WS2008 | Lars Jostein Silihagen

Hyper-V Diaster Recovery

5 Nov 09

Postet av Lars Jostein i Data Protection Manager 2007

Jim Scwartz (Director of Virtualization Solution, Microsoft) publiserte i går ett innlegg på Microsoft Vitualization Blog som omhandler Microsoft Site Recovery Solution basert på Microsoft Hyper-V.

Her er noen nyttige ressurser om Hyper-V og Diaster Recovery:

Disaster Recovery with Iron Mountain and Microsoft System Center Data Protection Manager 2007
Whitepaper – Improving efficiency and availability using Microsoft Hyper-V and NetApp Storage
Whitepaper – DoubleTake: Disaster Recovery for Hyper-V
Whitepaper – Hitachi Storage Cluster for Microsoft Hyper-V: Optimizing Business Continuity and Disaster Recovery in Microsoft Hyper-V Environments
Whitepaper – EMC”2: Disaster recovery in a geographically dispersed cross-site virtual environment
Whitepaper – HP: Disaster Tolerant Virtualization Architecture with HP StorageWorks Cluster Extension and Microsoft Hyper-V
Microsoft Virtualization: Continuity

Hyper-V, SC DPM, SC VMM, Sikkerhet, WS2008

Fikk spørsmål om Shadow Group i Active Directory 2008 – hva er det?

7 Sep 09

Postet av Lars Jostein i Windows Server 2008

Ingen kommentarer

Jeg hadde ingen god forklaring der og da, så jeg fant ut at her måtte jeg spørre en kompis som heter Google. Google ga heller ikke noe klart svar og Googles (u)venn Bing likeså. Fant derfor ut at jeg måtte gjøre et dypdykk og tror jeg til slutt klarte å finne rett tolkning av Shadow Group.

- Først litt om “Fine-Grained Password Policies” (domain functional level Windows Server 2008)

ØNSKE: De fleste har en gruppe brukerer i AD som de ønsker å kunne tilegne egne passordregler med høyere eller lavere krav i forhold til andre brukergrupper. (Administrator kontoer etc..)
FØR: I AD før WS2008 functional level ble regler for passord på brukerobjekter i domenet satt gjennom “Default Domain Policy GPO”. Samtlige brukere i domenet har da samme policy for passordregler og “account lockout”. (Det er mulig å få til løsninger rundt dette også i eldre AD, men ingen gode løsninger)
NÅ: I WS2008 AD DS kan man bruke Fine-Grained Password Policies for å sette forskjellige passordregler.
- Krav for å ta i bruk Fine-Grained password policies:
  - Domain functional lever WS2008
  - Fine-Grained Password Policies kan bare settes på bruker objekter og globale sikkerhetsgrupper
  - Man kan ikke legge en Fine-Grained Password Policy på en OU.

De fleste har brukerkontoer fordelt i forskjellige OUer. Siden man ikke kan sette Fine-Grained Password Policy på en OU er det beste praksis å opprette en global sikkerhetsgruppe med samme navn som OUen, for så å tilegne denne gruppa Fine-Grained Password Policy og melde bruker objekter fra OUen inn i denne gruppa. Denne type gruppe kalles for en SHADOW GROUP.

Hva må man tenke på før man planlegger bruk av Fine-Grained Password Policies:

Hvor mange forskjellige passord policies er det behov for?
Hvilke spesielle passord egenskaper og “account lockout” regler er det behov for?
Hvilke sikkerhetsgrupper skal man linke de nye passord reglene til?

For å bestemme egenskapene til passordene som skal brukes opprettes “Password Settings Object” (PSO) i konteineren “Password Settings Container” under “System”. Opprettelsen av PSO gjøres i ADSI edit eller skriptes med Ldifde kommandoer. I skjermbildet over er den golbale sikkerhetsgruppen “Brukere Lillehammer” en Shadow Group.

Dersom man ikke linker inn en PSO mot et brukerobjekt eller gruppe, blir “default domain policy GPO” benyttet.

For å se resultatet av en PSO for en bruker kan man bruke kommandoen:
dsget user <User-DN> -effectivepso

Se tabell for egenskaper som kan settes i en PSO her: http://technet.microsoft.com/en-us/library/cc754461(WS.10).aspx Se spessielt “msDS-PasswordSettingsPrecedence” som sier noe om hvilken PSO som skal få prioritet dersom et objekt har flere tildelte PSO.

Active Directory, WS2008