Category: Windows Server 2008
Hyper-V Diaster Recovery
Jim Scwartz (Director of Virtualization Solution, Microsoft) publiserte i går ett innlegg på Microsoft Vitualization Blog som omhandler Microsoft Site Recovery Solution basert på Microsoft Hyper-V.
Her er noen nyttige ressurser om Hyper-V og Diaster Recovery:
- Disaster Recovery with Iron Mountain and Microsoft System Center Data Protection Manager 2007
- Whitepaper – Improving efficiency and availability using Microsoft Hyper-V and NetApp Storage
- Whitepaper – DoubleTake: Disaster Recovery for Hyper-V
- Whitepaper – Hitachi Storage Cluster for Microsoft Hyper-V: Optimizing Business Continuity and Disaster Recovery in Microsoft Hyper-V Environments
- Whitepaper – EMC»2: Disaster recovery in a geographically dispersed cross-site virtual environment
- Whitepaper – HP: Disaster Tolerant Virtualization Architecture with HP StorageWorks Cluster Extension and Microsoft Hyper-V
- Microsoft Virtualization: Continuity
Ukens blog lesning
Etter noen dager med fravær fra jobben pga sykdom og påfølgende innedager i helga, fikk jeg tid til å lese noen interessante blogger. Tok vare på noen linker. Se spesielt de som er merket rødt!
Sikkerhet:
More secure alternative to VPN og VPNs and IPsec
Security Baselines for Windows 7 and Internet Explorer 8
Using ILM for DMZ Account Management
How to convert local and global groups to universal groups
What I Look for When Hiring IT Security Staff
Security Compliance Management Toolkit Series
Backup:
Learn more about system image backup
Exchange:
Automating Exchange 2010 Pre-Requisits on Windows Server 2008
Exchange Server 2010 RTM Upgrade and Installation Notes
System Center:
Renaming the Configuration Manager 2007 Database
Virtualisering:
EMC Whitepaper Powerpath/VE beskriver forskjellene mellom Powerpath/VE og MRU, Fixed og Round Robin (EMC Performance Optimazion for VMware)
So What Exactly is a Nexus 4000
Cisco Nexus 4001I Switch Module for IBM BladeCenter og Cisco
Vmware vSphere 4 the CPU Cheduler
Nyttige Hyper-V PowerShell script
Increasing the Availability of Virtualised Applications and Services
Microsoft Deployment Toolkit 2010
Windows 7 Deployment Tools part 1 – http://technet.microsoft.com/en-us/windows/ee530017.aspx
Windows 7 Deployment Tools part 2 – http://technet.microsoft.com/en-us/windows/ee524789.aspx
Windows 7 Deployment Tools part 3 – http://technet.microsoft.com/en-us/windows/ee529974.aspx
Windows 7 Deployment Tools part 4 – http://technet.microsoft.com/en-us/windows/ee530027.aspx
Active Directory Rights Management Service – Service Bulk Protection Tool
AD RMS Bulk Protection Tool er et kommandolinjeverktøy for å bulk kryptere eller dekryptere AD RMS beskyttede filer. Kjekt verktøy i forbindelse med tvister eller revisjonsformål. Verktøyet fungerer også bra sammen med funksjonaliteten i File Classification Infrastructure i Windows Server 2008 R2 for å klassifisere og beskytte sensitive bedriftsdata.
AD RMS Bulk Protection Tool: http://www.microsoft.com/downloads/details.aspx?FamilyID=f9fbe58f-c175-41d0-afdc-6f160ab809cd&displayLang=en
For mer om AD RMS:
Fikk spørsmål om Shadow Group i Active Directory 2008 – hva er det?
Jeg hadde ingen god forklaring der og da, så jeg fant ut at her måtte jeg spørre en kompis som heter Google. Google ga heller ikke noe klart svar og Googles (u)venn Bing likeså. Fant derfor ut at jeg måtte gjøre et dypdykk og tror jeg til slutt klarte å finne rett tolkning av Shadow Group.
