@parasite85
Blog (23)
Komentarze (385)
Recenzje (0)

Na drodze do certyfikatu Microsoftu cz. 4

@parasite85Na drodze do certyfikatu Microsoftu cz. 423.05.2012 17:07

Po dłuższej przerwie chciałbym zaprosić na przegląd kolejnego dnia szkolenia które (niestety) jest już historią. W trzecim dniu omawiane były rzeczy które najbardziej mnie ciekawią w AD. Rozszerzona została wiedza z zakresu GPO. Na początek...

Managing User Desktop with Group Policy

Implement Administrative Templates

Szablony administracyjne służą do ustawień opartych na rejestrze. Kiedyś były przechowywane w plikach *.adm, które zawierały zarówno konfigurację jak i informacje o języku - np. jeśli w domenie mamy Windowsa XP w wersji polskiej i angielskiej to musieliśmy mieć dwa pliki adm zawierające (w dwóch miejscach) ustawienia i informacje językowe. W Windows 7, 2008 i 2008 R2 Microsoft rozdzielił ustawienia od języka i wprowadził (w zastępstwie adm) pliki admx (ustawienia) oraz adml (językowe). Prowadzący jako największą zaletę uznaje to, że ilość replikowanych między kontrolerami domeny danych uległa zmniejszeniu. Z mojego punktu widzenia jako, że sieć w której AD będzie wdrożone jest niewielkie (powiedzmy 100 klientów), przynajmniej na początku będę posiadał jeden kontroler domeny największą zaletą jest konfiguracja w jednym miejscu. Po omówieniu materiału przećwiczyliśmy zarządzanie szablonami wymuszając wpisywanie hasła po uruchomieniu wygaszacza ekranu.

Configure Group Policy Preferences

Cóż to takiego? Czym to się różni od Group Policy Settings? Są to ustawienia zalecane dla danego komputera. Tym, że Group Policy Preferences nie jest obligatoryjne, tzn. użytkownik ma konkretne ustawienia deaultowe, ale może je zmienić wg swoich kaprysów. Drobnym przykładem jest dodanie skrótów na pulpit użytkownika. Możemy mu dodać skrót do notatnika na pulpit, ale Kowalski Jan ("kruca bomba, dobra twarz...." wiecie z czego to?) nie korzysta z tego i to wywalił - przy preferencjach mógł to zrobić.

Manage Software with GPSI

Zarządzanie oprogramowaniem...wdrażając domenę musimy spędzić długie godziny na obmyślanie, tworzenie, testowanie i rozsyłanie polis. Przyjemna praca, ale czasami upierdliwa:P Nagrodą za wysiłek jest możliwość jeszcze większego ograniczenia ruchu:) W świecie prawie idealnym wszystkie instalki są właśnie w formacie msi, w świecie idealnym występują instalki exe, ale zawsze równolegle z msi. W naszej rzeczywistości niestety nie jest tak różowo - większość paczek msi musimy stworzyć sami. W nagrodę za trud włożony w te prace oprogramowanie instalujemy na dowolnej ilości komputerów jedną polisą. Do wyboru mamy kilka opcji:

[list] [item]Przypisanie do użytkownika:

  • Instalka na żądanie - skrót pojawia się w menu start i po kliknięciu przez użytkownika jest instalowany soft
  • Automatyczna instalacja - użytkownik nie ma nic do powiedzenia:P
  • Opcjonalna instalacja podczas logowania

[/item][item]Opublikowanie dla użytkownika - pojawia mu się w Programach i Funkcjach w Panelu sterowania[/item][item]Przypisanie do komputera - instalacja odbywa się podczas uruchomienia komputera[/item][/list]

Managing Enterprise Security and Configuration with Group Policy Settings

Manage Group Membership by Using Group Policy Settings

W tej lekcji poznalismy możliwości delegowania uprawnień administratora lokalnego przy użyciu grup użytkowników wsparcia oraz GPO. Dzięki temu osoby pomagające administratorowi domeny są w stanie rozwiąć pewne problemy lokalnie na komputerze, ale nie muszą otrzymać wysokich uprawnień w ramach domeny. W GPO rozwijamy zakładkę Computer Configuration, Policies, Windows Settings, Security Settings i tam prawym na Restricted Groups - reszta już powinna być jasna:)

Manage Security Settings

Tutaj chodzi o zarządzanie bezpieczeństwem przy użyciu szablonów bezpieczeństwa. Możemy to zrobić albo za pomocą narzędzia wiersza poleceń secedit, albo za pomocą snap-inu do konsoli MMC. Dla przykładu w ćwiczeniu stworzyliśmy nowy szablon do zdalnego dostępu. Następnie w Group Policy Management Editor importowaliśmy szablon.

