ANALIZA UPRAWNIEŃ
Trochę teorii - OLD NTFS PERMISSIONS:
Full Control: Users can modify, add, move, and delete files, as well as their associated properties and directories. In addition, users can change permissions settings for all files and subdirectories.
Modify: Users can view and modify files and file properties, including deleting and adding files to a directory or file properties to a file.
Read & Execute: Users can run executable files, including scripts.
Read: Users can view files and file properties.
Write: Users can write to a file.
NEW NTFS PERMISSIONS
Traverse Folder/Execute File: Users can navigate through folders to reach other files or folders, even if they have no permissions for the traversed files or folders. The Traverse Folder permission takes effect only when the group or user doesn't have the Bypass Traverse Checking user right in the Group Policy snap-in. (By default, the Everyone group has the Bypass Traverse Checking user right.)
List Folder/Read Data: Users can view a list of a folder's contents and data files.
Read Attributes: Users can view the attributes of a file or folder, such as read-only and hidden. (NTFS defines these attributes.)
Read Extended Attributes: Users can view the extended attributes of a file or folder. (Defined by programs, extended attributes may vary.)
Create Files/Write Data: The Create Files permission allows users to create files within the folder. (This permission applies to folders only.) The Write Data permission allows users to make changes to the file and overwrite existing content. (This permission applies to files only.)
Create Folders/Append Data: This Create Folders permission allows users to create folders within a folder. (This applies to folders only.) The Append Data permission allows users to make changes to the end of the file, but they can't change, delete, or overwrite existing data. (This applies to files only.)
Write Attributes: Users can change the attributes of a file or folder, such as read-only or hidden. (NTFS defines these attributes.)
Write Extended Attributes: Users can change the extended attributes of a file or folder.
Delete: Users can delete the file or folder. (If users don't have the Delete permission on a file or folder, they can still delete it if they have the Delete Subfolders And Files permission on the parent folder.)
Read Permissions: Users have reading permissions of the file or folder, such as Full Control, Read, and Write.
Change Permissions: Users have changing permissions of the file or folder, such as Full Control, Read, and Write.
Take Ownership: Users can take ownership of the file or folder. The owner of a file or folder can always change permissions on it, regardless of any existing permissions that protect the file or folder.
Użytkownik Jan Kowalski ma uprawnienie zmiana(modify) do folderu Archiwum i Raporty czyli efektywnie(read, write, execute i delete), po odjęciu prawa write do katalogu Dane efektywnie tylko read
APPLICATION LOCKER
100 - Proszę omówić aspekty konfiguracji Application Locker w środowisku domenowym.
Usługa służy do nadawania uprawnień do korzystania z wybranych aplikacji i usług wybranym użytkownikom lub grupom użytkowników. Działa w systemach Windows 7 Ultimate i Enterprise oraz Windows serwer 2008 R2. Obsługa i definiowanie polis w aplication control polices->Applocker
Reguły blokowania możemy ustawić na podstawie nazwy pliku, jego lokalizacji, na podstawie certyfikatu, którym aplikacja jest podpisana czy jego wystawcy. Tworząc nowe reguły, opieramy się na zasadach tworzenia białych i czarnych list, odpowiednio zezwalając i blokując uruchomienia danej aplikacji. Należy pamiętać, że reguły odmawiające mają zawsze priorytet.
200 - Jaka usługa odpowiada za działanie Application Locker i w jakim stanie uruchamiania jest domyślnie skonfigurowana?
Działanie AppLocker jest determinowane usługą Application Identity Service (Tożsamość aplikacji). Domyślnie zablokowana (wymaga ręcznego uruchomienia).
X 300 - Proszę przedstawić dowolną metodę centralnego konfigurowania stanu usług systemowych w środowisku Windows Server 2008 R2.
400 - Jakiego rodzaju reguły powinny być skonfigurowane aby zapewnić pełny dostęp do katalogu Program Files dla członków wszystkich grup zabezpieczeń, które są w zakresie funkcjonowania Domain Local?
Reguły, które powinny być skonfigurowane to: Executable rules, Script rules, DLL rules. (Jest jeszcze taka reguła jak Windows Installer Rules in AppLocker, ale wg. mnie ona chyba nie powinna akurat tutaj być skonfigurowana, ale nie jestem pewna).
ACTIVE DIRECTORY RECYCLE BIN
100 - Proszę przedstawić przeznaczenie mechanizmu Active Directory Recycle Bin.