- Først litt om “Fine-Grained Password Policies” (domain functional level Windows Server 2008)
- ØNSKE: De fleste har en gruppe brukerer i AD som de ønsker å kunne tilegne egne passordregler med høyere eller lavere krav i forhold til andre brukergrupper. (Administrator kontoer etc..)
- FØR: I AD før WS2008 functional level ble regler for passord på brukerobjekter i domenet satt gjennom “Default Domain Policy GPO”. Samtlige brukere i domenet har da samme policy for passordregler og “account lockout”. (Det er mulig å få til løsninger rundt dette også i eldre AD, men ingen gode løsninger)
- NÅ: I WS2008 AD DS kan man bruke Fine-Grained Password Policies for å sette forskjellige passordregler.
- Krav for å ta i bruk Fine-Grained password policies:
- Domain functional lever WS2008
- Fine-Grained Password Policies kan bare settes på bruker objekter og globale sikkerhetsgrupper
- Man kan ikke legge en Fine-Grained Password Policy på en OU.
- Krav for å ta i bruk Fine-Grained password policies:
De fleste har brukerkontoer fordelt i forskjellige OUer. Siden man ikke kan sette Fine-Grained Password Policy på en OU er det beste praksis å opprette en global sikkerhetsgruppe med samme navn som OUen, for så å tilegne denne gruppa Fine-Grained Password Policy og melde bruker objekter fra OUen inn i denne gruppa. Denne type gruppe kalles for en SHADOW GROUP.
Hva må man tenke på før man planlegger bruk av Fine-Grained Password Policies:
- Hvor mange forskjellige passord policies er det behov for?
- Hvilke spesielle passord egenskaper og “account lockout” regler er det behov for?
- Hvilke sikkerhetsgrupper skal man linke de nye passord reglene til?
For å bestemme egenskapene til passordene som skal brukes opprettes “Password Settings Object” (PSO) i konteineren “Password Settings Container” under “System”. Opprettelsen av PSO gjøres i ADSI edit eller skriptes med Ldifde kommandoer. I skjermbildet over er den golbale sikkerhetsgruppen “Brukere Lillehammer” en Shadow Group.
Dersom man ikke linker inn en PSO mot et brukerobjekt eller gruppe, blir “default domain policy GPO” benyttet.
For å se resultatet av en PSO for en bruker kan man bruke kommandoen:
dsget user <User-DN> -effectivepso
Se tabell for egenskaper som kan settes i en PSO her: http://technet.microsoft.com/en-us/library/cc754461(WS.10).aspx Se spessielt “msDS-PasswordSettingsPrecedence” som sier noe om hvilken PSO som skal få prioritet dersom et objekt har flere tildelte PSO.
Slide:ology – The art and science of creating great presentations

Slide:ology
Fikk ny bok i postkassa mi i dag, Slide:ology – The art and science of creating great presentations av Nancy Durarte. Boka er skrevet for de som ønsker å forbedre sin presentasjonsteknikk og da spesielt hvordan deisgne PowerPoint/slides. Det gis gode tips og veiledning til hele prossesen med å lage og gjennomføre en presentasjon som vil bli husket av publikum, og hvor de faktisk sitter igjen med hva du ønsket å fremme.
Ser frem til å lese og jobbe med boka!
Sjekk disse:
WS2008 R2 RTM
Windows Server 2008 R2 RTM er lagt ut for nedlasting fra MSDN/TechNet: http://blogs.technet.com/tommy_pedersen/archive/2009/08/16/last-ned-windows-server-2008-r2.aspx
Active Directory grupper
AD har flere forskjellige gruppetyper (Domain local, Global, Universal) og i tilegg kan man velge om gruppen skal være distribusjonsgruppe eller sikkerhetsgruppe. Typisk benyttes distribusjonsgrupper for e-mail. Er man usikker på hva slags gruppe man oppretter må valget bli sikkerhetsgruppe, som er det vanligste gruppevalget.