Auditing

Chodzi tutaj o logowanie zdarzeń. Dla mnie akurat było oczywiste, że powinniśmy logować nie tylko udane logowania czy dostęp do jakiś zasobów, ale również niepowodzenia - podobno często się zdarza, że takie rzeczy nie są zapisywane w logach i admini nie mają pojęcia, że ktoś od pół roku próbuje złamać hasło. Do konfiguracji logów również korzystamy z Group Policy Management Editor. Należy pamiętać, że jeżeli mamy np. 4 serwery - powiedzmy 2 kntrolery domeny i dwa magazyny danych - to logi są przechowywane w różnych miejscach np. logowanie do domeny jest przechowywane w kontrolerach domeny, ale już logi z dostępu do magazynu danych są na nim przechowywane. Do przeglądania logów jest narzędzie zwane Event Viewer - niestety tylko jedno, nie znalazłem tam opcji takich jak eksport logów, tworzenie wykresów..

Software Restriction Policy and AppLocker

Mowa tutaj o blokadach nałożonych na użytkownika, aby ten nie mógł uruchomić jakieś aplikacji. Moim zdaniem dobrym rozwiązaniem jest zablokowanie wszystkich niepotrzebnych aplikacji dla użytkowników.. AppLocker jest znacznie lepszym narzędziem z jedną tylko wadą (występuje w Win Srv 2008 R2 i Win 7 Ultimate/Enterprise). Blokować możemy na podstawie różnych kryteriów takich jak (hash pliku, ścieżka, certyfikat, ścieżka w rejestrze, strefa intrnetu w SRP oraz hash pliku, ścieżka i wydawca w AppLocker)

Securing Administration

Delegate Administrative Permissions

W poprzednim module delegowaliśmy uprawnienia administratora lokalnego dla Help-Desku. Jednak praktyka pokazuje, że najczęstszym problemem jest zablokowane konto - możemy zatem przekazać dla help-desku możliwość resetu hasła. W narzędziu Active Directory Users and Computers (musimy mieć włączony widok zaawansowany). Więc prawym na wybrany obiekt (może to być grupa, jednostka organizacyjna), wchodzimy w zakładkę Security i klikamy Advanced. W tym miejscu mamy duże pole do popisu. Klikając np edit na jakimś wpisie z tej listy możemy się przekonać, że lista możliwych uprawnień jest dużo bardziej rozbudowana.

Audit Active Directory Administration

Na drugiej (i ostatniej) lekcji z tego modułu omawialiśmy bardziej zaawansowane metody logowania zdarzeń. Żeby z tego korzystać, trzeba to włączyć poleceniem:

auditpol /set /subcategory: "directory service changes" /success: enable

Następnie do ustawiania opcji audytu wystarczy wejść na właściwości obiektu, security, advenced i auditing.

Obwieszczenie parafialne

W tej chwili opóźnienie urosło do tygodnia, ale nic nie mogę na to poradzić. Na dzień dzisiejszy pozostały mi jeszcze dwa dni szkolenia do opisania. Jeszcze raz przypomnę, że celem tych wpisów jest ogólne zarysowanie zagadnień z jakimi podczas tego egzaminu (70-640) można się spotkać. Sam jestem na etapie nauki, więc nie potrafię przekazać za dużo wiedzy praktycznej, chociaż takowa się na pewno pojawi - od przyszłego tygodnia prawdopodobnie rozpoczynam wdrożenie systemu u siebie - przy tej okazji mam nadzieję już bardziej na bieżąco prowadzić bloga, po pierwsze, żeby żadne ciekawe szczegóły nie uciekły z głowy, a po drugie, na pewno wśród czytelników znajdą się osoby bardziej doświadczone które będą w stanie wytknąć mi błąd. Na dzisiaj już chyba skończyłem - jutro rano zabieram się za kolejny dzień.

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.