Windows 11, 10, etc - Вадим Стеркин

✅ Командлеты PowerShell для управления активацией Windows Управление активацией Windows и Office из командной строки у Microsoft до сих пор работает на VBScript. Однако его объявили устаревшим ещё осенью 2023 года. В канале я предполагал, что окончательно выпилят не раньше, чем через 4-5 лет. Бизнесу требуется время на миграцию старых скриптов на #PowerShell. 👉 При этом Microsoft сама должна подавать примеры. Это они: командлеты Get-OSLicenseInfo и Set-OSLicenseInfo приходят на смену slmgr.vbs. Дебют в инсайдерской сборке 29610. Спасибо за наводку Сергею Ткаченко из Winaero. Наверное, осенью выпустят в стабильную версию ✌️

✅ Командлеты PowerShell для управления активацией Windows Управление активацией Windows и Office из командной строки у Microsoft до сих пор работает на VBScript . Однако его объявили устаревшим ещё осенью 2023 года. В канале я предполагал, что окончательно выпилят не раньше, чем через 4-5 лет. Бизнесу требуется время на миграцию старых скриптов на #PowerShell. 👉 При этом Microsoft сама должна подавать примеры. Это они: командлеты Get-OSLicenseInfo и Set-OSLicenseInfo приходят на смену slmgr.vbs. Дебют в инсайдерской сборке 29610. Спасибо за наводку Сергею Ткаченко из Winaero. Видимо, к осени будут в стабильной версии ✌️

▶️ Espanso - автоматическая замена текста по шаблонам Сегодня в рубриках "Вы нам писали" и "Утилиты" своим опытом снова делится Виталий:

Полезно, если работаешь много с текстом и часто нужно вставлять повторяющиеся фрагменты. Схема простая: триггер "что заменить" и "на что заменить". Есть динамические переменные. Можно по сочетанию клавиш или триггеру открыть окошко, в котором отобразятся фрагменты текста. Это будет внешне похоже на историю буфера обмена, но в списке заранее подготовленные фрагменты. Гайд с примерами https://habr.com/ru/articles/946548/

🌐 https://espanso.org/ //// Главный недостаток утилиты: вызывает сильную зависимость! На чужих ПК будет некомфортно. Ещё может не работать с нестандартными раскладками клавиатуры. У меня ничего не вышло с фонетической / мнемонической. 🚀 А так, автоматическую замену текста я регулярно применяю для ускорения работы. В основном, чтобы не менять раскладку клавиатуры для ввода английских терминов. С этим помогает автозамена в Word и расширении Auto Correct для VS Code (его родные фрагменты тоже использую). Более сложные макросы по сочетанию клавиш настроены в менеджере буфера обмена Charu! На Android тоже есть подход, и когда-нибудь я обязательно напишу о нём! //// Напоминаю, что всегда в силе моё предложение рассказывать о своих любимых утилитах в чате или личке! Разумеется, интересует не абстрактный список фич, а какую конкретно пользу вы из них извлекаете ✌️

WhoTam — приложение для защиты от спама, которое умеет звонить. Бесплатные аудио и видео звонки: ✅️ Работают даже там, где у Telegram "нет соединения" ❤️ Близким не нужно ничего скачивать - звоните любому контакту напрямую 🏄‍♀️ Доступны в любой стране мира без ограничений 🎁 Дарим месяц премиума бесплатно → по промокоду ZVONOK (пробив номера, как вы записаны у друзей, и антиспам защита) 👉 Забирай на IOS/Andoid бесплатно! (У пользователей IOS промокод применится автоматически, пользователям Android нужно ввести его вручную при оформлении тарифа) erid: 2W5zFJNXXAZ

▶️ #PowerShell: как включить отдельную команду в историю ввода, не выполняя ее Это третий эпизод мини-сериала про фишки модуля PSReadLine. Ранее в канале: 🔹 Автодополнение команд из истории ввода (п. 3) 🔹 PowerShell: как исключить отдельную команду из истории ввода Однажды в чате PowerShell я упомянул, что обещал опубликовать трюк с исключением команд из истории ввода. И сдержал обещание↑ На это Василий Гусев заметил, что у него есть обратная задача! Процитирую его сообщение с незначительными правками.

