👀 Новый диспетчер задач в последней инсайдерской сборке
https://twitter.com/XenoBetaStuff/status/1483885636247601153

Включение

vivetool addconfig 35908098 2
vivetool addconfig 36898195 2
vivetool addconfig 37204171 2
vivetool addconfig 15681380 2
vivetool addconfig 8749962 2

Community объясняет происходящее:
По всей видимости, обновлённый «Диспетчер задач» создаётся с использованием технологии XAML Islands, которая позволяет использовать современные элементы управления WinUI в устаревших приложениях.

В итоге инструмент получил новый заголовок окна, новое навигационное меню, новый раздел настроек, но в области контента выводится привычные разделы из старого «Диспетчера задач».

⚙️ Новое в блоге: Как предотвратить назначение буквы разделу или получить доступ к служебному разделу

Я решил написать в блог после очередного вопроса в чате инсайдеров. Срыва покровов тут нет, но полезно было систематизировать раскиданные по документации технические сведения и разобрать ключевые моменты.

Также было любопытно посмотреть, как решает эти задачи #PowerShell в сравнении с diskpart.

➡️ https://www.outsidethebox.ms/21409/

⚙️ Об изменениях в управлении групповыми политиками в смешанной среде Windows 11 и Windows 10

До выхода #Windows11 достаточно было использовать шаблоны групповой политики от новейшей версии Windows. Если параметр не работал в предыдущей версии, он игнорировался. Это работало потому, что шаблоны обладали обратной совместимостью. Она не исчезла, но теперь наборы шаблонов отличаются! Одни шаблоны доступны только в Windows 11, а другие - только в Windows 10 🙉

➡️ На днях в блоге Core Infrastructure and Security появился пост с разъяснениями: Windows 10 or Windows 11 GPO ADMX - Which One To Use For Your Central Store?

ℹ️ В центральное хранилище можно скопировать только один набор ADMX. Поэтому предлагается опираться на доминирующую ОС. Допустим, ваша организация уже переходит на Windows 11. Тогда в центральное хранилище помещаются шаблоны новой ОС, а с #Windows10 предлагается поступить так:

1. Установить новейшую версию Windows 10 (21H2).
2. В дополнительных компонентах установить RSAT: Group Policy Management Tools.
3. Задать в реестре параметр EnableLocalStoreOverride = 1.
4. После перезагрузки использовать установленную оснастку Group Policy Management для управления политиками. Административные шаблоны теперь подтянутся из локального хранилища.

В посте приводится таблица различий между шаблонами Windows 11 и Windows 10 версии 21H2, а также ссылки на них ✌️

⚙️ Обход системных требований Windows 11 при чистой установке с помощью файла ответов

Я уже публиковал все параметры реестра для обхода проверок, заложенных в программу установки ОС. Нераскрытой оставалась лишь тема автоматизации процесса. Это легко!

👉 На этапе установки windowsPE параметры импортируются в реестр асинхронными командами из файла ответов. Его надо положить в корень флэшки или ISO.

ℹ️ И если уж вы беретесь автоматизировать этот аспект установки, логично ускорить и другие. Вам поможет #классика блога с простым файлом ответов. Вы можете просто скопировать в компонент Microsoft-Windows-Setup узел RunAsynchronous (строки 9-35) из прикрепленного ниже файла.

Публикация этого способа - не призыв к действию. Однако в некоторых случаях прием может пригодиться. Я на прошлой неделе рассказывал, что виртуализация TPM в Hyper-V у меня сопряжена с повышенным потреблением CPU. Конечно, можно просто выключать TPM в ВМ после развертывания #Windows11. Но когда я недавно тестировал различные аспекты установки и вытекающих из нее процессов, мне быстро надоело переключать настройку туда-сюда ✌️

⚙️ Устаревшие политики Windows Update в Windows 11 и Windows 10 20H2+

Продолжу тему странностей в групповых политиках. На прошлой неделе в блоге Windows IT Pro появился пост Why you shouldn’t set these 25 Windows policies. На самом деле их 24, причем в списке политики не только групповые, но и CSP (Configuration Service Provider). Их применяют в решениях для MDM - в частности, Microsoft Intune.

ℹ️ Microsoft объясняет, что по мере эволюции Windows Update к версии 20H2 накопилось много политик, которые вообще не работают или не функционируют в соответствии с их описанием. Какие-то политики заменили новыми, a 7 из 35 групповых политик WU в Windows 10 не работали изначально. Впрочем, это теперь явно указано в их описаниях.