Umożliwienie przywrócenia usuniętych obiektów wraz ze wszystkimi parametrami jakie miały przypisane przed usunięciem.
Mechanizm służy do szybkiego odzyskiwania "logicznie usuniętych danych" poprzez przechwytywanie wszystkich linków(adresów) w jednym kontenerze. Działa dla wszystkich lub wybranych komputerów w domenie.
Active Directory Recycle Bin pozwala zminimalizować czas przestojów usług katalogowych poprzez zwiększenie zdolności do zachowania i przywracania przypadkowo usuniętych obiektów usługi Active Directory bez przywrócenia danych usługi Active Directory z kopii zapasowych, ponowne uruchomienia Active Directory Domain Services (AD DS), lub ponownego uruchamiania kontrolera domeny.
Po włączeniu usługi Active Directory Recycle Bin, wszystkie link-valued i non-link-valued atrybutów obiektów usługi Active Directory usunięte zostaną zachowane i odzyskiwane obiekty są w całości zgodne z tym samym stanem logicznym, jak bezpośrednio przed usunięciem. Na przykład przywróci konta użytkowników automatycznie odzyskując wszystkich członków grupy, oraz odpowiednie prawa dostępu, bezpośrednio sprzed usunięcia, w obrębie poszczególnych domem(???)
200 - Proszę przedstawić wymagania dotyczące konfiguracji Active Directory Recycle Bin w środowisku Windows Server 2008 R2.
Podniesienie funkcjonalności forest w AD do Windows Server 2008 R2.
Wymagania to środowisko Windows Server 2008 R2 i schematu aktualizacja active directory poprzez adprep
Domyślnie Active Directory Recycle Bin w Windows Server 2008 R2 jest wyłączony. .Aby go włączyć, należy najpierw podnieść poziom funkcjonalności włąsnego lasu AD DS lub AD LDS do środowiska Windows Server 2008 R2,włączenie wymusi zmiane środowiska na wszytkich AD LDS do poziomu Windows Server 2008 R2
300 - W jakiej lokalizacji przechowywane są skasowane obiekty usługi AD DS?
Kontener „Deleted Objects”
Kiedy Active Directory obiekty są usuwane, są umieszczane w Deleted Objects container. Domyślnie w CN=Deleted
400 - Proszę wskazać rozwiązanie, które umożliwi wyświetlanie skasowanych obiektów zarówno w środowisku graficznym jak i tekstowym.
W trybie tekstowym za pomocą PowerShell
dla osób preferujących pracę z okienkami, czyli przy pomocy narzędzia ldp.exe
OFFLINE DOMAIN JOIN
100 - Proszę omówić sposoby dodawania komputerów do domeny w środowisku jednolitym Windows Server 2008 R2.
Poprzez narzędzie djoin.exe
Dodawanie komputera do domeny bez sieciowej aktywności odbywa się przez aplikacje Djoin.exe lub wiersz poleceń
Logujemy na komputer, uruchamiamy djoin.exe aby utworzyć plik tekstowy, będzie zawierał potrzebne informacje. Na komputerze który się dołączy uruchamiamy djoin.exe i importujemy plik.
Uruchamiamy ponownie komputer klienta.
200 - Proszę omówić minimalne wymagania i proces dodawania komputerów do domeny w ramach Offline Domain Join.
Nadanie praw poprzez group police lub ldp, podłączeie poprzez komendę djoin.exe djoin /provision /domain <domain to be joined> /machine <name of the destination computer> /savefile <filename.txt>
(niepełne) Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Operatorzy kont, Administratorzy domeny, Administratorzy przedsiębiorstwa lub równoważne
300 - W jakich warunkach nie można zastosować Offline Domain Join?
Offline domain join nie może zostać zastosowane na systemach starszych niż Windows 7.
Usługa umożliwia skonfigurowanie wielu maszyn wirtualnych bez konieczności podłączania ich do sieci
X 400 - Proszę przestawić rozwiązanie, które umożliwi zdalne dodawanie komputerów do domeny w środowisku o poziomie funkcjonalności domeny Windows Server 2003 i stacjach z Windows XP/Vista/7.
STARTER GPO
100 - Proszę omówić przeznaczenie rozwiązania Starter GPO.
Pozwala na skonfigurowanie zasady grup, która potem posłuży jako podstawa do tworzonych później zasad grup. Zawiera wyłącznie szablony administracyjne.
