Hoe werken group policies?

Hi, het komt uit mijn Windows Server 2003 boek, maar is nog steeds actueel: group policies.

Een netwerkbeheerder is tijdens het uitvoeren van zijn werk vaak bezig met het ad hoc oplossen van problemen van velerlei aard. Vervelend hieraan is, dat vaak de wat moeilijkere opdrachten hierdoor blijven liggen, of dat een netwerkbeheerder vaak wordt gestoord en “er weer helemaal in moet komen” voordat hij of zij weer op een goede manier verder kan gaan met deze moeilijkere opdrachten. Heel vervelend, en voor een groot deel onnodig, is het wanneer deze kleine ad hoc problemen veroorzaakt worden door de gebruikers van het netwerk. Vaak worden deze problemen per ongeluk veroorzaakt door de onwetendheid van diezelfde gebruikers. Als netwerkbeheerder zou uw leven een stuk gemakkelijker kunnen zijn als niet meer die kleine problemen zou moeten oplossen, tussen de bedrijven door. Daarnaast zou het fijn zijn als u ook uw beveiliging zou kunnen regelen vanuit één management console en dat u niet steeds hoeft te controleren of deze beveiligingsinstellingen nog wel actief zijn. Sinds de invoering van Active Directory in Windows 2000 zagen ook de group policies het levenslicht. In feite zijn het objecten in Active Directory net zoals user-objecten en computer-objecten. Group Policy Objecten dus, afgekort GPO. GPO’s kunnen u helpen als netwerkbeheerder om een groot aantal van die kleine, irritante problemen te voorkomen door het opleggen van restricties aan gebruikers en/of computers en het instellen van beveiliging. In dit hoofdstuk leert u alle mogelijkheden van Group Policy Objecten kennen en gebruiken. Daarnaast leert u hoe meerdere GPO’s kunnen worden gecombineerd en hoe eventuele conflicten door Active Directory worden behandeld. Ook worden security GPO’s in dit hoofdstuk behandeld en leert u de Group Policy Management Console, afgekort GPMC, gebruiken.

4.1 Inleiding GPO

Group Policy Objecten kennen een aantal functionaliteiten. Zo kunt u restricties opleggen aan gebruikers, maar kunt u ook diezelfde gebruikers weer voorzien van software, automatisch uitgerold via diezelfde GPO’s. Daarnaast kunt u binnen group policies uw computers in uw netwerk voorzien van de nodige beveiligingsinstellingen. Binnen Active Directory is een speciale plaats (container) aanwezig waarin de GPO’s worden opgeslagen. Op de plaats van opslag wordt niet duidelijk naar welke policies u daadwerkelijk aan het kijken bent. De policies worden daar namelijk opgeslagen onder hun Global Unique IDentifier of GUID. De daadwerkelijke Group Policy Objecten zijn te vinden in de policies container die een subcontainer is van de system container. Om de GPO’s te bekijken onderneemt u de volgende stappen:

1. Open Active Directory User and Computers.
2. Vouw het domain uit, en zorg ervoor de u de Advanced Features kunt zien door in het menu view dit in te schakelen.
3. Navigeer vervolgens naar system en vervolgens naar policies.

Figuur 4.1: De Group Policy Objecten zijn zichtbaar in de Active Directory Users and Computers MMC, weergegeven met de GUID van het object.

De daadwerkelijk instellingen van een Group Policy staan niet opgeslagen in het Group Policy Object in Active Directory, maar staan opgeslagen in diverse bestanden op de harde schijf van iedere domain controller. Omdat alle gebruikers en computers die bestanden moeten kunnen lezen om de group policies te kunnen uitvoeren, staan deze bestanden in de gedeelde Active Directory map SYSVOL. Deze map wordt door Active Directory gebruikt om alle verplicht gedeelde bestanden beschikbaar te maken binnen het netwerk. Denk hierbij niet alleen aan Group Policy bestanden, maar ook aan scripts die aangeroepen worden tijdens het opstarten of inloggen. Stadaard vindt u de SYSVOL map onder uw Windows directory. De SYSVOL map wordt tussen alle domain controllers gerepliceerd, zodat alle domain controllers beschikbaar zijn om zulke belangrijke bestanden te kunnen distribueren, dit repliceren wordt uitgevoerd door de File Replication Service, FRS.

Figuur 4.2: De fysieke locatie van de instellingen die bij de Active Directory Group Policy Objecten horen.

In de adresbalk die wordt weergegeven in Figuur 4.2 kunt u zien waar de bestanden staan op de domain controllers. U kunt hier ook de vergelijking trekken met de daadwerkelijke objecten die u in Figuur 4.1 heeft gezien. De echte instellingen waaruit een group policy bestaat, kunt u vinden als u de directories uitvouwt die horen bij de group policies. Als u de “GUID map” openvouwt ziet u dat een group policy bestaat uit een drietal mappen én een GPT.INI bestand.

Figuur 4.3: De onderdelen van een Group Policy Object.

De twee belangrijkste onderdelen van een group policy zijn het Machine en User gedeelte. Het machine, of computer, gedeelte is de plaats waarin instellingen worden opgeslagen die alléén voor computer-objecten gelden. Het user gedeelte is de plaats waarin instellingen voor user-objecten worden opgeslagen. De map Adm is de plaats waar de zogeheten .adm bestanden kunnen worden opgeslagen. .adm Bestanden zijn template bestanden, eventuele uitbreidingen op de standaardfunctionaliteit die group policies bieden. Het GPT.INI bestand is de Group Policy Template, de standaardinstellingen van iedere group policy. Standaard is dit bestand bijna leeg en wordt er slechts een versienummer van dit bestand weergegeven.

De echte instellingen kunt u vinden in .INF bestanden die her en der zijn verstopt in de mappenstructuur van de “GUID map”. Figuur 4.4 geeft een voorbeeld weer van een .INF bestand waarin de uiteindelijke instellen zijn opgeslagen voor een group policy.

Figuur 4.4: De instellingen zijn opgeslagen in een .INF bestand.

Alle instellingen die u doet komen als .INF bestand in één van de mappen die bij de group policy horen.

4.2 Inheritance

Group policies zijn objecten die binnen Active Directory worden opgeslagen in een speciaal daarvoor bestemde container. Om de group policies zover te krijgen dat ze ook daadwerkelijk de instellingen die ze met zich meedragen toe te passen op gebruikers die inloggen of op computers die opstarten, moeten de group policies gekoppeld worden aan de container-objecten waar die gebruikers en computers onderdeel van zijn. Dit heet linken. Group Policy Objecten kunnen worden gekoppeld op drie verschillende niveaus binnen Active Directory:

• Organizational Unit: U kunt group policies koppelen aan OU’s. Stel dat in uw bedrijf een afdeling administratie heeft en dat alle medewerkers van die afdeling gebruik maken van eenzelfde boekhoud applicatie. U zou dan op het niveau van die OU een GPO kunnen linken waarin die applicatie automatisch wordt geïnstalleerd. De applicatie wordt dan automatisch geïnstalleerd voor iedere gebruiker die in die OU zijn of haar gebruikeraccount heeft. Mochten er gebruikers zijn die van een andere afdeling verhuizen naar die afdeling, dan is uw taak slechts het verplaatsen van het betreffende user-object in Active Directory naar de OU van de afdeling administratie. De gebruiker zal dan, de eerstvolgende keer als deze inlogt op het netwerk, de applicatie geïnstalleerd krijgen, automatisch.

• Domain: Instellingen die voor iedere gebruiker of computer die lid is van het domain moeten gelden, stelt u in een group policy die gekoppeld is aan het domain. Een voorbeeld van een instelling dat altijd op domain level wordt gezet is de minimale wachtwoordlengte van een gebruikeraccount in Active Directory. Verder zou u kunnen vinden dat alle gebruikers van een domain bepaalde restricties opgelegd moeten krijgen met betrekking tot het opstarten van register tools waarmee het Windows register kan worden aangepast.

• Sites: Mocht het nodig zijn dat alle gebruikers of computers die inloggen op een bepaalde vestiging dezelfde restricties krijgen opgelegd of dezelfde software krijgen geïnstalleerd, dan kunt u op het niveau van Active Directory Sites links maken met Group Policy Objecten.

Een andere plaats waar u Group Policy Objecten kunt aanmaken is op het niveau van een locale computer. Het is echter niet zo, dat op group policies die u aanmaakt op computer niveau, een link heeft met een Group Policy Object in Active Directory. Group policies die u aanmaakt op een computer zijn in werkelijk geen echte groep policies, maar wijzigingen die u doet in het register van die computer. Als een computer lid is van een domain, en u heeft zulke instellingen gedaan op die computer, zullen die instellingen ALTIJD worden overschreven met conflicterende settings die u in Active Directory heeft gedaan door middel van group policies. Toch kunnen, als er binnen Active Directory geen conflicterende instellingen zijn gedaan, de locale policies behoren tot de effectieve instellingen die een gebruiker ervaart achter zijn of haar computer.

Effectieve instellingen door group policies.

Omdat u instellingen kunt doen op verschillende niveaus zoals sites, domains en organizational units, kan het voorkomen dat u conflicterende instellingen doet. De vraag is dan uiteraard welke instelling de effectieve instelling is voor de gebruiker die ermee te maken krijgt. Een gebruiker kan lid zijn van zowel een site, een domain en een organizational unit tegelijk. Sterker nog, dat is een user-object, en ook een computer-object, altijd.

Het bepalen van wat de effectieve groep policy instellingen worden nadat alle group policies zijn toegepast en samengevoegd valt en staat bij de volgorde waarin de verschillende groep policies worden aangeroepen door Active Directory.

Figuur 4.5: De afhandelvolgorde van group policies.

1. Local Computer: De instellingen die u locaal heef ingesteld op de computer worden als eerste doorgevoerd.
2. Site: De instellingen die u door middel van group policies op site level worden als tweede toegepast.
3. Domain: Als derde worden de instellingen op domain level toegepast. Waar u op moet letten is dat het goed mogelijk is dat er meerdere domains in een site zijn vertegenwoordigd. Niet alleen kunnen er domain controllers uit verschillende domains in één zelfde site zijn gestationeerd, ook gebruikers uit een domain dat niet door domain controllers is vertegenwoordigd in een site kunnen met een laptop op desktop computer inloggen via de betreffende site. Een gebruiker en computer zullen altijd alléén instellingen aannemen die uitsluitend vanuit het eigen domain worden opgelegd middels group policies.
4. Organizational Unit: Op de vierde plaats komen organizational units. Gebruikers en computers zullen alleen instellingen toepassen die indirect of direct vanuit OU niveau zijn gezet. Direct houdt in dat de group policy is gekoppeld aan een OU waar de gebruiker direct van is. Indirect houdt in dat een user-object uit de twee laag (zie Figuur 4.5) OU’s ook child-object is van de eerste laag OU’s.

Gouden regel is:

De laatst geladen instelling is de effectieve instelling, tenzij…

Vooral deze tenzij is heel erg belangrijk. Er zijn namelijk legio uitzonderingen op deze regel. Het eerste gedeelte van de gouden regel van group policies is duidelijk: Als een group op domain level stelt dat alle gebruikers in dat domain geen “run” commando in het startmenu mogen zien, en op OU level wordt gesteld dat alle gebruikers in die OU juist wel een “run” commando in het startmenu moeten zien, dan is voor de gebruikers binnen die OU de effectieve policy dat ze wel het “run” commando zien in het startmenu. Dat is zo omdat OU level group policies later geladen worden dan domain level group policies. De tenzij zou in dit geval een andere effectieve instelling teweeg kunnen brengen. De uitzonderingen voor group policies op een rij:

• Block Inheritance: U kunt naargelang dat nodig is, op de verschillende levels het erven van rechten tegenhouden. Dit zou u kunnen doen op het moment dat u bijvoorbeeld op domain level een group policy heeft aangemaakt met instellingen waarvan u wilt dat deze gelden voor iedereen binnen dat domain. Als er dan tóch één afdeling, of groep van computers of gebruikers, géén gebruik moeten maken van die instellingen die uit deze group policy voortkomen kunt u de betreffende Active Directory objecten in eenzelfde organizational unit plaatsen. Op de OU kunt u dan het erven van rechten tegenhouden zodat group policy van hogere levels niet worden doorgevoerd. Het uitschakelen van het erven van rechten doet u voor alle group policies die van hoger niveau komen tegelijk. Het is niet mogelijk om slechts één group policy op deze manier te blokkeren.