О, еще можешь наоборот написать, чтобы команда не выполнилась, но попала в историю ;) Я себе сделал Ctrl+Shift+H для этого. Бывает, пишешь команду блабла и тут -Credentials. И понимаешь, что креды хорошо бы в отдельный объект сунуть, потому что еще понадобятся. И что, стирать команду, делать $cred = get-credentials... потом набирать? Или перемотать в начало, поставить #, жать Enter, а потом из истории и убирать #? Ctrl+Shift+H заносит набранную в данный момент строку в историю и стирает её. Сделал что нужно и пару раз жмёшь ⬆️

Код Василий прислал скриншотом - наверное, с рабочей машины. Но вам не придётся делать OCR. Добавьте этот код в свой профиль:

# Save line to history but don't execute
Set-PSReadLineKeyHandler -Key Ctrl+Shift+H `
-BriefDescription SaveInHistory
-LongDescription "Save current line in history but do not execute" `
-ScriptBlock {
    param($key, $arg)

    $line = $null
    $cursor = $null

    [Microsoft.PowerShell.PSConsoleReadLine]::GetBufferState(
        [ref]$line,
        [ref]$cursor
    )

    [Microsoft.PowerShell.PSConsoleReadLine]::AddToHistory($line)
    [Microsoft.PowerShell.PSConsoleReadLine]::RevertLine()
}

Напомню, что речь здесь про модуль PSReadLine и его историю ввода. В Get-History в это не попадет. Знаете другие полезные фишки модуля PSReadLine? Поделитесь ими в обсуждении и попадите в телевизор ✌

😎 Держите себя прохладно, не сутультесь. Если кто-то не понимает, спросите, нужна ли ему рука. Помните, что мы все здесь, чтобы повеселиться. И, может быть, сделать немного мусора. #автоперевод

⌛️ Windows Sandbox: встроенная песочница в Windows 11   В Windows 11 доступен встроенный механизм Песочницы (Windows Sandbox), позволяющий на основе технологии контейнеризации запустить в изолированной среде легковесную виртуальную машину. Контейнер этой виртуальной машины создается на базе ядра хостовой Windows, в результате чего он занимает меньше места на диске и использует меньше ресурсов по сравнению с классической ВМ. ✅ В изолированной среде песочницы можно запускать сомнительное и неизвестное ПО, тестировать поведение программ и отлаживать скрипты развертывания в чистой среде. В песочнице уже есть доступ к Интернету через виртуальный коммутатор Hyper-V с NAT, который автоматически создается в основной ОС. ⚠️ При закрытии Sandbox все внесенные изменения не сохраняются, а при следующем запуске песочница снова запускается в чистом виде.   Включить компонент Windows Sandbox можно командой:

Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" –Online

📚 С окном песочницы работаем также как с любым сеансом RDP, работает буфер обмена, можно смонтировать в песочницу локальные папки, дать доступ в GPU. ✅ Одновременно может быть запущен только один контейнер с песочницей. Но с помощью конфигурационных файлов WSB можно создать несколько конфигураций песочниц с разным окружением. В статье приведен пример WSB файла и скриптов для автоматической установки клиента WinGet и необходимого набора софта при старте Песочницы.   Песочница Windows 11 (Sandbox): как включить и настроить