+Zawiera zdefiniowane szablony administracyjne ustawień dla użytkowników lub komputerów, służy do stworzenia nowych grup polis zarządzających dla stworzenia Live GPO
Starter GPO pochodzące z (GPO), zapewnia możliwość przechowywania kolekcji szablonów ustawień polityk administracyjnych w jednym obiekcie.
Jest zbiorem ustawień wstępnych dla nowotworzonych obiektów polityk grupowych
X 200 - Które ustawienia GPO nie mogę być konfigurowane w ramach Starter GPO?
300 - Proszę omówić znaczenie poziomów Enterprise Client (EC) i Specialized Security - Limited Functionality (SSLF) w konfiguracji Starter GPO.
(niepewne) w EC opcje nie są zabezpieczone i admin moze dokonywać zmiany w a w SSLF jest to bardziej restrykcyjne
X 400 - Proszę omówić sposób zapewnienia jednolitej konfiguracji w ramach ustawień zabezpieczeń dla grupy pięciu kontrolerów domeny w środowisku Windows Server 2008 R2.
GPO PREFERENCES
100 - Proszę omówić przeznaczenie GPO Preferences.
Zestaw ról dla klientów serwera z góry ustalonych przez administratora.
Group Policy Preferences ułatwiają i zwiększają możliwości konfiguracji polis,oferują ponad 20 rozszerzeń do GP i umożliwiają miedzy innymi zarządzanie rejestrami,usługami,plikami,folderami, użytkownikami oraz grupami.
Preferencje GPO umożliwiają wdrażanie ustawień na komputerach klienckich, bez ograniczania użytkownikom zmiany ustawień. Funkcja ta zapewnia elastyczność w decydowaniu, które ustawienia są wymuszane/wyegzekwowane i które ustawienia nie są wymuszane/ wyegzekwowane. Można wdrożyć ustawienia, które nie będą wymuszane za pomocą preferencji zasad grupy.
W dużym skrócie GPO Preferences pozwalają na zarządzanie po stronie klienta elementami, którymi dotąd przez GPO łatwo nie można było zarządzać, np. plikami INI, wpisami w rejestrze, mapowaniem dysków (teraz można to robić bez skryptu) i w zasadzie dużą częścią tego co jest dostępne po stronie klienta w panelu sterowania.
200 - Proszę omówić różnice między preferencjami GPO a zasadami grupowymi oraz przedstawić dowolny przykład wykorzystania preferencji GPO.
- Różnica polega na niemożliwości dokonywaniu zmian w rolach przez GPOP przez użytkowników, co jest w GP możliwe.
1. Konto zasobów: pojedynczy podmiot zabezpieczeń, który jest mapowany na pojedynczego użytkownika federacyjnego.
2. Grupy zasobów: Pojedyncza grupa zabezpieczeń utworzona w usługach ad ds na którą są mapowane przychodzące oświadczenia grupy.
3. Mapowanie grupy na główna nazwę użytkownika: Grupa użytkowników federacyjnych reprezentowana przez główna nazwę użytkownika., Domyślnie nie ma ustawionego limitu.
Dzięki GPP można definiować w prosty sposób multum preferowanych ustawień dla polis(np czy użytkownik ma mieć ikonę sieci w menu start)
1. Za pomocą polityk zasad grupy można było zarządzać aplikacjami tylko, gdy były one wspierane przez GP.W GPP została dodana między innymi usługa obsługi aplikacji.
2. GPP nie występują jednak w postaci polityk lokalnych
Preferencje GPO zawierają opcje folderów, mapowanie dysków, drukarek, zaplanowane zadania, usługi i ustawienia menu start.
- Ustawienia polis są wymuszane na kliencie i stacji roboczej, natomiast preferencje nie wymuszają ustawień.
Użytkownik może je zmienić w dowolnym czasie.
- Polisy blokują ustawienia interfejsu użytkownika, a preferencje nie.
- Polisy odświeżane są cyklicznie co 90 ??? 120 minut, natomiast ustawienia odświeżania preferencji możemy wyłączyć.
- Ustawienia preferencji nie są dostępne w lokalnych GPO, w przeciwieństwie do polis.
Jednym z przykładów jest mapowanie zasobów które można ustawić w Computer Configuration.
300 - Proszę przedstawić systemy klienckie i serwerowe Microsoft, dla których preferencje GPO mają zastosowanie? W jaki sposób można zarządzać preferencjami zdalnie?
