понедельник, 5 декабря 2011 г.

Делаем читабельными поля LastLogon or LastLogonTimestamp полученные при помощи csvde

Мне дали задачу создать отчет содержащий следующую информацию: Имя пользователя, OU, и Время последнего входа в систему. Достаточно легко, правда? Я вошел в систему к одному из серверов как администратор и выполнил:

F:\ csvde -r "(objectClass=user)" -f output.csv -l cn,givenName,sn,n,ou,lastLogon

Это работает отлично, но даты в Excel шокировали. "Нормальное"  время это число секунд с полуночи 1/1/1970. А время в Active Directory в формате UTC, 64битное число миллисекунд после 1/1/1601 деленное на 100.


Формула для конвертации Active Directory LastLogon or LastLogonTimestamp:

=IF(C2>0; 0,C2/(8,64*10^11) - 109205, "")

  • C2 - ячейка которая содержит в себе Timestamp из AD.

  • Конструкция If() служит для сокрытия значений для тех пользователей, которые никогда не логинились

  • (8.64*10^11) - число миллисекунд в дне деленное на 100.

  • 109205 - число дней прошедших с 1601 по 1900. (Напоминаю, 1900 в excel это начало отчета для дат)


Вот и все. Вставляем формулу и меняем формат ячейки на "Дата". Время будет в GMT.

воскресенье, 4 декабря 2011 г.

Настраиваем систему защиты 1С

  1. Установка ключа HASP
Для защиты своих продуктов фирма «1C» использует аппаратный ключ защиты HASP4, присоединяемый к USB или LPT-порту компьютера. Для установки ключа HASP4 на операционные системы Microsoft Windows 98, ME, NT4, 2000, XP(x86/x64), 2003 Server(x86/x64), 2008 Server(x86/x64) или Vista (x86/x64) вам необходимо скачать и установить драйвер версии 4.116. Если вы планируете работать под управлением Windows 7(x86/x64), то рекомендуется использовать драйвер 5.90. Для успешной установки драйвера вам потребуются привилегии локального администратора, рекомендуется отключить любое защитное ПО (антивирус, брандмауэр). «-i». В случае, если на этом компьютере уже использовались ключи HASP, рекомендуется удалить предыдущую версию драйвера, запустив инсталляцию с ключом «-r». Возможные проблемы:
Если во время установки драйверов возникли проблемы
• Удалите все компоненты


, выполните следующую последовательность действий. HASP через «Панель управления - Установка/удаление программ». Остановите все службы, которые содержат в названии «Hasp» или «HLServer». Удалите все файлы aks*.*, «hardlock.sys» и «haspnt.sys» из папки c:\windows\system32\drivers» (если они не используются другими приложениями). Изменение драйверов в «Диспетчере устройств»: o зайдите в «Панель управления» \ «Система»; o перейдите на вкладку «Оборудование» и откройте «Диспетчер устройств»; o выберите в меню «Показать скрытые устройства»; o раскройте пункт «Драйверы устройств не Plug and Play»; o
удалите каждый из следующих пунктов, если они присутствуют: «Hardlock», « Haspnt», «HASP fridge . Попробуйте еще раз удалить драйверы с помощью команды «haspdinst –purge», а затем установить с помощью «haspdinst –i». Ключи бывают LPT и USB-реализациях. В случае, если необходимо установить ключ HASP4 LPT на компьютере, где отсутствует LPT-порт, можно установить PCI-плату расширения с LPT-портом. При установке PCI-платы с LPT-портом необходимо учитывать, что базовый адрес LPT-порта, установленного на PCI-шине, отличается от общепринятых значений для интегрированных портов (это 378h, 3BCh и 278h), поэтому установку драйвера следует запускать со следующими параметрами: hinstall -i -lpt1=x» , где x - базовый адрес порта. Посмотреть его значение можно в менеджере устройств. Пример для данных адресов: «hinstall -i -lpt1=0x378» или «hinstall –i -lpt1=0x3BC». К сожалению, ключи не работают на переходниках PCMCIA-LPT или USB-LPT. Это связано с особенностями работы драйвера ключа. Технически возможна замена LPT-ключа на аналогичный USB-ключ, для этого необходимо обратиться в компанию «1C». В случае отсутствия портов USB их можно добавить с помощью плат расширения PCI или PCMCIA. Мы гарантируем работоспособность LPT и USB ключей HASP только с платами расширения, предлагаемыми компанией Aladdin. При использовании LPT-ключей стоит проверить, что порт задействован на уровне BIOS’a материнской платы и выключены энергосберегающие режимы. Режим работы порта имеет значение только в случае совместного использования с какой-либо периферией. В таких случаях рекомендуется использовать режим SPP. При установке двух и более ключей
Возможные решения данной проблемы:
• Замена нескольких ключей защиты программ

