Private Cloud Course 10751 in beta

Another Private Cloud course this time… The 10751: Configuring and Deploying a Private Cloud with System Center 2012

About the course

This course teaches students how to design, install and configure a private cloud, including how to configure and deploy the application infrastructure as well as the key components of System Center 2012 that are necessary for delivering services on the private cloud infrastructure.

This course provides direction on producing a high-level design that accounts for requirements for the private cloud environment. Students will learn how to configure and deploy the application infrastructure, how to configure a preboot execution environment (PXE) server, an update server, and a software update baseline. Students will learn how to sequence and deploy an application virtually, and how to build the core components that are necessary for delivering services in the infrastructure. They will also allocate resources and grant access to the private cloud.

Additionally, students will learn how to monitor the private cloud, and setup, configure, and integrate the core System Center 2012 – Service Manager components into the private cloud infrastructure. Students will learn how to configure a service catalog and publish this catalog to the self-service portal. They will also gain the knowledge required to deploy and configure System Center 2012 – Data Protection Manager (DPM) and Orchestrator in a private cloud, and integrate these products with other System Center 2012 components.

At course completion

After completing this course, students will be able to:

• Plan for the private cloud.
• Configure and deploy the private cloud infrastructure.
• Extend and maintain the private cloud infrastructure.
• Configure virtual application delivery.
• Create the private cloud building blocks.
• Deploy and access the first business unit private cloud.
• Monitor the private cloud infrastructure.
• Extend and customize monitoring of the private cloud infrastructure.
• Implement service management for the private cloud.
• Configure a private cloud service catalog.
• Protect the private cloud infrastructure.
• Automate and standardize the private cloud.

 

The modules in this course

Module 1: Planning for the Private CloudThis module describes the core components of a private cloud and the prerequisites for deploying a private cloud.Lessons

• Understanding the Private Cloud
• Requirements for Deploying a Private Cloud
• Designing the Private Cloud Components
• Deploying a Private Cloud Infrastructure with System Center 2012
• Deploying Hyper-V Clustering with Virtual Machine Manager (VMM)

Lab : Creating a Hyper-V Cluster with Virtual Machine Manager

• Creating a Hyper-V Cluster using VMM

After completing this module, students will be able to:

• Describe the private cloud.
• Describe the requirements for deploying a private cloud.
• Design private cloud components.
• Deploy a private cloud infrastructure with System Center 2012.
• Deploy Hyper-V clustering with VMM.

Module 2: Configuring and Deploying the Private Cloud InfrastructureThis module describes how to configure infrastructure components by using System Center 2012 -Virtual Machine Manager.Lessons

• Virtual Machine Manager Architecture and Components Overview
• Installing and Upgrading Virtual Machine Manager
• Configuring VMM Security and Roles
• Understanding Host Groups

Lab : Configuring and Deploying the Private Cloud Infrastructure

• Reviewing and Configuring Hosts
• Configuring Host Groups
• Configuring User Roles and Run As Accounts
• Configuring Library Servers
• Preparing the Private Cloud Infrastructure
• Deploying a New Virtual Machine

After completing this module, students will be able to:

• Describe VMM architecture and components.
• Install and upgrade VMM.
• Configure VMM security and roles.
• Understand host groups.

Module 3: Extending and Maintaining the Private Cloud InfrastructureThis module describes how to integrate features provided by Windows Deployment Services (WDS) and Windows Server Update Services (WSUS) to help extend and manage the VMM private cloud infrastructure resources.Lessons

• Overview of the PXE and Update Server Roles
• Deploying Bare-Metal Hyper-V Host Servers
• Configuring the Update Server Role
• Creating and Remediating an Update Baseline

Lab : Maintaining the Private Cloud Infrastructure

• Configuring a PXE Server in VMM
• Configuring an Update Server Role in VMM
• Configuring a Software Update Baseline in VMM

After completing this module, students will be able to:

• Describe how VMM integrates with WDS and WSUS to provide PXE and Update server roles.
• Describe how to deploy bare-metal Hyper-V host servers.
• Describe how to maintain updates within the VMM fabric.
• Configure the Update server role.
• Create and remediate a software update compliance baseline.

Module 4: Configuring Virtual Application DeliveryThis module explains how to use the Microsoft Web Deployment Tool and Microsoft Server Application Virtualization (Server App-V) to dynamically deploy applications in the private cloud.Lessons

• Dynamic Application Deployment Overview
• Web Deployment Packages
• Server Application Virtualization Overview
• Configuring Server App-V Components
• Sequencing and Deploying Virtual Applications

Lab : Configuring Virtual Application Delivery

• Configuring the Server App-V Sequencer
• Configuring the Server App-V Agent
• Sequencing an Application
• Testing the Server App-V Package Deployment

After completing this module, students will be able to:

• Describe dynamic application deployment.
• Create web deployment packages by using the Web Deployment Tool.
• Configure the Server App-V agent and sequencer.
• Sequence and then test a Server App-V virtualized application.

Module 5: Creating the Private Cloud Building BlocksThis module explains how to prepare and deploy the underlying infrastructure components that are used as building blocks for delivering private cloud services.Lessons

• Configuring Guest Operating System Profiles
• Configuring Hardware Profiles
• Deploying SQL Server Using SQL Server Profiles
• Configuring Application Profiles for a Deployment
• Configuring Virtual Machine Templates
• Configuring Self-Service Portal Users

Lab : Creating the Private Cloud Building Blocks

• Configuring a Guest Operating System Profile
• Configuring a Hardware Profile
• Configuring a SQL Server Profile
• Configuring an Application Profile
• Configuring Virtual Machine Templates
• Configuring Security and Server Roles for the Web Console

After completing this module, students will be able to:

• Configure guest operating system profiles.
• Configure hardware profiles.
• Deploy SQL Server using SQL Server profiles.
• Configure application profiles for a deployment.
• Configure virtual machine templates.
• Configure self-service portal users.

Module 6: Deploying and Accessing the First Business Unit Private CloudThis module explains private clouds, System Center 2012 – App Controller, and private cloud services.Lessons

• Understanding Private Clouds
• Installing and Configuring Application Controller
• Creating and Managing Services and Service Templates

Lab : Deploying and Accessing the First Business Unit Private Cloud

• Creating and Configuring a Private Cloud
• Configuring App Controller
• Creating, Deploying, and Managing Services

After completing this module, students will be able to:

• Describe a business unit private cloud.
• Install and configure App Controller.
• Create and manage services and service templates.

Module 7: Monitoring the Private Cloud InfrastructureThis module explains how to monitor the private cloud infrastructure by using System Center 2012 – Operations Manager.Lessons

• Operations Manager Architecture and Security
• Upgrading Operations Manager
• Configuring Notifications
• Configuring Management Packs
• Configuring Integration with System Center 2012

Lab : Monitoring the Private Cloud Infrastructure

• Deploying Agents
• Deploying and Configuring Monitoring Management Packs
• Configuring Notifications
• Configuring VMM Integration
• Configuring DPM Integration

After completing this module, students will be able to:

• Describe Operations Manager architecture and security considerations.
• Upgrade from Operations Manager 2007 R2 to System Center 2012 – Operations Manager.
• Describe the notification options available in Operations Manager.
• Install, configure, and upgrade management packs.
• Install and configure Operations Manager integration with VMM and DPM.

Module 8: Extending and Customizing Monitoring of the Private Cloud InfrastructureThis module explains how to use Operations Manager templates to monitor various applications and implement distributed application monitoring.Lessons

• Configuring a SharePoint Portal
• Using the Monitoring Templates
• Understanding Distributed Application Monitoring

Lab : Extending and Customizing Monitoring of the Private Cloud Infrastructure

• Configuring the SharePoint Console
• Creating Custom Monitoring
• Configuring a Distributed Application Model
• Configuring Service Level Monitoring
• Delivering Monitoring Views
• Validating Monitoring

After completing this module, students will be able to:

• Integrate Operations Manager data into a SharePoint portal.
• Describe how to use monitoring templates.
• Implement distributed application monitoring.

Module 9: Implementing Service Management for the Private CloudThis module explains how to setup, configure, and integrate the core components of System Center 2012 – Service Manager into the private cloud infrastructure.Lessons

• System Center Service Manager Architecture Overview
• Upgrading Service Manager
• Understanding Service Manager Work Items
• Configuring System Center Service Manager Connectors
• Configuring Notifications
• Understanding Incident and Problem Management

Lab : Implementing Service Management for the Private Cloud

• Configuring Connectors
• Configuring the Service Catalog
• Configuring Basic Settings
• Configuring Incident and Problem Management Settings
• Configuring Notifications

After completing this module, students will be able to:

• Setup and configure the core components of Service Manager.
• Plan an upgrade from Service Manager 2010 R2 to System Center 2012 – Service Manager.
• Describe the various work items and their relationships with each other.
• Configure the Service Manager connectors.
• Configure notifications.
• Understand incident and problem management.

Module 10: Configuring a Private Cloud Service CatalogThis module explains how to configure a service catalog and publish the service catalog to the self-service portal.Lessons

• What Is a Service Catalog?
• Cloud Service Process Management Pack Overview
• Configuring Service Request Fulfillment
• Configuring Service Offerings
• Service Level Management

Lab : Configuring a Private Cloud Service Catalog

• Installing the System Center Cloud Services Process Pack
• Configuring Services Roles and Settings
• Creating a Private Cloud Request Offering
• Creating an Incident Request and Adding it to the Private Cloud Offering
• Configuring Service Level Management

After completing this module, students will be able to:

• Describe the service catalog and how it is implemented in Service Manager.
• Configure the Cloud Services Process Management Pack.
• Configure service request fulfillment.
• Configure service offerings.
• Use service level management.

Module 11: Protecting the Private Cloud InfrastructureThis module describes how to deploy and configure Data Protection Manager in a private cloud.Lessons

• Data Protection Manager Architecture and Security
• Upgrading Data Protection Manager
• Configuring Data Protection Manager for Protection of the Private Cloud
• Configuring Application Protection for the Private Cloud
• Restoring Applications to the Private Cloud

Lab : Protecting the Private Cloud Infrastructure

• Creating a Storage Pool
• Deploying Protection Agents Automatically
• Deploying Protection Agents Manually
• Creating and Configuring a Hyper-V Protection Group
• Creating and Configuring a SQL Protection Group
• Configuring SQL Self-Service Recovery
• Restoring Data from a SQL Protection Group.
• Using SQL Self-Service Recovery to Restore a Database

After completing this module, students will be able to:

• Describe Data Protection Manager architecture and security considerations.
• Plan an upgrade from Data Protection Manager 2010 R2 to System Center 2012 – Data Protection Manager.
• Configure the components required to provide protection for the private cloud infrastructure.
• Configure protection of key applications within the private cloud infrastructure.
• Restore key applications within the private cloud infrastructure.

Module 12: Automating and Standardizing the Private CloudThis module explains how to deploy and configure System Center Orchestrator in a private cloud and integrate it with other System Center 2012 components.Lessons

• System Center Orchestrator Overview
• Deploying and Configuring Core Components
• Configuring Integration Packs
• Creating Runbooks
• Executing a Runbook from Service Manager

Lab : Automating the Private Cloud

• Creating a Runbook Server and Configuring Integration Packs
• Configuring a Template to Deploy the SCOM and DPM Agents
• Configuring Runbook to Protect All Resources on a Server
• Configuring Runbook to Deploy Users
• Creating a Virtual Machine Request Template

After completing this module, students will be able to:

• Describe key components of System Center Orchestrator.
• Describe how to deploy and configure key Orchestrator components in a private cloud.
• Configure the System Center integration packs in Orchestrator.
• Create runbooks.
• Configure Service Manager to execute runbooks

 

The full description of this course is found at: http://www.microsoft.com/learning/en/us/Course.aspx?ID=10751AB&Locale=en-us#tab2

Bye,

 

Alex

Windows on a stick… how to

Hi,

I had heard about it before, but never tried it.. Windows 8 supports Windows to Go or in my own words: Windows on a stick.

Close your eyes and image… You went to your customer and your laptop crashes. The complete Windows Image including software and tools you use daily is not available for you anymore. How convenient would it be to be able to still use your own desktop? But on another computer. This is possible with Windows to Go. The only thing you need to do is make Windows 8 run from a USB stick.

considerations

Before this can happen you need to consider a couple of things:

• Speed: the most USB sticks are slow, we don’t want Windows to Go to become Windows to Slow.
• Size: These times USB sticks are quite big, but are the big enough to host Windows to Go, including your favorite software and tools?
• How the #&#%!(* do you create a USB stick that boots Windows 8?

Steps

• Make sure you get your hands on the following:
• A running Windows 8 computer. Download the Windows 8 Consumer Preview at: http://windows.microsoft.com/en-us/windows-8/download. You can create a bootable Windows 8 installation DVD or USB using the tool you will find at: http://www.microsoftstore.com/store/msstore/html/pbPage.Help_Win7_usbdvd_dwnTool. Install Windows 8 on your computer.
• for speed purposes it would be good if you have USB 3.0 connectors and a USB 3.0 Stick. I use the Lacie Fastkey 30GB which is a USB 3.0 stick with SSD inside. The first I got didn’t work, but after it was replaced by a new one, everything is fine with it. It costs about 145 Euro’s.. which is something like 2000 dollars.. hehe
• In Windows 8 open up a command windows with Administrative Privileges, with the USB stick attached to your computer.
• Now run the following commands to prepare your USB Stick for Windows to Go:
• Diskpart
• In Diskpart type: List Disk ; write down the number of the USB stick.
• Select Disk <number of the USB Stick>
• Clean to clean the USB stick.. *all contents will be removed*
• Create Part Prim to create a partition on the stick
• Active to mark the partition as active, needed to boot from it.
• Format FS=NTFS Quick to format the disk, using the NTFS format, Quickly.
• Driveletter <a free driveletter> i.e. M:
• exit to close diskpart
• If you have the Windows 8 ISO file, extract the contents to a location on you harddisk. I always use WinRAR for this. www.RarLabs.com. Next search for the file Install.wim. This file contains Windows 8. In the next step we will extract Install.wim to the USB Stick.
• In this guide we’ll use DISM, which is a tool that is in Windows by default. You could use ImageX too, but for that tool you must download and install the Windows Automated Installation Kit (WAIK).
• Dism /apply-image /imagefile=<path to Install.wim> /Index=1 /ApplyDir=<driveletter of USB Stick> i.e. M:\ (this will take a few minutes)
• Now make sure the USB Stick has the bootfiles it needs with the following command:
• bcdboot M:\Windows /s M: /f All where M: is the driverletter of the USB Stick.

