Sincronismo de Horário no Domínio 3

Na página 2 paramos na parte que fala sobre a criação de uma GPO para sincronizar o fuso horário.
após o sincronismo das horas no domínio, podemos ficar com +1 ou -1 hora de diferença do horário do domínio.

Em Fevereiro de 2010 o fuso horário -4UTC mudou de nome Manaus para Cuiabá. Nesse artigo o nosso foco é sincronizar com o GMT+4, más para quem mora fora dessa região só escoler -3UTC da Brasilia.
Atualização Em Dezembro de 2011 o Brasil ficou com mais um novo fuso horário nomeado Bahia Standard Time que aparece como “(UTC-3:00) Salvador” especificamente para o estado de Bahia. Esse fuso horário tem o horário de verão iniciando no terceiro Sábado de outubro de todo ano has 23:59:59.999 e terminando no quarto Sábado de Fevereiro da cada ano has 23:59;59.999.
Para os moradores do estado de Bahia, baixem a atualização no site da Technet no link KB2633952 ou deixem o windows fazer a atualização automaticamente na date certa escolhida pela Microsoft.
Para quem mora fora do estado de Bahia, não precisa preocupar se com essa mudança e deixar o Windows fazer as atualizações automaticamente.
Esse artigo já está atualizado e contem o novo fuso horário e aplica para windows 7, 2008 R2,XP e 2003.

Esse artigo tem alterações que podem afetar o calendário do Microsoft Outlook. Para evitar isso leia o artigo KB931667
Quem tem ambiente que usa o Exchange Server também precisa prestar mais atenção ao aplicar esse artigo. Leia o artigo KB941018 para evitar qualquer problema.
A GPO que eu criei serve para atualizar o registro com os novos fusos horários.
Criar uma GPO com um script batch.
*OBS importante, no micro de teste, sempre faça um backup do registro antes de executar scripts que alterem o registro.
1. Usando o teu editor de texto digite o copie os seguintes comandos, e salve o arquivo com extensão bat ( iniciar.bat por exemplo)
@echo off regedit /s \\NOME_DO_DOMINIO\NETLOGON\TZupdate_nenglish.reg cscript \\NOME_DO_DOMINIO\NETLOGON\refreshTZinfo.vbs
Observações
1- para atualizar uma versão de windows em inglês mude a primeira linha para
regedit /s \\NOME_DO_DOMINIO\NETLOGON\TZupdate_english.reg
2. Crie uma GPO e linka ela ao domínio, ou OU ou Site, etc.
no caminho \configurações de computador (computer configuration)\settings de windows (windows settings)\scripts de inicialização(startup scripts)\inicialização(startup)
segue a imagem a seguir

3- Ao clicar em adicionar irá abrir a pasta no SYSVOL que vai conter o script. Verifique isso clicando na pasta para mostrar o caminho da GPO na nossa estrutura SYSVOL. Vê a imagem a seguir

4- Abra o bloco de notas e cole o texto a seguir e salve o arquivo como refreshTZinfo.vbs

Set objSh = CreateObject(“WScript.Shell”)’Obtém a chave StandardName do fuso horário atual szStandardName = objSh.RegRead(“HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation\StandardName”)’Enumera as subchaves no banco de dados de fuso horário const HKEY_LOCAL_MACHINE = &H80000002 Set objReg=GetObject(“winmgmts:{impersonationLevel=impersonate}!\\.\root\default:StdRegProv”) szTzsKeyPath = “SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones” objReg.EnumKey HKEY_LOCAL_MACHINE, szTzsKeyPath, arrTzSubKeys’Procura nos fusos horários para encontrar o Standard Name correspondente szTzKey = “” For Each subkey In arrTzSubKeys If (objSh.RegRead(“HKLM\” & szTzsKeyPath & “\” & subkey & “\Std”) = szStandardName) Then ‘Encontrou o StandardName correspondente, agora armazena este nome de chave de fuso horário szTzKey = subkey End If NextIf szTzKey = “” Then ‘Registra a entrada no log de eventos do Aplicativo com a mensagem de que a atualização falhou em executar objSh.LogEvent 1, “Atualização do Registro com o Horário de Verão de 2007 falhou ao executar neste computador. Os fusos horários falharam ao enumerar apropriadamente ou o fuso horário correspondente não foi encontrado.” Wscript.Quit 0 End If Dim process, processid, result, strUpdateCommand Set process = GetObject(“winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2:Win32_process”)
‘Adiciona o privilégio de alteração de horário ao objeto do processo process.Security_.Privileges.AddAsString “SeSystemTimePrivilege”,True strUpdateCommand = “control.exe timedate.cpl,,/Z” & szTzKey
‘Inicia o control.exe para atualizar as informações de fuso horário usando o nome da chave TZ obtida acima result = process.create(strUpdateCommand,Null,Null,processid) If result 0 Then objSh.LogEvent 1, “Atualização do Registro com o Horário de Verão de 2007 falhou ao executar neste computador. Não é possível atualizar o banco de dados de Fuso Horário.” Wscript.Quit 0 End If
‘Obtém o nome de exibição atual do fuso horário atualizado szCurrDispName = objSh.RegRead(“HKLM\” & szTzsKeyPath & “\” & szTzKey & “\Display”)
‘Registra a entrada no log de eventos do Aplicativo com a mensagem de que a atualização foi executada objSh.LogEvent 4, “Atualização do Registro com o Horário de Verão de 2007 foi executada neste computador.” & chr(13) & chr(10) & chr(13) & chr(10) & “O fuso horário atual é: ” & szCurrDispName & “.”

