену Name Resolution Policy — мозг, совесть и родительский контроль DNS-резолвинга в Windows. NRP говорит системе: “Вот эти имена — ТОЛЬКО через ЭТИ DNS. А вот туда — НИ НОГОЙ. А если попробуешь — я тебя зафильтрую, залогирую и расскажу администратору.” Без NRP Windows действует по принципу: “Кто первый ответил — того и тапки.” Есть публичный DNS? Отлично. Есть DNS от VPN? Тоже норм. Есть DHCP, который подсунул что-то подозрительное? Ну ладно, попробуем. А теперь представь: И всё. Занавес. Kerberos плачет. NTLM начинает молиться. NRP придумали, чтобы Windows перестала быть доверчивым ребёнком. NRP — это правила, которые говорят: Проще говоря: “mlhost.ru — только через доменные DNS, только по защищённому каналу, и вообще без шут

Если у UNIX день рождения — 1 января 1970, то Windows празднует свой день рождения где-то в корпоративном аду, среди реестра, DLL и бесконечных апдейтов, которые требуют перезагрузки даже чтобы поменять обои. Давайте окунёмся в легенду о происхождении Времени в Windows. Да, именно Времени — с большой буквы, потому что оно там идёт не вперёд, а через “Checking for updates...”. В то время как UNIX в 1970-м гордо сказал “time starts now”, Майкрософт решила: “Мы — не какие-то хиппи с Белл Лабс. У нас будет по-другому. И желательно с обратной совместимостью до динозавров.” Поэтому Windows считает своё время с 1 января 1601 года. Да-да. Шестнадцатого века. Когда ещё не было ни электричества, ни клавиатур, ни даже Excel — а Windows уже мысленно планировала свою первую "синюю смерть". Ответ прост: потому что COM и FILETIME. Windows использует 64-битный счётчик — количество 100-наносекундных интервалов с 1 января 1601 (UTC). Почему именно 1601? Потому что с этого года начался первый пол

Эта история о том, как 1 января 1970 года человечество официально получило нулевую точку отсчёта — начало админской радости, известной как UNIX Time. Был обычный день. Мир ещё не знал, что скоро миллионы серверов начнут жить по секундомеру, который начнётся с 1970-01-01 00:00:00 UTC. В этот момент творцы-создатели UNIX (в лице Кена Томпсона и Денниса Ритчи) сказали: "Да будет time_t!" И time_t стало — 32-битное, знаковое, и немного депрессивное. Первые 2 147 483 647 секунд оно жило счастливо, пока кто-то не заметил, что 19 января 2038 года у него закончится место в мозгах. Но это уже другая катастрофа. Все думают, что 1970 — это какая-то мистическая дата. Мол, может, именно тогда появился первый компьютер? Или родился Ричард Столлман, и Вселенная сказала “sudo bless”? Но нет. Причина куда более инженерная — так было удобно. В 1970-м: А главное — календарь UNIX просто начинался с чистого листа: никаких високосных сюрпризов до 1972-го, никаких отрицательных секунд, никаких "до эр

Есть вещи, которые не меняются: законы физики, принципы термодинамики и то, что любой админ хотя бы раз за карьеру ломал IIS так, что потом приходилось смотреть на монитор взглядом побитого человека. И вот ты сидишь, сервер пыхтит, сайты не открываются, а в голове только смутные флешбеки: «Ну я вроде немного что-то подкрутил… А что именно?…» Ничего страшного. Сейчас устроим археологические раскопки твоего IIS, выкапывая там следы твоего же вчерашнего гения. Первым делом включаем внутреннего шамана и проверяем статус службы: Если какое-то из них не запустилось — поздравляю, конфигурация уже настолько "успешно оптимизирована", что Windows решила саботировать тебе рабочий день. Запускаем: iisreset /start Если он вместо запуска предлагает «идти нафиг с такими настройками», значит ломали сильно. IIS — это не магия, это просто XML-файлик, который ты однажды решил тронуть, думая: "Ну чего там, строк пару поправлю, я же знаю, что делаю". Главный свиток: C:\Windows\System32\inetsrv\config\ap

Временами каждый нормальный админ что-нибудь прогает для автоматизации или решения рутины. Когда скриптов слишком много, то на помощь приходит Cursor (IDE для разработки с помощью ИИ). И вот когда заканчивается триал, а админская конюшня не прибрана, приходится регать новый аккаунт и подходить к работе уже с головой (либо покупать подписку). Вариант забить и пойти на консультацию в Deepseek или Grok тоже норм, но сейчас не про это. Перечислю лучшие советы, которые помогут тебе сберечь токены на запросы и продляя жизнь твоему триальному курсору. Это — основное место, где ты задаёшь стиль кода, ограничения, стек, архитектурные принципы. Правильно настроенный .cursorrules экономит тебе до 40% времени, снижая кол-во уточнений в запросах, если ты тот еще вайб-кодер. Cursor отлично понимает проблемы, оформленные как: Пример: Задача: Сделать Python-скрипт для отслеживания обновлений по URL. Контекст: - Python 3.12 - Скачиваем ZIP только если нового нет в локальном каталоге - Сайт неста

Когда ты открываешь “Терминал” в Debian (будь то GNOME Terminal, XTerm, или какой-то мутант вроде MATE Terminal), ты смотришь в глаза древнему духу — консоли, которая просто делает своё дело, без стиля, без харизмы, без блестящих шрифтов. Это то, что в Linux есть “по умолчанию”, потому что никто не осмелился признать: “Мы заслуживаем большего!” По умолчанию Debian таскает с собой GNOME Terminal (если ты на GNOME), или XTerm (если минималка). Они стабильны, как старый cron, но выглядят так, будто их интерфейс придумали в 1998 году и забыли обновить, потому что “работает же”. Потому что: Guake — это терминал в духе Quake, легендарного шутера, где консоль падала сверху по нажатию клавиши ~. Только теперь ты не стреляешь по демонам, а убиваешь баги. И если обычные терминалы открываются как унылые окна, то Guake буквально спускается с небес, говорит "Привет, root", и помогает тебе чувствовать себя в киберпанковском храме DevOps’а. Guake уже есть в стандартных репах. Просто: sudo apt u

Active Directory хранит дневник о логинах не потому что ей нравится наблюдать за пользователями, а потому что кому-то нужно знать, кто последний раз включил почту и когда пропал стажёр. Но AD ведёт себя экономно: некоторые атрибуты не реплицируются между контроллерами домена (DC), а некоторые — реплицируются редко, чтобы не превращать сеть в локомотив репликаций. Если хочешь «истину в последней инстанции», опрашивай все DC и берёшь максимум lastLogon: Import-Module ActiveDirectory $User = "domain\username" $DCs = Get-ADDomainController -Filter * $max = 0 foreach ($dc in $DCs) { $u = Get-ADUser -Identity $User -Server $dc.HostName -Properties lastLogon if ($u.lastLogon -gt $max) { $max = $u.lastLogon } } if ($max -ne 0) { [DateTime]::FromFileTime($max) } else { "Never logged on (or attribute empty)" } Если нужен быстрый вариант с LastLogonTimestamp (реплицируемый, но с погрешностью): Get-ADUser -Identity domain\username -Properties LastLogonTimestamp | Select-Object Name,@{N