Figuur 4.6: Block Inheritance stopt het erven van group policies.

Figuur 4.7: Block Inheritance inschakelen.

• Enforced: In grote bedrijven, waar het kan voorkomen dat binnen Active Directory voor een aantal organizational units eigen netwerkbeheerders zijn aangewezen door middel van Delegation of Control, kan het gebeuren dat een domain administrator een group policy heeft aangemaakt die voor iedereen in het domain moet gelden. Met het blokkeren van inheritance kan een OU administrator er voor zorgen dat zijn OU geen last heeft van die group policy. Om er voor te zorgen dat de instellingen in de group policy op domain level te allen tijde wordt doorgevoerd, kunt u de optie enforced toepassen op die group policy. De optie enforced wordt ingesteld per group policy.

De optie Enforced overruled Block Inheritance.

Figuur 4.8: Enforced group policies overrule de block inheritance.

Figuur 4.9: Group policy enforcement inschakelen.

• Filtering: In sommige gevallen kan het zelfs voorkomen dat u een bepaald niveau een group policy heeft aangemaakt waarvan de instellingen op alle onderliggende niveaus moeten worden toegepast, uitgezonderd één of een aantal Active Directory objecten. U kunt dan gebruik maken van de mogelijkheid tot filtering voor Group Policy Objecten. Ieder Group Policy Object heeft zijn eigen access control list waarin het recht “Apply group policy” voorkomt. Als u voor een user-object, een computer-object of een group-object instelt dat het betreffende object juist niet het “Apply group policy” recht toegewezen krijgt voor een group policy kunt u dit object er uitfilteren.

Group policy filtering overruled de optie enforced.

Figuur 4.10: Het “Apply group policy” recht uitschakelen door middel van de “Deny” permissie hierop.

4.3 Group Policy Management Console.

Het beheer van group policies gebeurt via de Group Policy Management Console. Dit is een extra beheertool die niet standaard door Microsoft in Windows Server 2003 is gestopt. De group policy managent console moet worden gedownload op de website van Microsoft. U moet daar zoeken naar GPMC.MSI, het installatiebestand voor de group policy managent console. U kunt group policies aanmaken en configureren zonder de group policy managent console maar u mist dan een aantal handigheidjes die zonder deze tool niet beschikbaar zijn. De voordelen van de group policy managent console:

• Overzicht van alle Group Policy Objecten: U heeft een overzicht van alle Group Policy Objecten van u gehele forest.

• Overzicht van group policy links: U kunt per group policy zien aan welke organizational units deze is gelinkd.

• Rapportage: In één overzicht alle instellingen die in uw Group Policy Object zijn gezet.

• Resultant Set of Policy: Bereken de effectieve instellingen die van toepassing zijn op een user-object of een computer-object of bekijk effectieve instellingen die van toepassing zouden zijn na een aantal wijzigingen in de Active Directory structuur.

OPDRACHT 5.1 Group Policy Management Console.

Download en installer de Group Policy Management Console op uw Windows Server 2003 computer. Let op: het zou kunnen dat u ook ASP.NET moet installeren, dit doet u via het control panel onder add/remove software – windows components.

4.4 User/Computer

Als u de group policy management console heeft geïnstalleerd, kunt u beginnen met het aanmaken van een group policies. Daarvoor onderneemt u de volgende stappen:

1. Selecteer het niveau waarop u een group policy wilt aanmaken en de link wilt leggen. Klik vervolgens hierop met de rechter muisknop. Klik op Create and Link a GPO here.

1. Geef het nieuwe group policy object een naam in het New GPO venster, klik vervolgens op OK.

Op dit moment is er slechts een leeg Group Policy Object aangemaakt in de policies container binnen Active Directory én een link naar dat object op het niveau waar u bent begonnen met het aanmaken van dat object. Om een group policy echt functioneel te maken moeten er daadwerkelijke settings worden gedaan. Om dat te kunnen doen moet u de group policy openen zodat er aanpassingen kunnen worden gedaan. Daarvoor doet u het volgende:

1. U vindt de nieuwe group policy terug, direct onder het niveau waar u heeft gekozen om een nieuwe group policy link aan te maken, inclusief een group policy object. Klik met de rechter muisknop op de group policy en klik vervolgens op Edit.

1. De Group Policy Object Editor wordt gestart. Dit is een venster waarin u daadwerkelijke settings kunt doen voor dit group policy object.

1. Als u klaar bent met het doen van instellingen kunt u de Group Policy Object Editor afsluiten door op het kruisje rechtsboven aan te klikken.

Figuur 4.11: Een group policy is geopend. U kunt nu instellingen doen.

U kunt zien in Figuur 4.11 dat een group policy bestaat uit twee gedeelten. Een computer gedeelte en een user gedeelte. Instellingen die u doet in het computer gedeelte hebben alléén effect op de computeraccounts die door deze group policy worden geaffecteerd. Instellingen die u doet in het user gedeelte hebben alléén effect op de gebruikeraccounts die door deze group policy worden geaffecteerd. De instellingen die u kunt instellen op de twee gedeelten, worden globaal weergegeven in Tabel 4.1. Om een uitgebreide indruk te krijgen van de instellingen die standaard binnen group policies beschikbaar zijn doet u er goed aan om eens alle instellingen te bekijken door de gehele group policy door te spitten.

Tabel 4.1: Instellingen in group policies.

Group policy onderwerp	Onderdelen	Omschrijving
Computer Configuration: Software Settings	Software Installation	Om met behulp van group policies software uit te rollen naar computers gebruikt u dit deel van het group policy object. Belangrijk om te weten is, is dat aan computer objecten software alléén assigned kan worden. Dit houdt in dat als u gebruik maakt van deze optie, de software, onafhankelijk van wie er inlogt op de computer, hoe dan ook wordt geïnstalleerd tijdens het opstarten van de computer.
Computer Configuration: Windows Settings	Scripts Security	Scripts:In dit gedeelte van het group policy object kunt u startup en shutdown scripts toewijzen aan computers. Security:U kunt hier security instellingen doen, deze worden tijdens het opstarten van een computer geconfigureerd op de computer die met deze group policy affectie heeft.
Computer Configuration: administrative Templates	Windows Components System Network Printers	Windows Components: Hier kunt u het gebruik van verscheidene windows componenten toestaan of verbieden. Denk hierbij onder andere aan netmeeting, windows update en Internet Information Service. System: Het gebruik van een aantal windows dll’s kan in dit gedeelte worden verboden of worden toegestaan. Voorbeelden van stukken windows die u hier kunt beheren zijn; Disk Quota’s, logon, system restore en scripts. Network: Instellingen voor een computer als netwerk client doet u hier. DNS, SNMP en Offline files settings behoren tot de mogelijkheden. Printers: Printerinstellingen.
User Configuration: Software Settings	Software Installation	Om met behulp van group policies software uit te rollen naar gebruikersobjecten gebruikt u deze optie. In tegenstelling tot computers kunnen gebruikers zelf beslissen of ze bepaalde software wél of niet nodig hebben. Om die reden kunt u op gebruikersniveau ook software publiceren zodat gebruikers zelf mogen beslissen of software wordt geïnstalleerd. Het is uiteraard ook mogelijk om op gebruikersniveau software te assignen zodat software “verplicht” wordt gesteld.
User Configuration: Windows Settings	Remote Installation Services Scripts Security Folder Redirection Internet Explorer Maintenance	RIS: De service-instellingen voor de service die het mogelijk maakt Windows automatisch, op afstand te installeren. Scripts:In dit gedeelte van het group policy object kunt u logon en logoff scripts toewijzen aan computers. Secrurity:U kunt hier security instellingen doen, deze worden tijdens het opstarten van een computer geconfigureerd op de computer die met deze group policy affectie heeft. Folder Redirection: Om ervoor te zorgen dat, bijvoorbeeld de my documents map, automatisch verwijst naar een netwerkshare in plaats van naar de lokale harde schijf van een computer, kunt u folder redirection toepassen. IE Maintenance: Een aantal IE instellingen doet u hier, waaronder; favorites, startpage, icons, connections, enzovoorts.
User Configuration:Administrative Templates	Windows Components Start Menu and Taskbar Desktop Control Panel Shared Folders Network System	Windows Components: Hier kunt u gebruikersinstellingen doen voor de windows componenten die u heeft kunnen inschakelen onder de computer configuration. Start Menu & Taskbar: Hier bepaald u hoe het startmenu en hoe de takenbalk van een gebruiker eruit moet zien. U kunt ook opgeven of bepaalde knoppen en opties wel of niet beschikbaar zijn. Desktop: Bepaald hoe het bureaublad van een gebruiker eruit ziet, en welke mogelijkheden een gebruiker heeft met het bureaublad. Control Panel: Bepaald welke onderdelen van het control panel wel of niet beschikbaar zijn voor een gebruiker die door deze group policy is aangetast. Shared Folders: Instellingen voor mappen die door de gebruiker worden gedeeld op het netwerk. Network: Welke mogelijkheden heeft de gebruiker op het netwerk? U kunt het hier instellen. Denk hierbij onder andere aan het instellen en aapassen van netwerkverbindingen. System: Systeeminstellingen die door een gebruiker worden ervaren. U zou bijvoorbeeld ervoor kunnen zorgen dat een gebruiker juist wel of juist niet CTRL-ALT-DELETE moet intoetsen alvorens hij of zij kan inloggen.

4.5 Security Group Policies.

Niet alleen restricties opleggen of folder redirection zijn functionaliteiten van group policies. Ook security instellingen kunnen op computers worden toegepast via group policies. Daarvoor is binnen een group policy object een speciale sectie gereserveerd.

Figuur 4.12: De security sectie van een group policy.

Zoals u kunt zien in Figuur 4.12 lopen de mogelijkheden tot het beveiligen via group policies zeer uiteen. Tabel 4.2 geeft een overzicht van de mogelijkheden.

Tabel 4.2: Security-opties binnen een group policy.

Group policy onderwerp	Onderdelen	Omschrijving
Computer configuration\Windows Settings\ Security Settings	Account Policies Local Policies Event Log Restricted Groups System Services Registry File System Wireless Network (IEEE 802.11) Policies Public Key Policies Software Restriction Policies IP Security Policies on Active Directory (domain)	Account Pol: Instellingen met betrekking tot gebruikersaccounts die op de betreffende computer aanwezig zijn. De instellingen gaan over wachtwoordeisen, lockouts en hoe Kerberos om moet gaan met gebruikers. Local Pol: Hier kunt u opgeven of Auditing moet worden toegepast en waarop. Ook kunt u hier opgeven welke rechten gebruikers hebben op de computer die door deze group policy geconfigureerd is. Daarnaast kunt u ook nog tal van andere security options opgeven. Dit loopt van pagefile behavior tot de manier waarop wachtwoorden worden uitgewisseld tussen deze computer en andere computers op het netwerk. Event Log: Instellingen waaraan de event logs van de betreffende computers aan moeten voldoen. Een opvallende instellingen is dat het mogelijk is een computer uit te schakelen op het moment dat het security logbestand vol is. Restricted Groups: Het is mogelijk om vanuit een group policy te bepalen welke groepen, welke leden bevatten. Dit stelt u in met behulp van restricted groups. Deze instellingen overschrijven de instellingen die u doet in Local Users and Groups op client computers of member server. Het overschrijft ook de groepen die u aanmaakt in Active Directory. System Services: Hier kunt u bepalen welke services draaien op geaffecteerde computers. Registry: Hier kunt u opgeven welke gebruikers bepaalde permissies hebben op de verschillende registersleutels op de computer. File System: U kunt hier NTFS rechten bepalen voor bestanden op de harde schijf van de geaffecteerde computer. Wireless: Een Wireless policy geeft u de mogelijkheid om voor een client computer te bepalen met wat voor draadloze netwerk deze kan verbinden. Daarnaast kunt u ook opgeven met welk SSID en WEP key de verbinding tot stand moet worden gebracht. Public Key: PKI instellingen over onder andere EFS en Trusted Root Certification Authorities. Software: Om aan te geven welke applicaties niet mogen worden uitgevoerd op de geaffecteerde computers moet u hier uw instellingen doen. IPSec: Voor configuratie van IPSec policies.
User configuration\Windows Settings\ Security Settings	Public Key Policies Software Restriction Policies	Public Key: PKI instellingen voor auto-enrollment. Software: Om aan te geven welke applicaties niet mogen worden uitgevoerd door geaffecteerde gebruikers moet u hier uw instellingen doen.