5 – Com a pasta ainda aberta, arraste o arquivo script batch criado na primeira etapa(iniciar.bat) e jogue o nesta pasta. Nessa mesma pasta vamos incluir os arquivos
refreshTZinfo.vbs
TZUpdate_english.reg para versões de windows em Inglês(clique para baixar,link externo tekniblog.com)
TZUpdate_nenglish.reg para versões de windows em outra linguagens(clique para baixar,link externo tekniblog.com)

6- Feche todas as janelas e teste o teu script antes de rodá-lo em um ambiente vivo.
Explicação Resumida:
a– O arquivo batch é do tipo computador(vê o caminho(path) dele na segunda etapa) e é chamado antes que o usuário faça logon e é independente do logon do usuário. Ao ser chamado ele chama a primeira linha que contem o comando
@echo off
que é usado para não mostrar mensagens do tipo echo para o usuário (ocultar mensagens).
b– Em seguida ele chama a segunda linha
regedit /s \\NOME_DO_DOMINIO\NETLOGON\TZupdate.reg
que altera o registro silenciosamente com o conteúdo do arquivo TZupdate.reg . Esse arquivo de registro tem as novas zonas de fuso horário para computadores não Inglês, se os seus micros são em Inglês cria o seu arquivo do link abaixo.
Para entender melhor o conteúdo deste arquivo e como criar o teu próprio, segue http://support.microsoft.com/kb/914387/pt-br (link externo Microsoft)
c- Finalmente é chamada a terceira linha que executa o script de visual basic que, segundo a Microsoft: “O script identifica o fuso horário atual do computador cliente e recarrega a chave do Registro TimeZoneInformation com as informações atualizadas do banco de dados de fuso horário. Em seguida, o script registra um evento no log do Aplicativo do computador cliente, onde o script foi executado.”
cscript \\NOME_DO_DOMINIO\NETLOGON\refreshTZinfo.vbs
Para mais informações

• http://support.microsoft.com/kb/914387/pt-br
• http://support.microsoft.com/kb/2633952

Fonte: http://tekniblog.com.br/sincronismo1/sincronismo3/

Sincronismo de Horário no Domínio 2

Vamos continuar com a parte dois nessa página

1. Servidor – Sincronizar O AD primário com uma fonte externa
2. Clientes – Sincronizar os outros servidores e micros com o nosso servidor primário

Antes de começar sincronizar os  servidores e estações com o nosso servidor de hora, precisaremos de criar uma regra local no servidor de hora. Podemos criar uma GPO se o nosso servidor de hora é o único servidor de AD no domínio.
Quando temos somente um servidor AD no domínio ele se torna o dono de todas as funções FSMO, inclusive o PDC que o controlador de hora no domínio. Nesse caso podemos sim criar uma GPO e aplicá-la na OU Domain Controlers.
Quando temos mais de um servidor AD, eles ficam na OU; Domain Controlers. Assim aplicando a GPO vai aplicar para todos os servidores AD nessa OU e isso causa problemas.
Na captura de tela a seguir da regra local ou GPO, configure somente a parte de servidor e nada mais o resto foi feito com o comando w32tm que já fizemos na página anterior. Essa na verdade é uma etapa extra porque o switch /reliable:yes   no comando w32tm faz isso; falar que ” eu sou uma fonte confiável de tempo”

2- Clientes (estações e outro servidores)
vamos pôr os servidores em uma OU – Organizational Unit, e aplicar uma regra GPO. Essa regra é semelhante  a imagem acima mostrada

Vamos aplicar essa GPO em todas as OU’s que tem computadores. è importante escolher NT5DS para indicar que vamos usar o nosso servidor de domínio como fonte de tempo. Essa hierarquia aplica também para os AD’s que irão procurar o AD com a função PDC mestre.
Usamos o protocolo NTP se tivéssemos um fabric (ativo de rede para guardar tempo), ou um servidor linux, ou um switch de borda na nossa rede como fonte de tempo.
Vamos alterar é o nome do servidor NtpAserver: Aqui digite o nome do servidor seguido por virgula  zero letra x e número um “, 0x1“. Por exemplo “10.0.0.1,0×1”

*É muito importante tratar dos outros servidores AD como clientes também, apesar que não devemos criar uma GPO e aplicar na OU Domain Controllers pelo motivo já explicado.

Devemos deixar as outras configurações como default e somente alterá-las depois de uma boa analisada do nosso ambiente e o impacto de cada opção.
Mudanças no DHCP
Bom até agora fizemos a parte de servidores, que serve para servidores de AD, aplicativos, impressão, e arquivos. Geralmente esses servidores não tenham IP configurado pelo DHCP. Na próxima etapa usamos os nossos servidores DHCP para passar a noticia que temos um servidor de hora.
Em nossos servidores DHCP vamos definir um valor para a opção NTP. Isso pode ser feito tanto no nível de servidor quanto no nível de escopo.