That’s it. Now shutdown your computer and boot it from the USB Stick. A couple of tests you can perform are:

- When Windows to Go is running, start a movie, or play some music. When it is playing.. pull the USB Stick from the computer. See what happens. After a minute, plug it back in. Make sure to use the same USB port.

- Boot from the USB Stick on another computer and see if it auto-updates itself to use the other hardware.

- Install software on Windows to Go.

By the way.. your Windows to Go could be a domain member, supporting Direct Access etcetera… So it is a real machine. It is just a bit more portable.

 

 

Good luck running Windows on a stick

 

Bye,

 

Alex

Windows 8 Deployment tools, the complete picture

Last week I did a talk together with my friend Roel van Bueren (@rovabu) about Windows 8 deployments using MDT 2012. In this session we did a live demo of deploying Windows 8 to Roel his tablet device. It was very cool to see a tablet pxe boot and connect to our Windows 8 based WDS environment. We changed the rules.ini in MDT so Windows PE was not asking for credentials and other information, it popped up the list op Task Sequences right away. The demo worked perfectly and we managed to deploy Windows 8 Consumer preview within 30 minutes including the auto-install of some business critical applications like; VLC Player, iTunes and of course e-mule

 

During the session I showed a slide which contains an overview of all the tools used in the demo. I got a lot of requests for that particular slide, so here it is.

The story actually goes like this:

To show that Windows as an Operating System is a multi-layered platform I use the next slide:

Where the install image (.WIM) is only a small portion of the complete deployment. I always use the Lego example. Every layer is a building stone. And multiple building stones together make the complete deployment. The cool thing about MDT is that it allows you to manage all those building stones separately from each other, making the maintenance of the deployment environment easy and not very time consuming.

The steps that are taken to actually deploy Windows 8 to destination devices are showed in the next slide:

And after this, the demo started.

We demonstrated:

• WIM Files
• ImageX
• DISM
• Windows SIM
• Sysprep
• Windows PE
• Windows Deployment Services
• MDT
• ENGL Driver Manager
• Setup Commander
• Update Commander
• Task Sequences in MDT

In fact, the last picture is a dynamic slide with a lot of extra information. I you want a copy of the slides, go to:

Windows 8 Deployment Tools – Alex de Jong en Roel van Bueren – NGN OSdag 11 april 2012.pptx

Unfortunately, this session has not been taped, so there is no video material of it.

Bye,

Alex

Private Cloud Course 10750 in beta

Hi,

since a couple of days there are two new courses available on the MCT Download Center. Both are courses about the Private Cloud. The first is 10750.

Course 10750 Beta

This course provides an overview of a private cloud infrastructure, the business and technical drivers behind the implementation, and how System Center 2012 can be used to monitor and operate the private cloud infrastructure. Students will learn how to configure and optimize a new business unit cloud as well as how to deploy pre-packaged applications and create a new service template to deploy a service into the cloud. Students will learn how System Center Operations Manager is used to monitor the various services that underpin the private cloud and will gain a deep insight into the Application Performance Monitoring (APM) feature of Operations Manager to monitor the performance and availability of an application. Students will learn about the core functionality of Service Manager and learn how to create and manage change requests, incidents, and release records as well as the security model behind Service Manager.

Students will also learn about problem management and how to use it within a service management framework using Service Manager. They will perform custom event monitoring in Operations Manager and then use it to identify and route incidents and problems to Service Manager, providing automatic incident creation, remediation and change requests. Students will learn how to provide automated self service provisioning and how to protect and recover the resources in the private cloud. Students will learn how to implement IT Governance, Risk Management, and Compliance (GRC) in a private cloud. They will configure the environment to verify whether key private cloud infrastructure is correctly patched and updated, and will check for compliance across key Service Components and remediate non-compliant items. Students will learn how to provide surfacing service and performance-related data and how to optimize Cloud Resources.

At course completion

After completing this course, students will be able to:

• Configure Data Center Process Automation
  • Implement workflows
  • Implement service offerings
• Deploy Resource Monitoring
  • Deploy end-to-end monitoring
  • Configure end-to-end monitoring
  • Create monitoring reports and dashboards
• Monitor Resources
  • Monitor Network Devices
  • Monitor Servers
  • Monitor the virtualization layer
  • Monitor application health
• Configure and Maintain Service Manager
  • Implement service level management
  • Manage problems and incidents
  • Manage cloud resources
• Manage Configuration and Protection

 

The modules in this course

Module 1: Introduction to the Private Cloud

This module gives students an overview of a private cloud infrastructure, including what it is, the business and technical drivers behind implementing it, and how they can use System Center 2012 to monitor and operate it. Students will understand the key concepts of a private cloud and verify key components of System Center 2012.Lessons

Module 2: Configuring and Optimizing Business Unit Clouds

In this module, students will learn how to configure a new business unit cloud within Virtual Machine Manager.Lessons

Module 3: Deploying Cloud Services

In this module, students will learn to deploy pre-packaged applications and create a new service template to deploy a service into the cloud.Lessons

Module 4: Monitoring Private Cloud Services

In this module, the students are given an overview of System Center Operations Manager. The students are also shown how Operations Manager is used to monitor the various services that underpin the private cloud. The students are then shown how to deploy agents to key service components running within the private cloud. Custom monitoring is then applied to these components which include the creation of a distributed application model to give a holistic view of the health of the private cloud infrastructure.Lessons

Module 5: Configuring Application Performance Monitoring

This module gives students a deep insight into the Application Performance Monitoring (APM) feature of Operations Manager. A .NET application has been installed into the lab environment that will be used for this module. Students will learn to configure APM to monitor the performance and availability of this application. A break in the application is then instigated where students will see how Operations Manager detects and reports this with the Alerting and Diagnostics tools that are built into Operations Manager.Lessons

Module 6: Operating and Extending Service Management in the Cloud

Students will learn about the core functionality of Service Manager and learn how to create and manage change requests, incidents, and release records. Students will also learn about the security model behind Service Manager so that they can customize and extend the integral functionality of the service.

Module 7: Problem Management in the Cloud

Students will learn what problem management is and how they can use it within a service management framework. Additionally, students will understand its implementation as a manual feature of Service Manager. Finally, students will learn how to create a custom event monitor in Operations Manager and then use it to identify and route incidents and problems to Service Manager.Lessons

Module 9: Automating Self Service Provisioning

In this modules, students learn about automating self service provisioning using the System Center Cloud Service Process Pack, including the configuration items that are created and the request items that are contained in the System Center Cloud Service Process Pack.

Module 10: Private Cloud Protection and Recovery

In this module students will learn how to protect the resources in the private cloud by using Data Protection Manager. They will also learn how to implement a recovery action by using Orchestrator to recover a database.Lessons

Module 11: Configuring Compliance in the Cloud

In this module students will learn how to implement IT Governance, Risk Management, and Compliance (GRC) in a private cloud environment using System Center 2012. They will learn how to implement Software Update Compliance in Virtual Machine Manager to verify whether key private cloud infrastructure is correctly updated with the latest software updates and how they can implement the IT GRC Management Pack in Service Manager to check for compliance across key Service Components and remediate non-compliant items.Lessons

Module 12: Configuring SLAs, Dashboards and Widgets

In this module, students will be able to describe and use various methods for surfacing service and performance-related data from Operations Manager and Service Manager to SharePoint and Microsoft Excel.Lessons

Module 13: Optimizing Cloud Resources

In this module, students learn how to optimize cloud resources using various tools from components such as the Microsoft online Management Pack Catalog, Operations Manager, Service Manager, and Orchestrator.

Read the full description of this course at: http://www.microsoft.com/learning/en/us/Course.aspx?ID=10750AB&Locale=en-us#tab2

Bye,

 

Alex

Hoe werken group policies?

Hi, het komt uit mijn Windows Server 2003 boek, maar is nog steeds actueel: group policies.

Een netwerkbeheerder is tijdens het uitvoeren van zijn werk vaak bezig met het ad hoc oplossen van problemen van velerlei aard. Vervelend hieraan is, dat vaak de wat moeilijkere opdrachten hierdoor blijven liggen, of dat een netwerkbeheerder vaak wordt gestoord en “er weer helemaal in moet komen” voordat hij of zij weer op een goede manier verder kan gaan met deze moeilijkere opdrachten. Heel vervelend, en voor een groot deel onnodig, is het wanneer deze kleine ad hoc problemen veroorzaakt worden door de gebruikers van het netwerk. Vaak worden deze problemen per ongeluk veroorzaakt door de onwetendheid van diezelfde gebruikers. Als netwerkbeheerder zou uw leven een stuk gemakkelijker kunnen zijn als niet meer die kleine problemen zou moeten oplossen, tussen de bedrijven door. Daarnaast zou het fijn zijn als u ook uw beveiliging zou kunnen regelen vanuit één management console en dat u niet steeds hoeft te controleren of deze beveiligingsinstellingen nog wel actief zijn. Sinds de invoering van Active Directory in Windows 2000 zagen ook de group policies het levenslicht. In feite zijn het objecten in Active Directory net zoals user-objecten en computer-objecten. Group Policy Objecten dus, afgekort GPO. GPO’s kunnen u helpen als netwerkbeheerder om een groot aantal van die kleine, irritante problemen te voorkomen door het opleggen van restricties aan gebruikers en/of computers en het instellen van beveiliging. In dit hoofdstuk leert u alle mogelijkheden van Group Policy Objecten kennen en gebruiken. Daarnaast leert u hoe meerdere GPO’s kunnen worden gecombineerd en hoe eventuele conflicten door Active Directory worden behandeld. Ook worden security GPO’s in dit hoofdstuk behandeld en leert u de Group Policy Management Console, afgekort GPMC, gebruiken.

4.1 Inleiding GPO

Group Policy Objecten kennen een aantal functionaliteiten. Zo kunt u restricties opleggen aan gebruikers, maar kunt u ook diezelfde gebruikers weer voorzien van software, automatisch uitgerold via diezelfde GPO’s. Daarnaast kunt u binnen group policies uw computers in uw netwerk voorzien van de nodige beveiligingsinstellingen. Binnen Active Directory is een speciale plaats (container) aanwezig waarin de GPO’s worden opgeslagen. Op de plaats van opslag wordt niet duidelijk naar welke policies u daadwerkelijk aan het kijken bent. De policies worden daar namelijk opgeslagen onder hun Global Unique IDentifier of GUID. De daadwerkelijke Group Policy Objecten zijn te vinden in de policies container die een subcontainer is van de system container. Om de GPO’s te bekijken onderneemt u de volgende stappen:

1. Open Active Directory User and Computers.
2. Vouw het domain uit, en zorg ervoor de u de Advanced Features kunt zien door in het menu view dit in te schakelen.
3. Navigeer vervolgens naar system en vervolgens naar policies.

Figuur 4.1: De Group Policy Objecten zijn zichtbaar in de Active Directory Users and Computers MMC, weergegeven met de GUID van het object.

De daadwerkelijk instellingen van een Group Policy staan niet opgeslagen in het Group Policy Object in Active Directory, maar staan opgeslagen in diverse bestanden op de harde schijf van iedere domain controller. Omdat alle gebruikers en computers die bestanden moeten kunnen lezen om de group policies te kunnen uitvoeren, staan deze bestanden in de gedeelde Active Directory map SYSVOL. Deze map wordt door Active Directory gebruikt om alle verplicht gedeelde bestanden beschikbaar te maken binnen het netwerk. Denk hierbij niet alleen aan Group Policy bestanden, maar ook aan scripts die aangeroepen worden tijdens het opstarten of inloggen. Stadaard vindt u de SYSVOL map onder uw Windows directory. De SYSVOL map wordt tussen alle domain controllers gerepliceerd, zodat alle domain controllers beschikbaar zijn om zulke belangrijke bestanden te kunnen distribueren, dit repliceren wordt uitgevoerd door de File Replication Service, FRS.

Figuur 4.2: De fysieke locatie van de instellingen die bij de Active Directory Group Policy Objecten horen.

In de adresbalk die wordt weergegeven in Figuur 4.2 kunt u zien waar de bestanden staan op de domain controllers. U kunt hier ook de vergelijking trekken met de daadwerkelijke objecten die u in Figuur 4.1 heeft gezien. De echte instellingen waaruit een group policy bestaat, kunt u vinden als u de directories uitvouwt die horen bij de group policies. Als u de “GUID map” openvouwt ziet u dat een group policy bestaat uit een drietal mappen én een GPT.INI bestand.

Figuur 4.3: De onderdelen van een Group Policy Object.

De twee belangrijkste onderdelen van een group policy zijn het Machine en User gedeelte. Het machine, of computer, gedeelte is de plaats waarin instellingen worden opgeslagen die alléén voor computer-objecten gelden. Het user gedeelte is de plaats waarin instellingen voor user-objecten worden opgeslagen. De map Adm is de plaats waar de zogeheten .adm bestanden kunnen worden opgeslagen. .adm Bestanden zijn template bestanden, eventuele uitbreidingen op de standaardfunctionaliteit die group policies bieden. Het GPT.INI bestand is de Group Policy Template, de standaardinstellingen van iedere group policy. Standaard is dit bestand bijna leeg en wordt er slechts een versienummer van dit bestand weergegeven.

De echte instellingen kunt u vinden in .INF bestanden die her en der zijn verstopt in de mappenstructuur van de “GUID map”. Figuur 4.4 geeft een voorbeeld weer van een .INF bestand waarin de uiteindelijke instellen zijn opgeslagen voor een group policy.

Figuur 4.4: De instellingen zijn opgeslagen in een .INF bestand.