Ключ
• Остановить сервисы и приложения терминального ПО на машине, где установлен ключ.
• Если ключ сетевой, то можно установить ключ на любую другую машину данной сети, где нет активного терминального ПО.

2. Работа с ключами по сети

Для работы с сетевыми ключами, помимо установки драйверов, вам еще потребуется
Для работы защищенного приложения на удаленной рабочей станции необходимо
установить License Manager (Менеджер лицензий) для каждого сетевого ключа. Менеджер лицензий - это утилита, которая служит связующим звеном между сетевым ключом и «1C», запускаемой на удаленной машине. обеспечить беспрепятственный проход UDP- и TCP-пакетов по 475 порту в обе стороны. Также должны проходить и broadcast-пакеты. Если последнее требование по каким-либо причинам не выполняется, необходима настройка приложения через файл nethasp.ini (должен находиться в одной директории с исполняемым файлом) с целью отключения broadcast-механизма поиска ключа и явного указания IP-
Пример файла
адреса машины, обслуживающей ключ. nethasp.ini: --------------------- nethasp.ini -------------------------------
[NH_COMMON]
NH_TCPIP = Enabled
...
[NH_TCPIP]
NH_SERVER_ADDR = 168.192.1.10 // ip-
адрес компьютера, где расположен Менеджер лицензий. NH_TCPIP_METHOD = TCP
NH_USE_BROADCAST = Disabled
---------------------------------------------------------------
Если часть маршрута между запускаемой программой и ключами HASP проходит через Интернет или на ключе более 100 лицензий, могут возникнуть проблемы с тайм-аутами при доставке пакетов. Время ожидания ответа можно регулировать с помощью параметров NH_SESSION и NH_SEND_RCV. По умолчанию они закомментированы, и их значение составляет 30 и 5 секунд соответственно. Таким образом, делается 6 попыток найти ключ по 5 секунд каждая. При необходимости вы можете увеличить эти параметры. Менеджер лицензий не рекомендуется устанавливать его на компьютер с
• Перенести Менеджер лицензий на другую машину в сети.
• Отключить остальные сетевые интерфейсы.
• Также можно попробовать изменить метрики в свойствах протокола
2-мя и более сетевыми интерфейсами, так как это может вызвать некорректное функционирование Менеджера. Для решения данной проблемы следует: TCP/IP (первым будет использован интерфейс с меньшей метрикой), но результат в данном случае гарантировать нельзя. При установке в сети двух и более Менеджеров лицензий
Основная идея настройки в данном случае
Пример настройки:
их необходимо настроить для корректной работы. Иначе в сети может возникать коллизия из-за имен Менеджеров лицензий - при старте они принимают одно и то же имя по умолчанию, и в результате в сети присутствует несколько ресурсов с одинаковыми именами. Стоит отметить, что нередко Менеджеры нормально работают и без настройки. Тем не менее, следует иметь в виду, что возможно возникновение проблемы. Кроме того, настройка может понадобиться, например, чтобы разделить клиентов по разным Менеджерам лицензий. назначить каждому Менеджеру свое имя и сообщить каждой копии «» эти имена. Задать имя Менеджеру можно через файл nhsrv.ini, он должен находиться в одном каталоге с Менеджером лицензий (по умолчанию - C:\Program Files\Aladdin\HASP LM). Если Менеджер лицензий установлен как сервис, то данный файл необходимо скопировать в каталог Windows\System32 (для 64-разрядных ОС - Windows\SysWOW64). Имя должно состоять из алфавитно-цифровых символов (только английские буквы!), и не должно быть длиннее 7 символов. ------------------- nhsrv.ini #1------------------------------
[NHS_SERVER]
NHS_SERVERNAMES = LM1
----------------------------------------------------------------
------------------- nhsrv.ini #2------------------------------
[NHS_SERVER]
NHS_SERVERNAMES = LM2
----------------------------------------------------------------
Также вы можете указать диапазон
Сообщить защищенному приложению имена Менеджеров лицензий можно через файл
IP-адресов, которым будет разрешено взаимодействовать с Менеджером лицензий. За это отвечает параметр NHS_IP_LIMIT и по умолчанию он закомментирован. Запросы с адресов, которые не указаны в этом параметре будут проигнорированы. С помощью параметра NHS_USERLIST можно указать максимальное число одновременных подключенный к менеджеру лицензий, по умолчанию его значение равно 250. nethasp.ini, он должен находиться в одном каталоге с защищенным приложением (для «» – каталог Bin) либо в каталоге Windows\System32(для 64-разрядных ОС - Windows\SysWOW64): -------------------- nethasp.ini ------------------------------