A imagem é bem explicativa para quem já trabalhou com DHCP.
Para quem é novo na área, clique com botão direito no Scope Options ou no Server Options, e escolhe Configure Options. Vai abrir uma janela semelhante ao que está na imagem, clique na opção 004: Time Server, e adicione o IP do servidor de hora que você criou na página 1.
É uma boa ideia fazer uns testes (claro que você tem um ambiente de teste para fazer isso).  O mais simples é alterar a hora no servidor de hora e ver a alteração ser seguida nos servidores e nas estações.
Tem vezes que o relógio não altera por uma certa falha e não temos tempo para pesquisar o motivo da falha, neste caso alteramos a hora manualmente. Se tivéssemos acesso à interface gráfica alteramos a hora com mais facilidade, senão usamos o comando TIME.
O comando é mais usado quando não temos a interface gráfica tanto local quanto remotamente (usando psexec por exemplo).
Para visualizar as horas digite
time /t
e para alterar as horas, o melhor jeito, e o mais fácil é digitando o comando time seguido por a hora desejada. exemplo
time 19:45
Em alguns casos há uma necessidade de alterar a data e por isso usamos o comando date , para visualizar a data digite
date /t
e para alterar a data usando o formato dd-mm-aa, exemplo
date 07-11-10
Ver o resultado
Vamos agora criar uns strip charts que irão nos mostrar o resultado do sincronismo. Para fazer isso iremos usar o comando w32tm
Primeiro vamos testar o sincronismo entre o servidor AD e uma das fontes de tempo externas

O resultado mostra uma diferença de 54 segundos que para meus fins é muito bom. Devemos sempre procurar o servidor que nos da o melhor resultado – com diferença de segundos menor.
As opções usadas são
/computer:               com qual computador voce quer testar o sincronismo
/period:                      mostrar dados cada quantos segundos, o default é cada 2 segundos
/samples:                   quantos amostras vamos coletar, se não for usado o sistema fica verificando até fazermos um CTRL+C,  vê a próxima imagem

Vamos verificar o sincronismo interno usando o mesmo comando. De uma estação de trabalho vamos testar o sincronismo com o nosso servidor de tempo na nossa rede local. vê a imagem

Nessa vês a leitura e bem melhor com uma diferença muito pequena.
—
Fuso Horário
Após fazer todos os procedimentos, muitas vezes os micros sincronizam os horários com o servidor de hora más ficam exatamente uma hora ou mais ou menos diferentes. Esse é um problema de fuso horário.

Fusos horários são usados para diferenciar regiões (que são geograficamente separados) usando 1hora+ ou1hora – (ou +-30 minutos ou até +-15  minutos em algumas regiões no mundo) de diferença com o GMT (Greenwich Mean Time que foi politicamente escolhido e segundo geologos, não é o melhor ponto de separação).

Em Fevereiro de 2010 a Microsoft introduziu uma atualização para as sistemas operacionais que muda o Central Brazilian Time de Manaus para Cuiabá. Podemos visualizar o fuso horário usando o comando
w32tm /tz

Explicando um pouco sobre o resultado do comando
Bias: 240min      significa que fica GMT -4:00 ou seja quatro horas depois de GMT., usando o UTC=0 (zero)
Bias:0min Date:(M:2 D:3 DoW:6)]     significa que no Fevereiro o segundo mês(M:2) do ano, e o 3º(d:3) Sábado (meia noite, DoW:6) Bias:0min Date:(M:10 D:3 DoW:6)] significa que no Outubro o décimo mês (M:10) do ano, e o 3º(d:3) Sábado (meia noite, DoW:6). Nessa data usamos 240-60 = 180 (três horas) que fica assim até a próxima mudança que fica em Fevereiro (m:2)
Usando o windows update automático, um computador deve estar sempre atualizado. Uma das atualizações foi essa atualização de Manaus para Cuiabá com o horário de verão como foi acima citado. Caso o sistema não foi atualizado ou caso foi atualizado más a configuração não foi aplicada é necessária a intervenção do usuário ou o administrador.
Em um ambiente de domínio e com um número grande de computadores essa intervenção do administrador deve ser feita com uma diretiva de grupos GPO.

Fonte: http://tekniblog.com.br/sincronismo1/sincronismo2/

Sincronismo de Horário no Domínio 1

Um dos problemas que um administrador de sistemas  enfrenta é a sincronização da hora na rede. E se você tem uma rede multi-site e com servidores AD espalhados geograficamente o problema é inevitável a não ser corrigido da raiz.
Sincronismo é muito importante na rede, tanto para comunicação e replicação quanto para segurança. Para evitar problemas vamos usar um plano para sincronizar todos os nosso computadores. Vamos fazer isso em etapas;

1. Sincronizar O AD primário (PDC emulator) com uma fonte externa
2. Sincronizar os outros servidores e micros com o nosso servidor primário

1 – Sincronizar O AD primário

O servidor AD que estou referindo aqui é o servidor que está fazendo a função (FSMO Role) PDC Emulator. Para verificar qual AD  está servindo essa função use o comando netdom query:
netdom query /domain:nome_do_teu_domínio FSMO
Antes de tentarmos sincronizar com uma fonte externa devemos verificar se o nosso firewall de borda (ou todos os firewalls se tivesse outros fazendo filtragem de pacotes) não está barrando a porta 123 UDP.  Da linha de comando podemos fazer uma port query para ver se terá uma resolução, vê a captura de tela a seguir:
portqry -n 200.186.125.195 -e 123 -p udp

vendo da imagem, o nosso firewall está passando pacotes UDP 123.
Agora é necessário (no nosso exemplo) que temos umas fontes de tempo confiáveis. As melhores fontes aqui no Brasil são da NTP.br
O site é rico com informações sobre o protocolo de tempo, sincronização, e outras pesquisas da área.  O site NTP.br é ligado com outras organizações como NIC.br, CEPTRO.br, Antispam.br e CETIC.br. Os servidores de hora de alta confiança são sete e são de Stratum 1 (no topo da hierarquia de servidores de tempo) .