Alle instellingen die u doet komen als .INF bestand in één van de mappen die bij de group policy horen.

4.2 Inheritance

Group policies zijn objecten die binnen Active Directory worden opgeslagen in een speciaal daarvoor bestemde container. Om de group policies zover te krijgen dat ze ook daadwerkelijk de instellingen die ze met zich meedragen toe te passen op gebruikers die inloggen of op computers die opstarten, moeten de group policies gekoppeld worden aan de container-objecten waar die gebruikers en computers onderdeel van zijn. Dit heet linken. Group Policy Objecten kunnen worden gekoppeld op drie verschillende niveaus binnen Active Directory:

• Organizational Unit: U kunt group policies koppelen aan OU’s. Stel dat in uw bedrijf een afdeling administratie heeft en dat alle medewerkers van die afdeling gebruik maken van eenzelfde boekhoud applicatie. U zou dan op het niveau van die OU een GPO kunnen linken waarin die applicatie automatisch wordt geïnstalleerd. De applicatie wordt dan automatisch geïnstalleerd voor iedere gebruiker die in die OU zijn of haar gebruikeraccount heeft. Mochten er gebruikers zijn die van een andere afdeling verhuizen naar die afdeling, dan is uw taak slechts het verplaatsen van het betreffende user-object in Active Directory naar de OU van de afdeling administratie. De gebruiker zal dan, de eerstvolgende keer als deze inlogt op het netwerk, de applicatie geïnstalleerd krijgen, automatisch.

• Domain: Instellingen die voor iedere gebruiker of computer die lid is van het domain moeten gelden, stelt u in een group policy die gekoppeld is aan het domain. Een voorbeeld van een instelling dat altijd op domain level wordt gezet is de minimale wachtwoordlengte van een gebruikeraccount in Active Directory. Verder zou u kunnen vinden dat alle gebruikers van een domain bepaalde restricties opgelegd moeten krijgen met betrekking tot het opstarten van register tools waarmee het Windows register kan worden aangepast.

• Sites: Mocht het nodig zijn dat alle gebruikers of computers die inloggen op een bepaalde vestiging dezelfde restricties krijgen opgelegd of dezelfde software krijgen geïnstalleerd, dan kunt u op het niveau van Active Directory Sites links maken met Group Policy Objecten.

Een andere plaats waar u Group Policy Objecten kunt aanmaken is op het niveau van een locale computer. Het is echter niet zo, dat op group policies die u aanmaakt op computer niveau, een link heeft met een Group Policy Object in Active Directory. Group policies die u aanmaakt op een computer zijn in werkelijk geen echte groep policies, maar wijzigingen die u doet in het register van die computer. Als een computer lid is van een domain, en u heeft zulke instellingen gedaan op die computer, zullen die instellingen ALTIJD worden overschreven met conflicterende settings die u in Active Directory heeft gedaan door middel van group policies. Toch kunnen, als er binnen Active Directory geen conflicterende instellingen zijn gedaan, de locale policies behoren tot de effectieve instellingen die een gebruiker ervaart achter zijn of haar computer.

Effectieve instellingen door group policies.

Omdat u instellingen kunt doen op verschillende niveaus zoals sites, domains en organizational units, kan het voorkomen dat u conflicterende instellingen doet. De vraag is dan uiteraard welke instelling de effectieve instelling is voor de gebruiker die ermee te maken krijgt. Een gebruiker kan lid zijn van zowel een site, een domain en een organizational unit tegelijk. Sterker nog, dat is een user-object, en ook een computer-object, altijd.

Het bepalen van wat de effectieve groep policy instellingen worden nadat alle group policies zijn toegepast en samengevoegd valt en staat bij de volgorde waarin de verschillende groep policies worden aangeroepen door Active Directory.

Figuur 4.5: De afhandelvolgorde van group policies.

1. Local Computer: De instellingen die u locaal heef ingesteld op de computer worden als eerste doorgevoerd.
2. Site: De instellingen die u door middel van group policies op site level worden als tweede toegepast.
3. Domain: Als derde worden de instellingen op domain level toegepast. Waar u op moet letten is dat het goed mogelijk is dat er meerdere domains in een site zijn vertegenwoordigd. Niet alleen kunnen er domain controllers uit verschillende domains in één zelfde site zijn gestationeerd, ook gebruikers uit een domain dat niet door domain controllers is vertegenwoordigd in een site kunnen met een laptop op desktop computer inloggen via de betreffende site. Een gebruiker en computer zullen altijd alléén instellingen aannemen die uitsluitend vanuit het eigen domain worden opgelegd middels group policies.
4. Organizational Unit: Op de vierde plaats komen organizational units. Gebruikers en computers zullen alleen instellingen toepassen die indirect of direct vanuit OU niveau zijn gezet. Direct houdt in dat de group policy is gekoppeld aan een OU waar de gebruiker direct van is. Indirect houdt in dat een user-object uit de twee laag (zie Figuur 4.5) OU’s ook child-object is van de eerste laag OU’s.

Gouden regel is:

De laatst geladen instelling is de effectieve instelling, tenzij…

Vooral deze tenzij is heel erg belangrijk. Er zijn namelijk legio uitzonderingen op deze regel. Het eerste gedeelte van de gouden regel van group policies is duidelijk: Als een group op domain level stelt dat alle gebruikers in dat domain geen “run” commando in het startmenu mogen zien, en op OU level wordt gesteld dat alle gebruikers in die OU juist wel een “run” commando in het startmenu moeten zien, dan is voor de gebruikers binnen die OU de effectieve policy dat ze wel het “run” commando zien in het startmenu. Dat is zo omdat OU level group policies later geladen worden dan domain level group policies. De tenzij zou in dit geval een andere effectieve instelling teweeg kunnen brengen. De uitzonderingen voor group policies op een rij:

• Block Inheritance: U kunt naargelang dat nodig is, op de verschillende levels het erven van rechten tegenhouden. Dit zou u kunnen doen op het moment dat u bijvoorbeeld op domain level een group policy heeft aangemaakt met instellingen waarvan u wilt dat deze gelden voor iedereen binnen dat domain. Als er dan tóch één afdeling, of groep van computers of gebruikers, géén gebruik moeten maken van die instellingen die uit deze group policy voortkomen kunt u de betreffende Active Directory objecten in eenzelfde organizational unit plaatsen. Op de OU kunt u dan het erven van rechten tegenhouden zodat group policy van hogere levels niet worden doorgevoerd. Het uitschakelen van het erven van rechten doet u voor alle group policies die van hoger niveau komen tegelijk. Het is niet mogelijk om slechts één group policy op deze manier te blokkeren.

Figuur 4.6: Block Inheritance stopt het erven van group policies.

Figuur 4.7: Block Inheritance inschakelen.

• Enforced: In grote bedrijven, waar het kan voorkomen dat binnen Active Directory voor een aantal organizational units eigen netwerkbeheerders zijn aangewezen door middel van Delegation of Control, kan het gebeuren dat een domain administrator een group policy heeft aangemaakt die voor iedereen in het domain moet gelden. Met het blokkeren van inheritance kan een OU administrator er voor zorgen dat zijn OU geen last heeft van die group policy. Om er voor te zorgen dat de instellingen in de group policy op domain level te allen tijde wordt doorgevoerd, kunt u de optie enforced toepassen op die group policy. De optie enforced wordt ingesteld per group policy.

De optie Enforced overruled Block Inheritance.

Figuur 4.8: Enforced group policies overrule de block inheritance.

Figuur 4.9: Group policy enforcement inschakelen.

• Filtering: In sommige gevallen kan het zelfs voorkomen dat u een bepaald niveau een group policy heeft aangemaakt waarvan de instellingen op alle onderliggende niveaus moeten worden toegepast, uitgezonderd één of een aantal Active Directory objecten. U kunt dan gebruik maken van de mogelijkheid tot filtering voor Group Policy Objecten. Ieder Group Policy Object heeft zijn eigen access control list waarin het recht “Apply group policy” voorkomt. Als u voor een user-object, een computer-object of een group-object instelt dat het betreffende object juist niet het “Apply group policy” recht toegewezen krijgt voor een group policy kunt u dit object er uitfilteren.

Group policy filtering overruled de optie enforced.

Figuur 4.10: Het “Apply group policy” recht uitschakelen door middel van de “Deny” permissie hierop.

4.3 Group Policy Management Console.

Het beheer van group policies gebeurt via de Group Policy Management Console. Dit is een extra beheertool die niet standaard door Microsoft in Windows Server 2003 is gestopt. De group policy managent console moet worden gedownload op de website van Microsoft. U moet daar zoeken naar GPMC.MSI, het installatiebestand voor de group policy managent console. U kunt group policies aanmaken en configureren zonder de group policy managent console maar u mist dan een aantal handigheidjes die zonder deze tool niet beschikbaar zijn. De voordelen van de group policy managent console:

• Overzicht van alle Group Policy Objecten: U heeft een overzicht van alle Group Policy Objecten van u gehele forest.

• Overzicht van group policy links: U kunt per group policy zien aan welke organizational units deze is gelinkd.

• Rapportage: In één overzicht alle instellingen die in uw Group Policy Object zijn gezet.

• Resultant Set of Policy: Bereken de effectieve instellingen die van toepassing zijn op een user-object of een computer-object of bekijk effectieve instellingen die van toepassing zouden zijn na een aantal wijzigingen in de Active Directory structuur.

OPDRACHT 5.1 Group Policy Management Console.

Download en installer de Group Policy Management Console op uw Windows Server 2003 computer. Let op: het zou kunnen dat u ook ASP.NET moet installeren, dit doet u via het control panel onder add/remove software – windows components.

4.4 User/Computer

Als u de group policy management console heeft geïnstalleerd, kunt u beginnen met het aanmaken van een group policies. Daarvoor onderneemt u de volgende stappen:

1. Selecteer het niveau waarop u een group policy wilt aanmaken en de link wilt leggen. Klik vervolgens hierop met de rechter muisknop. Klik op Create and Link a GPO here.

1. Geef het nieuwe group policy object een naam in het New GPO venster, klik vervolgens op OK.

Op dit moment is er slechts een leeg Group Policy Object aangemaakt in de policies container binnen Active Directory én een link naar dat object op het niveau waar u bent begonnen met het aanmaken van dat object. Om een group policy echt functioneel te maken moeten er daadwerkelijke settings worden gedaan. Om dat te kunnen doen moet u de group policy openen zodat er aanpassingen kunnen worden gedaan. Daarvoor doet u het volgende:

1. U vindt de nieuwe group policy terug, direct onder het niveau waar u heeft gekozen om een nieuwe group policy link aan te maken, inclusief een group policy object. Klik met de rechter muisknop op de group policy en klik vervolgens op Edit.

1. De Group Policy Object Editor wordt gestart. Dit is een venster waarin u daadwerkelijke settings kunt doen voor dit group policy object.

1. Als u klaar bent met het doen van instellingen kunt u de Group Policy Object Editor afsluiten door op het kruisje rechtsboven aan te klikken.

Figuur 4.11: Een group policy is geopend. U kunt nu instellingen doen.

U kunt zien in Figuur 4.11 dat een group policy bestaat uit twee gedeelten. Een computer gedeelte en een user gedeelte. Instellingen die u doet in het computer gedeelte hebben alléén effect op de computeraccounts die door deze group policy worden geaffecteerd. Instellingen die u doet in het user gedeelte hebben alléén effect op de gebruikeraccounts die door deze group policy worden geaffecteerd. De instellingen die u kunt instellen op de twee gedeelten, worden globaal weergegeven in Tabel 4.1. Om een uitgebreide indruk te krijgen van de instellingen die standaard binnen group policies beschikbaar zijn doet u er goed aan om eens alle instellingen te bekijken door de gehele group policy door te spitten.

Tabel 4.1: Instellingen in group policies.

Group policy onderwerp	Onderdelen	Omschrijving
Computer Configuration: Software Settings	Software Installation	Om met behulp van group policies software uit te rollen naar computers gebruikt u dit deel van het group policy object. Belangrijk om te weten is, is dat aan computer objecten software alléén assigned kan worden. Dit houdt in dat als u gebruik maakt van deze optie, de software, onafhankelijk van wie er inlogt op de computer, hoe dan ook wordt geïnstalleerd tijdens het opstarten van de computer.
Computer Configuration: Windows Settings	Scripts Security	Scripts:In dit gedeelte van het group policy object kunt u startup en shutdown scripts toewijzen aan computers. Security:U kunt hier security instellingen doen, deze worden tijdens het opstarten van een computer geconfigureerd op de computer die met deze group policy affectie heeft.
Computer Configuration: administrative Templates	Windows Components System Network Printers	Windows Components: Hier kunt u het gebruik van verscheidene windows componenten toestaan of verbieden. Denk hierbij onder andere aan netmeeting, windows update en Internet Information Service. System: Het gebruik van een aantal windows dll’s kan in dit gedeelte worden verboden of worden toegestaan. Voorbeelden van stukken windows die u hier kunt beheren zijn; Disk Quota’s, logon, system restore en scripts. Network: Instellingen voor een computer als netwerk client doet u hier. DNS, SNMP en Offline files settings behoren tot de mogelijkheden. Printers: Printerinstellingen.
User Configuration: Software Settings	Software Installation	Om met behulp van group policies software uit te rollen naar gebruikersobjecten gebruikt u deze optie. In tegenstelling tot computers kunnen gebruikers zelf beslissen of ze bepaalde software wél of niet nodig hebben. Om die reden kunt u op gebruikersniveau ook software publiceren zodat gebruikers zelf mogen beslissen of software wordt geïnstalleerd. Het is uiteraard ook mogelijk om op gebruikersniveau software te assignen zodat software “verplicht” wordt gesteld.
User Configuration: Windows Settings	Remote Installation Services Scripts Security Folder Redirection Internet Explorer Maintenance	RIS: De service-instellingen voor de service die het mogelijk maakt Windows automatisch, op afstand te installeren. Scripts:In dit gedeelte van het group policy object kunt u logon en logoff scripts toewijzen aan computers. Secrurity:U kunt hier security instellingen doen, deze worden tijdens het opstarten van een computer geconfigureerd op de computer die met deze group policy affectie heeft. Folder Redirection: Om ervoor te zorgen dat, bijvoorbeeld de my documents map, automatisch verwijst naar een netwerkshare in plaats van naar de lokale harde schijf van een computer, kunt u folder redirection toepassen. IE Maintenance: Een aantal IE instellingen doet u hier, waaronder; favorites, startpage, icons, connections, enzovoorts.
User Configuration:Administrative Templates	Windows Components Start Menu and Taskbar Desktop Control Panel Shared Folders Network System	Windows Components: Hier kunt u gebruikersinstellingen doen voor de windows componenten die u heeft kunnen inschakelen onder de computer configuration. Start Menu & Taskbar: Hier bepaald u hoe het startmenu en hoe de takenbalk van een gebruiker eruit moet zien. U kunt ook opgeven of bepaalde knoppen en opties wel of niet beschikbaar zijn. Desktop: Bepaald hoe het bureaublad van een gebruiker eruit ziet, en welke mogelijkheden een gebruiker heeft met het bureaublad. Control Panel: Bepaald welke onderdelen van het control panel wel of niet beschikbaar zijn voor een gebruiker die door deze group policy is aangetast. Shared Folders: Instellingen voor mappen die door de gebruiker worden gedeeld op het netwerk. Network: Welke mogelijkheden heeft de gebruiker op het netwerk? U kunt het hier instellen. Denk hierbij onder andere aan het instellen en aapassen van netwerkverbindingen. System: Systeeminstellingen die door een gebruiker worden ervaren. U zou bijvoorbeeld ervoor kunnen zorgen dat een gebruiker juist wel of juist niet CTRL-ALT-DELETE moet intoetsen alvorens hij of zij kan inloggen.

