Na drodze do certyfikatu Microsoftu cz. 4
23.05.2012 17:07
Po dłuższej przerwie chciałbym zaprosić na przegląd kolejnego dnia szkolenia które (niestety) jest już historią. W trzecim dniu omawiane były rzeczy które najbardziej mnie ciekawią w AD. Rozszerzona została wiedza z zakresu GPO. Na początek...
Managing User Desktop with Group Policy
Implement Administrative Templates
Szablony administracyjne służą do ustawień opartych na rejestrze. Kiedyś były przechowywane w plikach *.adm, które zawierały zarówno konfigurację jak i informacje o języku - np. jeśli w domenie mamy Windowsa XP w wersji polskiej i angielskiej to musieliśmy mieć dwa pliki adm zawierające (w dwóch miejscach) ustawienia i informacje językowe. W Windows 7, 2008 i 2008 R2 Microsoft rozdzielił ustawienia od języka i wprowadził (w zastępstwie adm) pliki admx (ustawienia) oraz adml (językowe). Prowadzący jako największą zaletę uznaje to, że ilość replikowanych między kontrolerami domeny danych uległa zmniejszeniu. Z mojego punktu widzenia jako, że sieć w której AD będzie wdrożone jest niewielkie (powiedzmy 100 klientów), przynajmniej na początku będę posiadał jeden kontroler domeny największą zaletą jest konfiguracja w jednym miejscu. Po omówieniu materiału przećwiczyliśmy zarządzanie szablonami wymuszając wpisywanie hasła po uruchomieniu wygaszacza ekranu.
Configure Group Policy Preferences
Cóż to takiego? Czym to się różni od Group Policy Settings? Są to ustawienia zalecane dla danego komputera. Tym, że Group Policy Preferences nie jest obligatoryjne, tzn. użytkownik ma konkretne ustawienia deaultowe, ale może je zmienić wg swoich kaprysów. Drobnym przykładem jest dodanie skrótów na pulpit użytkownika. Możemy mu dodać skrót do notatnika na pulpit, ale Kowalski Jan ("kruca bomba, dobra twarz...." wiecie z czego to?) nie korzysta z tego i to wywalił - przy preferencjach mógł to zrobić.
Manage Software with GPSI
Zarządzanie oprogramowaniem...wdrażając domenę musimy spędzić długie godziny na obmyślanie, tworzenie, testowanie i rozsyłanie polis. Przyjemna praca, ale czasami upierdliwa:P Nagrodą za wysiłek jest możliwość jeszcze większego ograniczenia ruchu:) W świecie prawie idealnym wszystkie instalki są właśnie w formacie msi, w świecie idealnym występują instalki exe, ale zawsze równolegle z msi. W naszej rzeczywistości niestety nie jest tak różowo - większość paczek msi musimy stworzyć sami. W nagrodę za trud włożony w te prace oprogramowanie instalujemy na dowolnej ilości komputerów jedną polisą. Do wyboru mamy kilka opcji:
[list] [item]Przypisanie do użytkownika:
- Instalka na żądanie - skrót pojawia się w menu start i po kliknięciu przez użytkownika jest instalowany soft
- Automatyczna instalacja - użytkownik nie ma nic do powiedzenia:P
- Opcjonalna instalacja podczas logowania
[/item][item]Opublikowanie dla użytkownika - pojawia mu się w Programach i Funkcjach w Panelu sterowania[/item][item]Przypisanie do komputera - instalacja odbywa się podczas uruchomienia komputera[/item][/list]
Managing Enterprise Security and Configuration with Group Policy Settings
Manage Group Membership by Using Group Policy Settings
W tej lekcji poznalismy możliwości delegowania uprawnień administratora lokalnego przy użyciu grup użytkowników wsparcia oraz GPO. Dzięki temu osoby pomagające administratorowi domeny są w stanie rozwiąć pewne problemy lokalnie na komputerze, ale nie muszą otrzymać wysokich uprawnień w ramach domeny. W GPO rozwijamy zakładkę Computer Configuration, Policies, Windows Settings, Security Settings i tam prawym na Restricted Groups - reszta już powinna być jasna:)
Manage Security Settings
Tutaj chodzi o zarządzanie bezpieczeństwem przy użyciu szablonów bezpieczeństwa. Możemy to zrobić albo za pomocą narzędzia wiersza poleceń secedit, albo za pomocą snap-inu do konsoli MMC. Dla przykładu w ćwiczeniu stworzyliśmy nowy szablon do zdalnego dostępu. Następnie w Group Policy Management Editor importowaliśmy szablon.