Tijdens een standaardinstallatie van Active Directory worden twee group policies aangemaakt die speciaal voor de beveiliging van de computers binnen uw netwerk:

• Domain Security Policy: In deze group policy kunt u instellingen doen met betrekking tot beveiliging die moeten gelden voor alle computers in het domain. Ook kunt u hier beveiligingsinstellingen doen die betrekking hebben op gebruikersaccounts. De instellingen die gaan over de wachtwoorden van de gebruikers die in Active Directory worden beschreven moet u zelfs vanuit deze group policy instellen. Instellingen die u bijvoorbeeld in deze group policy zou kunnen doen omwille van de domain security zijn:
  • Wachtwoordinstellingen van uw gebruikers
  • Account lockout policies
  • Kerberos policies

• Domain Controller Security Policy: Deze group policy is speciaal voor het beveiligen van uw domain controllers. Omdat deze machines cruciale informatie over het netwerk bevatten én ook de Active Directory database waarin de gebruikeraccounts en computeraccounts zijn opgeslagen op deze machines is terug te vinden, is het belangrijk om extra beveiligingsmaatregelen te nemen voor dit soort machines. Deze beveiligingsmaatregelen neemt u vanuit deze group policy. Instellingen die u zou kunnen doen voor uw domain controllerbeveiliging:
  • Toegang tot de domain controllers vanaf het netwerk.
  • Het recht tot lokaal inloggen op de domain controller.
  • De manier waarop wachtwoorden van gebruikers via het netwerk naar de domain controllers worden verstuurd vanaf de client computers.

4.6 Security Templates.

Het is erg aannemelijk dat door alle mogelijke security instellingen u het overzicht kwijt raakt. Daarbij zijn er zo veel verschillende instellingen die u kunt doen dat het heel begrijpelijk is dat u niet weet welke instellingen goed zijn voor uw netwerk en welke niet. Om het beveiligen van uw netwerk met behulp van group policies wat te vereenvoudigen worden bij een standaardinstallatie van Windows Server 2003 een aantal security templates meegeleverd. Bij deze security templates moet u denken aan voorbeelden van security instellingen die u kunt toepassen binnen uw netwerk. U wordt ook in staat gesteld zelf uw eigen security templates aan te maken voor verdere distributie binnen uw bedrijf. De standaard templates kunt u ook wijzigen naar eigen smaak. Om uw security templates te beheren heeft u een speciale snap-in voor uw management console nodig. Daarnaast is er ook nog een snap-in die het testen van deze templates mogelijk maakt beschikbaar. U neemt de volgende stappen om beide snap-in’s te toe te voegen aan een lege management console.

1. Klik op start en vervolgens op run.

1. Typ MMC en klik vervolgens op OK.

1. Klik op File en vervolgens op Add/Remove Snap-In.

1. In het venster dat wordt geopend klikt u opnieuw op Add. Er wordt een lijst met beschikbare snap-in’s getoond.

1. Uit de getoonde lijst kiest u Security Templates en klikt u vervolgens op Add.

1. U kiest ook voor Security Configuration and Analysis en klikt vervolgens opnieuw op Add. U klikt vervolgens op Close.

1. Tot slot klikt u op OK om weer terug te keren in het beginscherm van de management console. Daar vindt u nu de twee toegevoegde snap-in’s.

Als u klaar bent met aanmaken van uw security template management console, kunt u de meegeleverde security templates bekijken door de map security templates open te vouwen.

Figuur 4.13: De lijst met meegeleverde security templates.

Tabel 4.3 geeft een omschrijving van alle security templates.

Tabel 4.3 security templates.

Security Template	Omschrijving	Extra Uitleg
CompatWS.INF	Compatible Workstation	De standaard beveiligingsinstellingen die op een Windows Server 2003 computer aanwezig zijn, zijn veiliger dan die op Windows NT 4.0 aanwezig zijn. Een voorbeeld hiervan is dat super-users onder Windows Server 2003 vergelijkbare rechten hebben als de normale users onder Windows NT 4.0. Hierdoor kunnen de normale gebruikers onder Windows Server 2003 geen applicaties meer installeren en kunnen de applicaties zelf ook minder door opgelegde restricties. Als de CompatWS security template wordt toegepast op een Windows Server 2003, een Windows 2000 of Windows XP computer, wordt op die computer de Windows NT 4.0 beveiligingsmethodiek toegepast zodat applicaties die onder Windows NT 4.0 nog wel werkten ook onder het betreffende besturingssysteem werken.
SecureDC.INF	Secure Domain Controller	Het security template dat een domain controller kan voorzien van extra beveiliging. Onder anderen worden wijzigingen toegepast op: Password Policy. Account Policy Auditing Local Security Settings Security Options Event Log
HiSecDC.INF	High Secure Domain Controller	Dit security template maakt een domain controller nog veiliger dan SecureDC.INF. Het beveiligt op dezelfde punten als SecureDC.INF, maar dan met nog veiligere instellingen.
SecureWS.INF	Secure Workstation	Dit security template is vergelijkbaar met SecureDC.INF, maar is special ontworpen voor client besturingssystemen zoals Windows 2000 Professional en Windows XP Professional. U zou dit security template ook kunnen gebruiken voor Windows 2000 Servers of Windows Server 2003 computer die niet geconfigureerd zijn als Domain Controller maar als member server of stand-alone server.
HiSecWS.INF	High Secure Workstation	Vergelijkbaar met HiSecDC maar dan ontworpen voor dezelfde systemen als SecureWS.INF.
Setup_Security.INF	Setup Security	De security instellingen die standaard bij een schone installatie van Windows Server 2003 worden toegepast. Als u een Windows Server 2003 computer heeft geïnstalleerd, maar u heeft dat gedaan middels een upgrade vanaf bijvoorbeeld Windows NT 4.0, dan zijn uw beveiligingsinstellingen nog op het niveau van Windows NT 4.0. Om de beveiligingsinstellingen te gebruiken die u gehad zou hebben als u een schone installatie had toegepast, kunt u dit security template gebruiken.
IEsACLs.INF	Internet Explorer Access_Control_Lists	Dit security template zorgt ervoor dat Internet Explorer iets minder veilig is dan bij een standaardinstallatie gebruikelijk is. Dit werkt vooral prettiger omdat u niet bij elke website die u bezoekt moet aangeven of u deze vertrouwt.
RootSec.INF	%Systemroot% directory_security	Dit security template maakt uw %systemroot% directory veiliger door het aanpassen van de NTFS rechten daarop. Uw %systemroot% directory is de directory waarin u windows heeft geïnstalleerd. Standaard is dit de c:\Windows directory.

Ondanks dat Microsoft standaard acht security templates meelevert met Windows Server 2003, kan het voorkomen dat er geen security template naar uw smaak aanwezig is. Een netwerk bestaat immers uit meer verschillende computers dan domain controllers, member-servers en werkstations. U zou op zoek kunnen zijn naar beveiligingsinstellingen voor webserver, mailservers, database servers enzovoorts. Daarvoor moet u het internet op. Zo kunt u bijvoorbeeld terecht bij het National Security Agency in de USA. www.snac.gov. Alle security templates die u heeft gedownload kunt u plaatsen in de map c:\windows\security\templates. Vanuit die directory zijn de security templates beschikbaar in de security templates management console.

U kunt ook uw eigen security tempates maken in de security templates management console. U klikt dan met de rechter muisknop op security templates en klikt vervolgens op New.

Security Configuration and Analysis.

Als u een security template heeft waarin u zichzelf kunt vinden qua beveiligingsinstellingen, kunt u bekijken of uw computer voldoet aan de eisen die in dat security template worden gesteld. Dit doet u met de Security Configuration and Analysis management console. Om een dergelijke controle uit te voeren onderneemt u de volgende stappen:

1. Klik met de rechter muisknop op Security Configuration and Analysis en klik vervolgens op Open Database.

1. In het venster dat wordt geopend moet u een naam intoetsen waaraan u uw controleresultaten kunt herkennen. Nadat u een naam heeft opgegeven klikt u op Open.

1. Een nieuw venster wordt geopend. In dit venster ziet u alle security templates die beschikbaar zijn in de c:\windows\security\templates directory. U selecteert een security template waarmee u uw computer wilt vergelijken. Nadat u het gewenste security template heeft geselecteerd, klikt u op Open.

1. U bent weer terug beland in het beginscherm van de Security Configuration and Analysis management console. U klikt nogmaals met de rechter muisknop op security configuration and analysis. Daarna klikt u op Analyse computer now.

1. Een pop-up scherm wordt weergegeven waarin u kunt opgeven waar het logbestand met eventuele foutmeldingen moet worden opgeslagen. Geef een gewenste directory op en klik op OK.

Afhankelijk van de werksnelheid van uw computer ziet u een actie venster waarin alle onderdelen van een security template gecheckt worden en worden vergeleken met de instellingen van uw computer op dit moment.

Figuur 4.14: Het actie venster: uw computerinstellingen worden vergeleken met de beveiligingsinstellingen zoals deze in het security template worden gesteld.

1. U bent terug beland in het beginscherm van de Security Configuration and Analysis management console. Echter, nu vindt u hieronder een lijst met alle mogelijk beveiligingsinstellingen die in een security template mogelijk zijn.

1. Als u door de mappen heen bladert, zult u zien dat per setting een tweetal waarden worden getoond.

De kolom database setting geeft weer welke eis er wordt gesteld in het security template, de kolom computer setting geeft weer welke instelling op dit moment geld voor de computer. Aan het icoon aan het begin van iedere regel kunt u zien of uw computer voldoet aan de eisen van het security template of dat uw computer volgens het security template nog niet veilig genoeg is.

Figuur 4.15: Het resultaat van de analyse die is uitgevoerd in de Security Configuration and Analysis management console.

1. Als u uw computer wilt configureren zoals beschreven in het door u geselecteerde security template, klikt u met de rechter muiskop op security configuration and analysis, en klikt u vervolgens op configure computer now.

Tot nu toe is het gebruik van security templates steeds beschreven in een situatie waarbij slechts één computer wordt geconfigureerd met betrekking tot beveiliging. Door gebruik van group policies kunt u hele organizational units, althans de computer objecten daarin, voorzien van de security instellingen die u wilt gebruiken, maar dan in één keer voor meerdere computers tegelijk. Om dit te kunnen doen is het belangrijk dat u precies weet hoe u group policies kunt configureren en wat de mogelijkheden zijn.

4.7 Group policy beheer.

In deze paragraaf leert u hoe u group policies kunt beheren. Eerst wordt besproken hoe u group policies kunt aanmaken en hoe u de gewenste instellingen kunt doen. Daarna leert u hoe kunt testen of de instellingen die u heeft gedaan ook daadwerkelijk werken voor de gebruikers en computers in uw netwerk. Ook leert u hoe u uw security templates via group policies kunt uitrollen naar de computers in uw netwerk op een snelle en eenvoudige manier.

De group policy management console.

Group policies worden beheerd vanuit de group policy management console. Zoals u eerder heeft kunnen lezen moet u deze eerst downloaden van de website van microsoft. Als u de group policy management console heeft geïnstalleerd, kunt u uw group policies gaan beheren. Wat de mogelijkheden van de group policy management console zijn leert u tijdens het aanmaken van een group policy en het onderhouden daarvan.

4.7.1 De eerste fase: het creëren van een group policy.

Zoals u eerder heeft kunnen lezen in dit hoofdstuk, worden group policies in Active Directory opgeslagen in de policies container, en kunt u links aanmaken op Site, Domain en Organizational Unit niveau. Op juist die niveaus maakt u ook de group policy objecten aan in de group policy management console. Dit gaat werkt als volgt.

1. Open de group policy management console vanuit het startmenu.

1. Vouw achtereenvolgens het domain open en klik met de rechter muisknop op het niveau waarop u een group policy wilt aanmaken. Klik vervolgens op Create and Link a GPO here. Als u een group policy wilt aanmaken die wordt gekoppeld aan een Active Directory Site, moet u eerst de map Sites openvouwen en daarna aangeven aan welke site u de nieuwe group policy wilt koppelen.

1. Een nieuw venster wordt geopend waarin u kunt aangeven wat de naam van het nieuwe group policy object wordt. Klik vervolgens op OK.