4.5 Security Group Policies.

Niet alleen restricties opleggen of folder redirection zijn functionaliteiten van group policies. Ook security instellingen kunnen op computers worden toegepast via group policies. Daarvoor is binnen een group policy object een speciale sectie gereserveerd.

Figuur 4.12: De security sectie van een group policy.

Zoals u kunt zien in Figuur 4.12 lopen de mogelijkheden tot het beveiligen via group policies zeer uiteen. Tabel 4.2 geeft een overzicht van de mogelijkheden.

Tabel 4.2: Security-opties binnen een group policy.

Group policy onderwerp	Onderdelen	Omschrijving
Computer configuration\Windows Settings\ Security Settings	Account Policies Local Policies Event Log Restricted Groups System Services Registry File System Wireless Network (IEEE 802.11) Policies Public Key Policies Software Restriction Policies IP Security Policies on Active Directory (domain)	Account Pol: Instellingen met betrekking tot gebruikersaccounts die op de betreffende computer aanwezig zijn. De instellingen gaan over wachtwoordeisen, lockouts en hoe Kerberos om moet gaan met gebruikers. Local Pol: Hier kunt u opgeven of Auditing moet worden toegepast en waarop. Ook kunt u hier opgeven welke rechten gebruikers hebben op de computer die door deze group policy geconfigureerd is. Daarnaast kunt u ook nog tal van andere security options opgeven. Dit loopt van pagefile behavior tot de manier waarop wachtwoorden worden uitgewisseld tussen deze computer en andere computers op het netwerk. Event Log: Instellingen waaraan de event logs van de betreffende computers aan moeten voldoen. Een opvallende instellingen is dat het mogelijk is een computer uit te schakelen op het moment dat het security logbestand vol is. Restricted Groups: Het is mogelijk om vanuit een group policy te bepalen welke groepen, welke leden bevatten. Dit stelt u in met behulp van restricted groups. Deze instellingen overschrijven de instellingen die u doet in Local Users and Groups op client computers of member server. Het overschrijft ook de groepen die u aanmaakt in Active Directory. System Services: Hier kunt u bepalen welke services draaien op geaffecteerde computers. Registry: Hier kunt u opgeven welke gebruikers bepaalde permissies hebben op de verschillende registersleutels op de computer. File System: U kunt hier NTFS rechten bepalen voor bestanden op de harde schijf van de geaffecteerde computer. Wireless: Een Wireless policy geeft u de mogelijkheid om voor een client computer te bepalen met wat voor draadloze netwerk deze kan verbinden. Daarnaast kunt u ook opgeven met welk SSID en WEP key de verbinding tot stand moet worden gebracht. Public Key: PKI instellingen over onder andere EFS en Trusted Root Certification Authorities. Software: Om aan te geven welke applicaties niet mogen worden uitgevoerd op de geaffecteerde computers moet u hier uw instellingen doen. IPSec: Voor configuratie van IPSec policies.
User configuration\Windows Settings\ Security Settings	Public Key Policies Software Restriction Policies	Public Key: PKI instellingen voor auto-enrollment. Software: Om aan te geven welke applicaties niet mogen worden uitgevoerd door geaffecteerde gebruikers moet u hier uw instellingen doen.

Tijdens een standaardinstallatie van Active Directory worden twee group policies aangemaakt die speciaal voor de beveiliging van de computers binnen uw netwerk:

• Domain Security Policy: In deze group policy kunt u instellingen doen met betrekking tot beveiliging die moeten gelden voor alle computers in het domain. Ook kunt u hier beveiligingsinstellingen doen die betrekking hebben op gebruikersaccounts. De instellingen die gaan over de wachtwoorden van de gebruikers die in Active Directory worden beschreven moet u zelfs vanuit deze group policy instellen. Instellingen die u bijvoorbeeld in deze group policy zou kunnen doen omwille van de domain security zijn:
  • Wachtwoordinstellingen van uw gebruikers
  • Account lockout policies
  • Kerberos policies

• Domain Controller Security Policy: Deze group policy is speciaal voor het beveiligen van uw domain controllers. Omdat deze machines cruciale informatie over het netwerk bevatten én ook de Active Directory database waarin de gebruikeraccounts en computeraccounts zijn opgeslagen op deze machines is terug te vinden, is het belangrijk om extra beveiligingsmaatregelen te nemen voor dit soort machines. Deze beveiligingsmaatregelen neemt u vanuit deze group policy. Instellingen die u zou kunnen doen voor uw domain controllerbeveiliging:
  • Toegang tot de domain controllers vanaf het netwerk.
  • Het recht tot lokaal inloggen op de domain controller.
  • De manier waarop wachtwoorden van gebruikers via het netwerk naar de domain controllers worden verstuurd vanaf de client computers.

4.6 Security Templates.

Het is erg aannemelijk dat door alle mogelijke security instellingen u het overzicht kwijt raakt. Daarbij zijn er zo veel verschillende instellingen die u kunt doen dat het heel begrijpelijk is dat u niet weet welke instellingen goed zijn voor uw netwerk en welke niet. Om het beveiligen van uw netwerk met behulp van group policies wat te vereenvoudigen worden bij een standaardinstallatie van Windows Server 2003 een aantal security templates meegeleverd. Bij deze security templates moet u denken aan voorbeelden van security instellingen die u kunt toepassen binnen uw netwerk. U wordt ook in staat gesteld zelf uw eigen security templates aan te maken voor verdere distributie binnen uw bedrijf. De standaard templates kunt u ook wijzigen naar eigen smaak. Om uw security templates te beheren heeft u een speciale snap-in voor uw management console nodig. Daarnaast is er ook nog een snap-in die het testen van deze templates mogelijk maakt beschikbaar. U neemt de volgende stappen om beide snap-in’s te toe te voegen aan een lege management console.

1. Klik op start en vervolgens op run.

1. Typ MMC en klik vervolgens op OK.

1. Klik op File en vervolgens op Add/Remove Snap-In.

1. In het venster dat wordt geopend klikt u opnieuw op Add. Er wordt een lijst met beschikbare snap-in’s getoond.

1. Uit de getoonde lijst kiest u Security Templates en klikt u vervolgens op Add.

1. U kiest ook voor Security Configuration and Analysis en klikt vervolgens opnieuw op Add. U klikt vervolgens op Close.

1. Tot slot klikt u op OK om weer terug te keren in het beginscherm van de management console. Daar vindt u nu de twee toegevoegde snap-in’s.

Als u klaar bent met aanmaken van uw security template management console, kunt u de meegeleverde security templates bekijken door de map security templates open te vouwen.

Figuur 4.13: De lijst met meegeleverde security templates.

Tabel 4.3 geeft een omschrijving van alle security templates.

Tabel 4.3 security templates.

Security Template	Omschrijving	Extra Uitleg
CompatWS.INF	Compatible Workstation	De standaard beveiligingsinstellingen die op een Windows Server 2003 computer aanwezig zijn, zijn veiliger dan die op Windows NT 4.0 aanwezig zijn. Een voorbeeld hiervan is dat super-users onder Windows Server 2003 vergelijkbare rechten hebben als de normale users onder Windows NT 4.0. Hierdoor kunnen de normale gebruikers onder Windows Server 2003 geen applicaties meer installeren en kunnen de applicaties zelf ook minder door opgelegde restricties. Als de CompatWS security template wordt toegepast op een Windows Server 2003, een Windows 2000 of Windows XP computer, wordt op die computer de Windows NT 4.0 beveiligingsmethodiek toegepast zodat applicaties die onder Windows NT 4.0 nog wel werkten ook onder het betreffende besturingssysteem werken.
SecureDC.INF	Secure Domain Controller	Het security template dat een domain controller kan voorzien van extra beveiliging. Onder anderen worden wijzigingen toegepast op: Password Policy. Account Policy Auditing Local Security Settings Security Options Event Log
HiSecDC.INF	High Secure Domain Controller	Dit security template maakt een domain controller nog veiliger dan SecureDC.INF. Het beveiligt op dezelfde punten als SecureDC.INF, maar dan met nog veiligere instellingen.
SecureWS.INF	Secure Workstation	Dit security template is vergelijkbaar met SecureDC.INF, maar is special ontworpen voor client besturingssystemen zoals Windows 2000 Professional en Windows XP Professional. U zou dit security template ook kunnen gebruiken voor Windows 2000 Servers of Windows Server 2003 computer die niet geconfigureerd zijn als Domain Controller maar als member server of stand-alone server.
HiSecWS.INF	High Secure Workstation	Vergelijkbaar met HiSecDC maar dan ontworpen voor dezelfde systemen als SecureWS.INF.
Setup_Security.INF	Setup Security	De security instellingen die standaard bij een schone installatie van Windows Server 2003 worden toegepast. Als u een Windows Server 2003 computer heeft geïnstalleerd, maar u heeft dat gedaan middels een upgrade vanaf bijvoorbeeld Windows NT 4.0, dan zijn uw beveiligingsinstellingen nog op het niveau van Windows NT 4.0. Om de beveiligingsinstellingen te gebruiken die u gehad zou hebben als u een schone installatie had toegepast, kunt u dit security template gebruiken.
IEsACLs.INF	Internet Explorer Access_Control_Lists	Dit security template zorgt ervoor dat Internet Explorer iets minder veilig is dan bij een standaardinstallatie gebruikelijk is. Dit werkt vooral prettiger omdat u niet bij elke website die u bezoekt moet aangeven of u deze vertrouwt.
RootSec.INF	%Systemroot% directory_security	Dit security template maakt uw %systemroot% directory veiliger door het aanpassen van de NTFS rechten daarop. Uw %systemroot% directory is de directory waarin u windows heeft geïnstalleerd. Standaard is dit de c:\Windows directory.

Ondanks dat Microsoft standaard acht security templates meelevert met Windows Server 2003, kan het voorkomen dat er geen security template naar uw smaak aanwezig is. Een netwerk bestaat immers uit meer verschillende computers dan domain controllers, member-servers en werkstations. U zou op zoek kunnen zijn naar beveiligingsinstellingen voor webserver, mailservers, database servers enzovoorts. Daarvoor moet u het internet op. Zo kunt u bijvoorbeeld terecht bij het National Security Agency in de USA. www.snac.gov. Alle security templates die u heeft gedownload kunt u plaatsen in de map c:\windows\security\templates. Vanuit die directory zijn de security templates beschikbaar in de security templates management console.

U kunt ook uw eigen security tempates maken in de security templates management console. U klikt dan met de rechter muisknop op security templates en klikt vervolgens op New.

Security Configuration and Analysis.

Als u een security template heeft waarin u zichzelf kunt vinden qua beveiligingsinstellingen, kunt u bekijken of uw computer voldoet aan de eisen die in dat security template worden gesteld. Dit doet u met de Security Configuration and Analysis management console. Om een dergelijke controle uit te voeren onderneemt u de volgende stappen:

1. Klik met de rechter muisknop op Security Configuration and Analysis en klik vervolgens op Open Database.

1. In het venster dat wordt geopend moet u een naam intoetsen waaraan u uw controleresultaten kunt herkennen. Nadat u een naam heeft opgegeven klikt u op Open.

1. Een nieuw venster wordt geopend. In dit venster ziet u alle security templates die beschikbaar zijn in de c:\windows\security\templates directory. U selecteert een security template waarmee u uw computer wilt vergelijken. Nadat u het gewenste security template heeft geselecteerd, klikt u op Open.

1. U bent weer terug beland in het beginscherm van de Security Configuration and Analysis management console. U klikt nogmaals met de rechter muisknop op security configuration and analysis. Daarna klikt u op Analyse computer now.

1. Een pop-up scherm wordt weergegeven waarin u kunt opgeven waar het logbestand met eventuele foutmeldingen moet worden opgeslagen. Geef een gewenste directory op en klik op OK.

Afhankelijk van de werksnelheid van uw computer ziet u een actie venster waarin alle onderdelen van een security template gecheckt worden en worden vergeleken met de instellingen van uw computer op dit moment.

Figuur 4.14: Het actie venster: uw computerinstellingen worden vergeleken met de beveiligingsinstellingen zoals deze in het security template worden gesteld.

1. U bent terug beland in het beginscherm van de Security Configuration and Analysis management console. Echter, nu vindt u hieronder een lijst met alle mogelijk beveiligingsinstellingen die in een security template mogelijk zijn.