🔁 Про KIR В посте про sysprep я упомянул аббревиатуру KIR и хотел сослаться для расшифровки на пост канала. Но его не оказалось. Закрываю пробел! ℹ️ Общие сведения KIR (Known Issue Rollback) - это технология точечного отката изменений, привнесённых накопительными обновлениями (CU). Технология дебютировала в 2019 году, а в полной мере используется с весны 2020 года. То есть механизм полностью применим к актуальным версиям Windows 10. KIR откатывает только отдельные функциональные обновления из накопительного пакета, но не исправления изъянов безопасности. Другими словами, восстановление уязвимого кода не предусмотрено 👈 ↩️ Как происходит откат 1. Microsoft узнаёт о серьёзной проблеме из телеметрии, обращений в техподдержку, жалоб в интернете. Принимается решение откатить конкретное изменение. 2. Механизм несколько отличается у домашних пользователей и организаций: 🔹 У потребителей изменения вносятся на уровне облачной инфраструктуры Windows Update. Клиент WU получает их при следующей проверке. Причём на этот момент накопительное обновление может быть ещё не скачано или не установлено. И тогда проблема в принципе не проявляется. 🔹 Для организаций выпускается специальная групповая политика. Об этом сообщают в статье базы знаний, где предусмотрен раздел с известными проблемами. 3. После перезагрузки применяется исправленная конфигурация. 💼 KIR для организаций Бизнес нередко контролирует установку обновлений внутри компании. На этот случай выпускается пакет MSI, устанавливающий шаблон групповой политики. В пакете только два файла: admx и adml. Иногда в статье базы знаний отсутствует ссылка на загрузку. Вместо неё предложение обращаться в поддержку за получением исправления. А бывает, что даже сослаться на MSI нормально не могут. Так, в недавнем обновлении KB5089549 ссылка ошибочно ведёт в блог IT Pro с рассказом про KIR 🤦‍♂️ Однако есть обходной путь. На странице Windows release health перейдите по ссылке известные проблемы (known issues) к своей версии Windows. Оттуда MSI качается, по крайней мере в этот раз :) ✔️ Резюме В KIR удачно реализовали точечное устранение проблем после установки обновлений. От пользователей не требуется никаких действий, причём зачастую они даже не подозревают о происходящем. При этом удалось соблюсти баланс между откатом проблемной фичи и сохранением прочих изменений, особенно исправлений безопасности (хуже когда именно из-за них проблема). Если загуглить KIR по MSKB, результатов будет очень много. Но в статьях вы уже не найдёте упоминаний Known Issue Rollback. Потому что эти проблемы конструктивно исправлены в следующих накопительных обновления. Соответственно, KIR уже не нужен. Поэтому сведения об откате удаляются из старых статей, чтобы не путать людей ✌️

Win+Space переключение между всеми языками ввода по кругу Ctrl+Win+Space переключение между двумя последними языками ввода Иногда даже на родной клавиатуре Alt+Shift не срабатывает, тогда Win+Space. А на чужих клавиатурах с маленькой Shift только этим и спасаюсь.

​⚙️ О файле ответов и управлении дисками при установке Windows Статья с примером простого файла ответов появилась в блоге накануне 2020 года. Изначально он действительно был очень простым. Но со временем он разросся - #классика! :) С одной стороны, кое-что поменялось в Windows 11. С другой, я публиковал новые статьи с разными приёмами и дополнял исходный файл ответов. В итоге он перестал быть простым. Теперь в статье два файла: 🔹 Базовый файл ответов - исходный вариант + обход требований Windows 11 к TPM, SecureBoot, RAM 🔹 Файл ответов с примерами выполнения команд и скриптов - импорт твиков и запуск скриптов PowerShell на проходах specialize и oobeSystem. И чтобы два раза не вставать, напомню про ещё один вариант: автоматизацию этапа установки OOBE файлом ответов из интернета 🔥 Именно этим способом я пользуюсь чаще всего, потому что большинство установок у меня на локальные ВМ. Этап WindowsPE прохожу вручную, а OOBE автоматизирую скриптом. Это быстрее, чем внедрять файл ответов в ISO. //// 💿 Действительно, на проходе WindowsPE всего несколько щелчков мышью в отличие от бесконечного парада экранов OOBE. Но когда ставишь ОС на "старый" VHDX, нужно ещё снести все разделы диска. И каждый раз, когда я это делаю, вспоминаю как Piter Pen доказывал мне в чате преимущество Shift+F10 - diskpart над графическим интерфейсом в этой задаче. Аж два видео записал и смонтировал их параллельно, чтобы наглядно сравнить 😎 И убедил! :) Там ещё фокус в том, что отправив в консоли diskpart, можно дальше набирать команды, не дожидаясь пока появится приглашение: sel dis 0 - Enter - clean - Enter. ⌛️ Консольные команды рулят ещё и потому, что не меняются годами в отличие от графического интерфейса. Та же diskpart появилась в консоли восстановления Windows 2000, а в состав ОС вошла уже в XP - 25 лет назад! Впрочем, окно управления дисками в установщике Windows тоже существенно не менялось 20 лет - с выхода Vista. В активе лишь перемещение элементов управления вверх и адская путаница в русской терминологии дисков✌️