Dat een group policy op de verschillende niveaus slechts een link is naar een group policy object in de policies container wordt helemaal duidelijk als u de group policy gaat aanpassen. Als u met de rechter muisknop klikt op de group policy en vervolgens klikt op edit, krijgt u de waarschuwing zoals weergegeven in Figuur 4.16.

Figuur 4.16: Een group policy is slechts een verwijzing naar het group policy object dat u terugvindt in de policies container in Active Directory.

Op dit moment is er een lege group policy aangemaakt. Hoewel er nog geen enkele instelling in de group policy is gedaan, heeft Active Directory toch al een aantal instellingen op het group policy object zelf toegepast. Om deze standaardinstellingen te bekijken heeft u een aantal tabbladen tot uw beschikking.

• Scope: Het eerste tabblad, scope, geeft aan, aan welke Sites, Domains en Organizational Units het betreffende group policy object ook is gekoppeld. Daarnaast kunt u zien welke gebruikers, computers en groepen geaffecteerd zijn met deze group policy. Als hetzelfde group policy object ook nog is gekoppeld aan een ander domain of een organizational unit in een ander domain, is dit ook zichtbaar nadat u dat andere domain heeft geselecteerd in het veld bij Display links in this location. Helemaal onderaan in dit tabblad, kunt u zien welk WMI filters zijn gekoppeld aan het group policy object dat u aan het bekijken bent. WMI staat voor Windows Management Instrumentation en is een Query language die u in staat stelt queries te doen die gaan over de hard- en software van een computer. WMI filters zouden worden kunnen gebruikt in combinatie met group policies die software uitrollen. Zo zou u ervoor kunnen zorgen dat voordat een group policy gaat draaien, eerst een controle wordt uitgevoerd, zodat alleen computers met voldoende vrije harde schijfruimte een bepaalde applicatie krijgen geïnstalleerd.

Figuur 4.17: Het tabblad Scope laat u onder andere zien aan welke domains, sites en organizational units een group policy object is gekoppeld.

• Details: Op het tabblad details vindt u Active Directory informatie over het group policy object dat deze group policy inhoudt. Onder andere vindt u hier in welk Active Directory domain de group policy is opgeslagen, en wat de Global Unique IDentifier, GUID, van het group policy object is. Tevens vindt u informatie over de versienummers van de group policy zelf en wanneer het group policy object voor is aangemaakt en wanneer het voor het laatst is gewijzigd.

Figuur 4.18: Active Directory informatie over een group policy object leest u op het tabblad Details.

• Settings: Dit tabblad geeft weer welke instellingen er zijn gezet in het group policy object zelfs. Zo heeft u in een keer het gehele overzicht met alle zaken dit in de group policy zijn geregeld. Voorheen moest u de hele group policy doorspitten om een indruk te krijgen van de ingestelde zaken. Het opbouwen van het scherm met alle instellingen kan enige tijd duren, afhankelijk van de snelheid waarmee uw computer opereert.

Figuur 4.19: De echte instellingen die in de group policy zijn gedaan treft u in een mooi overzicht aan op het tabblad Settings.

• Delegation: Net zoals ieder ander object in Active Directory, heeft ook een group policy object een Access Control List. Deze vindt u onder het tabblad Delegation. Hier kunt u aangeven welke gebruikers of groepen van gebruikers, bepaalde rechten hebben op het group policy object.

Figuur 4.20: De ACL van een group policy object wordt weergegeven op het tabblad Delegation.

4.7.2 De tweede fase: Het vullen van de group policy met instellingen.

Tot nu toe is de group policy die u heeft aangemaakt nog helemaal leeg. Hoewel deze group policy wél door uw computer- of useraccount gebruikt zal tijdens het opstarten of inloggen, zal er nog niets veranderen door het gebruik van deze group policy. Het vullen van een group policy object doet u op de hieronder beschreven manier.

1. Klik met de rechter muisknop op de group policy die u wilt wijzigen. Klik vervolgens op Edit.

1. De group policy object editor wordt geopend. Een nieuw venster met daarin de “computer settings” en de “user settings”.

1. De instellingen die u kunt zetten heeft u eerder in dit hoofdstuk kunnen lezen bij paragraaf 5.4.

1. Afhankelijk van het soort instelling dat u gebruikt, kunt u aangeven wat er met deze instelling moet gebeuren. Sommige instellingen vereisen een tekstuele invoer, zoals bijvoorbeeld de instellingen die gaan over het aanwijzen van een server voor Windows Updates. Veruit de meeste instellingen doet u zoals weergeven in Figuur 4.21 waarin u drie keuzes heeft.

· Not configured: Dit is veelal de standaard instelling. Not configured geeft aan dat deze group policy niets doet met de betreffende instelling. Als het zo is dat er eerder een andere group policy in behandeling is genomen, tijdens opstarten of inloggen, zal die instelling niet aangepast worden en wordt dan ook de instelling van die eerder behandelde group policy doorgevoerd.

· Enabled: De instelling wordt enabled, dus aangezet. Het is bij Enabled/Disabled heel erg belangrijk dat u de instelling goed leest. In het voorbeeld van Figuur 4.21 ziet u “Remove Run menu from Start menu”. Deze instelling zorgt ervoor dat als een gebruiker inlogt, hij of zij niet het Run knopje heeft in het start menu. In dat geval is die knop Removed. Maar omdat de regel “Remove Run menu from Start menu” zegt, moet deze instelling worden enabled om het gewenste resultaat te krijgen.

· Disabled: Hiervoor geldt hetzelfde als Enabled, maar dan vice versa. De instellingen Enabled/Disabled overschrijven de instellingen die uit eerder behandelde group policies zijn gezet, tenzij die eerder behandelde group policies de “force” optie hebben ingeschakeld.

Figuur 4.21: De meeste instellingen binnen een group policy object zet u op deze manier, met de opties: Not configured, Enabled of Disabled.

1. Als u klaar bent met het zetten van alle gewenste instellingen, kunt u de group policy object editor afsluiten met behulp van het kruisje, rechtboven in het group policy object editor venster.

1. Om tot slot te controleren welke instellingen u heeft gezet, kunt u het tabblad settings gebruiken om een overzicht hiervan te krijgen.

Figuur 4.22: Een overzicht van de inhoud van het geselecteerde group policy object vindt u in het tabblad Settings.

Het zou kunnen dat u niet wilt dat gebruikers en computers die zijn geplaatst in een bepaalde Organizational Unit geaffecteerd worden door de door u aangemaakte group policy. Om dat voor elkaar te krijgen kunt u gebruik maken van de Block Inheritance mogelijk die u op Organizational Units kunt instellen.

1. Als u gebruik wilt maken van de mogelijk tot het blokkeren van de group policy inheritance, klikt u met de rechter muisknop op het niveau vanwaar de blokkering moet intreden. Vervolgens klikt u op Block Inheritance.

Figuur 4.23: Het uitroepteken als aanduiding dat het group policy inheritance is geblokkeerd vanaf een Organizational Unit.

Naast de mogelijkheid om voor gehele Organizational Units de doorgang van group policies te blokkeren, bestaat ook de mogelijkheid om voor enkele gebruikers, enkele computers en groepen van beiden uit te sluiten van gebruik van het group policy object. Dit kunt u doen door gebruik te maken van het Deny Apply Group Policy recht in de Access Control List die hoort bij het group policy object in Active Directory.

1. Om gebruik te maken van het Deny Apply Group Policy recht, navigeert u naar het tabblad Delegation en klikt u op Advanced. Daar treft u mogelijkheid tot het gebruik van het Deny Apply Group Policy recht aan in de Access Control List.

Figuur 4.24 De Access Control List van een group policy object waarop u het Deny Apply Group Policy recht kunt instellen.

4.7.3 De derde fase: Een group policy testen.

Nadat u al uw group policies heeft aangemaakt en heeft geconfigureerd, kunt u gaan testen of uw nieuwe group policies ook daadwerkelijk het gewenste resultaat opleveren. Globaal gezien kunt u op twee manieren testen of de door u ingestelde group policies werken.

1. U kunt uw gebruikers vragen om opnieuw de computers te herstarten en vervolgens opnieuw in te loggen in het Active Directory domain. Als de gebruikers aangeven dat er een aantal zaken zijn gewijzigd, weet u dat uw group policies werken. Het gewenste resultaat zult u niet direct hieruit kunnen opmaken omdat veel instellingen dieper in windows zitten dan het startmenu en de desktop.
2. De tweede manier om te controleren of uw group policies precies doen wat u ze heeft opgedragen, is door gebruik te maken van de Resultant Set of Policy wizards, afgekort RSoP. Er zijn twee RSoP wizards beschikbaar in de group policy management console.

· Group Policy Results: In deze wizard kunt u opgeven welke gebruiker op welke computer inlogt, virtueel. Het RSoP component zal daarop uitrekenen welke instellingen effectief zijn voor die gebruiker in die situatie.

· Group Policy Modeling: Deze wizard geeft u de mogelijkheid een aantal zaken anders dan de werkelijkheid op te geven. U zou deze wizard kunnen gebruiken om na te bootsen wat voor group policies er effectief zouden zijn als een gebruiker bijvoorbeeld lid was van een bepaalde group of in opgeslagen zou zijn in een andere organizational unit als de huidige. Ook voor het computerobject in Active Directory zou u dit kunnen veranderen, virtueel. Opnieuw wordt uitgerekend wat de effectieve instellingen zouden zijn en uit welk group policy object deze instellingen voortkomen.

Group Policy Results.

Het gebruik van de group policy results wizard gaat als volgt in zijn werk.

1. Klik met de rechter muisknop op group policy results en klik vervolgens op Group Policy Results Wizard.

Figuur 4.25: Start de group policy results wizard op.

1. Een nieuw venster wordt geopend, het Group Policy Results Wizard venster. Dit eerste venster is verantwoordelijk voor Computer Selection. U kunt hier opgeven op welke computer de nog te bepalen gebruiker virtueel gaat inloggen. Selecteer een computer en klik op Next.

Figuur 4.26: Geef aan, op welke computer u wilt simuleren.

1. In het User Selection venster selecteert u een user-object en klikt u vervolgens op Next.

Figuur 4.27: Specificeer het user-object waarvan u de effectieve group policy instellingen wilt bekijken.

1. Klik op Next in het Summary of Selections venster om de wizard te voltooien.

Figuur 4.28: Het totale overzicht van de door u opgegeven opdracht.

U kunt nadat de group policy results wizard zijn werk heeft gedaan inzicht krijgen in welke group policies zijn gesimuleerd door het RSoP component.

Figuur 4.29: U kunt bekijken welke group policies virtueel zijn behandeld door het RSoP component.

Group Policy Modeling.

Als u gebruik wilt maken van de group policy modeling wizard, gaat u als volgt tewerk.

1. Klik met de rechter muisknop op Group Policy Modeling en klik vervolgens op Group Policy Modeling Wizard.

Figuur 4.30: Start de group policy modeling wizard.

2. In het Domain Controller Selection venster, kunt u aangeven welke domain controller in de simulatie wordt gebruikt. Kies uit een van de beschikbare domain controllers of kies voor Any Domain controller, en klik vervolgens op Next.

Figuur 4.31: Geef aan bij welke domain controller er wordt geauthenticeerd.

3. In het User and Computer Selection venster kunt u aangeven om welke gebruiker en welke computer het in de simulatie draait. U kunt kiezen of u een computer aan wijst via standaard Windows manier, of u kunt ervoor kiezen een container aan te wijzen en gebruik te maken van de x.500 taal door middel van Distinguished Names. Geef op welk user-object en welk computer-object u wilt gebruiken, klik vervolgens op Next.

Figuur 4.32: Geef aan welke gebruiker en welke computer in uw simulatie worden gebruikt.

4. Het venster Advanced Simulation Options geeft u de mogelijkheid extra, geavanceerde, opties toe te voegen aan de simulatie die de group policy modeling wizard voor u uitvoert. Zo kunt u ook bekijken hoe de group policies reageren en werken als een gebruiker over een traag netwerk inlogt, of dat er gebruik gemaakt moet worden van loopback processing. (Loopback Processing wordt veelal gebruikt voor kiosk-computers waar bepaalde user-instellingen doorgevoerd moeten worden, ongeacht welke gebruiker daarop inlogt.) Maak uw keuze en klik vervolgens op Next.

Figuur 4.33: Geef aan welke advanced options in de simulatie moeten worden nagebootst.