nome DNS	endereço IP
a.st1.ntp.br	200.160.7.186
c.st1.ntp.br	200.186.125.195
d.st1.ntp.br	200.20.186.76
a.ntp.br	200.160.0.8
b.ntp.br	200.189.40.8
c.ntp.br	200.192.232.8
gps.ntp.br	200.160.7.193

* no site da NTP.br tem o b.st1.ntp.br , só que parece que está sempre fora e nunca responde o ping.
Segundo o Antonio M. Moreiras da nic.br “o melhor é usar o conjunto dos servidores. Não se deve sincronizar um servidor ntp com apenas uma fonte. Para uma operação confiável, o ideal é que haja de 4 a 7 referências independentes.”
Vamos usar a ferramenta w32tm em Windows 2003 para configurar o nosso servidor PDC emulador para sincronizar com as fontes de hora da ntp.br. O comando é
w32tm /config /computer:10.0.0.1  /manualpeerlist:”b.ntp.br c.ntp.br 200.160.7.193″ /syncfromflags:manual /reliable:YES /update
os switches usados
/config é para configurações pois o w32tm pode ser usado para monitoramento, conversão de tempo, para mostrar o fuso horário  e  outros funções.
/computer é usado para designar o computador que vai ser sincronizado. Acrescentando :computador Podemos sincronizar um computador remotamente.
*Não usar o switch /computer significa que faremos a sincronização do computador local.
/manualpeerlist é usado para fazer uma lista de peers (parceiros) de tempo, aqui que vai o IP ou nome FQDN (nome DNS) do servidor de tempo
/syncfromflags define as origens das quais o cliente NTP deve sincronizar. deve ser uma lista separada por vírgulas destas palavras-chave (sem distinçao entre maiúsculas e minúsculas): MANUAL – sincronizaçao de níveis de protocolo na lista manual de níveis de protocolo, exemplo é o estamos usando.
DOMHIER – sincronizaçao com um Controlador de Domínio do Active Directory na hierarquia do domínio, o que vamos usar nas estações
/update notifica o serviço de tempo que a configuração foi alterada, fazendo com que as alterações entrem em vigor.
apos isso precisarmos de reiniciar o serviço de tempo
net stop w32time && net start w32time
Com esses paços o nosso servidor está sincronizando com fontes de hora externas. Para verificar isso usamos o comando net time
net time /querysntp
* Segundo a Microsoft, no artigo http://technet.microsoft.com/en-us/library/cc756161(WS.10).aspx, não devemos usar o net time para fazer configurações enquanto o serviço Windows Time Serviçe ativado (aqui estamos usando o comando somente para visualização)
Podemos usar o comando reg query para visualizar as alterações no registro do nosso servidor PDC, vê a captura de tela:

Os campos importantes são NtpServer que deve ser a lista dos servidores de hora externos e o tipo(Type) que dever ser NTP.
Podemos obter a visualização da mesma chave do registro usando o próprio comando w32tm com o switch /dumpreg . Isso nos levara à chave HKLM\system\currentcontrolset\services\w32time. Para visualizar a subchave parameters temos que usar o switch /subkey:  com parameters   e ai fica
w32tm /dumpreg /subkey:parameters     vê a imagem da captura de tela:

 

Fonte: http://tekniblog.com.br/sincronismo1/

PSEXEC em Windows

Esta ferramenta da linha de comando é muito útil para as tarefas rápidas e transparentes. Rápido porque você conecta á uma máquina remota, executa o comando, e volta á sua máquina em segundos (depende da conexão). Transparente porque quem está no outro lado não senti a execução dos comandos ou os arquivos que estão sendo copiados( depende do tamanho do arquivo que você vai copiar e executar, e o hardware do micro remoto).
Um usuário avançado pode estar executando um bom antivírus como Kaspersky que adverte o usuário que há um programa de acesso remoto tentando executar. É possível executar o comando tasklist /v e visualizar os tasks e os processos do todos os usuários
Para quem não gosta de linha de comando, ta na hora de começar gostar. Vamos falar sobre um ambiente de Domínio. A ferramenta pode ser abusada para fazer ataques contra computadores remotos, mais esse não é o nosso assunto aqui.
Ambiente : dois computadores no mesmo domínio.
Requisitos: autorização em forma de usuário e senha no computador remoto(o mais fácil é Administrador ou Administrator) ou uma conta de domínio com o acesso apropriado, por exemplo um membro do grupo Domain Admins.
Por enquanto vamos falar sobre os membros do grupo domain admins quem tem acesso total em todas as maquinas do domínio:

Linha de comando remota

psexec \\10.10.10.10 cmd

este vai executar o comando cmd no computador remoto com IP 10.10.10.10 usando os credenciais do computador local (neste exemplo um dos administradores do domínio). Ao executar esse comando o sistema irá verificar se temos autorização no computador remoto, se o serviço RPC está funcionando no remoto e também se o compartilhamento admin$ existe no remoto.
Ao conectar no sistema remoto, a pasta remota do linha de comando é c:\windows\system32. Para sair do prompt remoto basta digitar exit.

Copiar um arquivo local para executá-lo no remoto

Este recurso é muito útil para administradores de sistemas. Usamos esse recurso para copiar e executar um arquivo remotamente. O arquivo tem que estar na pasta onde o executável (programa) psexec está.

psexec -c kk.exe \\10.10.10.10

este comando irá copiar o programa kk.exe (Kido Killer-que remove o vírus conficker) e executa lo no computador remoto.

psexec -c kk.exe \\10.10.10.10,10.10.10.11,10.10.10.12 -a -y

neste exemplo executaremos o comando em três computadores remotos na ordem que está na lista. os switches -a -y pertencem ao KK.exe e são digitados no fim do comando.