⚙️ Как предотвратить навязанное закрепление ярлыков в Пуске и панели задач после чистой установки Windows 11 В чате Евгений TGeka спросил, как избавиться от закреплённого в панели задач ярлыка Outlook в 25H2. ⌛️ У Outlook любопытная история вопроса: • 23H2 - пропихивали после установки системы • 24H2 - включили в образ • 25H2 - даже если удалён из образа, закрепляют ярлык на загрузку (возможно, в 24H2 так же) Вообще, Microsoft исторически не просто навязывала приложения, но и затрудняла противодействие этому. Так, политику, предотвращавшую загрузку приложений из магазина, в какой-то момент ограничили только изданиями Enterprise и Education, выкинув Pro. 📄 Возвращаясь к ярлыкам в Пуске и панели задач, Евгений сам ответил на свой вопрос:

Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Содержимое облака (Cloud Content): Отключить оптимизированное для облака содержимое (Turn off cloud optimized content) После включения этой политики на чистой win11 25h2 у нового локального пользователя минимальный список закреплённых приложений в Пуске. Как результат, не появляются ярлыки на установку Outlook в Пуске и панели задач.

К счастью, эта политика работает в издании Prо. На картинках: слева - без применения политики, справа - с ней. ℹ️ Политику можно развёртывать централизованно или вносить в реестр из файла ответов командой на проходе specialize: reg add HKLM\SOFTWARE\Policies\Microsoft\Edge /v DisableCloudOptimizedContent /t REG_DWORD /d 1 /f Если применять политику после установки системы, она распространится только на новых пользователей ✌️

​⬇️ Новое в блоге: Как скачать видео с YouTube и не только с помощью yt-dlp и PowerShell 7 лет назад я опубликовал в блоге простые инструкции по загрузке видео с YouTube при помощи PowerShell и youtube-dl. Те методы давно потеряли актуальность, но задача никуда не делась! 🎉 Встречайте скрипт на основе yt-dlp: https://github.com/niks255/Get-WebMedia По ссылке есть описание и примеры. Текст на английском, но у вас переводчик в браузер встроен. Разработчик - мой давний читатель Niks. Я же приложил руку к формированию набора фич и UX, а также к тестированию.

У нашего скрипта есть киллер-фича! 🔥 Он подходит для двух полярных категорий людей: • Опытные пользователи. Для них скрипт .ps1, доставляющий гибкие опции закачки и её автоматизацию. • Чайники. Для них файл .cmd который достаточно запустить двойным щелчком и вставить ссылку из буфера обмена. Вместо одной ссылки можно накидать целую пачку в файл links.txt.txt в Загрузках. Демо 📽