5. In het venster voor Alternate Active Directory Paths kunt u de plaats simuleren waar de computer en gebruiker zich bevinden tijdens het inloggen of opstarten. Nadat u de Active Directory paths heeft opgegeven, klikt u op Next.

Figuur 4.34: Geef een plaats aan, waar de computer en de gebruiker in uw simulatie zijn gevestigd.

6. Om aan te geven van welke Active Directory groups de gebruiker, in uw simulatie, lid is, gebruikt het venster User Security Groups. Geef aan van welke groepen de gebruiker lid is in uw simulatie, klik vervolgens op Next.

Figuur 4.35: Geef aan van welke groepen de gebruiker in uw simulatie lid is.

7. Om in uw simulatie ook voor het computer account alternatieve groepslidmaatschappen op te geven, gebruikt u het tabblad Computer Security Groups. Geef aan van welke groepen de computer lid is in uw simulatie, klik vervolgens op Next.

Figuur 4.36: Geef aan van welke groepen de computer lid is in de nagebootste omgeving.

8. In het venster WMI Filters for Users geeft u op met welke WMI filters het user-object te maken krijgt in uw simulatie. Selecteer een WMI filter en klik vervolgens op Next.

Figuur 4.37: Geef aan, als u dat nodig is, of in de simulatie ook nog rekening moet worden gehouden met WMI filters voor gebruikers.

9. In het venster WMI Filters for Computer geeft u op met welke WMI filters het computer-object te maken krijgt in uw simulatie. Selecteer een WMI filter en klik vervolgens op Next.

Figuur 4.38: Geef aan of in uw simulatie WMI filters voor computers moeten worden gebruikt.

10. Een overzicht van de uit voeren simulatie wordt weergegeven in het venster Summary of Selections. Klik op Next.

Figuur 4.39: Het totale overzicht van alle instellingen die moeten worden gesimuleerd.

11. Klik op Finish in het venster Completing the Group Policy Modeling Wizard om de simulatie te starten.

Figuur 4.40: De simulatie wordt gestart zodra u op Finish heeft geklikt.

Nadat u op Finish heeft geklikt, doet de group policy modeling wizard zijn werk. Dit kan even duren.

Als het gehele proces, de simulatie, klaar is, kunt u kiezen uit een drietal tabbladen om de resultaten te bekijken:

• Summary: Op dit tabblad kunt u zien hoe het verwerken van de group policy objecten is verlopen. Informatie over welke group policy objecten zijn gebruikt, en waaom deze zijn gebruikt en of het is gelukt dit goed te doen.

Figuur 4.41: Het overzicht van de group policies die door de group policy modeling wizard zijn gebruikt in de simulatie vindt u op het tabblad summary.

• Settings: De informatie die u vindt op het tabblad settings, zijn de uiteindelijke instellingen die de gebruiker en de computer zou gebruiken als de situatie exact zó zou zijn, als in de simulatie.

Figuur 4.42: Het resultaat van de simulatie. Op het tabblad settings ziet u het complete overzicht van instellingen die voortkomen uit group policy objecten.

• Query: Om nog eens te bekijken wat u voor instellingen heeft gedaan in de group policy modeling wizard, bekijkt u het tabblad query.

Figuur 4.43: De query die u in de group policy modeling wizard heeft samengesteld ziet u op het tabblad query.

4.8 Onderhoud van uw group policy objecten vanuit de group policy management console.

Nadat u uw group policies heeft geconfigureerd zoals u dat wilde, is het handig om ervoor te zorgen dat u een back-up maakt van uw group policy objecten. In deze paragraaf leert u hoe u een back-up kunt maken van uw group policy objecten en hoe u deze back-ups kunt terugzetten. Ook leert u group policy objecten exporteren en importeren. Feitelijk is het maken van een back-up hetzelfde als het exporteren van group policy objecten. Het is slechts het doel van de actie dat het verschil maakt. Een back-up maakt u omdat u niet wilt dat u de inhoud van de group policy objecten kwijt raakt tijdens een crash of door een andere reden. Het exporteren van group policy objecten heeft als doel de group policy objecten te gaan gebruiken in een andere omgeving dan de huidige.

Back-up.

Het maken van een back-up van uw group policies, doet u middels de volgende stappen.

1. Klik met de rechter muisknop op de Group Policy Objects map, en klik vervolgens op Back Up All.

Figuur 4.44: De group policy management console back-up tool wordt gestart.

2. Er wordt een nieuw venster geopend, het venster Back Up Group Policy Object. In dit venster moet u de locatie opgeven waar de back-up van de group policy objecten moet worden opgeslagen, dit doet u in het veld bij Location. Ook kunt u een omschrijving geven van de back-up, deze kunt u invullen in het veld bij Description.

3. Klik op Back Up om het back-uppen te starten.

Figuur 4.45: Nadat u de back-up locatie en een treffende omschrijving heeft ingevoerd, kunt de back-up procedure starten.

4. Het venster Backup geeft weer hoe ver de group policy management console is met het maken van de back-up, en of het is gelukt of dat er fouten zijn ontstaan. Nadat de back-up procedure is afgerond klikt u op OK om de group policy back-up tool te sluiten.

Figuur 4.46: De back-up is geslaagd.

Goede momenten voor het maken van een back-up van uw group policy objecten zijn er niet heel veel. Normaal gesproken zullen de group policies niet vaak wijzigen. Maak daarom een back-up van uw group policies telkens als u wijzigingen aanbrengt in een group policy object. U heeft dan van iedere “versie” van uw group policy objecten een back-up.

Restore.

Hopelijk heeft u het nooit nodig, maar als het toch zo is, moet u in staat zijn de back-up terug te zetten, ofwel restoren. Om dit te kunnen doen, onderneemt u de volgende stappen.

1. Klik met de rechter muisknop op de Group Policy Objects map, en klik vervolgens op Manage Backups.

Figuur 4.47: Zo start u de group policy management console back-up manager.

2. Een nieuw venster wordt geopend, het venster Manage Backups. Hier heeft u de mogelijkheid uw reeds gemaakte back-ups van uw group policy objecten te beheren. Zo kunt u de inhoud van de back-up, lees de instellingen die erin staan, bekijken van de back-up die u heeft geselecteerd. Ook kunt u oude back-ups verwijderen als u een back-up niet meer nodig heeft als het bijvoorbeeld een verouderde back-up betreft.

3. Uiteraard kunt u ook een back-up terugzetten, dit doet u door een back-up te selecteren en vervolgens op Restore te klikken.

Figuur 4.48: U doet uw back-up onderhoud vanuit het venster Manage Backups.

4. Nadat u heeft geklikt op Restore, wordt een volgend scherm geopend. Hierin wordt het restore proces gevolgd en wordt weergegeven of het uiteindelijk succesvol is verlopen of niet.

Figuur 4.49: De restore procedure wordt gevolgd.

4.9 Conclusie

Group policies zijn dé Active Directory objecten die het leven van de netwerk- en systeembeheerder draaglijk maken. Door restricties op te leggen aan gebruikers en computers kan er bijna niets meer misgaan door fouten van de gebruikers. Zelfs de software die wordt geïnstalleerd of wordt opgestart wordt door middel van group policies bepaald. Ook kunt u in één keer de beveiligingsinstellingen zetten voor grote groepen computers, of zelfs alle computers in uw gehele organisatie. De Group Policy Management Console (GPMC) moet vooraf worden gedownload vanaf internet om op een gebruiksvriendelijke manier uw group policy beheer te kunnen doen, maar als het zover is, ligt uw Windows netwerk aan uw voeten.

SCCM 2007 Log File Overview

Please note: this is a copy of a file I found somewhere on the internet. It is used by me to help my SCCM students understand log files in SCCM. So no credits for me in this blog.

Client Log Files

The Configuration Manager 2007 client logs are located in one of the following locations: · On computers that serve as management points, the client logs are located in the SMS_CCM\Logs folder. · On all other computers, the client log files are located in the %Windir%\System32\CCM\Logs folder or the %Windir%\SysWOW64\CCM\Logs.

client log files.

Log File Name	Description
CAS	Content Access service. Maintains the local package cache.
CcmExec.log	Records activities of the client and the SMS Agent Host service.
CertificateMaintenance.log	Maintains certificates for Active Directory directory service and management points.
ClientIDManagerStartup.log	Creates and maintains the client GUID.
ClientLocation.log	Site assignment tasks.
ContentTransferManager.log	Schedules the Background Intelligent Transfer Service (BITS) or the Server Message Block (SMB) to download or to access SMS packages.
DataTransferService.log	Records all BITS communication for policy or package access.
Execmgr.log	Records advertisements that run.
FileBITS.log	Records all SMB package access tasks.
Fsinvprovider.log (renamed to FileSystemFile.log in all SMS 2003 Service Packs)	Windows Management Instrumentation (WMI) provider for software inventory and file collection.
InventoryAgent.log	Creates discovery data records (DDRs) and hardware and software inventory records.
LocationServices.log	Finds management points and distribution points.
Mifprovider.log	The WMI provider for .MIF files.
Mtrmgr.log	Monitors all software metering processes.
PolicyAgent.log	Requests policies by using the Data Transfer service.
PolicyAgentProvider.log	Records policy changes.
PolicyEvaluator.log	Records new policy settings.
Remctrl.log	Logs when the remote control component (WUSER32) starts.
Scheduler.log	Records schedule tasks for all client operations.
Smscliui.log	Records usage of the Systems Management tool in Control Panel.
StatusAgent.log	Logs status messages that are created by the client components.
SWMTRReportGen.log	Generates a usage data report that is collected by the metering agent. (This data is logged in Mtrmgr.log.)

Site Server Log Files

Most Configuration Manager 2007 site server log files are located in the <InstallationPath>\LOGS folder. Because Configuration Manager 2007 relies heavily on Microsoft Internet Information Services (IIS), you can review the IIS log file for additional errors that relate to client access to the IIS server. The IIS log file is located in the %Windir%\System32\logfiles\W3SVC1 folder on the IIS server. The following table lists and describes the site server log files.

Log File Name	Description
Ccm.log	Client Configuration Manager tasks.
Cidm.log	Records changes to the client settings by the Client Install Data Manager (CIDM).
Colleval.log	Logs when collections are created, changed, and deleted by the Collection Evaluator.
Compsumm.log	Records Component Status Summarizer tasks.
Cscnfsvc.log	Records Courier Sender confirmation service tasks.
Dataldr.log	Processes Management Information Format (MIF) files and hardware inventory in the Configuration Manager 2007 database.
Ddm.log	Saves DDR information to the Configuration Manager 2007 database by the Discovery Data Manager.
Despool.log	Records incoming site-to-site communication transfers.
Distmgr.log	Records package creation, compression, delta replication, and information updates.
Hman.log	Records site configuration changes, and publishes site information in Active Directory Domain Services.
Inboxast.log	Records files that are moved from the management point to the corresponding SMS\INBOXES folder.
Inboxmgr.log	Records file maintenance.
Invproc.log	Records the processing of delta MIF files for the Dataloader component from client inventory files.
Mpcontrol.log	Records the registration of the management point with WINS. Records the availability of the management point every 10 minutes.
Mpfdm.log	Management point component that moves client files to the corresponding SMS\INBOXES folder.
MPMSI.log	Management point .msi installation log.
MPSetup.log	Records the management point installation wrapper process.
Ntsvrdis.log	Configuration Manager 2007 server discovery.
Offermgr.log	Records advertisement updates.
Offersum.log	Records summarization of advertisement status messages.
Policypv.log	Records updates to the client policies to reflect changes to client settings or advertisements.
Replmgr.log	Records the replication of files between the site server components and the Scheduler component.
Rsetup.log	Reporting point setup log.
Sched.log	Records site-to-site job and package replication.
Sender.log	Records files that are sent to other child and parent sites.
Sinvproc.log	Records client software inventory data processing to the site database in Microsoft SQL Server.
Sitecomp.log	Records maintenance of the installed site components.
Sitectrl.log	Records site setting changes to the Sitectrl.ct0 file.
Sitestat.log	Records the monitoring process of all site systems.
Smsdbmon.log	Records database changes.
Smsexec.log	Records processing of all site server component threads.
Smsprov.log	Records WMI provider access to the site database.
SMSReportingInstall.log	Records the Reporting Point installation. This component starts the installation tasks and processes configuration changes.
Srvacct.log	Records the maintenance of accounts when the site uses standard security.
Statmgr.log	Writes all status messages to the database.
Swmproc.log	Processes metering files and maintains settings.