[NH_COMMON]
NH_TCPIP = Enabled
[NH_TCPIP]
NH_SERVER_ADDR = 168.192.1.41, 168.192.1.11
NH_SERVER_NAME = LM1, LM2
----------------------------------------------------------------
Параметры «адрес» и «имя» должны соответствовать друг другу, т.е. на машине с адресом 168.192.1.41 должен быть запущен Менеджер с именем LM1. Адреса даны для примера, следует указывать реальные IP адреса машин, где установлены соответствующие Менеджеры лицензий. В параметре NH_SERVER_ADDR можно через запятую указать несколько компьютеров, где расположены Менеджеры лицензий. Если по первому адресу менеджер лицензий окажется недоступен или на нем не окажется свободных лицензий, то запрос будет перенаправлен к следующему менеджеру лицензий, который был указан в NH_SERVER_ADDR. При использовании
Для того, чтобы настроить
UDP в качестве протокола передачи данных возможна 100% загрузка одного из ядер процессора или массовые ошибки receive problem error 10038 и receive problem error 10054 в журнале License Manager. Причина сбоев в работе Менеджера лицензий – «битые» пакеты, приходящие по UDP. Поскольку обмен при помощи UDP-дейтаграмм не предусматривает контроля успешной доставки пакета, данный протокол надежно работает только в сетях, построенных на высококачественном оборудовании. Единственный способ разрешить эту проблему, не учитывая замену оборудования на более качественное, это переход на обмен посредством TCP-пакетов. В этом случае контролируется успешная доставка каждого пакета, и работа с ключом становится более надежной. «» на работу через TCP-пакеты, необходимо сконфигурировать файл nethasp.ini: --------------------- nhsrv.ini -------------------------------
[NH_COMMON]
NH_TCPIP = Enabled
...
[NH_TCPIP]
NH_SERVER_ADDR = 168.192.1.41
NH_TCPIP_METHOD = TCP
---------------------------------------------------------------
Далее следует отключить в Менеджере лицензий прослушивание UDP-протокола, оставив только TCP, для этого в nhsrv.ini требуется прописать: --------------------- nhsrv.ini -------------------------------
[NHS_IP]
NHS_USE_UDP = disabled
NHS_USE_TCP = enabled
---------------------------------------------------------------
«1C» 8.x работает только по UDP. Однако ее можно заставить использовать TCP неявно. Для этого, помимо того, что описано выше, необходимо разрешить в свойствах протокола TCP/IP (Properties - Advanced - WINS) поддержку NetBios over TCP/IP на рабочих станциях, где работает защищенное приложение и на машине, где установлен ключ. Конфигурационные файлы приложения необходимо настроить следующим образом: -------------------- nethasp.ini ------------------------------
[NH_COMMON]
NH_TCPIP = Disabled
NH_NETBIOS = Enabled
...
[NH_NETBIOS]
NH_USELANANUM = NUM
-----------------------------------------------------------------
Значение параметра Num можно взять из лога Менеджера лицензий, - там указывается, какие каналы Менеджер слушает по NetBios'у. Если номеров несколько, переберите их по очереди, пока «» не запустится. При такой настройке «» в качестве транспорта по-прежнему будет использовать TCP/IP, но работать с ним будет через интерфейс NetBios. Причем при передаче пакетов будет использоваться именно TCP-механизм, в силу особенностей реализации NetBios over TCP/IP. При нештатном завершении работы «», когда программа не успевает освободить лицензию, могут образовываться «зависшие» лицензии. В этом случае новые копии приложения не будут запускаться до тех пор, пока «зависшие» лицензии не будут удалены. По истечению таймаута, который составляет 36 часов с момента последнего обращения со стороны защищенного приложения, лицензии будет освобождены самим Менеджером лицензий. Раньше этого срока освободить лицензию можно только перезапустив Менеджер лицензий (перезагружать компьютер нет необходимости). Обратите внимание, что в этом случае другие пользователи должны будут так же перезапустить приложение. Если таймаут равен 0, значит, лицензия уже освобождена, даже если запись об этом осталась в журнале Менеджера лицензий. По мере наступления новых событий, подлежащих журналированию, эта запись будет затерта.