Auditing
Chodzi tutaj o logowanie zdarzeń. Dla mnie akurat było oczywiste, że powinniśmy logować nie tylko udane logowania czy dostęp do jakiś zasobów, ale również niepowodzenia - podobno często się zdarza, że takie rzeczy nie są zapisywane w logach i admini nie mają pojęcia, że ktoś od pół roku próbuje złamać hasło. Do konfiguracji logów również korzystamy z Group Policy Management Editor. Należy pamiętać, że jeżeli mamy np. 4 serwery - powiedzmy 2 kntrolery domeny i dwa magazyny danych - to logi są przechowywane w różnych miejscach np. logowanie do domeny jest przechowywane w kontrolerach domeny, ale już logi z dostępu do magazynu danych są na nim przechowywane. Do przeglądania logów jest narzędzie zwane Event Viewer - niestety tylko jedno, nie znalazłem tam opcji takich jak eksport logów, tworzenie wykresów..
Software Restriction Policy and AppLocker
Mowa tutaj o blokadach nałożonych na użytkownika, aby ten nie mógł uruchomić jakieś aplikacji. Moim zdaniem dobrym rozwiązaniem jest zablokowanie wszystkich niepotrzebnych aplikacji dla użytkowników.. AppLocker jest znacznie lepszym narzędziem z jedną tylko wadą (występuje w Win Srv 2008 R2 i Win 7 Ultimate/Enterprise). Blokować możemy na podstawie różnych kryteriów takich jak (hash pliku, ścieżka, certyfikat, ścieżka w rejestrze, strefa intrnetu w SRP oraz hash pliku, ścieżka i wydawca w AppLocker)
Securing Administration
Delegate Administrative Permissions
W poprzednim module delegowaliśmy uprawnienia administratora lokalnego dla Help-Desku. Jednak praktyka pokazuje, że najczęstszym problemem jest zablokowane konto - możemy zatem przekazać dla help-desku możliwość resetu hasła. W narzędziu Active Directory Users and Computers (musimy mieć włączony widok zaawansowany). Więc prawym na wybrany obiekt (może to być grupa, jednostka organizacyjna), wchodzimy w zakładkę Security i klikamy Advanced. W tym miejscu mamy duże pole do popisu. Klikając np edit na jakimś wpisie z tej listy możemy się przekonać, że lista możliwych uprawnień jest dużo bardziej rozbudowana.
Audit Active Directory Administration
Na drugiej (i ostatniej) lekcji z tego modułu omawialiśmy bardziej zaawansowane metody logowania zdarzeń. Żeby z tego korzystać, trzeba to włączyć poleceniem:
auditpol /set /subcategory: "directory service changes" /success: enable
Następnie do ustawiania opcji audytu wystarczy wejść na właściwości obiektu, security, advenced i auditing.
Obwieszczenie parafialne
W tej chwili opóźnienie urosło do tygodnia, ale nic nie mogę na to poradzić. Na dzień dzisiejszy pozostały mi jeszcze dwa dni szkolenia do opisania. Jeszcze raz przypomnę, że celem tych wpisów jest ogólne zarysowanie zagadnień z jakimi podczas tego egzaminu (70‑640) można się spotkać. Sam jestem na etapie nauki, więc nie potrafię przekazać za dużo wiedzy praktycznej, chociaż takowa się na pewno pojawi - od przyszłego tygodnia prawdopodobnie rozpoczynam wdrożenie systemu u siebie - przy tej okazji mam nadzieję już bardziej na bieżąco prowadzić bloga, po pierwsze, żeby żadne ciekawe szczegóły nie uciekły z głowy, a po drugie, na pewno wśród czytelników znajdą się osoby bardziej doświadczone które będą w stanie wytknąć mi błąd. Na dzisiaj już chyba skończyłem - jutro rano zabieram się za kolejny dzień.