 

Admin UI log files

The Admin UI log files are located in <InstallationPath>\AdminUI\. The following table lists and describes the Admin UI log files.

Log File Name	Description
RepairWizard.log	Records errors, warnings, and information about the process of running the Repair Wizard.
ResourceExplorer.log	Records errors, warnings, and information about running the Resource Explorer.
SMSAdminUI.log	Records the local Configuration Manager 2007 console tasks when you connect to Configuration Manager 2007 sites.

Management Point Log Files

If management points are installed in the site hierarchy, management point log files are stored in the SMS_CCM\LOGS folder on the management point computer. The following table lists and describes the management point log files.

Log File Name	Description
MP_Ddr.log	Records the conversion of XML.ddr records from clients, and copies them to the site server.
MP_GetAuth.log	Records the status of the site management points.
MP_GetPolicy.log	Records policy information.
MP_Hinv.log	Converts XML hardware inventory records from clients and copies the files to the site server.
MP_Location.log	Records location manager tasks.
MP_Policy.log	Records policy communication.
MP_Relay.log	Copies files that are collected from the client.
MP_Retry.log	Records the hardware inventory retry processes.
MP_Sinv.log	Converts XML hardware inventory records from clients and copies them to the site server.
MP_Status.log	Converts XML.svf status message files from clients and copies them to the site server.

Mobile Device Management Log Files

If mobile device management is enabled in the site hierarchy, mobile device management point log files are generally stored in the <ConfigMgrInstallPath>\LOGS folder on the mobile device management point computer. The following table lists and describes the mobile device management point log files.

Mobile Device Management Point Logs

Log File Name	Description
DmClientHealth.log	Records the GUIDs of all the mobile device clients that are communicating with the Device Management Point.
DmClientRegistration.log	Records registration requests from and responses to the mobile device client in Native mode.
DmpDatastore.log	Records all the site database connections and queries made by the Device Management Point.
DmpDiscovery.log	Records all the discovery data from the mobile device clients on the Device Management Point.
DmpFileCollection.log	Records mobile device file collection data from mobile device clients on the Device Management Point.
DmpHardware.log	Records hardware inventory data from mobile device clients on the Device Management Point.
DmpIsapi.log	Records mobile device communication data from device clients on the Device Management Point.
dmpMSI.log	Records the MSI data for Device Management Point setup.
DMPSetup.log	Records the mobile device management setup process.
DmpSoftware.log	Records mobile device software distribution data from mobile device clients on the Device Management Point.
DmpStatus.log	Records mobile device status messages data from mobile device clients on the Device Management Point.
FspIsapi.log	Records Fallback Status Point communication data from mobile device clients and client computers on the Fallback Status Point.

Mobile Device Management Client Logs

For the locations of log files on managed mobile devices and on computers that are used to deploy the mobile device client, see How to Configure Logging for Windows Mobile and Windows CE Devices. The following table lists and describes the mobile device management client log files.

Log File Name	Description
DmCertEnroll.log	Records certificate enrollment data on mobile device clients.
DMCertResp.htm (in \temp)	Records HTML response from the certificate server when the mobile device Enroller program requests a client authentication certificate on mobile device clients.
DmClientSetup.log	Records client setup data on mobile device clients.
DmClientXfer.log	Records client transfer data for Windows Mobile Device Center and ActiveSync deployments.
DmCommonInstaller.log	Records client transfer file installation for setting up mobile device client transfer files on client computers.
DmInstaller.log	Records whether DMInstaller correctly calls DmClientSetup and whether DmClientSetup exits with success or failure on mobile device clients.
DmInvExtension.log	Records Inventory Extension file installation for setting up Inventory Extension files on client computers.
DmSvc.log	Records mobile device management service data on mobile device clients.

Operating System Deployment Log Files

The following table lists and describes the operating system deployment log files.

Log File Name	Description
CCMSetup.log	Provides information about client-based operating system actions.
CreateTSMedia.log	Provides information about task sequence media when it is created. This log is generated on the computer running the Configuration Manager 2007 administrator console.
DriverCatalog.log	Provides information about device drivers that have been imported into the driver catalog.
MP_ClientIDManager.log	Provides information about the Configuration Manager 2007 management point when it responds to Configuration Manager 2007 client ID requests from boot media or PXE. This log is generated on the Configuration Manager 2007 management point.
MP_DriverManager.log	Provides information about the Configuration Manager 2007 management point when it responds to a request from the Auto Apply Driver task sequence action. This log is generated on the Configuration Manager 2007 management point.
MP_Location.log	Provides information about the Configuration Manager 2007 management point when it responds to request state store or release state store requests from the state migration point. This log is generated on the Configuration Manager 2007 management point.
Pxecontrol.log	Provides information about the PXE Control Manager.
PXEMsi.log	Provides information about the PXE service point and is generated when the PXE service point site server has been created.
PXESetup.log	Provides information about the PXE service point and is generated when the PXE service point site server has been created.
Setupact.log Setupapi.log Setuperr.log	Provide information about Windows Sysprep and setup logs.
SmpIsapi.log	Provides information about the state migration point Configuration Manager 2007 client request responses.
Smpmgr.log	Provides information about the results of state migration point health checks and configuration changes.
SmpMSI.log	Provides information about the state migration point and is generated when the state migration point site server has been created.
Smsprov.log	Provides information about the SMS provider.
Smspxe.log	Provides information about the Configuration Manager 2007 PXE service point.
SMSSMPSetup.log	Provides information about the state migration point and is generated when the state migration point site server has been created.
Smsts.log	General location for all operating system deployment and task sequence log events.Log file location:· If task sequence completes when running in the full operating system with a Configuration Manager 2007 client installed on the computer: <CCM Install Dir>\logs· If task sequence completes when running in the full operating system with no Configuration Manager 2007 client installed on the computer: %temp%\SMSTSLOG· If task sequence completes when running in WindowsPE: <largest fixed partition>\SMSTSLOG Note <CCM Install Dir> is %windir%\system32\ccm\logs for most Configuration Manager 2007 clients and is <Configuration Manager 2007 installation drive>\SMS_CCM for the Configuration Manager 2007 site server. For 64-bit operating systems, it is %windir%\SysWOW64\ccm\logs.
TaskSequenceProvider.log	Provides information about task sequences when they are imported, exported, or edited.
USMT Log loadstate.log	Provides information about the User State Migration Tool (USMT) regarding the restore of user state data.
USMT Log scanstate.log	Provides information about the USMT regarding the capture of user state data.

Network Access Protection Log Files

By default, client log files related to Network Access Protection are found in %windir%\CCM\Logs. For client computers that are also management points, the log files are found in %ProgramFiles%\SMS_CCM\Logs.The following table lists and describes the Network Access Protection log files.

Log File Name	Description
Ccmcca.log	Logs the processing of compliance evaluation based on Configuration Manager NAP policy processing and contains the processing of remediation for each software update required for compliance.
CIAgent.log	Tracks the process of remediation and compliance. However, the software updates log file, Updateshandler.log, provides more informative details on installing the software updates required for compliance.
locationservices.log	Used by other Configuration Manager features (for example, information about the client’s assigned site) but also contains information specific to Network Access Protection when the client is in remediation. It records the names of the required remediation servers (management point, software update point, and distribution points that host content required for compliance), which are also sent in the client statement of health.
SDMAgent.log	Shared with the Configuration Manager feature desired configuration management and contains the tracking process of remediation and compliance. However, the software updates log file, Updateshandler.log, provides more informative details about installing the software updates required for compliance.
SMSSha.log	The main log file for the Configuration Manager Network Access Protection client and contains a merged statement of health information from the two Configuration Manager components: location services (LS) and the configuration compliance agent (CCA). This log file also contains information about the interactions between the Configuration Manager System Health Agent and the operating system NAP agent, and also between the Configuration Manager System Health Agent and both the configuration compliance agent and the location services. It provides information about whether the NAP agent successfully initialized, the statement of health data, and the statement of health response.

The System Health Validator point log files are located in %systemdrive%\SMSSHV\SMS_SHV\Logs, and they are listed and described in the following table.

Log File Name	Description
Ccmperf.log	Contains information about the initialization of the System Health Validator point performance counters.
SmsSHV.log	The main log file for the System Health Validator point; logs the basic operations of the System Health Validator service, such as the initialization progress.
SmsSHVADCacheClient.log	Contains information about retrieving Configuration Manager health state references from Active Directory Domain Services.
SmsSHVCacheStore.log	Contains information about the cache store used to hold the Configuration Manager NAP health state references retrieved from Active Directory Domain Services, such as reading from the store and purging entries from the local cache store file. The cache store is not configurable.
SmsSHVRegistrySettings.log	Records any dynamic changes to the System Health Validator component configuration while the service is running.
SmsSHVQuarValidator.log	Records client statement of health information and processing operations. To obtain full information, change the registry key LogLevel from 1 to 0 in the following location:HKLM\SOFTWARE\Microsoft\SMSSHV\Logging\@GLOBAL

Setup information for the System Health Validator point can be found in a setup log file, described in the following table, on the computer running the Network Policy Server.

Log File Name	Description
<ConfigMgrInstallationPath>\Logs\SMSSHVSetup.log	Records the success or failure (with failure reason) of installing the System Health Validator point.

Desired Configuration Management Log Files

By default, the Configuration Manager 2007 client computer log files are found in %windir%\System32\CCM\Logs or in %windir%\SysWOW64\CCM\Logs. For client computers that are also management points, the client log files are located in the SMS_CCM\Logs folder. The following table lists and describes these log files.

Log File Name	Description
ciagent.log	Provides information about downloading, storing, and accessing assigned configuration baselines.
dcmagent.log	Provides high-level information about the evaluation of assigned configuration baselines and desired configuration management processes.
discovery.log	Provides detailed information about the Service Modeling Language (SML) processes.
sdmagent.log	Provides information about downloading, storing, and accessing configuration item content.
sdmdiscagent.log	Provides high-level information about the evaluation process for the objects and settings configured in the referenced configuration items.

Wake On LAN Log Files

The Configuration Manager 2007 site server log files related to Wake On LAN are located in the folder <ConfigMgrInstallationPath>\Logs on the site server. There are no client-side log files for Wake On LAN. The following table lists and describes the Wake On LAN log files.

Log File Name	Description
Wolmgr.log	Contains information about wake-up procedures such as when to wake up advertisements or deployments that are configured for Wake On LAN.
WolCmgr.log	Contains information about which clients need to be sent wake-up packets, the number of wake-up packets sent, and the number of wake-up packets retried.

Software Updates Site Server Log Files

The Configuration Manager 2007 site server log files are found, by default, in <InstallationPath>\Logs. The following table lists and describes the software updates site server log files.

Log File Name	Description
ciamgr.log	Provides information about the addition, deletion, and modification of software update configuration items.
distmgr.log	Provides information about the replication of software update deployment packages.
objreplmgr.log	Provides information about the replication of software updates notification files from a parent to child sites.
PatchDownloader.log	Provides information about the process for downloading software updates from the update source specified in the software updates metadata to the download destination on the site server. Note On 64-bit operating systems and on 32-bit operating systems with no Configuration Manager 2007 installed, PatchDownloader.log is created in the server logs directory. On 32-bit operating systems, if the Configuration Manager 2007 client is installed, PatchDownloader.log is created in the client logs directory.
replmgr.log	Provides information about the process for replicating files between sites.
smsdbmon.log	Provides information about when software update configuration items are inserted, updated, or deleted from the site server database and creates notification files for software updates components.
SUPSetup	Provides information about the software update point installation. When the software update point installation completes, Installation was successful is written to this log file.
WCM.log	Provides information about the software update point configuration and connecting to the Windows Server Update Services (WSUS) server for subscribed update categories, classifications, and languages.
WSUSCtrl.log	Provides information about the configuration, database connectivity, and health of the WSUS server for the site.
wsyncmgr.log	Provides information about the software updates synchronization process.

WSUS Server Log Files

By default, the log files for WSUS running on the software update point site system role are found in %ProgramFiles%\Update Services\LogFiles. The following table lists and describes the WSUS server log files.

Log File Name	Description
Change.log	Provides information about the WSUS server database information that has changed.
SoftwareDistribution.log	Provides information about the software updates that are synchronized from the configured update source to the WSUS server database.