Executar através de um arquivo contendo uma lista dos micros

psexec -c kk.exe @arquivo.txt -a -y

é importante seguir as dicas:
1) o arquivo.txt tem que ser na mesma pasta onde está o psexec
2) o arquivo.txt tem que ser criado usando um editor de texto puro(notepad, notepad++, etc), Word não funcionaria
3) o arquivo.txt deve conter os IP’s ou os nomes dos micros remotos sem os // , e um IP ou nome por linha.
Usando um usuário específico

psexec \\10.10.10.10 -u administrador cmd

bom aqui não estamos mais usando as credenciais locais más estamos usando uma conta que já existe no micro remoto. A senha será exigida na execução do comando. Podemos acrescentar;

psexec \\10.10.10.10 -u administrador -p master cmd

aqui estamos mandando o comando com a nossa senha remota descriptografada (texto normal). Este e totalmente não recomendado, e se estiver alguem com um sniffer na linha, ela irá capturar a nossa senha.

Excluir um arquivo remoto

psexec \\10.10.10.10 “del /p nome.exe”

o comando del é o comun que faz parte do shell do windows. Não esqueça das aspas pois o comando contem espaço.
Outros Exemplos úteis

psexec \\10.1.1.10 ipconfig /all

Bom para saber as configurações alem do endereço do IP (já sabemos nê ), outras opções também funcionam como

psexec \\10.1.1.10 ipconfig /flushdns

psexec \\10.1.1.10 ipconfig /registerdns

Matar um processo remotamente. Usamos o comando tasklist para ver o ID do processo e depois o taskill para matar aquilo processo.

psexec \\10.1.1.10 tasklist.exe /svc e em seguida

psexec \\10.1.1.10 taskkill /pid IDdoProcesso

psexec \\10.1.1.10 taskkill /f /pid IDdoProcesso (caso o processo necessita ser forçada para terminar)

O profissional de TI Guilherme Alves Stela deixou um comentário sobre listar e matar processos usando pslist e pskill – que também são ferramentas da Sysinternals.
para listar os processos em tempo real:
pslist -s \\10.1.1.10
para matar um processo:
pskill \\10.1.1.10 nomeDoProcesso
para matar processo forçadamente:
pskill -f \\10.1.1.10 nomeDoProcesso

Executar Como ( RUNAS ) Windows

Usando o programa RUNAS (executar como) permite o usuário executar programas e ferramentas com permissões diferentes do que foram usados para efetuar o login no sistema.
Há dois modos
I-  Gráfico
2- CLI Linha de comando
Vamos começar com o modo gráfico. Podemos executar um programa (RUN AS)como um administrador local ou do domínio enquanto logados como usuário normal. Podemos Usar o Executar como para executar as ferramentas do MMC , Console de Gerenciamento, da Microsoft ou até as itens do painel de controle. Para fazer isso precisamos de:

• O nome do usuário e a senha que tem permissão suficiente.
• A conta do usuário que pode logar no computador
• O programa, ferramenta MMC, ou item do painel de controle que está disponível no sistema local e na conta do usuário

O programa RUNAS é geralmente usado para executar programas como administrador apesar de não ser limitado para tal usuário. O programa pode ser chamado da área de trabalho do usuário seguindo essas etapas:
1. Em windows explorer ou no menu de Iniciar, clique com botão direito no programa e escolhe “Executar Como”. Vê as duas ilustrações

Ilus 1-1, “Executar Como” para executar um snap-in da MMC salvo na área de Trabalho

Ilus 1-2, “Executar Como” para executar o CMD no menu de Iniciar

2. Abrirá uma janela com opções aparecidos com os da figura 1-3. Clique no “O seguinte usuário”

Ilus 1-3, “Executar Como” digite o usuário e a senha

3.     Digite o nome do usuário e a senha. Para o usuário administrador local será necessário digitar o nome do computador, no nosso exemplo é PAXPNASSIM. Caso temos um computador que faz parte de um domínio e o usuário é um administrador do domínio; digitamos o nome do domínio antes do usuário no formato DOMINIO\NomeDeUsuario.
Clique OK.
Se você tentar executar um programa, ferramenta MMC, ou item do painel de controle de um local da rede usando “Executar Como” , existe a possibilidade que o programas não inicie caso as credenciais usadas para conectar ao compartilhamento da rede são diferentes das que são usadas para executar o programa. As credenciais usadas para executar o programa podem ser insuficientes para acessar o compartilhamento. Se o Executar Como falhar, o Serviço de Logon Secundário pode estar desabilitado. Se for desabilitado faça o seguinte

1. abra o console de serviços usando o comando services.msc e em seguida

Pode iniciar o serviço de logon secundário da linha de comando usando o comando

sc start seclogon

Para que o programa sempre mostrar o dialogo de executar como um outro usuário
1- Crie um atalho para o programa
2- Clique com o botão direito e escolher avançado
3- Clique no Executar com credenciais diferentes

Ilus 1-4, “Executar Como” Para sempre pedir outro usuário e senha

II- Linha de Comando
O comando runas funciona na mesma maneira que funciona na área de trabalho.

runas [{/profile|/noprofile}] [/env] [/netonly] [/savedcreds] [/smartcard]  [/showtrustlevels] [/trustlevel] /user:ContaDoUsuario  programa