Wspierane systemy operacyjne:Windows Vista (KB943729),Windows Vista x64 Edition (KB943729),Windows Server 2003 (KB943729),Windows Server 2003 x64 Edition (KB943729),Windows XP (KB943729),Windows XP x64 Edition (KB943729).
X 400 - Proszę przedstawić rozwiązanie, które zapewni jednolitą konfigurację lokalnej bazy użytkowników z wykorzystaniem preferencji GPO.
DOSTĘP DO ZASOBÓW
100 - Proszę omówić trzy metody mapowania zasobów w środowisku Windows. W jaki sposób możemy uzyskać informację o zasobach ukrytych? Ile wynoszą limity równoczesnych połączeń do zasobów w Windows Server 2008 R2 i Windows 7?
Mapowanie zasobów można wykonać poprzez GUI klikając prawym przyciskiem myszy na udostępnionym folderze lub dysku przy przeglądaniu sieci.
Mapownie z poziomu wiersza poleceń za pomocą komendy net use np NET USE z: \\archiwum\filmy
Za pomocą skryptu logowania w którym znajduje się plik .bat . Przykładową komendą net use m: \\archiwum\programy hasło /USER:użytkownik
Limit połączeń w Windows 7 wynosi 20.
Windows Server 2008 R2 nie ma ograniczeń
Konto do zasobów, grupa zasobów, mapowanie grupy na głównej nazwie użytkownika
200 - Proszę omówić uprawnienia NTFS oraz uprawnienia do zasobów sieciowych. Jakie występują między tymi uprawnieniami zależności?
Uprawnień NTFS jest przede wszystkim więcej dzięki czemu daja większe możliwości, uprawnienia do udziałów sieciowych są 3 (read, modify i full control).Można używać kombinacji jednych i drugich uprawnieni tylko że uprawnienia do zasobów sieciowych będą nadrzędne w stosunku do uprawnień NTFS
NTFS: Uprawnienia do folderu zawierają takie opcje, jak Pełna kontrola, Modyfikacja, Odczyt i wykonanie, Wyświetlanie zawartości folderu, Odczyt i Zapis. (opcje zaawansowane -> dziedziczenie).
Udostępnianie: Uprawnienia do udziału??? pełna kontrola, zmiana, odczyt.
Pamiętajmy, że są dwa ustawienia (użyj prostego udostępniania i nie).
Uprawnienia udostępniania i uprawnienia NTFS są niezależne, co znaczy, że za pomocą jednych nie można modyfikować drugich. Ostateczne uprawnienia dostępu do folderu udostępnionego są definiowane przez uwzględnienie wpisów uprawnienia udziału i uprawnienia NTFS. Następnie są stosowane uprawnienia bardziej restrykcyjne.
(nawet jeśli coś udostępnimy i damy allow/zezwól everyone/wszyscy dla pełna kontrola, zmiana, odczyt to i tak możemy zabrać uprawnienia poprzez zabezpieczenia NTFS).
Dostęp do folderu udostępnionego jest określany przez dwie grupy wpisów uprawnień do udziału (nazywane uprawnieniami udostępniania) i uprawnienia do folderu (nazywane uprawnieniami do plików i folderów systemu NTFS). Uprawnienia udostępniania są często używane do zarządzania komputerami z systemem plików FAT32 lub innymi komputerami, na których nie jest używany system plików NTFS.
X 300 - Proszę wskazać na ideę wykorzystania uprawnień zezwalających oraz odmawiających. W jakim przypadku uprawnienia zezwalające maja wyższy priorytet nad uprawnieniami odmawiającymi?
400 - Proszę omówić zasady działania i konfiguracji polityk kontroli dla systemu plików NTFS.
Polityka określa, czy rejestrowany będzie dostęp do globalnych obiektów systemu. Włączenie jej powoduje rejestrowanie dostępu do takich obiektów, jak zdarzenia, procesy, semafory, wzajemne wykluczenia (muteksy) przez każdorazowe stworzenie dla nich systemowych list kontroli dostępu SACL. Konfiguracja mieszana polityk kontroli nie jest zalecana. Chodzi o sytuacje, kiedy konfigurowane są równocześnie polityki kategorii głównych z politykami podkategorii. Istotne jest, aby korzystając wyłącznie z ustawień Advanced Audit Policy Configuration, włączyć politykę Audit: Force audit policy subcategory (Windows Vista or later) to override audit policy category settings . Konfiguracja polityki umożliwia uzyskiwanie informacji o użyciu prawa do wykonywania kopii zapasowych i/lub ich odtwarzania. Warunkiem rejestrowania tych zdarzeń jest konfiguracja kategorii Audit privilege use. Polityka pozwala na taką konfigurację, aby logowanie do systemu zostało zablokowane w przypadku braku możliwości rejestrowania zdarzeń zabezpieczeń. Odblokowanie dostępu przez usunięcie nadmiaru zdarzeń, zwiększenie limitu miejsca przeznaczonego na zdarzenia lub modyfikację tej polityki należy wtedy wyłącznie do użytkowników z prawami administratora.