В #Windows11 устаревшие групповые политики собрали в отдельную папку Legacy Policies. А в #Windows10 не собрали 🙄 Вам придется ориентироваться как и прежде по описаниям политик (Supported on), но теперь можно еще сверяться с блогом.

При этом важно понимать три момента.

1️⃣ В Windows 11 все устаревшие групповые политики не поддерживаются, и в будущем их выпилят. В Windows 10 работающие политики поддерживаются, но применять их Microsoft не советует.

2️⃣ Помещение групповой политики в список устаревших не означает, что она не работает. Туда могут попадать действующие политики, потому что на замену выпустили более гибкий вариант или поменялась политика... партии! Нужно читать объяснения в таблице.

3️⃣ Групповая политика может заменяться политикой CSP или не иметь там прямого эквивалента, и в этом случае предлагается использовать какие-то другие политики - групповые или СSP. Однако актуальная рекомендация Microsoft может не приводить к такому же эффекту, как использование устаревшей политики. На днях я объясню это отдельным постом на конкретном примере.

В целом, попытка расчистить Авгиевы конюшни засчитана! Лучше поздно, чем никогда. Но непонятно, что помешало навести порядок 15 месяцев назад. Возможно, бюджет нашелся только под новую ОС ✌️

☁️ О переносе списка приложений в Windows 11

В описании вышедшего 25 января предварительного обновления KB5009596 для #Windows10 есть интересный абзац.

Adds a new feature called Sync Your Settings for users who are migrating to Windows 11, original release. You’ll use Sync Your Settings to automatically back up a list of your applications to your Microsoft Account. Then, you can quickly restore those application on a Windows 11, original release device. This new feature that will deploy over the coming weeks.

ℹ️ Вкратце, в систему добавили новую возможность. Теперь список установленных приложений сохраняется в учетной записи Microsoft (MSA), и после перехода на #Windows11 их можно быстро восстановить. Эта функциональность будет развертываться в ближайшие недели.

🧩 Пока для меня это - самая загадочная фича Windows 11. Если во время установки системы вы входили с MSA, то могли видеть новый экран OOBE, он на картинке↓ Список систем сопровождает расплывчатый текст: после входа в систему у вас будет возможность восстановить приложения с предыдущего ПК.

⚙️ В Windows 11 управление возложено на переключатель Remember my apps в параметрах синхронизации. В Windows 10 там ничего подобного не появляется после установки KB5009596.

Вероятно, речь только про магазинные приложения, потому что перенос классики - слишком сложно и ненадежно. Скриншот я сделал до появления фичи в Windows 10, поэтому там только физические ПК и ВМ с Windows 11. Но что бы я не выбирал, после первого входа мне не поступало предложений восстановить приложения по списку 🤷‍♂️ Равно как их автоматической установки не происходило.

Возможно, только у меня что-то не работало. Но более вероятно, что фича еще не была включена в облаке, а заработает только теперь. На это намекает последнее предложение в ее описании из статьи KB. В общем, расскажите в чате, когда / если вам удастся ее завести ✌️

🏒 О шайбах Microsoft

Недавно я писал о народной любви, сегодня пятничный рассказ о признании Microsoft. Я 15 лет подряд получал от компании награду наиболее ценный специалист - сначала Microsoft MVP, потом Windows Insider MVP. Физическая награда приходила в коробке: диплом (самый первый тут), памятный значок и стеклянная шайба с годом награды.

В 2000-х каждый год дарили отдельную стеклянную стелу, как на картинке справа↓ Но потом решили поберечь окружающую среду ♻️ В смысле деньги компании :) Теперь стела одна, и на нее нанизываются шайбы. У Microsoft MVP шайбы круглые, а у Insider MVP - квадратные, такая дань плиткам, видимо 🤷‍♂️

В какой-то год изготовитель инсайдерских шайб накосячил - они не насаживались на боковое ребро стелы 🤦‍♂️ Пришлось их заново выпускать и рассылать по всему миру. Я, кстати, отказался, т.к. шайба нормально садилась на верхнюю грань подставки. И вообще, кривизна - нормально же для инсайдерской шайбы! :) Но другие лауреаты очень переживали в Yammer.