• /profile  carrega o perfil do usuário. É a configuração default.
• /noprofile  Especifica que o perfil do usuário não seja carregada. Isso permita para as aplicações se carregam mais rápido, más pode causar algumas aplicações não funcionarem corretamente.
• /env  Especifica que o atual ambiente de rede seja usado em vez do ambiente do usuário local.
• /netonly  Significa que a informação do usuário é usado somente para acesso remoto.
• /savedcreds  Significa que as credenciais serão salvas no repositório local. As credenciais (usuário e senha) são solicitadas somente na primeira vês.
• /smartcard  Significa que as credenciais serão fornecidas através de um cartão inteligente.
• /showtrustlevels  Listar as opções de /trustlevel.
• /trustlevel  Especifica o nível de autorização onde o aplicativo pode executar
• /user:UserAccountName  Especifica o nome do usuário que vai ser usado para executar o programa. O nome deve estar no formato usuário@domínio ou domínio\usuário
• /programa  Specifica o programa ou comando para executar usando a conta especificada em /user.

Para usar a conta do administrador do computador local usamos o seguinte com o /user : /user:nomeDaContaDoAdministrador@NomeDoComputador ou /user:NomeDoComputador\nomeDaContaDoAdministrador.
Para usar uma conta de administrador de domínio : /user:nomeDaContaDoAdministrador@NomedoDomínio ou /user:NomedoDomínio\nomeDaContaDoAdministrador.
Runas Exemplos 
Para iniciar uma instancia da linha de comando do Windows Server 2003 como um administrador local, digite :

runas /user:Nome_do_micro_local\administrador cmd

Quando for solicitado, digite a senha da conta.      Para iniciar uma instancia do Gerenciador do Computador usando uma conta de administrador e domínio:

runas /user:nome_do_dominio\domainadmin “mmc %windir%\system32\compmgmt.msc”

Quando for solicitado, digite a senha da conta.    Para iniciar uma instancia do Notepad usando uma conta de administrador e domínio usando o formato de nome UPN, digite por exemplo:

runas /user:user@domain.microsoft.com “notepad meu_arquivo.txt”

Quando for solicitado, digite a senha da conta.      Para iniciar uma instancia da linha de comando, uma snap-in de MMC gravada, uma item da painel de controle ou programa que é usada para administrar um servidor em uma floresta, digite :

runas /netonly /user:dominio\nome_usuario “comando”

onde /user:dominio\nome_usuario tem que ter permissão suficiente no servidor.
Quando for solicitado, digite a senha da conta.
obs. Sempre use as Aspas quando o caminho ou nome do programa contem um ou mais espaços.

1 – Execute o promp de comando (cmd)
2 – Digite o comando  shellrunas e clique em SIM
3 – Digite o comando shellrunas /reg e Pronto

NSCLIENT++

O NSCLIENT++ é o programa necessário para os clientes do sistema de monitoramento Nagios. É o cliente que envia os dados coletados com informações do processador, memória, disco, e etc. O NSCLIENT não é necessário para monitorar se o computador está ligado ou não (usando o ping).
Para Instalá-lo em Windows Server 2003 arquitetura 32 bit e 2008 Server R2 x64 primeiro faça o download do Client do site NSCLIENT.ORG escolhendo a versão adequada para a arquitetura do seu processador.

• http://nsclient.org/nscp/downloads

• http://sourceforge.net/projects/nscplus/files/nscplus/

Instalação
1-   extrair os arquivos em uma pasta preferencialmente na raiz do drive c:
2-   entrar na pasta onde os arquivos foram extraidos
3-   cadastrar o serviço do sistema NSCLIENT++ usando o comando

 nsclient++ /install

4-    instalar o ns client no system tray (canto direito, baixo)
apesar que não é recomendado para sistemas xp,2003,vista, 7, e 2008

 nsclient++ Systray

(o comando é caso sensitivo)
5-   abrir o console de serviços ou de ferramentas administrativas ou de linha de comando
services.msc
e verifique que o serviço nsclientpp é permitido a interagir com a área de trabalho, vê a imagem

6-  Editar o arquivo nsc.ini que está localizado na pasta c:\nsclient++ (você instalou aqui nê?) e fazer as seguintes alterações:

• tirar o ponto-vírgula “;” de todos os modulos dentro de [modules] exceto CheckWMI.dll e RemoteConfiguration.dll
• Mudar a senha na parte ‘password’ no [Settings] para ter acesso ao nsclient remotamente.
• tirar o ponto-vírgula “;” de  ‘allowed_hosts’  no [Settings] para criar um lista com no mínimo uma entrada de hosts permitidos a conversar com os daemons. Se for deixar em branco, qualquer host pode acessar o daemon remotamente, eu ponho o endereço do servidor Nagios para ter mais segurança, exemplo:

allowed_hosts=10.1.1.1/24

• Certificar que a opção  ‘port’ no [NSClient] é sem comentário (tirar o ponto-vírgula) e setá-lo como  ‘12489’ (a porta default)

7-   Iniciar o serviço NCLIENT++ com o comando

 nsclient++ /start 

Para mais informações sobre o NSCLIENT
http://nsclient.org/nscp

CACLS

Mudar a segurança de pastas
situação: criei muitas pastas a agora quero dar direitos de acesso para uma ou mais pessoas á essas pastas.
o comando cacls tem a solução, exemplo
pasta c:\users\pedro  ,  direito de Write o comando é:
cacls c:\users\pedro /g pedro:w
para que este direito possa ser adicionado à lista de pessoas que já tenham acesso basta acrescentar /e , então
cacls c:\users\pedro /e /g  pedro:w
conclusão: pedro tem direito de W e os que já tinham acesso continuarão sem alteração.
O comando aceita wildcards para escolher várias pastas. Mais de um usuário pode ser escolhido também.
para mais opções e possibilidades digite o comando cacls na linha de comando.