1. Als u door de mappen heen bladert, zult u zien dat per setting een tweetal waarden worden getoond.

De kolom database setting geeft weer welke eis er wordt gesteld in het security template, de kolom computer setting geeft weer welke instelling op dit moment geld voor de computer. Aan het icoon aan het begin van iedere regel kunt u zien of uw computer voldoet aan de eisen van het security template of dat uw computer volgens het security template nog niet veilig genoeg is.

Figuur 4.15: Het resultaat van de analyse die is uitgevoerd in de Security Configuration and Analysis management console.

1. Als u uw computer wilt configureren zoals beschreven in het door u geselecteerde security template, klikt u met de rechter muiskop op security configuration and analysis, en klikt u vervolgens op configure computer now.

Tot nu toe is het gebruik van security templates steeds beschreven in een situatie waarbij slechts één computer wordt geconfigureerd met betrekking tot beveiliging. Door gebruik van group policies kunt u hele organizational units, althans de computer objecten daarin, voorzien van de security instellingen die u wilt gebruiken, maar dan in één keer voor meerdere computers tegelijk. Om dit te kunnen doen is het belangrijk dat u precies weet hoe u group policies kunt configureren en wat de mogelijkheden zijn.

4.7 Group policy beheer.

In deze paragraaf leert u hoe u group policies kunt beheren. Eerst wordt besproken hoe u group policies kunt aanmaken en hoe u de gewenste instellingen kunt doen. Daarna leert u hoe kunt testen of de instellingen die u heeft gedaan ook daadwerkelijk werken voor de gebruikers en computers in uw netwerk. Ook leert u hoe u uw security templates via group policies kunt uitrollen naar de computers in uw netwerk op een snelle en eenvoudige manier.

De group policy management console.

Group policies worden beheerd vanuit de group policy management console. Zoals u eerder heeft kunnen lezen moet u deze eerst downloaden van de website van microsoft. Als u de group policy management console heeft geïnstalleerd, kunt u uw group policies gaan beheren. Wat de mogelijkheden van de group policy management console zijn leert u tijdens het aanmaken van een group policy en het onderhouden daarvan.

4.7.1 De eerste fase: het creëren van een group policy.

Zoals u eerder heeft kunnen lezen in dit hoofdstuk, worden group policies in Active Directory opgeslagen in de policies container, en kunt u links aanmaken op Site, Domain en Organizational Unit niveau. Op juist die niveaus maakt u ook de group policy objecten aan in de group policy management console. Dit gaat werkt als volgt.

1. Open de group policy management console vanuit het startmenu.

1. Vouw achtereenvolgens het domain open en klik met de rechter muisknop op het niveau waarop u een group policy wilt aanmaken. Klik vervolgens op Create and Link a GPO here. Als u een group policy wilt aanmaken die wordt gekoppeld aan een Active Directory Site, moet u eerst de map Sites openvouwen en daarna aangeven aan welke site u de nieuwe group policy wilt koppelen.

1. Een nieuw venster wordt geopend waarin u kunt aangeven wat de naam van het nieuwe group policy object wordt. Klik vervolgens op OK.

Dat een group policy op de verschillende niveaus slechts een link is naar een group policy object in de policies container wordt helemaal duidelijk als u de group policy gaat aanpassen. Als u met de rechter muisknop klikt op de group policy en vervolgens klikt op edit, krijgt u de waarschuwing zoals weergegeven in Figuur 4.16.

Figuur 4.16: Een group policy is slechts een verwijzing naar het group policy object dat u terugvindt in de policies container in Active Directory.

Op dit moment is er een lege group policy aangemaakt. Hoewel er nog geen enkele instelling in de group policy is gedaan, heeft Active Directory toch al een aantal instellingen op het group policy object zelf toegepast. Om deze standaardinstellingen te bekijken heeft u een aantal tabbladen tot uw beschikking.

• Scope: Het eerste tabblad, scope, geeft aan, aan welke Sites, Domains en Organizational Units het betreffende group policy object ook is gekoppeld. Daarnaast kunt u zien welke gebruikers, computers en groepen geaffecteerd zijn met deze group policy. Als hetzelfde group policy object ook nog is gekoppeld aan een ander domain of een organizational unit in een ander domain, is dit ook zichtbaar nadat u dat andere domain heeft geselecteerd in het veld bij Display links in this location. Helemaal onderaan in dit tabblad, kunt u zien welk WMI filters zijn gekoppeld aan het group policy object dat u aan het bekijken bent. WMI staat voor Windows Management Instrumentation en is een Query language die u in staat stelt queries te doen die gaan over de hard- en software van een computer. WMI filters zouden worden kunnen gebruikt in combinatie met group policies die software uitrollen. Zo zou u ervoor kunnen zorgen dat voordat een group policy gaat draaien, eerst een controle wordt uitgevoerd, zodat alleen computers met voldoende vrije harde schijfruimte een bepaalde applicatie krijgen geïnstalleerd.

Figuur 4.17: Het tabblad Scope laat u onder andere zien aan welke domains, sites en organizational units een group policy object is gekoppeld.

• Details: Op het tabblad details vindt u Active Directory informatie over het group policy object dat deze group policy inhoudt. Onder andere vindt u hier in welk Active Directory domain de group policy is opgeslagen, en wat de Global Unique IDentifier, GUID, van het group policy object is. Tevens vindt u informatie over de versienummers van de group policy zelf en wanneer het group policy object voor is aangemaakt en wanneer het voor het laatst is gewijzigd.

Figuur 4.18: Active Directory informatie over een group policy object leest u op het tabblad Details.

• Settings: Dit tabblad geeft weer welke instellingen er zijn gezet in het group policy object zelfs. Zo heeft u in een keer het gehele overzicht met alle zaken dit in de group policy zijn geregeld. Voorheen moest u de hele group policy doorspitten om een indruk te krijgen van de ingestelde zaken. Het opbouwen van het scherm met alle instellingen kan enige tijd duren, afhankelijk van de snelheid waarmee uw computer opereert.

Figuur 4.19: De echte instellingen die in de group policy zijn gedaan treft u in een mooi overzicht aan op het tabblad Settings.

• Delegation: Net zoals ieder ander object in Active Directory, heeft ook een group policy object een Access Control List. Deze vindt u onder het tabblad Delegation. Hier kunt u aangeven welke gebruikers of groepen van gebruikers, bepaalde rechten hebben op het group policy object.

Figuur 4.20: De ACL van een group policy object wordt weergegeven op het tabblad Delegation.

4.7.2 De tweede fase: Het vullen van de group policy met instellingen.

Tot nu toe is de group policy die u heeft aangemaakt nog helemaal leeg. Hoewel deze group policy wél door uw computer- of useraccount gebruikt zal tijdens het opstarten of inloggen, zal er nog niets veranderen door het gebruik van deze group policy. Het vullen van een group policy object doet u op de hieronder beschreven manier.

1. Klik met de rechter muisknop op de group policy die u wilt wijzigen. Klik vervolgens op Edit.

1. De group policy object editor wordt geopend. Een nieuw venster met daarin de “computer settings” en de “user settings”.

1. De instellingen die u kunt zetten heeft u eerder in dit hoofdstuk kunnen lezen bij paragraaf 5.4.

1. Afhankelijk van het soort instelling dat u gebruikt, kunt u aangeven wat er met deze instelling moet gebeuren. Sommige instellingen vereisen een tekstuele invoer, zoals bijvoorbeeld de instellingen die gaan over het aanwijzen van een server voor Windows Updates. Veruit de meeste instellingen doet u zoals weergeven in Figuur 4.21 waarin u drie keuzes heeft.

· Not configured: Dit is veelal de standaard instelling. Not configured geeft aan dat deze group policy niets doet met de betreffende instelling. Als het zo is dat er eerder een andere group policy in behandeling is genomen, tijdens opstarten of inloggen, zal die instelling niet aangepast worden en wordt dan ook de instelling van die eerder behandelde group policy doorgevoerd.

· Enabled: De instelling wordt enabled, dus aangezet. Het is bij Enabled/Disabled heel erg belangrijk dat u de instelling goed leest. In het voorbeeld van Figuur 4.21 ziet u “Remove Run menu from Start menu”. Deze instelling zorgt ervoor dat als een gebruiker inlogt, hij of zij niet het Run knopje heeft in het start menu. In dat geval is die knop Removed. Maar omdat de regel “Remove Run menu from Start menu” zegt, moet deze instelling worden enabled om het gewenste resultaat te krijgen.

· Disabled: Hiervoor geldt hetzelfde als Enabled, maar dan vice versa. De instellingen Enabled/Disabled overschrijven de instellingen die uit eerder behandelde group policies zijn gezet, tenzij die eerder behandelde group policies de “force” optie hebben ingeschakeld.

Figuur 4.21: De meeste instellingen binnen een group policy object zet u op deze manier, met de opties: Not configured, Enabled of Disabled.

1. Als u klaar bent met het zetten van alle gewenste instellingen, kunt u de group policy object editor afsluiten met behulp van het kruisje, rechtboven in het group policy object editor venster.

1. Om tot slot te controleren welke instellingen u heeft gezet, kunt u het tabblad settings gebruiken om een overzicht hiervan te krijgen.

Figuur 4.22: Een overzicht van de inhoud van het geselecteerde group policy object vindt u in het tabblad Settings.

Het zou kunnen dat u niet wilt dat gebruikers en computers die zijn geplaatst in een bepaalde Organizational Unit geaffecteerd worden door de door u aangemaakte group policy. Om dat voor elkaar te krijgen kunt u gebruik maken van de Block Inheritance mogelijk die u op Organizational Units kunt instellen.

1. Als u gebruik wilt maken van de mogelijk tot het blokkeren van de group policy inheritance, klikt u met de rechter muisknop op het niveau vanwaar de blokkering moet intreden. Vervolgens klikt u op Block Inheritance.

Figuur 4.23: Het uitroepteken als aanduiding dat het group policy inheritance is geblokkeerd vanaf een Organizational Unit.

Naast de mogelijkheid om voor gehele Organizational Units de doorgang van group policies te blokkeren, bestaat ook de mogelijkheid om voor enkele gebruikers, enkele computers en groepen van beiden uit te sluiten van gebruik van het group policy object. Dit kunt u doen door gebruik te maken van het Deny Apply Group Policy recht in de Access Control List die hoort bij het group policy object in Active Directory.

1. Om gebruik te maken van het Deny Apply Group Policy recht, navigeert u naar het tabblad Delegation en klikt u op Advanced. Daar treft u mogelijkheid tot het gebruik van het Deny Apply Group Policy recht aan in de Access Control List.

Figuur 4.24 De Access Control List van een group policy object waarop u het Deny Apply Group Policy recht kunt instellen.

4.7.3 De derde fase: Een group policy testen.

Nadat u al uw group policies heeft aangemaakt en heeft geconfigureerd, kunt u gaan testen of uw nieuwe group policies ook daadwerkelijk het gewenste resultaat opleveren. Globaal gezien kunt u op twee manieren testen of de door u ingestelde group policies werken.

1. U kunt uw gebruikers vragen om opnieuw de computers te herstarten en vervolgens opnieuw in te loggen in het Active Directory domain. Als de gebruikers aangeven dat er een aantal zaken zijn gewijzigd, weet u dat uw group policies werken. Het gewenste resultaat zult u niet direct hieruit kunnen opmaken omdat veel instellingen dieper in windows zitten dan het startmenu en de desktop.
2. De tweede manier om te controleren of uw group policies precies doen wat u ze heeft opgedragen, is door gebruik te maken van de Resultant Set of Policy wizards, afgekort RSoP. Er zijn twee RSoP wizards beschikbaar in de group policy management console.

· Group Policy Results: In deze wizard kunt u opgeven welke gebruiker op welke computer inlogt, virtueel. Het RSoP component zal daarop uitrekenen welke instellingen effectief zijn voor die gebruiker in die situatie.

· Group Policy Modeling: Deze wizard geeft u de mogelijkheid een aantal zaken anders dan de werkelijkheid op te geven. U zou deze wizard kunnen gebruiken om na te bootsen wat voor group policies er effectief zouden zijn als een gebruiker bijvoorbeeld lid was van een bepaalde group of in opgeslagen zou zijn in een andere organizational unit als de huidige. Ook voor het computerobject in Active Directory zou u dit kunnen veranderen, virtueel. Opnieuw wordt uitgerekend wat de effectieve instellingen zouden zijn en uit welk group policy object deze instellingen voortkomen.

Group Policy Results.

Het gebruik van de group policy results wizard gaat als volgt in zijn werk.

1. Klik met de rechter muisknop op group policy results en klik vervolgens op Group Policy Results Wizard.

Figuur 4.25: Start de group policy results wizard op.

1. Een nieuw venster wordt geopend, het Group Policy Results Wizard venster. Dit eerste venster is verantwoordelijk voor Computer Selection. U kunt hier opgeven op welke computer de nog te bepalen gebruiker virtueel gaat inloggen. Selecteer een computer en klik op Next.

Figuur 4.26: Geef aan, op welke computer u wilt simuleren.

1. In het User Selection venster selecteert u een user-object en klikt u vervolgens op Next.

Figuur 4.27: Specificeer het user-object waarvan u de effectieve group policy instellingen wilt bekijken.

1. Klik op Next in het Summary of Selections venster om de wizard te voltooien.

Figuur 4.28: Het totale overzicht van de door u opgegeven opdracht.

U kunt nadat de group policy results wizard zijn werk heeft gedaan inzicht krijgen in welke group policies zijn gesimuleerd door het RSoP component.

Figuur 4.29: U kunt bekijken welke group policies virtueel zijn behandeld door het RSoP component.

Group Policy Modeling.

Als u gebruik wilt maken van de group policy modeling wizard, gaat u als volgt tewerk.

1. Klik met de rechter muisknop op Group Policy Modeling en klik vervolgens op Group Policy Modeling Wizard.

Figuur 4.30: Start de group policy modeling wizard.

2. In het Domain Controller Selection venster, kunt u aangeven welke domain controller in de simulatie wordt gebruikt. Kies uit een van de beschikbare domain controllers of kies voor Any Domain controller, en klik vervolgens op Next.