Каждые 5 лет присылают юбилейную шайбу - 5 years, 10 years. Это делается не просто так, а чтобы у ветеранов на подставке хватило места. Это мы узнали совершенно точно, когда Вадимс Поданс запросил у программы Microsoft MVP новую стелу и получил отлуп. Мол, ежегодные снимай, пятилетние надевай! :) Но, как видно на картинке, там еще сверху полно места 👌

А так, самым ценным в программе Microsoft MVP было то, что я познакомился с замечательными людьми. И до сих пор поддерживаю с некоторыми из них отношения 🏈 Инсайдерская же программа MVP была исключительно онлайн. Рулевых программы можно было встретить разве что на саммите MVP в Сиэттле. Или в Африке, куда они любили ездить в поисках новых вдохновляющих историй :)

В инсайдерской программе российских MVP больше нет, по крайней мере публичных. Для меня последним стал 2020 год. Я номинировал Антона Капранова, лидера Community, и он получил награду. Но вскорости инсайдерская программа предъявила ему, что некошерно публиковать на сайте перевод статьи Windows Central о Sun Valley (Windows 11), поскольку ОС была недоступна публике 🙉

Это не нарушало правил программы, но озвученная политика партии не оставляла особого выбора. Антон проявил принципиальность, поэтому теперь у него новых шайб не предвидится :)

Задумались о своей шайбе? Критерии для номинантов в Insider MVP вы найдете в последнем абзаце письма из этого поста. Однако сейчас процесс номинации - тайна за семью печатями. На вопрос о нем не ответили в Твиттере ни официальный аккаунт инсайдерской программы, ни ее руководительница 🙄

⚙️ Файл ответов: выбор между синхронными и асинхронными командами

Для обхода системных требований #Windows11 я воспользовался асинхронными командами на этапе windowsPE. В личку прилетел вопрос, почему именно ими, а не синхронными.

👉 Разницу объясняет документация по параметрам файла ответов. Асинхронные команды выполняются одновременно, а синхронные - последовательно, т.е. следующая не начинается до завершения предыдущей.

ℹ️ В случае с обходом требований у меня было пять команд, каждая импортировала один параметр в реестр. Одновременный импорт асинхронными командами меня устраивал. Синхронные тоже сработали бы, конечно.

Для импорта параметров реестра в профиль Default я задействую синхронные команды. Потому что надо последовательно подключить ntuser.dat, внести в него изменения и отключить куст. Я подробно разберу это в ближайшей статье блога 👌

Впрочем, у Microsoft не бывает все просто. Начиная с Windows 10 на этапе oobeSystem синхронные команды в FirstLogonCommands выполняются асинхронно (других этапов это не касается). Видимо, поведение поменяли с целью ускорить вход на рабочий стол. Однако асинхронность можно вернуть, путем внесения изменений в реестр на более раннем этапе установки... синхронной или асинхронной командой 😎

⚙️ Почему теперь считается устаревшей групповая политика NoAutoRebootWithLoggedOnUsers

Сегодня вторая часть разбора устаревших групповых политик Windows Update (первая тут). Я не мог пройти мимо политики "Не выполнять автоматическую перезагрузку, если в системе работают пользователи". Ведь она фигурирует в моей статье Как избежать нежелательной перезагрузки после установки обновлений Windows 👌

Оригинал объяснений Microsoft на картинке, курсивом мой вольный перевод ключевых утверждений, остальное - мои комментарии.

У этой групповой политики нет эквивалентной политики CSP.
Это - не проблема для работы групповой политики в Windows. Видимо, политику CSP решили не делать из-за нежелательных эффектов групповой.

Групповая политика не работает в точности как описано.
Непонятно, что именно не работает 🤷‍♂️

Применение политики может привести к тому, что накопительные обновления не установятся, потому что многие пользователи сейчас не выходят из системы.
Это лишь подтверждает, что политика работает, препятствуя перезагрузке. Да, последствия применения политики могут оставлять систему уязвимой, о чем я писал в статье. Но это верно уже много лет и никак не связано с выходом новых версий Windows.

ℹ️ По сути предлагается использовать групповую политику "Указание крайних сроков для автоматических обновлений и перезапусков" (ConfigureDeadlineNoAutoReboot=1) или эквивалентную ей политику CSP. Тем самым перезагрузка без ведома пользователя не произойдет до заданного политикой дедлайна.

👉 Однако при наступлении крайнего срока система уйдет в перезагрузку вне зависимости от выполненного входа пользователя! То есть фактически возникнет ситуация, которую призвана предотвратить объявленная устаревшей политика.