Fonte: http://tekniblog.wordpress.com/ferramentas/cacls/

AD Explorer

o AD Explorer é uma ferramenta que faz parte do suíte de ferramentas gratuitas da Microsoft chamado SysInternal. A Sysinternals erá uma empresa que foi comprada pela Microsoft.
A ferramenta é excelente  para pesquisar o AD (Active Directory) e as possibilidades são muitas. Para usar a ferramenta é necessário ter uma conta de administrador no domínio desejado.
Ao abrir o AD explorer uma tela de autenticação é aberta, preencha os campos requeridos. É possível salvar essas credenciais(exceto a senha) para facilitar conexões futuras.

Apos ser autenticado podemos navegar toda a árvore da nossa schema da floresta, permitindo nos assim visualizar todos os objetos e classes LDAP.
Podemos também partir pelo caminho de fazer uma pesquisa de um objeto clicando na lupa.
Exemplo1:  grupo
para iniciar a pesquisa, clique na OU, container ou domínio onde desejas fazer a pesquisa. No exemplo eu fiz uma pesquisa por grupo, por nome de grupo e usando a relção de “ends with” (terminar com).

clicando no resultado mostra as configurações do objeto pesquisado.

Prestando um pouco de atenção nessa última captura de tela da para ver alguns detalhes interessantes do  tipo data de mudança, data de criação, membros, caminho e etc. Para ver mais sobre o objeto, clique o botão Go To.
Os membros do grupo aparecerão ao lado do atributo: “MEMBER”. O contador na coluna COUNT nos mostra quantos usuários pertencem ao grupo. Clicando duas vezes, teremos uma visão melhor dos usuários membros deste grupo.
Exemplo2: computador
Tinha um problema no serviço do uns computadores colocados na rede de domínio com nomes não conforme as regras. Comecei a usar o netdom para alterar os nomes dos micros, más vários micros estavam desligados e dai o netdom não ia funcionar. Antes deletar os objetos do AD eu quis saber quando foi a última vez que o micro acessou o domínio.
Usando Ad Explorer , rapidamente achei o micro usando a pesquisa de computer, name.

na imagem o campo importante é o “when changed” – quando foi alterado. Isso me mostrou quando foi utilizado para logar no domínio.
Deletei alguns objetos (não do Ad-Explorer) e alguns consegui mudar pelo Netdom.

Fonte: http://tekniblog.wordpress.com/ferramentas/adexplorer/

Netdom RENAMECOMPUTER

Nas redes grandes ou nas que são geograficamente separadas, administração remota dos computadores é extremamente importante. Uma tarefa que pode ser feita remotamente pelo administrador é a alteração do nome de um computador com conta no domínio. O comando NETDOM tem vários usos administrativos.

* Antes de usar o netdom em windows XP e Windows Server 2003 , será necessária a instalação do programa. O netdom faz parte do pacote Support Tools que fica na pasta \SUPPORT\TOOLS

*No Windows 7 o netdom vem instalado por padrão

Vamos usar o netdom com a opção renamecomputer para mudar o nome de um computador remoto em um exemplo.
No segundo exemplo mostro com é tão fácil trocar o nome do computador local (o que está na sua frente).
Como sempre é melhor praticar em uma ambiente de teste antes de pôr em produção  e dar um impacto negativo. Uma boa ideia é ligar para o usuário e avisá-lo sobre a alteração. Com toda alteração de nome de conta de computador, uma reiniciada é necessária.
O netdom é muito fácil de usar e as opções (switches) são bem claras. Apos a instalação das ferramentas Support Tools, chamamos o netdom da linha de comando de qualquer lugar pois o path é atualizado durante a instalação.
Para ver todos os modos de netdom digite
netdom /?

o que importa para o nosso exemplo é o NETDOM RENAMECOMPUTER , o comando
netdom computername /?

O comando simplesmente altera o nome atual do computador para um nome “novo”. Explicarei as opções ou switches e em seguida vou mostrar alguns exemplos.

Muito cuidado dever ser tomado quando o computador é um servidor e principalmente um CA – Autoridade de Certificados. A alteração da nome do servidor CA impactaria diretamente o serviço e o serviço irá parar totalmente. O comando também NÃO deve ser usado com o servidor Active Directory.

machine é o nome NETBIOS do computador existente
/NewName é o novo nome do computador, não dever ultrapassar os 15 caracteres por padrão de nomes NETBIOS.
Com o comando podemos dar um aviso sobre a reinicialização do computador usando
/restart:número_de_segundos , assim o usuário pode salvar o seu trabalho antes que o computador é reiniciado. O valor por default é 30 segundos
podemos também forçar a reinicialização usando o switch
/force isso irá causar a reinicialização do computador automaticamente.
/UserD esse switch ou opção é obrigatório e é usado para autenticar o usuário que irá executar o comando. O /UserD é para usar uma conta com permissão administrativa no domínio. Caso o domínio não seja digitado, o domínio da conta do computador será usada.
/UserO esse switch é muito semelhante ao o anterior, caso não digitado, será usada a conta de usuário que está executando o comando.
/PasswordD é a senha do usuário quando é usado o switch /UserD . Se for usado o asterisco * , uma senha será requisitada ao executar o comando.
/PasswordO é a senha do usuário quando é usado o switch /UserO. Se for usado o asterisco * , uma senha será requisitada ao executar o comando.
No Windows7 foi adicionado mais uma opção que adiciona um nível de segurança. A opção é
/securepasswordprompt e é usada quando não mandamos a senha em texto e quando o campo de senha é um asterisco. vê o gráfico