Figuur 4.31: Geef aan bij welke domain controller er wordt geauthenticeerd.

3. In het User and Computer Selection venster kunt u aangeven om welke gebruiker en welke computer het in de simulatie draait. U kunt kiezen of u een computer aan wijst via standaard Windows manier, of u kunt ervoor kiezen een container aan te wijzen en gebruik te maken van de x.500 taal door middel van Distinguished Names. Geef op welk user-object en welk computer-object u wilt gebruiken, klik vervolgens op Next.

Figuur 4.32: Geef aan welke gebruiker en welke computer in uw simulatie worden gebruikt.

4. Het venster Advanced Simulation Options geeft u de mogelijkheid extra, geavanceerde, opties toe te voegen aan de simulatie die de group policy modeling wizard voor u uitvoert. Zo kunt u ook bekijken hoe de group policies reageren en werken als een gebruiker over een traag netwerk inlogt, of dat er gebruik gemaakt moet worden van loopback processing. (Loopback Processing wordt veelal gebruikt voor kiosk-computers waar bepaalde user-instellingen doorgevoerd moeten worden, ongeacht welke gebruiker daarop inlogt.) Maak uw keuze en klik vervolgens op Next.

Figuur 4.33: Geef aan welke advanced options in de simulatie moeten worden nagebootst.

5. In het venster voor Alternate Active Directory Paths kunt u de plaats simuleren waar de computer en gebruiker zich bevinden tijdens het inloggen of opstarten. Nadat u de Active Directory paths heeft opgegeven, klikt u op Next.

Figuur 4.34: Geef een plaats aan, waar de computer en de gebruiker in uw simulatie zijn gevestigd.

6. Om aan te geven van welke Active Directory groups de gebruiker, in uw simulatie, lid is, gebruikt het venster User Security Groups. Geef aan van welke groepen de gebruiker lid is in uw simulatie, klik vervolgens op Next.

Figuur 4.35: Geef aan van welke groepen de gebruiker in uw simulatie lid is.

7. Om in uw simulatie ook voor het computer account alternatieve groepslidmaatschappen op te geven, gebruikt u het tabblad Computer Security Groups. Geef aan van welke groepen de computer lid is in uw simulatie, klik vervolgens op Next.

Figuur 4.36: Geef aan van welke groepen de computer lid is in de nagebootste omgeving.

8. In het venster WMI Filters for Users geeft u op met welke WMI filters het user-object te maken krijgt in uw simulatie. Selecteer een WMI filter en klik vervolgens op Next.

Figuur 4.37: Geef aan, als u dat nodig is, of in de simulatie ook nog rekening moet worden gehouden met WMI filters voor gebruikers.

9. In het venster WMI Filters for Computer geeft u op met welke WMI filters het computer-object te maken krijgt in uw simulatie. Selecteer een WMI filter en klik vervolgens op Next.

Figuur 4.38: Geef aan of in uw simulatie WMI filters voor computers moeten worden gebruikt.

10. Een overzicht van de uit voeren simulatie wordt weergegeven in het venster Summary of Selections. Klik op Next.

Figuur 4.39: Het totale overzicht van alle instellingen die moeten worden gesimuleerd.

11. Klik op Finish in het venster Completing the Group Policy Modeling Wizard om de simulatie te starten.

Figuur 4.40: De simulatie wordt gestart zodra u op Finish heeft geklikt.

Nadat u op Finish heeft geklikt, doet de group policy modeling wizard zijn werk. Dit kan even duren.

Als het gehele proces, de simulatie, klaar is, kunt u kiezen uit een drietal tabbladen om de resultaten te bekijken:

• Summary: Op dit tabblad kunt u zien hoe het verwerken van de group policy objecten is verlopen. Informatie over welke group policy objecten zijn gebruikt, en waaom deze zijn gebruikt en of het is gelukt dit goed te doen.

Figuur 4.41: Het overzicht van de group policies die door de group policy modeling wizard zijn gebruikt in de simulatie vindt u op het tabblad summary.

• Settings: De informatie die u vindt op het tabblad settings, zijn de uiteindelijke instellingen die de gebruiker en de computer zou gebruiken als de situatie exact zó zou zijn, als in de simulatie.

Figuur 4.42: Het resultaat van de simulatie. Op het tabblad settings ziet u het complete overzicht van instellingen die voortkomen uit group policy objecten.

• Query: Om nog eens te bekijken wat u voor instellingen heeft gedaan in de group policy modeling wizard, bekijkt u het tabblad query.

Figuur 4.43: De query die u in de group policy modeling wizard heeft samengesteld ziet u op het tabblad query.

4.8 Onderhoud van uw group policy objecten vanuit de group policy management console.

Nadat u uw group policies heeft geconfigureerd zoals u dat wilde, is het handig om ervoor te zorgen dat u een back-up maakt van uw group policy objecten. In deze paragraaf leert u hoe u een back-up kunt maken van uw group policy objecten en hoe u deze back-ups kunt terugzetten. Ook leert u group policy objecten exporteren en importeren. Feitelijk is het maken van een back-up hetzelfde als het exporteren van group policy objecten. Het is slechts het doel van de actie dat het verschil maakt. Een back-up maakt u omdat u niet wilt dat u de inhoud van de group policy objecten kwijt raakt tijdens een crash of door een andere reden. Het exporteren van group policy objecten heeft als doel de group policy objecten te gaan gebruiken in een andere omgeving dan de huidige.

Back-up.

Het maken van een back-up van uw group policies, doet u middels de volgende stappen.

1. Klik met de rechter muisknop op de Group Policy Objects map, en klik vervolgens op Back Up All.

Figuur 4.44: De group policy management console back-up tool wordt gestart.

2. Er wordt een nieuw venster geopend, het venster Back Up Group Policy Object. In dit venster moet u de locatie opgeven waar de back-up van de group policy objecten moet worden opgeslagen, dit doet u in het veld bij Location. Ook kunt u een omschrijving geven van de back-up, deze kunt u invullen in het veld bij Description.

3. Klik op Back Up om het back-uppen te starten.

Figuur 4.45: Nadat u de back-up locatie en een treffende omschrijving heeft ingevoerd, kunt de back-up procedure starten.

4. Het venster Backup geeft weer hoe ver de group policy management console is met het maken van de back-up, en of het is gelukt of dat er fouten zijn ontstaan. Nadat de back-up procedure is afgerond klikt u op OK om de group policy back-up tool te sluiten.

Figuur 4.46: De back-up is geslaagd.

Goede momenten voor het maken van een back-up van uw group policy objecten zijn er niet heel veel. Normaal gesproken zullen de group policies niet vaak wijzigen. Maak daarom een back-up van uw group policies telkens als u wijzigingen aanbrengt in een group policy object. U heeft dan van iedere “versie” van uw group policy objecten een back-up.

Restore.

Hopelijk heeft u het nooit nodig, maar als het toch zo is, moet u in staat zijn de back-up terug te zetten, ofwel restoren. Om dit te kunnen doen, onderneemt u de volgende stappen.

1. Klik met de rechter muisknop op de Group Policy Objects map, en klik vervolgens op Manage Backups.

Figuur 4.47: Zo start u de group policy management console back-up manager.

2. Een nieuw venster wordt geopend, het venster Manage Backups. Hier heeft u de mogelijkheid uw reeds gemaakte back-ups van uw group policy objecten te beheren. Zo kunt u de inhoud van de back-up, lees de instellingen die erin staan, bekijken van de back-up die u heeft geselecteerd. Ook kunt u oude back-ups verwijderen als u een back-up niet meer nodig heeft als het bijvoorbeeld een verouderde back-up betreft.

3. Uiteraard kunt u ook een back-up terugzetten, dit doet u door een back-up te selecteren en vervolgens op Restore te klikken.

Figuur 4.48: U doet uw back-up onderhoud vanuit het venster Manage Backups.

4. Nadat u heeft geklikt op Restore, wordt een volgend scherm geopend. Hierin wordt het restore proces gevolgd en wordt weergegeven of het uiteindelijk succesvol is verlopen of niet.

Figuur 4.49: De restore procedure wordt gevolgd.

4.9 Conclusie

Group policies zijn dé Active Directory objecten die het leven van de netwerk- en systeembeheerder draaglijk maken. Door restricties op te leggen aan gebruikers en computers kan er bijna niets meer misgaan door fouten van de gebruikers. Zelfs de software die wordt geïnstalleerd of wordt opgestart wordt door middel van group policies bepaald. Ook kunt u in één keer de beveiligingsinstellingen zetten voor grote groepen computers, of zelfs alle computers in uw gehele organisatie. De Group Policy Management Console (GPMC) moet vooraf worden gedownload vanaf internet om op een gebruiksvriendelijke manier uw group policy beheer te kunnen doen, maar als het zover is, ligt uw Windows netwerk aan uw voeten.

SCCM 2007 Log File Overview

Please note: this is a copy of a file I found somewhere on the internet. It is used by me to help my SCCM students understand log files in SCCM. So no credits for me in this blog.

Client Log Files

The Configuration Manager 2007 client logs are located in one of the following locations: · On computers that serve as management points, the client logs are located in the SMS_CCM\Logs folder. · On all other computers, the client log files are located in the %Windir%\System32\CCM\Logs folder or the %Windir%\SysWOW64\CCM\Logs.

client log files.

Log File Name	Description
CAS	Content Access service. Maintains the local package cache.
CcmExec.log	Records activities of the client and the SMS Agent Host service.
CertificateMaintenance.log	Maintains certificates for Active Directory directory service and management points.
ClientIDManagerStartup.log	Creates and maintains the client GUID.
ClientLocation.log	Site assignment tasks.
ContentTransferManager.log	Schedules the Background Intelligent Transfer Service (BITS) or the Server Message Block (SMB) to download or to access SMS packages.
DataTransferService.log	Records all BITS communication for policy or package access.
Execmgr.log	Records advertisements that run.
FileBITS.log	Records all SMB package access tasks.
Fsinvprovider.log (renamed to FileSystemFile.log in all SMS 2003 Service Packs)	Windows Management Instrumentation (WMI) provider for software inventory and file collection.
InventoryAgent.log	Creates discovery data records (DDRs) and hardware and software inventory records.
LocationServices.log	Finds management points and distribution points.
Mifprovider.log	The WMI provider for .MIF files.
Mtrmgr.log	Monitors all software metering processes.
PolicyAgent.log	Requests policies by using the Data Transfer service.
PolicyAgentProvider.log	Records policy changes.
PolicyEvaluator.log	Records new policy settings.
Remctrl.log	Logs when the remote control component (WUSER32) starts.
Scheduler.log	Records schedule tasks for all client operations.
Smscliui.log	Records usage of the Systems Management tool in Control Panel.
StatusAgent.log	Logs status messages that are created by the client components.
SWMTRReportGen.log	Generates a usage data report that is collected by the metering agent. (This data is logged in Mtrmgr.log.)

Site Server Log Files

Most Configuration Manager 2007 site server log files are located in the <InstallationPath>\LOGS folder. Because Configuration Manager 2007 relies heavily on Microsoft Internet Information Services (IIS), you can review the IIS log file for additional errors that relate to client access to the IIS server. The IIS log file is located in the %Windir%\System32\logfiles\W3SVC1 folder on the IIS server. The following table lists and describes the site server log files.

Log File Name	Description
Ccm.log	Client Configuration Manager tasks.
Cidm.log	Records changes to the client settings by the Client Install Data Manager (CIDM).
Colleval.log	Logs when collections are created, changed, and deleted by the Collection Evaluator.
Compsumm.log	Records Component Status Summarizer tasks.
Cscnfsvc.log	Records Courier Sender confirmation service tasks.
Dataldr.log	Processes Management Information Format (MIF) files and hardware inventory in the Configuration Manager 2007 database.
Ddm.log	Saves DDR information to the Configuration Manager 2007 database by the Discovery Data Manager.
Despool.log	Records incoming site-to-site communication transfers.
Distmgr.log	Records package creation, compression, delta replication, and information updates.
Hman.log	Records site configuration changes, and publishes site information in Active Directory Domain Services.
Inboxast.log	Records files that are moved from the management point to the corresponding SMS\INBOXES folder.
Inboxmgr.log	Records file maintenance.
Invproc.log	Records the processing of delta MIF files for the Dataloader component from client inventory files.
Mpcontrol.log	Records the registration of the management point with WINS. Records the availability of the management point every 10 minutes.
Mpfdm.log	Management point component that moves client files to the corresponding SMS\INBOXES folder.
MPMSI.log	Management point .msi installation log.
MPSetup.log	Records the management point installation wrapper process.
Ntsvrdis.log	Configuration Manager 2007 server discovery.
Offermgr.log	Records advertisement updates.
Offersum.log	Records summarization of advertisement status messages.
Policypv.log	Records updates to the client policies to reflect changes to client settings or advertisements.
Replmgr.log	Records the replication of files between the site server components and the Scheduler component.
Rsetup.log	Reporting point setup log.
Sched.log	Records site-to-site job and package replication.
Sender.log	Records files that are sent to other child and parent sites.
Sinvproc.log	Records client software inventory data processing to the site database in Microsoft SQL Server.
Sitecomp.log	Records maintenance of the installed site components.
Sitectrl.log	Records site setting changes to the Sitectrl.ct0 file.
Sitestat.log	Records the monitoring process of all site systems.
Smsdbmon.log	Records database changes.
Smsexec.log	Records processing of all site server component threads.
Smsprov.log	Records WMI provider access to the site database.
SMSReportingInstall.log	Records the Reporting Point installation. This component starts the installation tasks and processes configuration changes.
Srvacct.log	Records the maintenance of accounts when the site uses standard security.
Statmgr.log	Writes all status messages to the database.
Swmproc.log	Processes metering files and maintains settings.

 

Admin UI log files

The Admin UI log files are located in <InstallationPath>\AdminUI\. The following table lists and describes the Admin UI log files.