3. Диагностика

Утилита Aladdin Monitor разработана для осуществления централизованного администрирования приложений HASP License Manager и ключей сетевых ключей HASP. Aladdin Monitor позволяет:
• Проверять наличие и свойства ключей
• Отслеживать наличие и свойства Менеджеров лицензий в сети


Стоит учитывать, что сам по себе
Утилита
HASP4 Net в сети. . Останавливать и запускать локальный Менеджер лицензий. Отслеживать лицензии, которые используются в данный момент. Aladdin Monitor может показать только наличие Менеджера лицензий на том или ином адресе. Ключ он сможет увидеть только после того, как защищенное приложение успешно откроет хотя бы одну сессию с ключом. Кроме того, Aladdin Monitor работает только по протоколу UDP, порт 475. Таким образом, отсутствие данных о ключе в мониторе еще не означает, что ключ недоступен для приложения. HASP Admin Control Center (устанавливается вместе с драйверами ключей Sentinel HASP v.5.*) не предназначена для работы с ключами, которые использует «1С», поэтому они ей в ней отображаться не будут воспользуйтесь утилитой Aladdin Monitor. Утилита Aladdin DiagnostiX реализует механизм обратной связи. Ее главная задача - диагностика работоспособности локальных и сетевых ключей, работающих в системе. Кроме того, она позволяет настраивать конфигурацию для сетевых ключей HASP и генерировать отчеты, включающие всю информацию, связанную с устройствами Aladdin. При обращении в службу технической поддержки рекомендуется прикреплять
защиты программного обеспечения HASP на один компьютер следует учитывать, что ключи, имеющие разные серии, будут работать нормально. Серия - это пять латинских букв и цифр, нанесенных на этикетку либо на корпус ключа. Ключи одной серии не будут работать совместно на одном компьютере, будет виден только один из них: либо ближний к порту (в случае с LPT-ключами), либо размещенный на порту с младшим адресом (в случае с USB-ключами). HASP на один, с бОльшим количеством лицензий (необходимо обратиться к производителю программного обеспечения). Установка ключей защиты на разные компьютеры с последующей установкой и настройкой Менеджеров лицензий при каждом ключе. HASP не должен быть установлен на машине, где используются терминальные службы. Некоторое время назад разработчики специально внесли несовместимость драйвера с различным терминальным ПО (Terminal Server, Citrix Winframe/Metaframe и т.д.). Это было сделано с целью предотвращения неконтролируемой утечки лицензий через открытые терминальные соединения. Для решения данной проблемы можно:

Драйверы устанавливаются в консольном режиме, для этого необходимо запустить драйвер с параметром