Конечно, можно не вникать в такие детали, а просто следовать главной рекомендации Microsoft. Ее даже озвучили в конце поста в блоге - используйте стандартную конфигурацию, которая эффективно поддерживает актуальность системы и доставляет лучший опыт 😎

⚙️ О настройках разработчика и создании ссылок NTFS

В позавчерашней викторине было много вариантов ответа и ложных следов соответственно. Поскольку на объяснение дается лишь 200 символов, я решил подробно разобрать вопрос в канале.

Напомню команду в задаче:
mklink f:\notepad.exe %windir%\notepad.exe
и разберу варианты ответа по порядку.

❌ Ярлык на блокнот
В Windows нет специальных утилит или команд для создания ярлыков, хотя можно задействовать WSH. Из сторонних утилит первой на ум приходит nircmd, конечно.

❌ Жесткая ссылка на блокнот
Жесткая ссылка создается с параметром /h, которого в команде нет. Но даже если б он был, жесткие ссылки возможны только в пределах одного тома. А у нас разные диски, которые в один том не объединены по условию задачи.

✅ Символическая ссылка на блокнот
Это - правильный ответ. Следующие четыре варианта для отвода глаз. Их выбрали в совокупности более половины участников викторины.

❌ Ничего, нет прав на выполнение mklink
Команда выполняется с обычными правами, но по условиям задачи также включены настройки разработчика. Начиная с Windows 10 1703 это помимо прочего позволяет создавать ссылки NTFS без прав администратора. То есть mklink при запуске с обычными правами отработает нормально. Я рассказывал об этом в блоге, кстати.

Вернемся к жесткой ссылке. Допустим, она создается на блокнот в пределах тома "C":
mklink /h c:\temp\notepad.exe %windir%\notepad.exe
Права на запуск есть, но результатом будет "отказано в доступе", потому что владельцем блокнота является TrustedInstaller! Команда сработает только при запуске от имени TI.

❌ Ничего, со съемными дисками это не работает
Пожалуй, это можно выяснить только эмпирически. И да, я перепроверил прежде чем включать этот вариант :)

❌ Ничего, нет прав на запись в корень диска
Это - отсылка к одной из прошлых викторин. Там действительно запись в корень не сработала, потому что в задаче был раздел с ОС. У съемных дисков разрешения NTFS по умолчанию другие.

❌ Ничего, неверный синтаксис команды
Я сам долго путал порядок параметров, но после многократного вызова справки mklink выучил его: Link Target. В команде все верно: f:\notepad.exe - это ссылка, а %windir%\notepad.exe - ее назначение.

Бонус: статьи про ссылки NTFS в блоге ✌️

⌛️ О дефрагментации MFT и старой документации Microsoft

В комментариях блога один из читателей засветил на скриншоте аж два сторонних дефрагментатора. Оказалось, один ему нужен был для MFT. Я заметил, что встроенный дефраг умеет это уже лет 15.

🗄 Доставить пруфы по запросу оказалось нелегко, хотя я знал ОС (в 2006 вышла Vista) и даже помнил примерное название статьи в базе знаний Microsoft. Оттуда ее выпилили раньше, чем Вадимс Поданс завел свой уютный архив. Google не помог, все погребено под тоннами более современного инфошума. Мы пойдем другим путем - ссылка нашлась в одном из обсуждений дефрага в форуме OSZone!

🌐 Статья была KB942092: Features of the Windows Vista hard disk defragmentation utility. В веб-архиве текст исчезает после загрузки страницы, но Invoke-WebRequest рулит - PDF для любознательных здесь. Upd. Вадимс добавил статью в свой архив https://mskb.pkisolutions.com/kb/942092

Но дальше еще интереснее! Тот же пост форума содержал ссылку на KB227463: Disk Defragmenter Limitations in Windows 2000, Windows XP, and Windows Server 2003. Ее не удалили, а перенесли в документацию. Только из названия убрали версии ОС и сделали применимой к Windows 10 / Server 2012 🙄

Да, официальный док теперь ошибочно гласит что дефраг Windows 10 построен на стороннем Diskeeper 🙈 Но, кстати, про неумение дефрагментировать MFT там ничего нет. Копаем дальше!

🕒 В том разделе документации много таких архивных статей, например, KB174619. Там сказано In Windows, the defrag utility defrags the MFT. Но удаление версий ОС по всему тексту скрыло срок давности. Порывшись в веб-архиве, можно выяснить, что в NT 4.0 / Windows 2000 дефрага MFT еще не было, а в XP появился.