Exemplo1 – Computador remoto:
netdom renamecomputer MICRO1 /newname:MICRO2 /userd:NOMEDODOMINIO\NOMEDOUSUARIO  /passwordd:*
Exemplo2 – Computador local:
Nesse caso o comando é um pouco mais curto pois já as credenciais suficientes para fazer essa tarefa(se você logou com uma conta não administrativa então faça logoff e depois login com uma conta que é membro do grupo administradores)
netdom renamecomputer nome_atual /newname:novo_nome.
———–Erros Possíveis——————————-
Erros possíveis são geralmente erros tipográficos ou de autenticação
1-Um erro possível é que o nome novo desejado está em uso. O erro aparece como está no gráfico

2- Se o nome do micro foi alterado você recebe o erro 53. O que da para entender a linha depois do erro “the network path was not found” que significa que o caminho na rede não foi encontrado. Vê a captura de tela

3- Erros também podem surgir se há pastas compartilhadas no computador com nome alterado. Também pode surgir um erro ao conectar em uma impressora conectada no tal computador se o compartilhamento foi feito usando o nome e não o IP do computador. Para evitar esse tipo de problema, avise o usuário sobre a alteração do computador.

Fonte: http://tekniblog.wordpress.com/ferramentas/netdom-renamecomputer/

Como quebrar a senha do Windows

Se você trabalha com informática cedo ou tarde precisará acessar um usuário que contenha senha, e as vezes não vale a pena esperar para que o usuário chegue, porque pode se perder algum tempo para isso.

Para quebrar a senha iremos Utilizar o programas conhecido como Hiren’s Boot, que pode ser encontrado aqui, atualmente ele se encontra na versão 15.2. A versão utilizada neste tutorial é a 15.1, que não causa diferença alguma.

---

Primeiramente faça download do Hiren’s Boot, e grave-o em um cd:

1. Descompacte o arquivo.
2. Insira um CD grávavel na unidade de gravação de seu computador;
3. Execute o aplicativo BurnCDCC.exe que acompanha o pacote;
4. Selecione o arquivo Hiren`s.BootCD.15.1.ISO na opção File Image da ferramenta e clique no botão Start (você poderá utilizar também o gravador de CDs de sua preferência);
5. Ao término da gravação você já poderá reiniciar o computador com o CD na unidade de leitura;
6. Marque a opção desejada no menu da ferramenta (a Mini Windows XP é a mais prática).

---

Pronto, agora temos o CD e falta só entrar no cd, para isso insira o CD em sua unidade de leitura e reinicie o computador.

Para realizar o boot através do cd, não tem como explicar de um modo para todos, já que cada computador tem um modo diferente para isso iremos explicar de um modo geral:

---

1 – Ligar o computador pressionando repetidamente a tecla delete ou no teclado numérico a tecla del.
2 – Aparecer uma tela da bios,onde você deve ir em BIOS.
4 – Você deve colocar como First Boot a opção CD.
5 – Feito isso, você deve pressionar F10, uma pergunta ira aparecer. Do you want save the changes? (y/n) aperte Y para salvar as alterações.
6 – Coloque o CD dentro do computador, pressione ESC para sair da bios.

---

Importante

Algumas versões de bios podem mudar, mas boot sequence está presente em todas , então basta localizar e colocar o CD em primeiro.
Em alguns computadores a tecla para acessar a bios pode ser outra, normalmente enquanto o computador é iniciado aparece a mensagem “Press to entre setup”. Vale lembrar que DEL é o mais comum  mas pode ser F1, F2,F10, ou alguma outra tecla, caso não descubra utilize o google pesquisando com o modelo de seu computador.

Iniciando o Hiren’s Boot

A iniciar o CD do Hiren’s Boot a imagem será como a seguir:

Basta selecionar o Mini Windows XP e pressionar enter.

Espere um pouco para que o mini XP seja carregado, esta versão é uma versão bem mais leve do XP com algumas ferramentas à menos, contendo também muitas ferramentas à mais.

Ao iniciar o CD abra o programa “HBCD Menu” localizado na área de trabalho:

Feito isso navegue entre os menus: Programs > Passwords / Keys > Windows Login > NTPWEdit (Reset Xp/Vista/7 User Passowrd)

A seguinte tela será exibida:

Clique em procurar (…), devemos localizar o arquivo SAM, para isso navegue até C:WINDOWSSYSTEM32CONFIG

Selecione o arquivo SAM e clique em Open Isso vai listar todos os usuários da máquina:

Iremos remover a senha do administrador, normalmente a conta está desativada, basta clicar no usuário e depois em Unlock.

Logo depois clique em Change password, aqui basta definir uma senha, ou simplesmente deixar em branco, caso queira apenas remover alguma senha já definida e clicar em OK.

Pronto basta clicar em Save changes e reiniciar seu computador, e não se esqueça de ejetar o CD para não iniciar o Hiren’s boot novamente.

Ponto! Ao iniciar o usuário administrador estará visível, basta logar com ele com a nova senha definida.

Fonte: http://dwdicas.com.br/2013/04/14/como-quebrar-senha-windows/