В блоге все подробности в формате "вопрос - ответ": 🔸 Как работает скрипт PowerShell? 🔸 Зачем скрипт, если есть GUI в [program name]? 🔸 Чем этот скрипт лучше других? 🔸 Зачем возиться с параметрами скрипта, если есть конфиг-файлы yt-dlp? 🔸 Есть ли ограничения в работе скрипта? 🔸 Куда направлять предложения по улучшению и баги? //// Попробуйте скрипт и поделитесь впечатлениями ✌️

⚙️ Самый простой способ определить разметку диска (MBR, GPT) Get-Disk в #PowerShell! Здорово и вечно. И не нужны права администратора! ✔️ Да, это #классика канала. К репосту же меня подвигло недавно опубликованное на Winaero руководство на тему получения доступа к содержимому раздела со средой восстановления. Там разметка диска определяется за шесть шагов и три картинки 😎 Но я не критикую. У Сергея другая ЦА и стиль материалов соответствующий. А судя по нашей с ним переписке и благодарности в конце гайда, он вдохновлялся и моими публикациями: 🔹 Как предотвратить назначение буквы диска или получить доступ к служебному разделу 🔹 Как получить доступ к служебному разделу, не изменяя его свойства: дубль 1, дубль 2 Приятного чтения ✌️

🔑 Настройка WinSCP для аутентификации с парой ключей WinSCP стала фактически стандартом для файловых операций на удалённых машинах благодаря двухпанельному интерфейсу и гибким настройкам. По умолчанию программа предлагает парольную аутентификацию. Но она может быть отключена на сервере из соображений безопасности. Это второй эпизод мини-сериала. В первой серии: Настройка KeePass для SSH-аутентификации с парой ключей. ⚙️ Настройка аутентификации с ключом 1. Создайте ключ в формате ppk. У WinSCP под капотом Putty, поэтому ключ в формате ssh-rsa надо конвертировать в ppk. В комплекте с WinSCP идёт утилита PuTTYgen - загружаете в неё приватный ключ, вводите парольную фразу и получаете ppk-файл. 2. Укажите ppk в параметрах подключения. Изменить - Ещё - Ещё (ну и перевод :) - SSH - Аутентификация - Файл закрытого ключа. Это всё! Ну, почти :) ⬆️ Загрузка в защищённые расположения без рута При консольном обмене файлами по протоколу SCP файл загружают в доступное расположение, а дальше командой перемещают в защищённую директорию с помощью sudo. И я не знаю обходных путей в WinSCP. Но если на удалённой машине поднят SFTP-сервер, его можно запускать под sudo из WinSCP. 1. Определите путь к SFTP-серверу. grep "sftp" /etc/ssh/sshd_config 2. Посредством sudo visudo пропишите в /etc/sudoers пользователя (в примере - user) и путь к SFTP-серверу. user ALL=(ALL) NOPASSWD: /usr/lib/openssh/sftp-server И перезапустите ssh: sudo systemctl restart ssh 3. В параметрах подключения WinSCP пропишите команду запуска SFTP-сервера. Изменить - Ещё - Ещё - SSH - SFTP-сервер: sudo usr/lib/openssh/sftp-server Теперь всё ✌️