Software Updates Client Computer Log Files

By default, the Configuration Manager 2007 client computer log files are found in %windir%\CCM\Logs. For client computers that are also management points, the log files are found in %ProgramFiles%\SMS_CCM\Logs. The following table lists and describes the software updates client computer log files.

Log File Name	Description
CAS.log	Provides information about the process of downloading software updates to the local cache and cache management.
CIAgent.log	Provides information about processing configuration items, including software updates.
LocationServices.log	Provides information about the location of the WSUS server when a scan is initiated on the client.
PatchDownloader.log	Provides information about the process for downloading software updates from the update source to the download destination on the site server. This log is only on the client computer configured as the synchronization host for the Inventory Tool for Microsoft Updates.
PolicyAgent.log	Provides information about the process for downloading, compiling, and deleting policies on client computers.
PolicyEvaluator	Provides information about the process for evaluating policies on client computers, including policies from software updates.
RebootCoordinator.log	Provides information about the process for coordinating system restarts on client computers after software update installations.
ScanAgent.log	Provides information about the scan requests for software updates, what tool is requested for the scan, the WSUS location, and so on.
ScanWrapper	Provides information about the prerequisite checks and the scan process initialization for the Inventory Tool for Microsoft Updates on Systems Management Server (SMS) 2003 clients.
SdmAgent.log	Provides information about the process for verifying and decompressing packages that contain configuration item information for software updates.
ServiceWindowManager.log	Provides information about the process for evaluating configured maintenance windows.
smscliUI.log	Provides information about the Configuration Manager Control Panel user interactions, such as initiating a Software Updates Scan Cycle from the Configuration Manager Properties dialog box, opening the Program Download Monitor, and so on.
SmsWusHandler	Provides information about the scan process for the Inventory Tool for Microsoft Updates on SMS 2003 client computers.
StateMessage.log	Provides information about when software updates state messages are created and sent to the management point.
UpdatesDeployment.log	Provides information about the deployment on the client, including software update activation, evaluation, and enforcement. Verbose logging shows additional information about the interaction with the client user interface.
UpdatesHandler.log	Provides information about software update compliance scanning and about the download and installation of software updates on the client.
UpdatesStore.log	Provides information about the compliance status for the software updates that were assessed during the compliance scan cycle.
WUAHandler.log	Provides information about when the Windows Update Agent on the client searches for software updates.
WUSSyncXML.log	Provides information about the Inventory Tool for the Microsoft Updates synchronization process. This log is only on the client computer configured as the synchronization host for the Inventory Tool for Microsoft Updates.

Windows Update Agent Log File

By default, the Windows Update Agent log file is found on the Configuration Manager Client computer in %windir%. The following table provides the log file name and description.

Log File Name	Description
WindowsUpdate.log	Provides information about when the Windows Update Agent connects to the WSUS server and retrieves the software updates for compliance assessment and whether there are updates to the agent components.

Windows Intune partner workshop (correction)

Hi, during Teched I ran into Erdal Ozkaya, he really wanted to be named in this blog as he did a great presentation during the International Intune Launch. I will be visiting his session tomorrow at 8:30 about Windows Intune. I love to see my colleague speakers at work.

 

===

 

Hi, at this very moment I am attending the Windows Intune Partner workshop. It contains 5 modules and lasts 1 day and it is deliverd by Rose Malcolm. She writes courseware and is an MCT. Before that she was a CNI.

The modules for this workshop are:

1. Windows Intune Overview

2. Deploying and Installing the Windows Intune Client

3. Computer Administration by Using Windows Intune

4. Windows Intune Systems Management

5. Using the Windows Intune Client

 

During the class a Virtual Machine is handed out which has the following configuration:

- Windows 7

- Office Professional 2010

- Silverlight

- SQL 2005 compact edition

- Sync Framework Runtime Native v1.0

- Sync Framework Services Native v1.0

- VM additions

- Zune

logon: Admin , Pa$$w0rd

 

Windows Intune Overview:

Used to manage client pc’s from the cloud. Windows Intune is aimed at small to midsized businesses at the moment. Larger companies should use SCE or SCCM, SCOM etc.

Client machines connect to servers that are managed by Microsoft using ports 80 and 443. A client must be installed on the client computers you want to manage using Windows Intune. The Windows Intune client is a “pull system”.

Administrators connect to the servers using a webconsole and silverlight, Windows Live ID is required for the administrators. There are two types of administrators:

- Tenant Admin: First admin in an Intune Environment. (first admin in the environment). Cannot be deleted and renaming must be done by Microsoft Support Services. The tenant is used for billing and administrative tasks.

- Service Admin:  Extra admin that has the same powers as the tenant admin. Can be deleted.

Windows Intune is mulit-tenant supporting, meaning that administrators are able to manage multiple customers computers using one single Windows Live ID.

Windows Intune benefits

Customers can buy a 1 year contract minimum, no server-infrastructure needed. After 1 year it becomes a monthly subscription.

Within the subscription (11 Euro’s per client) you will get:

- Windows 7 Enterprise Upgrade license

- Windows Update Management

- Malware protection using Forefront (Windows Intune) Endpoint protection. If you are using Forefront Endpoint Protection or Microsoft Security Essentials, the same engine will be used. Windows Intune will add a few bits to that engine to make sure the engine will report to the Intune Servers.

- Centralized computer management (Firewall settings i.e.)

- Hard- and Software inventory

- Reporting functionality

- License management

- Alerting and Notifications

- Easy Assist for remote assistance to users everywhere

- Client Policies. Active Directory Domain Services Group Policy Objects will take precedence over Windows Intune Policies

 

Product comparison chart.

 

 

MDOP Overview

If you put in 1 Euro extra per client, you are allowed to use MDOP (Microsoft Desktop Optimization Pack) as well. MDOP gives us:

MDOP Benefits

- Diagnostics and Recovery Toolset: Reduces downtime by accelerating desktop repair and recovery, and troubleshooting of Windows-based dekstops that cannot be loaded.

- Advanced Group Policy Management: Provides governance and control over Group Policy through robust change management.

- Asset Inventory Service: Collects software inventory data and translates it into business intelligence.

- Enterprise Desktop Virtualization (med-V): Provides deployment and management of virtual PC images to enable key enterprise scenarios.

- Application Virtualization (app-V): Turns applications into centrally managed services that are never installed, never conflict, and are streamed on demand to end users.

- System Center Desktop Error Monitoring: Enables proactive problem management by analyzing and reporting on application and system crashes.

 

You can see how the cloud servers for Windows Intune are doing through:

http://status.manage.microsoft.com/Statuspage/servicedashboard.aspx

 

Deploying and Installing the client

The Windows Intune client software needs to be installed on all computers you want to manage. For the client software to operate the client computers need at least the following:

Minimum requirements for Windows Intune client software:

- Internet connectivity

- 500 MHz CPU

- 256 MB RAM

- 200 MB Free disk space

- Windows XP Professional SP2

- Windows Vista Business, Enterprise Ultimate

- Windows 7 Professional, Enterprise, Ultimate

Windows Intune Client installation files

The client installation package has a few files:

Windows_Intune_Setup.exe: this file can be extracted into 3 other files:

an x86 MSI installer, an x64 MSI Installer and a certificate.

The EXE determines the OS platform, the MSI’s install the client software on the right platform, the certificate tells the client software to which Windows Intune environment it needs to connect.

note: do not rename any files.

If you want to run a quiet install of the client software, use the following command:

Windows_Intune_Setup.exe /quiet

 

If you want to run an extraction of the MSI’s out of the EXE, run:

Windows_Intune_Setup.exe /extract %temp%

 

Windows Intune Client components

Once the Windows Intune Client Software is installed, you can recognize the following components on the client computer:

Windows Intune Antivirus Software behavior

During the installation the Windows Intune Client wants to install Windows Intune Endpoint Protection. But what happens if your client already has antivirus software installed. Well.. the following happens:

Start Intune Client install:

Q1: Is AV in place? if No? –> install WIEP. If YES –> go to Q2

Q2: MSE of FEP? if YES –> Upgrade to WIEP. If NO –> go to Q3

Q3: Is EP Policy enabled? If NO –> do not install WIEP. If YES –> Q4

Q4: Is AV recognized? If YES –> Uninstall AV, Install WIEP. If NO –> Install WIEP in parallel

 

Troubleshooting the Intune Client installation

It can happen, that the Intune Client fails to install. One of the steps you can do to troubleshoot the installation is by checking the Enrollment.log logfile.

Logfiles

Registry

The registry will be filled with Intune settigns as well. This will happen in the following registrykey:

Computer\HKLM\Software\Microsoft\OnlineManagement

But.. the best way to troubleshoot is being patient. After installing the Intune Client Software it should take 30 minutes maximum to see the Intune Client reporting into the Intune servers and thus the console. But sometimes it just takes longer.

There are a few steps to check connectivity to the Intune Servers and Windows Update Servers. You could use these commands:

wuauclt /detectnow

wuauclt /updatenow

 

 

Windows Updates

One of the Windows Intune client tasks is to detect and install Windows Updates.

 

Clients and updates

Steps:

1. Intune Cloud servers check for new update at Microsoft Updates Service. (every hour)

2. Intune Client checks for updates at Intune Cloud services (every 8 hours, configurable between 8 – 22 hours)

3. Which updates apply to the Client? (WUAUCLT /detectnow) and report to Intune Cloud servers.

4. Are the updates approved? From client to Intune cloud.

5. Approve (done by the Intune Admin)

6. Are the updates approved? From client to Intune cloud.

7. Client will download and install the updates from Microsoft Update Services.

You can force

 

Update management from Windows Intune

The management of updates are very similar to WSUS. A few screenshots:

What kind of update

 

Userful links:

Marketing Material:

https://readytogo.microsoft.com/_layouts/RTG/DownloadCampaign.aspx?campurl=https://readytogo.microsoft.com/Campaign/Pages/Sneak%20Peek%20at%20Windows%20Intune.aspx

Windows Intune homepage:

http://www.microsoft.com/windows/windowsintune/pc-management.aspx

Microsoft Demo Showcase suite:

http://demoshowcasesuite.com/

 

 

Richard Harrison working with Intune group

Windows Intune, cloud based computer management

Hi,

Sinds 23 maart is Windows Intune beschikbaar. Deze cloud based management oplossing helpt je met het beheren van computers, zelfs als ze niet binnen de grenzen van jouw netwerk zijn.

In deze post lees je over de mogelijkheden van Windows Intune en hoe je er het beste mee kunt werken.

Mogelijkheden van Windows Intune

Windows Intune is gemaakt met het oog op het beheren van client computers. Server operating systems worden niet ondersteund. Sterker nog, de Windows Intune Client Software weigert te installeren op een Server OS. De besturingssystemen die wel ondersteund worden zijn: Windows 7, Windows Vista en Windows XP. Over dat laatste moet nog wel iets worden gezegd: Als je Windows Intune licenties koopt, dan zit daar een Windows 7 Enterprise licenties bij.

Na het installeren van de Windows Intune client op een computer ben je in staat de volgende beheerstaken uit te voeren op die computers:

• Windows Update management.
• Anti Malware management.
• Hard- en Software Inventarisatie
• Licentie management
• Windows Firewall management
• Remote Assistance

Bijna alle bovenstaande beheerstaken maken gebruik van een Alerting System, waardoor het mogelijk is voor beheerders om op de hoogte gehouden te worden door middel van e-mail notificaties.

Windows Intune is ook handig voor Solution Providers, je kunt als IT bedrijf Windows Intune gebruiken voor het computerbeheer van meerdere klanten.

Inventarisaties van Hard- en Software

Asset Management is handig. Daarmee krijg je inzicht in dat wat je allemaal bezit als beheerder. Als het om client computers gaat denken we aan hardware en software. Windows Intune gebruikt WMI om erachter te komen welke hard- en software op een client computer aanwezig zijn. Om dat te kunnen bekijken zal de client computer eerst Windows Intune member moeten worden. Als dat het geval is, zie je die computers terug in lijst met computers in de Windows Intune computers view.

Op deze eerste pagina zie ja direct een overzicht van de computers die je bij deze klant (of als je geen solution provider bent, zelf) in beheer hebt. Informatie over het OS en wanneer we voor het laatst contact met die machine hebben gehad zijn zichtbaar. Door op een computer te klikken open je de speciale View voor dat systeem.

Bovenin zie je al de links voor extra informatie over Hardware en Software. Eerst bekijken we de resultaten van de Hardware inventarisatie.

