nicocryptor/windows-sysadmin-shortcuts
GitHub: nicocryptor/windows-sysadmin-shortcuts
一个为Windows系统管理员设计的PowerShell脚本和快捷键集合,旨在提升日常运维和事件响应效率。
Stars: 0 | Forks: 0
# Windows 系统管理员快捷方式
我在 PowerShell 中用于管理 Windows 的快捷方式、命令和脚本,无需反复使用鼠标。这是我工作笔记本上加载的内容,已分类整理以便快速查找。
这不是来自 Stack Overflow 的通用列表,也不是某个课程的复制粘贴。这些都是我在真实客户环境中每周都会用到的东西。
## 为何存在此文档
当 Windows 服务器发生事件时,最初的三分钟决定了后续一切。这些时间通常浪费在通过菜单打开 eventvwr、查找如何按 EventID 过滤,或者努力回忆用 Win+R 打开高级防火墙的命令上。
大多数系统管理员“生产力指南”都只重复基础内容(如 Win+R、Ctrl+Alt+Del)。真正有用的东西出现在后面:那些不太显眼的 MMC 控制台、事件响应中重要的 EventID、以及返回对象而非可解析字符串的 PowerShell 脚本。
## 结构
- [`atajos/`](atajos/) 参考表格:MMC 控制台、Win+R 命令、Windows 和 PSReadLine 键盘快捷键。
- [`powershell/`](powershell/) 日常脚本。管理员控制台、导出日志、检测失败登录、带超时的服务重启。
- [`seguridad/`](seguridad/) 工作站锁定、RDP 会话注销、空闲锁定策略。
- [`perfil/`](perfil/) 我的 PowerShell `$PROFILE`,包含标记 `[ADMIN]` 的提示符和使用历史记录预测的 PSReadLine。
- [`docs/`](docs/) 表格的扩展版本以及按域分组的安全事件 ID 备忘单。
## 我的使用方式
### 一次性加载配置文件
我不复制粘贴 `$PROFILE` 的内容,而是从仓库中加载它。这样当我更新仓库(`git pull`)时,所有新终端都会拥有最新内容。
```
notepad $PROFILE
# 并添加一行指向 repo 配置文件路径:
. 'C:\repos\windows-sysadmin-shortcuts\perfil\Microsoft.PowerShell_profile.ps1'
```
当会话权限提升时,我的提示符会用红色标记 `[ADMIN]`。这样,当我打开四个窗口时就不会弄错。
### 我每天使用的快捷键
| 用途 | 快捷键 |
|---|---|
| 在离开工作站前锁定 | `Win + L` |
| 直接打开任务管理器(无需按 Ctrl+Alt+Del) | `Ctrl + Shift + Esc` |
| 打开任意 .msc 控制台 | `Win + R`,输入名称,Enter |
| 以管理员身份打开任意 .msc 控制台 | `Win + R`,输入名称,`Ctrl + Shift + Enter` |
| 在过滤选项卡中打开事件查看器 | `eventvwr.msc /c:"Custom View"` |
完整表格在 [`atajos/teclado-windows.md`](atajos/teclado-windows.md)。
### 快速收集日志
检测过去一小时内按用户、IP 和工作站分组的失败登录尝试:
```
.\powershell\Get-FailedLogons.ps1 -Minutes 60 -MinAttempts 3 | Format-Table -AutoSize
```
在结束调查前,对 Security、System 和 Application 日志创建 evtx + csv 快照:
```
.\powershell\Export-LocalLogs.ps1 -Hours 24 -OutputPath D:\evidencia
```
要了解正在查看的 EventID,[`docs/cheatsheet-eventos.md`](docs/cheatsheet-eventos.md) 提供了按域(认证、账户、组、服务、策略/审计、系统、defender)分组并附带建议严重级别的列表。
## 要求
- Windows 10 或 11(部分脚本假设为 Windows 10 及以上,因为涉及 Windows Terminal)
- PowerShell 5.1 或 7(仓库已在两者上测试,有少数功能在 5.1 中有所降级,并在每个脚本中标注)
- `seguridad/` 下的所有脚本和 `powershell/` 中的大部分脚本需要本地管理员权限
- PSReadLine 模块(已包含)
- 可选:用于 Active Directory 控制台(`dsa.msc`、`dssite.msc` 等)的 RSAT
## 注意
运行前请检查脚本。它们是为我的工作流程和我熟悉的环境设计的。你的基础设施中可能有覆盖这些设置的 GPO、不同的基线或未考虑到的要求。
如果要在生产环境使用,请打开文件,阅读前 30 行并进行调整。
## 许可证
MIT,见 [LICENSE](LICENSE)。
标签:AI合规, Awesome, IPv6, IT运维, Libemu, PowerShell, RDP管理, Socks5代理, Windows管理, 事件ID, 事件查看器, 事故响应, 安全策略, 快捷方式, 抓包工具, 提示词设计, 效率工具, 服务管理, 管理控制台, 系统管理, 网络调试, 脚本, 自动化, 键盘快捷键, 防火墙管理