В прошлом году собирал шесть новых одинаковых компов на Windows 10. Сиспреп меня по некоторым причинам не устроил, решил клонировать систему по-взрослому. Поставил Винду на виртуалку, настроил все как мне надо, ручное управление обновлениями присобачил, пользователя user завел, ему тоже все настроил, общие для всех программы, сетевые принтера, в общем, все-все-все кроме активации, имени компа и имени пользователя. Целый месяц систему вылизвал, там столько работы оказалось, что документировать запаришься.

Процедура клонирования: берем VHD с настроенной виртуалкой, кидаем на большую флэшку с mini-tool partition manager'ом, грузимся на новом компе с флэшки, с помощью diskpart аттачим vhd, мини-тул видит новый диск, клонируем его на ссд-шку, перезагружаемся, все. Красота!

Решил написать, потому что вчера один комп до десятки обновлял. Оказывается, я за год все это успел забыть. А где там эта моя прелестная вэхадэшка лежит? А где флэшка с мини-тулом? А какой командой дискпарт аттачит образ диска?

С разборкой компа и вставкой нового накопителя меньше чем через 30 минут новая винда уже была установлена и запущена. Только дрова на видюшку пришлось доставить.

Расширенная фильтрация журнала безопасности по событию входа 4624.

Тип входа - чисто интерактивный (2). На каждый вход два события, ElevatedToken "да" и "нет".Фикс дублирования событий по ElevatedToken (только "да")С разными типами входа, но по пользователю (не забываем указать пользователя)Фикс дублирования событий по ElevatedToken (только "да")При входе по RDP с опцией "консоль" тип входа получается 10.

Можно создать задание по событию с этими фильтрами и делать что-то полезное. СМС-ки гендиру слать. :)

Чтобы закрепить на "Начальном экране" любой файлик, например, текстовый, надо в обычном ярлыке к этому файлу добавить имя экзешника, который его должен открывать. После этого в контекстном меню этого ярлыка появится пункт "Закрепить на начальном экране".

Например, если в поле объект былодобавляем в начале notepad.exe вот такНаслаждаемся жизнью.

Если вдруг понадобился доступ к SMB ресурсу, который находится в другой подсети при включенном файрволе. То есть, маршрутизация работает, хосты пингуются, в своей сети шары открываются, а в другой - нет. Идем в "Брандмуэр Виндовс", правила для исходящих фильтруем по активному профилю, находим правило "Общий доступ к файлам и принтерам (SMB - исходящий)". На вкладке "Область" в разделе "Удаленный IP-адрес" видим "Локальная подсеть". Добавляем нужную подсеть в виде 192.168.0.1/24, самба начинает работать. Если совсем ленивые, просто указываем "Любой IP-адрес".
На удаленном хосте проделываем тоже самое для входящих подключений (ну и подсеть указываем ту, из которой лезем на шару).

Кстати, с пингами такая же фигня. Даже если мы руками создадим разрешающее правило для ICMP, пинги в другие подсети могут не ходить потому что в правилах

Общий доступ к файлам и принтерам (эхо-запрос - исходящий трафик ICMPv4)
Диагностика основных сетей – запрос проверки связи ICMP (исходящий трафик ICMPv4)
Наблюдение за виртуальной машиной (эхо-запрос - ICMPv4 - входящий трафик)

на вкладке "Область" стоит "Локальная подсеть". Это все идентичные правила.

Если магазин вырезан, а надо устновить какой-нибудь appx, то вот.

Например, ссылка на appx
https://apps.microsoft.com/detail/9N4WGH0Z6VHQ?hl=en-us&gl=US
Там есть кнопка Install, но она, конечно, не работает.

Идем сюда
https://store.rg-adguard.net/
Получаем прямые ссылки на скачивание. Я скачал файл с расширением AppxBundle, распаковал его севензипом, в повершелле (от имени администратора) ввел
Add-AppxPackage -Path "D:\Distr\HEVC VideoExtension\unp\Microsoft.HEVCVideoExtension_8wekyb3d8bbwe.x64.appx"
Ну и все.

7Zip создает дифференциальные архивы с паролем, если кому интересно.
главный архивнакопительный архивПроверено.

Насчет микрофона и доступа к нему в десятке. Уже второй раз столкнулся, надо записать.

Если телеметрия и обновления отключены и включать их не хочется, то мы в настройках конфиденциальности микрофона имеем что-то типа "Управляется вашей организацией". Кнопа "включить доступ" серая.

Идем в групповых политиках в

Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Конфиденциальность приложения - Разрешить приложениям для Windows доступ к микрофону.

Выставляем "Разрешить принудительно", потом gpupdate /force, микрофон начинает работать. В настройках конфиденциальности микрофона все остается серым и недоступным, но "разрешено".

Про информационную чистоплотность не забываем. Доступ к микрофону получают все приложения.

За применение этой политики отвечает служба "Служба диспетчера доступа к возможностям", надо смотреть, чтобы она была запущена.

Если надо кому-то разрешить, кому-то запретить, то в реестре правится ключ Value для каждого приложения по этому пути.