Log File Name	Description
RepairWizard.log	Records errors, warnings, and information about the process of running the Repair Wizard.
ResourceExplorer.log	Records errors, warnings, and information about running the Resource Explorer.
SMSAdminUI.log	Records the local Configuration Manager 2007 console tasks when you connect to Configuration Manager 2007 sites.

Management Point Log Files

If management points are installed in the site hierarchy, management point log files are stored in the SMS_CCM\LOGS folder on the management point computer. The following table lists and describes the management point log files.

Log File Name	Description
MP_Ddr.log	Records the conversion of XML.ddr records from clients, and copies them to the site server.
MP_GetAuth.log	Records the status of the site management points.
MP_GetPolicy.log	Records policy information.
MP_Hinv.log	Converts XML hardware inventory records from clients and copies the files to the site server.
MP_Location.log	Records location manager tasks.
MP_Policy.log	Records policy communication.
MP_Relay.log	Copies files that are collected from the client.
MP_Retry.log	Records the hardware inventory retry processes.
MP_Sinv.log	Converts XML hardware inventory records from clients and copies them to the site server.
MP_Status.log	Converts XML.svf status message files from clients and copies them to the site server.

Mobile Device Management Log Files

If mobile device management is enabled in the site hierarchy, mobile device management point log files are generally stored in the <ConfigMgrInstallPath>\LOGS folder on the mobile device management point computer. The following table lists and describes the mobile device management point log files.

Mobile Device Management Point Logs

Log File Name	Description
DmClientHealth.log	Records the GUIDs of all the mobile device clients that are communicating with the Device Management Point.
DmClientRegistration.log	Records registration requests from and responses to the mobile device client in Native mode.
DmpDatastore.log	Records all the site database connections and queries made by the Device Management Point.
DmpDiscovery.log	Records all the discovery data from the mobile device clients on the Device Management Point.
DmpFileCollection.log	Records mobile device file collection data from mobile device clients on the Device Management Point.
DmpHardware.log	Records hardware inventory data from mobile device clients on the Device Management Point.
DmpIsapi.log	Records mobile device communication data from device clients on the Device Management Point.
dmpMSI.log	Records the MSI data for Device Management Point setup.
DMPSetup.log	Records the mobile device management setup process.
DmpSoftware.log	Records mobile device software distribution data from mobile device clients on the Device Management Point.
DmpStatus.log	Records mobile device status messages data from mobile device clients on the Device Management Point.
FspIsapi.log	Records Fallback Status Point communication data from mobile device clients and client computers on the Fallback Status Point.

Mobile Device Management Client Logs

For the locations of log files on managed mobile devices and on computers that are used to deploy the mobile device client, see How to Configure Logging for Windows Mobile and Windows CE Devices. The following table lists and describes the mobile device management client log files.

Log File Name	Description
DmCertEnroll.log	Records certificate enrollment data on mobile device clients.
DMCertResp.htm (in \temp)	Records HTML response from the certificate server when the mobile device Enroller program requests a client authentication certificate on mobile device clients.
DmClientSetup.log	Records client setup data on mobile device clients.
DmClientXfer.log	Records client transfer data for Windows Mobile Device Center and ActiveSync deployments.
DmCommonInstaller.log	Records client transfer file installation for setting up mobile device client transfer files on client computers.
DmInstaller.log	Records whether DMInstaller correctly calls DmClientSetup and whether DmClientSetup exits with success or failure on mobile device clients.
DmInvExtension.log	Records Inventory Extension file installation for setting up Inventory Extension files on client computers.
DmSvc.log	Records mobile device management service data on mobile device clients.

Operating System Deployment Log Files

The following table lists and describes the operating system deployment log files.

Log File Name	Description
CCMSetup.log	Provides information about client-based operating system actions.
CreateTSMedia.log	Provides information about task sequence media when it is created. This log is generated on the computer running the Configuration Manager 2007 administrator console.
DriverCatalog.log	Provides information about device drivers that have been imported into the driver catalog.
MP_ClientIDManager.log	Provides information about the Configuration Manager 2007 management point when it responds to Configuration Manager 2007 client ID requests from boot media or PXE. This log is generated on the Configuration Manager 2007 management point.
MP_DriverManager.log	Provides information about the Configuration Manager 2007 management point when it responds to a request from the Auto Apply Driver task sequence action. This log is generated on the Configuration Manager 2007 management point.
MP_Location.log	Provides information about the Configuration Manager 2007 management point when it responds to request state store or release state store requests from the state migration point. This log is generated on the Configuration Manager 2007 management point.
Pxecontrol.log	Provides information about the PXE Control Manager.
PXEMsi.log	Provides information about the PXE service point and is generated when the PXE service point site server has been created.
PXESetup.log	Provides information about the PXE service point and is generated when the PXE service point site server has been created.
Setupact.log Setupapi.log Setuperr.log	Provide information about Windows Sysprep and setup logs.
SmpIsapi.log	Provides information about the state migration point Configuration Manager 2007 client request responses.
Smpmgr.log	Provides information about the results of state migration point health checks and configuration changes.
SmpMSI.log	Provides information about the state migration point and is generated when the state migration point site server has been created.
Smsprov.log	Provides information about the SMS provider.
Smspxe.log	Provides information about the Configuration Manager 2007 PXE service point.
SMSSMPSetup.log	Provides information about the state migration point and is generated when the state migration point site server has been created.
Smsts.log	General location for all operating system deployment and task sequence log events.Log file location:· If task sequence completes when running in the full operating system with a Configuration Manager 2007 client installed on the computer: <CCM Install Dir>\logs· If task sequence completes when running in the full operating system with no Configuration Manager 2007 client installed on the computer: %temp%\SMSTSLOG· If task sequence completes when running in WindowsPE: <largest fixed partition>\SMSTSLOG Note <CCM Install Dir> is %windir%\system32\ccm\logs for most Configuration Manager 2007 clients and is <Configuration Manager 2007 installation drive>\SMS_CCM for the Configuration Manager 2007 site server. For 64-bit operating systems, it is %windir%\SysWOW64\ccm\logs.
TaskSequenceProvider.log	Provides information about task sequences when they are imported, exported, or edited.
USMT Log loadstate.log	Provides information about the User State Migration Tool (USMT) regarding the restore of user state data.
USMT Log scanstate.log	Provides information about the USMT regarding the capture of user state data.

Network Access Protection Log Files

By default, client log files related to Network Access Protection are found in %windir%\CCM\Logs. For client computers that are also management points, the log files are found in %ProgramFiles%\SMS_CCM\Logs.The following table lists and describes the Network Access Protection log files.

Log File Name	Description
Ccmcca.log	Logs the processing of compliance evaluation based on Configuration Manager NAP policy processing and contains the processing of remediation for each software update required for compliance.
CIAgent.log	Tracks the process of remediation and compliance. However, the software updates log file, Updateshandler.log, provides more informative details on installing the software updates required for compliance.
locationservices.log	Used by other Configuration Manager features (for example, information about the client’s assigned site) but also contains information specific to Network Access Protection when the client is in remediation. It records the names of the required remediation servers (management point, software update point, and distribution points that host content required for compliance), which are also sent in the client statement of health.
SDMAgent.log	Shared with the Configuration Manager feature desired configuration management and contains the tracking process of remediation and compliance. However, the software updates log file, Updateshandler.log, provides more informative details about installing the software updates required for compliance.
SMSSha.log	The main log file for the Configuration Manager Network Access Protection client and contains a merged statement of health information from the two Configuration Manager components: location services (LS) and the configuration compliance agent (CCA). This log file also contains information about the interactions between the Configuration Manager System Health Agent and the operating system NAP agent, and also between the Configuration Manager System Health Agent and both the configuration compliance agent and the location services. It provides information about whether the NAP agent successfully initialized, the statement of health data, and the statement of health response.

The System Health Validator point log files are located in %systemdrive%\SMSSHV\SMS_SHV\Logs, and they are listed and described in the following table.

Log File Name	Description
Ccmperf.log	Contains information about the initialization of the System Health Validator point performance counters.
SmsSHV.log	The main log file for the System Health Validator point; logs the basic operations of the System Health Validator service, such as the initialization progress.
SmsSHVADCacheClient.log	Contains information about retrieving Configuration Manager health state references from Active Directory Domain Services.
SmsSHVCacheStore.log	Contains information about the cache store used to hold the Configuration Manager NAP health state references retrieved from Active Directory Domain Services, such as reading from the store and purging entries from the local cache store file. The cache store is not configurable.
SmsSHVRegistrySettings.log	Records any dynamic changes to the System Health Validator component configuration while the service is running.
SmsSHVQuarValidator.log	Records client statement of health information and processing operations. To obtain full information, change the registry key LogLevel from 1 to 0 in the following location:HKLM\SOFTWARE\Microsoft\SMSSHV\Logging\@GLOBAL

Setup information for the System Health Validator point can be found in a setup log file, described in the following table, on the computer running the Network Policy Server.

Log File Name	Description
<ConfigMgrInstallationPath>\Logs\SMSSHVSetup.log	Records the success or failure (with failure reason) of installing the System Health Validator point.

Desired Configuration Management Log Files

By default, the Configuration Manager 2007 client computer log files are found in %windir%\System32\CCM\Logs or in %windir%\SysWOW64\CCM\Logs. For client computers that are also management points, the client log files are located in the SMS_CCM\Logs folder. The following table lists and describes these log files.

Log File Name	Description
ciagent.log	Provides information about downloading, storing, and accessing assigned configuration baselines.
dcmagent.log	Provides high-level information about the evaluation of assigned configuration baselines and desired configuration management processes.
discovery.log	Provides detailed information about the Service Modeling Language (SML) processes.
sdmagent.log	Provides information about downloading, storing, and accessing configuration item content.
sdmdiscagent.log	Provides high-level information about the evaluation process for the objects and settings configured in the referenced configuration items.

Wake On LAN Log Files

The Configuration Manager 2007 site server log files related to Wake On LAN are located in the folder <ConfigMgrInstallationPath>\Logs on the site server. There are no client-side log files for Wake On LAN. The following table lists and describes the Wake On LAN log files.

Log File Name	Description
Wolmgr.log	Contains information about wake-up procedures such as when to wake up advertisements or deployments that are configured for Wake On LAN.
WolCmgr.log	Contains information about which clients need to be sent wake-up packets, the number of wake-up packets sent, and the number of wake-up packets retried.

Software Updates Site Server Log Files

The Configuration Manager 2007 site server log files are found, by default, in <InstallationPath>\Logs. The following table lists and describes the software updates site server log files.

Log File Name	Description
ciamgr.log	Provides information about the addition, deletion, and modification of software update configuration items.
distmgr.log	Provides information about the replication of software update deployment packages.
objreplmgr.log	Provides information about the replication of software updates notification files from a parent to child sites.
PatchDownloader.log	Provides information about the process for downloading software updates from the update source specified in the software updates metadata to the download destination on the site server. Note On 64-bit operating systems and on 32-bit operating systems with no Configuration Manager 2007 installed, PatchDownloader.log is created in the server logs directory. On 32-bit operating systems, if the Configuration Manager 2007 client is installed, PatchDownloader.log is created in the client logs directory.
replmgr.log	Provides information about the process for replicating files between sites.
smsdbmon.log	Provides information about when software update configuration items are inserted, updated, or deleted from the site server database and creates notification files for software updates components.
SUPSetup	Provides information about the software update point installation. When the software update point installation completes, Installation was successful is written to this log file.
WCM.log	Provides information about the software update point configuration and connecting to the Windows Server Update Services (WSUS) server for subscribed update categories, classifications, and languages.
WSUSCtrl.log	Provides information about the configuration, database connectivity, and health of the WSUS server for the site.
wsyncmgr.log	Provides information about the software updates synchronization process.

WSUS Server Log Files

By default, the log files for WSUS running on the software update point site system role are found in %ProgramFiles%\Update Services\LogFiles. The following table lists and describes the WSUS server log files.

Log File Name	Description
Change.log	Provides information about the WSUS server database information that has changed.
SoftwareDistribution.log	Provides information about the software updates that are synchronized from the configured update source to the WSUS server database.

Software Updates Client Computer Log Files

By default, the Configuration Manager 2007 client computer log files are found in %windir%\CCM\Logs. For client computers that are also management points, the log files are found in %ProgramFiles%\SMS_CCM\Logs. The following table lists and describes the software updates client computer log files.

Log File Name	Description
CAS.log	Provides information about the process of downloading software updates to the local cache and cache management.
CIAgent.log	Provides information about processing configuration items, including software updates.
LocationServices.log	Provides information about the location of the WSUS server when a scan is initiated on the client.
PatchDownloader.log	Provides information about the process for downloading software updates from the update source to the download destination on the site server. This log is only on the client computer configured as the synchronization host for the Inventory Tool for Microsoft Updates.
PolicyAgent.log	Provides information about the process for downloading, compiling, and deleting policies on client computers.
PolicyEvaluator	Provides information about the process for evaluating policies on client computers, including policies from software updates.
RebootCoordinator.log	Provides information about the process for coordinating system restarts on client computers after software update installations.
ScanAgent.log	Provides information about the scan requests for software updates, what tool is requested for the scan, the WSUS location, and so on.
ScanWrapper	Provides information about the prerequisite checks and the scan process initialization for the Inventory Tool for Microsoft Updates on Systems Management Server (SMS) 2003 clients.
SdmAgent.log	Provides information about the process for verifying and decompressing packages that contain configuration item information for software updates.
ServiceWindowManager.log	Provides information about the process for evaluating configured maintenance windows.
smscliUI.log	Provides information about the Configuration Manager Control Panel user interactions, such as initiating a Software Updates Scan Cycle from the Configuration Manager Properties dialog box, opening the Program Download Monitor, and so on.
SmsWusHandler	Provides information about the scan process for the Inventory Tool for Microsoft Updates on SMS 2003 client computers.
StateMessage.log	Provides information about when software updates state messages are created and sent to the management point.
UpdatesDeployment.log	Provides information about the deployment on the client, including software update activation, evaluation, and enforcement. Verbose logging shows additional information about the interaction with the client user interface.
UpdatesHandler.log	Provides information about software update compliance scanning and about the download and installation of software updates on the client.
UpdatesStore.log	Provides information about the compliance status for the software updates that were assessed during the compliance scan cycle.
WUAHandler.log	Provides information about when the Windows Update Agent on the client searches for software updates.
WUSSyncXML.log	Provides information about the Inventory Tool for the Microsoft Updates synchronization process. This log is only on the client computer configured as the synchronization host for the Inventory Tool for Microsoft Updates.