💾 Случай с отказом в доступе Total Commander (TC) Намедни я привычно запустил двойным щелчком скрипт PowerShell в TC. Файлы .PS1 у меня ассоциированы с VS Code, чтобы открывались на редактирование. Вместо этого я увидел сообщение TC: отказано в доступе. Накануне всё работало, я не устанавливал новых программ и не менял никаких настроек. Система лишь уходила в сон. Такие проблемы я люблю диагностировать, опираясь только на свои знания и опыт, т.е. без гуглояндекса и нейронок. Стимулирует мозговую деятельность, знаете ли ;) 👉 Первоначальной диагностикой я выяснил, что подвержены все исполняемые файлы только в папке OneDrive исключительно при запуске из TC. Вот как я это определил: • TC запущен стандартно - от имени моего пользователя с обычными правами • в TC по F4 файл открывается на редактирование и сохраняется, т.е. доступ есть • после переименования в неисполняемое расширение файл открывается • этот же исполняемый файл открывается в TC из папки вне OneDrive • в проводнике и консоли все нормально Перезапуск TC, OneDrive и службы облачных файлов ни на что не влиял. В логе антивируса и всех журналах событий тишина. ❌ Открыв в TC файл из контекстного меню (оно от проводника), я получил другое сообщение: "Your Internet security settings prevented one or more files from being opened." Стало значительно теплее! Обычно, это свидетельствует о том, что небезопасный файл был получен из интернета. Я неоднократно разбирал в блоге и канале (раз, два) тему альтернативных потоков данных и метку интернета. Однако у моих файлов ничего подобного не оказалось 🤷‍♂️ Также смущало, что запуск предотвращается, нежели выводится предупреждение. Что ж, надо смотреть настройки зон в свойствах интернета 🌐 Там всё было стандартно кроме одного момента. В зоне опасных сайтов (Restricted sites) полностью блокировался запуск программ и небезопасных файлов. Возможно, я сам когда-то так сделал. После сброса к дефолтным настройкам у проблемных файлов стало появляться уже предупреждение. А если разрешить запуск, все ограничения TC пропадали! 👉 Стало понятно, что папка OneDrive каким-то образом стала опасным сайтом, причем исключительно для TC. Я немножко поплясал с бубном, в том числе проверил настройки зон в реестре, а также добавил локальный диск как шару в список доверенных сайтов. Эффекта это не возымело. Примерно в этот момент я написал в чат о проблеме. С примечанием, что после перезагрузки глюк может пропасть. Так и вышло! Через несколько дней я решил продолжить диагностику и перезапустил ОС. Однако проблема бесследно исчезла. Разумеется, я сразу держал в уме живительный ребут. И если бы ко мне обратились с подобной проблемой, я бы его первым делом и посоветовал. Но в моменте мне было неохота перезагружаться. Наоборот, возникло желание попрактиковаться в диагностике. Не так уж часто доводится разбираться с проблемами в своей системе :) Это была хорошая охота ✌️

▶️ #PowerShell: как исключить отдельную команду из истории ввода Причин может быть много. У меня это, в основном, нежелание видеть потом команду в автодополнении или Ctrl+R (см. пункты 3 и 4 в этом посте). Как и автодополнение, это - фишка модуля PSReadLine. Добавьте в свой профиль этот код:

# Не добавляет в историю ввода команды, которые: 
# - состоят из трёх и менее символов
# - начинаются с пробела 
# - заканчиваются "точкой с запятой"
Set-PSReadLineOption -AddToHistoryHandler {
    param([string]$line)
    return $line.Length -gt 3 -and $line[0] -ne ' ' -and $line[-1] -ne ';'
}

Тот случай, когда описание длиннее команды :) Пробел нажимаю, если заранее знаю, что не хочу включать команду в историю. А вот ; удобно, когда уже набрал команду. Поскольку это быстрее, чем жать Home и пробел ✌️