Zoals je ziet een hele lijst met inventarisaties. Je kunt de inventarisatie van Windows Intune niet sturen, dat is een van de beperkingen die je tegenkomt als je werkt met cloud-based oplossingen. Wel is het natuurlijk zo, dat er een zeer uitgebreide inventarisatie wordt uitgevoerd en er dus eigenlijk niets te wensen over blijft op dit vlak. Op dit moment zijn er ook nog geen rapporten beschikbaar voor Hardware Inventarisatie. Om dus een overzicht te krijgen van alle machines met een bepaalde hoeveelheid intern geheugen, of een bepaalde hoeveelheid vrije schijfruimte zul je andere middelen moeten inschakelen. Het is echter helemaal niet ondenkbaar dat er binnenkort extra rapportages worden toegevoegd zodat dit soort rapporten wel beschikbaar zijn.

Voor software geldt hetzelfde als hardware. Een lijst van geinstalleerde software wordt weergegeven.Hiervoor echter, kunnen we wel lijsten krijgen van computers die een bepaalde applicatie hebben geinstalleerd.

En uiteraard ook een lijst van de daadwerkelijk machines met die software.

Dezelfde informatie is ook beschikbaar als Report.

Het leuke van Reports is dat je ze kunt exporteren naar andere formaten om die data te gebruiken voor andere doeleinden.

Tot hier de eerste introductie in Windows Intune. In de volgende posts van deze serie lees je over de andere mogelijkheden van Windows Intune.

Alex de Jong

De Windows XP naar Windows 7 migratie guide

Hi,

Als je nog niet bent overgestapt op Windows 7 dan wordt het zo ongeveer tijd om dat te gaan doen. Uiteraard, zoals elke goede IT’er, ga je niet gelijk met Windows 7 DVD’s strooien en installeren, maar ga je eerst testen of de huidige applicaties het ook doen op Windows 7. Daarvoor heb je een aantal tools. De Application Compatability Toolkit is daar een voorbeeld van.

Om een inzicht te krijgen in welke stappen je moet nemen zodat alle applicaties ook onder Windows 7 werken, is er de XP-to-7 Migration Guide.

De samenvatting van de guide is een groot stappen plan/schema. Maar meer specifiek kunnen we de volgende resources aanwenden:

- Choosing a deployment strategy

- Windows 7 deployment FAQ

- Windows 7 Upgrade and Migration Guide

- Basic Windows 7 Deployments for IT Pro’s

- Basic Windows 7 Migrations (USMT) for IT Pro’s

- Windows 7 Deployment Overview

En dit is nog maar een selectie van de enorme hoeveelheid aan handleidingen. Als je liever filmpjes kijkt kun je terecht op de video website van NGN over Windows 7 deployment; die vind je hier.

Hieronder een overzicht van stappen voor Applicatie Migratie:

Succes met migreren!

Alex de Jong

Exchange 2010 (sp1) Mailtips

Maybe you have seen it work when working with Outlook 2010 or Outlook Web App 2010; Mailtips. A friendly line of text telling you that you are sending this e-mail to more than 50 recipients. These messages are named mailtips. Tips you can get when sending e-mail.

Where do these mailtips come from? The Exchange Admin can set them up.

The first step is to enable mailtips for the Exchange Organization:

Set-OrganizationConfig -MailTipsAllTipsEnabled $true

 

Then, you can add mailtips for certain scenarios:

1. Sending a mailtip if a mail will be sent to more than x users

Set-OrganizationConfig -MailTipsLargeAudienceThreshold x

 

2. Sending a mailtip if a mail will be sent to an external user:

Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true

 

3. Sending a mailtip if a mail will be sent to an ugly user:

set-mailbox –id <ugly user id> –mailtip “WARNING, the recipient is an ugly user!”

 

Have fun,

 

Alex

Exchange Powershell to get a list of Mailboxes with sizes and sorted by size

Hi,

 

First start with the complete list of mailboxes:

Get-mailbox

 

Then create a table with only the names and the mailbox sizes:

Get-mailbox | get-mailboxstatistics | ft displayname,totalitemsize

 

Now sort by totalitemsize, descending

Get-mailbox | get-mailboxstatistics | sort-object totalitemsize –descending | ft displayname,totalitemsize

System Center Operations Manager 2007 R2 VHD available

HI,

A free, downloadable, Hyper-V ready, Virtual Hard Drive is now available for download at the Microsoft VHD Test Drive website.

This ready to go implementation is easily used for testing and learning SCOM 2007 R2.

 

 

You can download this VHD test drive from this location.

the SCSM Files, part 2

In het vorige deel van the SCSM Files heb je kennisgemaakt met System Center Service Manager 2010, de helpdesk applicatie van Microsoft met koppelingen naar SCCM, SCOM, Active Directory en SC Opalis. In dit tweede deel gaan we kijken naar de installatie van SCSM.

Installeren van SCSM

Voor de installatie van een leuke SCSM demo setup heb je tenminste 3 servers nodig. Het gaat om een domain controller en nog twee member servers. Wat je dan maakt is het volgende:

1. SRV1: Domain Controller, DNS server, Global Catalog server. Deze computer wordt de SCSM Management Server en gaat ook de Web Portal van SCSM hosten.
2. SRV2: Member Server. Deze server wordt ook SCSM Data Warehouse server.
3. SRV3: Member Server, SCOM Root Management Server, SCCM Site Server.

Het maken van een basis setup. Als je werkt met Hyper-V, kun je gebruik maken van een gemakkelijke manier om snel veel servers in de lucht te krijgen. Je maakt dan gebruik van een Base Disk en differencing Disks. Als je wilt weten hoe je dat kunt doen, volg dan deze link voor gedetailleerde informatie hierover.

In deze post ga ik ervan uit dat je al een domain controller hebt ingericht en de twee member servers draait.

De setup:

Installatie van SCSM  2010 op de server die SCSM Management Server wordt

De SCSM servers hopen op een 4 core processor en 4GB aan intern geheugen. Het werkt echter ook met minder.

1. Installeer Windows Server 2008 R2
2. Installeer SQL 2008 R2
   1. SQL DB Engine
   2. Full Text Search Engine
3. Installeer Hotfix for Windows (KB975332)
4. Installeer System Center Service Manager 2010 met SP1.
   1. Kies: Install a Service Management Management Server
   2. De melding over SQL Collation kun je wegklikken. Het werkt uiteindelijk toch wel.
   3. Kies een Management Group naam en noteer deze. Het is later lastig om de Management Group naam in het product op te sporen.
   4. Service Account:
   5. Workflow Account:
5. Backup de encryption key

 

Installatie van SCSM 2010 op de server die SCSM Data Warehouse Server wordt.

 

1. Installeer Windows Server 2008 R2
2. Installeer SQL 2008 R2
   1. SQL DB Engine
   2. Full Text Search Engine
   3. Reporting Services (default configuratie)
3. Installeer Hotfix for Windows (KB975332)
4. Installeer System Center Service Manager 2010 met SP1
   1. Kies: Install a Service Manager Data Warehouse Management  Server
   2. De melding over SQL Collation kun je wegklikken. Het werkt uiteindelijk toch wel.
   3. Kies een Management Group naam en noteer deze.
   4. Als je SQL Reporting goed hebt geinstalleerd zal SCSM DW setup de configuratie accepteren.

 

 

 

 

 

 

SCSM aan het Data Warehouse koppelen

Nadat je de SCSM Management Server en de SCSM Data Warehouse Management Server hebt geinstalleerd, is er nog een stap nodig om die twee configuraties aan elkaar te koppelen. Dat doe je vanuit de SCSM Console. De SCSM console kun je op je client pc installeren of gebruiken vanuit de SCSM Management Server.

1. Open de SCSM console en navigeer naar Administration in de Wonderbar. (zo heet dat navigatiesysteem linksonder in het scherm)
2. Klik onderin “Register with Service Manager Data Warehouse
3. De Data Warehouse Registration Wizard wordt geopend. Het enige wat je in deze wizard moet doen is een connectie leggen met de SCSM Data Warehouse Management Server.

Nu is het een kwestie van geduld. Het kan lang duren voordat je in de Console een kopje Reporting in de Wonderbar ziet verschijnen. Daarna moet je ook nog wachten op het vullen van de SQL Reporting configuratie met SCSM reports.

Tot zover deel 2 van de SCSM Files. In deel 3 lees je over het koppelen van Active Directory aan SCSM.

Ciao!

 

Alex de Jong

Zero Day, the novel.. door Mark Russinovich

Zero Day, Mark Russinovich

Introduction

We hadden er tijdens Teched Europe in Berlijn al over, het nieuwe boek van onze vriend Mark Russinovich. Na het schrijven van de boeken in de reeks Windows Internals, komt Mark met iets wat voor hem helemaal nieuw is, een novelle. Dat interview met Mark zie je hier.

Een novelle dus, over cyberterrorism.

In zijn blog werd Zero Day aangekondigd: I’m proud and excited to announce the upcoming publication of my first novel, Zero Day! I had the idea for Zero Day almost eight years ago and it’s been a long journey from then through finishing a first draft, finding an agent, finding a publisher and now anticipating the day when I hold a copy in my hands.

 

Synopsis

De synopsis achter op het boek vertelt het volgende:

“An airliner’s controls abruptly fail mid-flight over the Atlantic. An oil tanker runs aground in Japan when its navigational system suddenly stops dead. Hospitals everywhere have to abandon their computer databases when patients die after being administered incorrect dosages of their medicine. In the Midwest, a nuclear power plant nearly becomes the next Chernobyl when its cooling systems malfunction.

At first, these random computer failures seem like unrelated events. But Jeff Aiken, a former government analyst who quit in disgust after witnessing the gross errors that led up to 9/11, thinks otherwise. Jeff fears a more serious attack targeting the United States computer infrastructure is already under way. And as other menacing computer malfunctions pop up around the world, some with deadly results, he realizes that there isn’t much time if he hopes to prevent an international catastrophe.

Written by a global authority on cyber security, Zero Day presents a chilling “what if” scenario that, in a world completely reliant on technology, is more than possible today—it’s a cataclysmic disaster just waiting to happen.”

 

De inhoud

Toch wilde ik ook weten wat Mark ertoe bewogen heeft om een novelle te gaan schrijven in plaats van de Windows Internals boeken die we van hem gewend zijn. In een e-mail conversatie die ik met Mark had vertelt hij ook nog het volgende over zijn nieuwe boek:

 

The scenario portrayed in the novel is a version of one that I became convinced many years ago is likely. Terrorism to date has consisted exclusively of physical attacks, but such attacks when executed at large scale are expensive, hard to keep secret, and easy to trace after they’ve occurred. Malware on the other hand, is relatively cheap to create. There are many skillful hackers for hire, especially in the former Eastern Block. It would also be relatively easy to spread a sleeper virus slowly over time. Because it’s dormant and spreads slowly it would have minimal risk of getting discovered, and if it were, learning it’s true purpose and origins would be difficult. Finally, the destructive events surrounding its activation would obscure any evidence even further.

I’m surprised that something like what I write about in Zero Day hasn’t happened already. My primary goal writing the book was to highlight the exposure we have to such an attack. Since I’ve written it, many others have been ringing the same alarm bell. Richard Clarke, a former cybersecurity advisor to several US administrations, wrote a non-fiction book last year, Cyber War: The Next Threat to National Security and What to Do About It, but I haven’t seen any novels like Zero Day. At the same time, I wanted to make Zero Day stand on its own as a thriller, while keeping the computer aspects of it realistic to give people some insight into the world of hackers and computer security researchers. I hope readers find Zero Day both entertaining and enlightening!

Het eerste hoofdstuk is alvast te lezen.

Info

Titel: Zero Day

Auteur: Mark Russinovich

Datum van verschijnen: maart 2011

Prijs: $24.99

aantal pagina’s: 336

ISBN: 978-0-312-61246-7

website: www.zerodaythebook.com

 

Score en Conclusie

Het boek is nog niet verschenen, dus een score kunnen we er nog niet aan toekennen, maar zodra het in mijn brievenbus ligt zal ik er aan beginnen en zal ik een score toekennen. Het scoresysteem werkt met sterren. 1 ster is slecht, 5 sterren het beste.

 

Graag nodig ik mijn collega-bloggers van dit blog uit om ook boeken te gaan reviewen.

 

Ciao!

Alex de Jong