Таким образом, встроенный дефраг справляется с MFT почти 20 лет. Наверное, уже можно забыть про стороннее ПО ✌️

😎 Подкайки реестра и подметатель веб-сайтов-шпионов

От создателей выиграть и развращения данных 👌

#автоперевод

❌ О блокировке макросов в Office

Если вы следите за новостями инфобеза, то должны были видеть новость о том, что теперь в Office макросы будут блокироваться по умолчанию. Начнут в апреле с Office 365 в канале Preview, затем в стабильных каналах, а потом доберутся и до Office 2021 → 2013.

Обычно, на этом подробности заканчиваются, поэтому рекомендую исходный пост в блоге IT Pro. Я же подкину немного контекста и истории вопроса.

Вообще, макросы и сейчас не запускаются по умолчанию. Однако они не блокируются всерьез. Единственный сдерживающий фактор - желтая плашка с кнопкой включения опасного содержимого. Кстати, а вы знали, что сама плашка тоже кликабельна? 😎

Теперь все будет серьезно! Изменение касается файлов из зон Internet и Restricted Sites. Контролируется это с помощью альтернативных потоков данных NTFS. Новая красная плашка пошлет пользователей читать онлайн-справку о том, как разблокировать документ с макросом. Поскольку пользователи не способны читать справку, макрос не запустится 💪 Кстати, #классика блога↑ появилась благодаря читателю, который не осилил семь слов инструкции по разблокировке скрипта рядом со ссылкой на его скачивание.

⌛️ По сути Microsoft вернулась к поведению Office... 2000 - 2003! Тогда максимум открывалась справка, где объяснялось, как открыть документ с включенными макросами. Will Dorman поделился в Твиттере своим отличным историческим экскурсом по UX запуска макросов в разных версиях Office. A Steven Sinofski рассказал о знаменитых вирусах WM/Concept.A, Melissa и ILOVEYOU со своей колокольни руководителя Office в те годы. Осторожно, очень #longread ✌️

⚙️ Новое в блоге: Автоматическое внесение изменений в профиль Default во время установки Windows

Я рассказывал в блоге, как автоматизировать настройку профиля Default в WIM-образе. Это дает уже самый первый вход в Windows с заданными настройками учётной записи. Но модификация WIM не всегда подходит.

Сегодня я покажу два других способа настройки профиля пользователя.

➡️ https://www.outsidethebox.ms/21490/

📊 На картинке диспетчер задач Windows 10 с настройками по умолчанию, установленной на единственный SSD объемом 512 GB.

Какой размер файла подкачки в гигабайтах в этот момент? Варианты ответов в викторине ↓

Upd. Здесь объяснение, почему в викторине не было абсолютно верного ответа https://t.iss.one/sterkin_ru/1323

👀 Вчера в канал Dev выкатили очень насыщенную сборку #Windows11 за номером 22557.

Там множество новинок, а заодно активно возвращаются фичи Windows 10, которые не попали в Windows 11 из-за спешки с ее выпуском прошлой осенью. Местами в описания вбрасываются ныне работающие вещи. И все это подается под новым соусом! Впрочем, трагедии тут нет, поскольку мы все-таки воспринимаем ОС как совокупность фич 👌

ℹ️ Коллеги из Community оперативно доставили огромный анонс сборки на русском языке. Я же здесь отмечу лишь четыре любопытных момента.

🔹 Учетная запись Microsoft теперь требуется и для издания Pro, т.е. с осени это будет в стабильной версии. Но рецепты те же, что и для Home - это вход с [email protected], файл ответов и т.д.

🔹 Улучшения в Snap. Я обозревал эволюцию фичи в канале, и в этой сборке она получила еще одно хорошее развитие. Стоит вам потянуть окно за его заголовок, как вверху экрана появляется зона, куда можно подвести окно и увидеть варианты компоновки. Они те же самые, что и по наведению на кнопку "Развернуть" в заголовке окна, что даже быстрее приводит к цели. Однако новая реализация добавляет интуитивности и хорошо ложится в UX перетаскивания! См. GIF↓

🔹 Новые командлеты #PowerShell для управления языками и сопутствующими параметрами:
Install-Language fr-FR
Без них тоже можно, #классика блога с трюками в помощь, но неочевидно (потому и статья) и не так удобно.

🔹 Улучшения для геймеров удостоились отдельного поста (EN). "Оптимизация оконных игр" призвана уменьшить задержки и открыть дорогу полезным штукам вроде Auto HDR и Variable Refresh Rate (VRR).