⚙️ О поддержке прокси в winget На прошлой неделе в РФ возникли перебои с доступом к GitHub. Скачивание файлов сильно тормозило или не работало вовсе. Это побудило меня изучить поддержку прокси в winget. Реализация меня удивила! Равно как и отсутствие внятной документации. 📄 Можно указать прокси в командной строке. Однако, чтобы это работало, сначала администратор должен разрешить использование прокси специальной командой: winget settings --enable ProxyCommandLineOptions И тогда обычный пользователь сможет задать прокси: winget install yt-dlp.yt-dlp --proxy http://127.0.0.1:1080 Администратор также может задать дефолтный прокси, чтобы пользователю не пришлось прописывать адрес каждый раз: winget settings set DefaultProxy http://127.0.0.1:1080 Я спросил ПМа winget в Твиттере, почему обычный пользователь не может использовать прокси. Он сослался на требования безопасников к реализации фичи. Ок, в случае с произвольным прокси я это могу понять. 🤷‍♂️ Однако это не объясняет, почему не реализована поддержка системного прокси. Его настройка не требует прав администратора, и при этом контролируется групповой политикой - например, Prevent changing proxy settings. Между тем, winget почти входит в состав системы и мог бы вести себя как приличное приложение Windows. Вы скажете: "Да какая разница? Будучи администратором, я могу настроить свою систему как угодно". Это так. Но если вы пишете рассчитанный на стандартного пользователя скрипт для запуска в других системах, у вас нет такого контроля. Я раскрою этот тезис на конкретном примере в ближайших постах. //// Из диалога с ПМом было непонятно, рассматривалась ли поддержка системного прокси в принципе. Он просто предложил мне создать запрос на GitHub. Что я и сделал: https://github.com/microsoft/winget-cli/issues/6219 Полайкайте там 👍

⚙️ sysprep - и точка Я много лет проповедую sysprep в качестве обязательного этапа при подготовке образов для развёртывания, особенно в корпоративной среде. По большому счёту я транслирую рекомендации Microsoft. Чтобы действовать вопреки им, нужно хорошо представлять, в чём конкретно заключается обобщение образа. Но это невозможно, потому что компания никогда не публиковала полный список операций sysprep. ℹ️ При этом известно, что sysprep предотвращает дублирование SID компьютера. А исторически считалось, что наличие в одной сети ПК с одинаковыми SID может привести к непредсказуемым последствиям. Иногда я дискутировал в блоге и на форуме с отрицателями sysprep. Особенно в контексте раскатывания одного образа на абсолютно одинаковые конфигурации ПК. Их аргументы варьировались от "у нас и так всё работает" до "Руссинович же развенчал миф о дублировании SID ещё в 2009 году". И это почему-то становилось немедленным основанием для отказа от sysprep. Как-будто он больше ничего и не делает. ⏭️ Перемотаем в 2026 год. 9 апреля в блоге Windows IT Pro выходит статья Hardening administrative actions: What IT pros need to know. В ней объясняется, что осенью 2025 года в Windows закрутили гайки безопасности. Это сделали с целью снизить риск эскалации привилегий - одобрение контроля учётных записей (UAC) без разрешения пользователя. А заодно, чтобы укрепить новую фичу Administrator Protection. 👉 Если очень упрощённо, до этого при каждой загрузке генерировался случайный SID машины, а теперь часть его фиксируется. И когда у двух машин в сети одинаковый SID, это отлавливается и блокируется в процессе аутентификации Kerberos и NTLM! //// Возможно, дублирование SID не создавало заметных проблем с 2009 года. Зато они начались осенью 2025! И похоже, что за прошедшие полгода у Microsoft накопилась огромная масса клиентов, наступивших на грабли с аутентификацией. Например, с одинаковыми SID не получится даже расшарить папку по SMB 🙉 И Microsoft пошла на любопытные шаги: 1️⃣ Убрала возможность откатить это изменение посредством KIR (специальной групповой политикой). 2️⃣ Заменила KIR на некий твик реестра, который будет действовать до конца 2027 года. Однако не опубликовала его, а предложила запрашивать у техподдержки. Иначе все просто применят снижающий безопасность твик и забьют на меры из п. 3. 3️⃣ Однозначно рекомендовала: a) клонировать образы только с sysprep б) обработать sysprep все имеющиеся системы, которые были развёрнуты из не обобщённых образов Вопрос смены SID можно было бы решить попроще. Например, реанимировав ту самую утилиту NewSID, которую Руссинович списал на пенсию в 2009 году. Но Microsoft не будет доставать её из чулана. Разумеется, сторонняя утилита SIDCHG тоже не поддерживается. Пользуйтесь sysprep! И я уверен, что постоянные читатели с самого начала знали, какой картинкой закончится этот пост 😎