Windows Update Agent Log File

By default, the Windows Update Agent log file is found on the Configuration Manager Client computer in %windir%. The following table provides the log file name and description.

Log File Name	Description
WindowsUpdate.log	Provides information about when the Windows Update Agent connects to the WSUS server and retrieves the software updates for compliance assessment and whether there are updates to the agent components.

Windows Intune partner workshop (correction)

Hi, during Teched I ran into Erdal Ozkaya, he really wanted to be named in this blog as he did a great presentation during the International Intune Launch. I will be visiting his session tomorrow at 8:30 about Windows Intune. I love to see my colleague speakers at work.

 

===

 

Hi, at this very moment I am attending the Windows Intune Partner workshop. It contains 5 modules and lasts 1 day and it is deliverd by Rose Malcolm. She writes courseware and is an MCT. Before that she was a CNI.

The modules for this workshop are:

1. Windows Intune Overview

2. Deploying and Installing the Windows Intune Client

3. Computer Administration by Using Windows Intune

4. Windows Intune Systems Management

5. Using the Windows Intune Client

 

During the class a Virtual Machine is handed out which has the following configuration:

- Windows 7

- Office Professional 2010

- Silverlight

- SQL 2005 compact edition

- Sync Framework Runtime Native v1.0

- Sync Framework Services Native v1.0

- VM additions

- Zune

logon: Admin , Pa$$w0rd

 

Windows Intune Overview:

Used to manage client pc’s from the cloud. Windows Intune is aimed at small to midsized businesses at the moment. Larger companies should use SCE or SCCM, SCOM etc.

Client machines connect to servers that are managed by Microsoft using ports 80 and 443. A client must be installed on the client computers you want to manage using Windows Intune. The Windows Intune client is a “pull system”.

Administrators connect to the servers using a webconsole and silverlight, Windows Live ID is required for the administrators. There are two types of administrators:

- Tenant Admin: First admin in an Intune Environment. (first admin in the environment). Cannot be deleted and renaming must be done by Microsoft Support Services. The tenant is used for billing and administrative tasks.

- Service Admin:  Extra admin that has the same powers as the tenant admin. Can be deleted.

Windows Intune is mulit-tenant supporting, meaning that administrators are able to manage multiple customers computers using one single Windows Live ID.

Windows Intune benefits

Customers can buy a 1 year contract minimum, no server-infrastructure needed. After 1 year it becomes a monthly subscription.

Within the subscription (11 Euro’s per client) you will get:

- Windows 7 Enterprise Upgrade license

- Windows Update Management

- Malware protection using Forefront (Windows Intune) Endpoint protection. If you are using Forefront Endpoint Protection or Microsoft Security Essentials, the same engine will be used. Windows Intune will add a few bits to that engine to make sure the engine will report to the Intune Servers.

- Centralized computer management (Firewall settings i.e.)

- Hard- and Software inventory

- Reporting functionality

- License management

- Alerting and Notifications

- Easy Assist for remote assistance to users everywhere

- Client Policies. Active Directory Domain Services Group Policy Objects will take precedence over Windows Intune Policies

 

Product comparison chart.

 

 

MDOP Overview

If you put in 1 Euro extra per client, you are allowed to use MDOP (Microsoft Desktop Optimization Pack) as well. MDOP gives us:

MDOP Benefits

- Diagnostics and Recovery Toolset: Reduces downtime by accelerating desktop repair and recovery, and troubleshooting of Windows-based dekstops that cannot be loaded.

- Advanced Group Policy Management: Provides governance and control over Group Policy through robust change management.

- Asset Inventory Service: Collects software inventory data and translates it into business intelligence.

- Enterprise Desktop Virtualization (med-V): Provides deployment and management of virtual PC images to enable key enterprise scenarios.

- Application Virtualization (app-V): Turns applications into centrally managed services that are never installed, never conflict, and are streamed on demand to end users.

- System Center Desktop Error Monitoring: Enables proactive problem management by analyzing and reporting on application and system crashes.

 

You can see how the cloud servers for Windows Intune are doing through:

http://status.manage.microsoft.com/Statuspage/servicedashboard.aspx

 

Deploying and Installing the client

The Windows Intune client software needs to be installed on all computers you want to manage. For the client software to operate the client computers need at least the following:

Minimum requirements for Windows Intune client software:

- Internet connectivity

- 500 MHz CPU

- 256 MB RAM

- 200 MB Free disk space

- Windows XP Professional SP2

- Windows Vista Business, Enterprise Ultimate

- Windows 7 Professional, Enterprise, Ultimate

Windows Intune Client installation files

The client installation package has a few files:

Windows_Intune_Setup.exe: this file can be extracted into 3 other files:

an x86 MSI installer, an x64 MSI Installer and a certificate.

The EXE determines the OS platform, the MSI’s install the client software on the right platform, the certificate tells the client software to which Windows Intune environment it needs to connect.

note: do not rename any files.

If you want to run a quiet install of the client software, use the following command:

Windows_Intune_Setup.exe /quiet

 

If you want to run an extraction of the MSI’s out of the EXE, run:

Windows_Intune_Setup.exe /extract %temp%

 

Windows Intune Client components

Once the Windows Intune Client Software is installed, you can recognize the following components on the client computer:

Windows Intune Antivirus Software behavior

During the installation the Windows Intune Client wants to install Windows Intune Endpoint Protection. But what happens if your client already has antivirus software installed. Well.. the following happens:

Start Intune Client install:

Q1: Is AV in place? if No? –> install WIEP. If YES –> go to Q2

Q2: MSE of FEP? if YES –> Upgrade to WIEP. If NO –> go to Q3

Q3: Is EP Policy enabled? If NO –> do not install WIEP. If YES –> Q4

Q4: Is AV recognized? If YES –> Uninstall AV, Install WIEP. If NO –> Install WIEP in parallel

 

Troubleshooting the Intune Client installation

It can happen, that the Intune Client fails to install. One of the steps you can do to troubleshoot the installation is by checking the Enrollment.log logfile.

Logfiles

Registry

The registry will be filled with Intune settigns as well. This will happen in the following registrykey:

Computer\HKLM\Software\Microsoft\OnlineManagement

But.. the best way to troubleshoot is being patient. After installing the Intune Client Software it should take 30 minutes maximum to see the Intune Client reporting into the Intune servers and thus the console. But sometimes it just takes longer.

There are a few steps to check connectivity to the Intune Servers and Windows Update Servers. You could use these commands:

wuauclt /detectnow

wuauclt /updatenow

 

 

Windows Updates

One of the Windows Intune client tasks is to detect and install Windows Updates.

 

Clients and updates

Steps:

1. Intune Cloud servers check for new update at Microsoft Updates Service. (every hour)

2. Intune Client checks for updates at Intune Cloud services (every 8 hours, configurable between 8 – 22 hours)

3. Which updates apply to the Client? (WUAUCLT /detectnow) and report to Intune Cloud servers.

4. Are the updates approved? From client to Intune cloud.

5. Approve (done by the Intune Admin)

6. Are the updates approved? From client to Intune cloud.

7. Client will download and install the updates from Microsoft Update Services.

You can force

 

Update management from Windows Intune

The management of updates are very similar to WSUS. A few screenshots:

What kind of update

 

Userful links:

Marketing Material:

https://readytogo.microsoft.com/_layouts/RTG/DownloadCampaign.aspx?campurl=https://readytogo.microsoft.com/Campaign/Pages/Sneak%20Peek%20at%20Windows%20Intune.aspx

Windows Intune homepage:

http://www.microsoft.com/windows/windowsintune/pc-management.aspx

Microsoft Demo Showcase suite:

http://demoshowcasesuite.com/

 

 

Richard Harrison working with Intune group

Windows Intune, cloud based computer management

Hi,

Sinds 23 maart is Windows Intune beschikbaar. Deze cloud based management oplossing helpt je met het beheren van computers, zelfs als ze niet binnen de grenzen van jouw netwerk zijn.

In deze post lees je over de mogelijkheden van Windows Intune en hoe je er het beste mee kunt werken.

Mogelijkheden van Windows Intune

Windows Intune is gemaakt met het oog op het beheren van client computers. Server operating systems worden niet ondersteund. Sterker nog, de Windows Intune Client Software weigert te installeren op een Server OS. De besturingssystemen die wel ondersteund worden zijn: Windows 7, Windows Vista en Windows XP. Over dat laatste moet nog wel iets worden gezegd: Als je Windows Intune licenties koopt, dan zit daar een Windows 7 Enterprise licenties bij.

Na het installeren van de Windows Intune client op een computer ben je in staat de volgende beheerstaken uit te voeren op die computers:

• Windows Update management.
• Anti Malware management.
• Hard- en Software Inventarisatie
• Licentie management
• Windows Firewall management
• Remote Assistance

Bijna alle bovenstaande beheerstaken maken gebruik van een Alerting System, waardoor het mogelijk is voor beheerders om op de hoogte gehouden te worden door middel van e-mail notificaties.

Windows Intune is ook handig voor Solution Providers, je kunt als IT bedrijf Windows Intune gebruiken voor het computerbeheer van meerdere klanten.

Inventarisaties van Hard- en Software

Asset Management is handig. Daarmee krijg je inzicht in dat wat je allemaal bezit als beheerder. Als het om client computers gaat denken we aan hardware en software. Windows Intune gebruikt WMI om erachter te komen welke hard- en software op een client computer aanwezig zijn. Om dat te kunnen bekijken zal de client computer eerst Windows Intune member moeten worden. Als dat het geval is, zie je die computers terug in lijst met computers in de Windows Intune computers view.

Op deze eerste pagina zie ja direct een overzicht van de computers die je bij deze klant (of als je geen solution provider bent, zelf) in beheer hebt. Informatie over het OS en wanneer we voor het laatst contact met die machine hebben gehad zijn zichtbaar. Door op een computer te klikken open je de speciale View voor dat systeem.

Bovenin zie je al de links voor extra informatie over Hardware en Software. Eerst bekijken we de resultaten van de Hardware inventarisatie.

Zoals je ziet een hele lijst met inventarisaties. Je kunt de inventarisatie van Windows Intune niet sturen, dat is een van de beperkingen die je tegenkomt als je werkt met cloud-based oplossingen. Wel is het natuurlijk zo, dat er een zeer uitgebreide inventarisatie wordt uitgevoerd en er dus eigenlijk niets te wensen over blijft op dit vlak. Op dit moment zijn er ook nog geen rapporten beschikbaar voor Hardware Inventarisatie. Om dus een overzicht te krijgen van alle machines met een bepaalde hoeveelheid intern geheugen, of een bepaalde hoeveelheid vrije schijfruimte zul je andere middelen moeten inschakelen. Het is echter helemaal niet ondenkbaar dat er binnenkort extra rapportages worden toegevoegd zodat dit soort rapporten wel beschikbaar zijn.

Voor software geldt hetzelfde als hardware. Een lijst van geinstalleerde software wordt weergegeven.Hiervoor echter, kunnen we wel lijsten krijgen van computers die een bepaalde applicatie hebben geinstalleerd.

En uiteraard ook een lijst van de daadwerkelijk machines met die software.

Dezelfde informatie is ook beschikbaar als Report.

Het leuke van Reports is dat je ze kunt exporteren naar andere formaten om die data te gebruiken voor andere doeleinden.

Tot hier de eerste introductie in Windows Intune. In de volgende posts van deze serie lees je over de andere mogelijkheden van Windows Intune.

Alex de Jong

De Windows XP naar Windows 7 migratie guide

Hi,

Als je nog niet bent overgestapt op Windows 7 dan wordt het zo ongeveer tijd om dat te gaan doen. Uiteraard, zoals elke goede IT’er, ga je niet gelijk met Windows 7 DVD’s strooien en installeren, maar ga je eerst testen of de huidige applicaties het ook doen op Windows 7. Daarvoor heb je een aantal tools. De Application Compatability Toolkit is daar een voorbeeld van.

Om een inzicht te krijgen in welke stappen je moet nemen zodat alle applicaties ook onder Windows 7 werken, is er de XP-to-7 Migration Guide.

De samenvatting van de guide is een groot stappen plan/schema. Maar meer specifiek kunnen we de volgende resources aanwenden:

- Choosing a deployment strategy

- Windows 7 deployment FAQ

- Windows 7 Upgrade and Migration Guide

- Basic Windows 7 Deployments for IT Pro’s

- Basic Windows 7 Migrations (USMT) for IT Pro’s

- Windows 7 Deployment Overview

En dit is nog maar een selectie van de enorme hoeveelheid aan handleidingen. Als je liever filmpjes kijkt kun je terecht op de video website van NGN over Windows 7 deployment; die vind je hier.

Hieronder een overzicht van stappen voor Applicatie Migratie:

Succes met migreren!

Alex de Jong

Exchange 2010 (sp1) Mailtips

Maybe you have seen it work when working with Outlook 2010 or Outlook Web App 2010; Mailtips. A friendly line of text telling you that you are sending this e-mail to more than 50 recipients. These messages are named mailtips. Tips you can get when sending e-mail.

Where do these mailtips come from? The Exchange Admin can set them up.

The first step is to enable mailtips for the Exchange Organization:

Set-OrganizationConfig -MailTipsAllTipsEnabled $true

 

Then, you can add mailtips for certain scenarios:

1. Sending a mailtip if a mail will be sent to more than x users

Set-OrganizationConfig -MailTipsLargeAudienceThreshold x

 

2. Sending a mailtip if a mail will be sent to an external user:

Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true

 

3. Sending a mailtip if a mail will be sent to an ugly user:

set-mailbox –id <ugly user id> –mailtip “WARNING, the recipient is an ugly user!”

 

Have fun,

 

Alex