- Domain local groups (groupType = 4): Gruppene blir brukt til å styre tillatelser til ressurser som ligger i samme domene som gruppen. Kan konverteres til en Universial gruppe (Domain Local gruppen må inneholde en annen Domain Local gruppe for at man kan gjøre konvertering).
o Windows 2000 Mixed mode:
§ Kan inneholde: Bruker/PC/Server kontoer og kun globale grupper.
o Native mode (W2000 eller WS2003)
§ Kan inneholde: Brukere/maskin- kontoer, andre Domain local groups fra samme domene og globale grupper
- Global groups (groupType = 2): Typisk vil man bruke globale grupper nå man ønsker å gruppere brukere som for eksempel deler samme applikasjon. Globale grupper kan være medlem av andre globale grupper, domene lokale grupper og universal grupper. Kan konverters til Universal gruppe (Gruppen må inneholde en annen Global gruppe for å kunne konvertere).
o Windows 2000 Mixed mode:
§ Kan inneholde: Bruker/maskin -kontoer. Kan gis tilgang til andre domener. Kan ikke ha andre grupper som medlemmer.
o Native mode (W2000 eller WS2003)
§ Kan inneholde: Brukere/maskin –kontoer fra samme domene, andre globale grupper fra samme domene
- Universal groups (groupType = 8): disse gruppene brukes når man har trær eller skog som har Global Catalog (GC). Universal grupper kan neste globale grupper med det formål å tildele tillatelser til å tilknyttede ressurser i flere domener. I Windows 2003 kan ikke universale sikkerhetsgrupper være medlem av en globale grupper, men kan være medlem av lokal gruppe. Kan konverteres til enten Domain Local eller Global.
o Windows 2000 Mixed mode:
§ Universal sikkerhetsgrupper finnes kun i domener som er native mode (nTMixedDomain = 0).
o Native mode (W2000 eller WS2003)
§ Kan inneholde: Brukere/maskin –kontoer, globale grupper og andre universal grupper
Ved nøsting av grupper lokalt og på tvers av domener er denne tabellen fin å bruke:
Group Type |
Can Be Nested into Local |
Can Be Nested into Domain Local |
Can Be Nested into Global |
Can Be Nested into Universal |
Local |
No |
No |
No |
No |
Domain Local |
Yes |
Yes, if in the same domain |
No |
No |
Global |
Yes |
Yes |
Yes, if in the same domain |
Yes |
Universal |
Yes |
Yes |
No |
Yes |
- For tildeling av ressurser i domenet må man også tenke på Built-in Groups. Dette er grupper som blir opprettet når man installerer Active Directory. Noen av de viktigeste Built-in gruppene i AD:
o Account Operators: Medlemmer av denne gruppen vil ha rettigheter til å ”Allow logon locally” og med det å ”slå av” rettigheter lokalt på en server. Gruppens medlemmer har også mulighet til å opprette, endre eller slette brukere, grupper og maskiner i OU: Users og Computers.
o Administrators: Medlemmer av Administrators har nesten alle brukerrettigheter, og har fulle rettigheter på alle servere og kan sette rettigheter på andre brukere.
o Backup Operators: Denne gruppen har ingen medlemmer etter installasjon av AD. Alle medlemmer som blir lagt til denne gruppen får ”Allow logon locally, backu up files and directories, change the system time, Force shutdown fra remote, restore files and directoryes og slå av systemets rettigheter”.
o Network Configuration Operators: Har rettigheten til å endre IP konfigurasjon på servere og klienter i domenet.
o Incoming Forest Trust Builders: Har rettighet til å lage one way trust til root domenet
o Print Operators: Meldemmene i Print Operators har rettigheter til å administrere printeressurser/objekter i AD. Har Allow logon locally.
o Server Operators: Allow logon locally, og rettigheter til å ta backup av filer og mapper, endre systemtid, slå av maskiner remote, gjenopprette filer og mapper.
o Remote Desktop Users: Kan logge seg på remote mot DC
o Performance Log Users: Kan se på performance counters, log og feil på DC
o Performance Monitor Users: Kan se på performance counter på DC
o Users: Medlemmene av Users kan kjøre applikasjoner og bruke nettverksprintere.