TERMINOLOGIA
100 - Proszę omówić następujące pojęcia:
- User Principal Name (UPN), Distinguished Name (DN), Universal Naming Convention (UNC)
- User Principal Name (UPN) - nazwa usera w formacie mailowym(user@)
- Distinguished Name (DN) - nazwy wyróżniające np nazwy atrybutów,an nazwy może składać się kilka atrybutów,Universal
- Naming Convention (UNC) - konwencja nazw używana w w ścieżkach dostępu lokalnych i sieciowych np.\\share\temp
- User Principal Name (UPN) jest „przyjazną”, krótszą -> łatwiejszą do zapamiętania od DN Składa się ze skróconej nazwy użytkownika i zazwyczaj nazwy DNS domeny oddzielonych „@” (kowalski@microsoft.com) UPN jest niezależna od DN obiektu, dzięki czemu obiekt może zostać przeniesiony lub usunięty bez wpływu na sposób logowania
- Distinguished Name (DN), Każda pozycja w katalogu ma nazwę wyróżniającą (DN). Nazwa DN jednoznacznie identyfikuje pozycję w katalogu. Składa się ona z par atrybut=wartość, oddzielonych przecinkami, na przykład:
cn=Ben Gray,ou=editing,o=New York Times,c=US
- UNC (Universal Naming Convention) - sposób (konwencja) zapisu ścieżki do pliku w postaci:
\\nazwa_lub_adres_IP_serwera\nazwa_udziału_sieciowego\nazwa_katalogu\nazw_pliku.roz
przykłady: \\serwer1\uzytkownicy\kowalski\dokument1.doc \\192.168.1.17\dokumeny\start.rtf
UPN - główna nazwa uzytkownika, alternatywny sposób logowania
UNC - Jedna z metod zapisu ścieżek sieciowych. Położenie obiektu według standardu UNC określa się następująco: \\nazwaserwera\nazwaudzialu\sciezka\nazwapliku Cała nazwa zaczyna się dwoma znakami Backslash. Następnie widnieją kolejno (przedzielane pojedynczymi znakami Backslash): nazwa serwera, nazwa, pod jaką został udostępniony katalog, ścieżka dostępu i, opcjonalnie, nazwa konkretnego pliku.
DN - Nazwa DN jednoznacznie identyfikuje pozycję w katalogu
200 - Proszę omówić następujące pojęcia:
User Account Control (UAC), Fully Qualified Domain Name (FQDN), Group Policy Object (GPO)
- User Account Control (UAC)-technologia podwyższonej ochrony używana od Windows Vista wzwyż pozwalająca ograniczyć dostęp do aplikacji
- Fully Qualified Domain Name (FQDN) nazwa sub domeny wskazująca gdzie się ona znajduje np test.donena.pl
- Group Policy Object (GPO)-grupa polis w którą można wykonywać lokalnie,w domenie lub grupie domen. Zawiera szereg szablonów do nadawania domyślnych uprawnień dla użytkowników,grup i komputerów.
- User Account Control (UAC) - technologia podwyższonej ochrony wprowadzona w systemie operacyjnym Microsoft Windows Vista oraz Microsoft Windows 7.W założeniu miała poprawiać bezpieczeństwo Windows poprzez ograniczanie dostępu aplikacji do działania tak długo, aż administrator systemu nie autoryzuje dla nich dostępu i w efekcie zapobiegać wykonaniu kodu bez zezwolenia użytkownika.
- FQDN (ang. Fully Qualified Domain Name) - pol. pełna, jednoznaczna nazwa domenowa, określająca położenie danego węzła w systemie DNS. Składa się zwykle z nazwy hosta i co najmniej jednej domeny (etykiety) wyższego poziomu rozdzielonych symbolem "." i kończy się zawsze domeną najwyższego poziomu.
Na przykład www.wikipedia.org
UAC - technologia podwyższonej ochronyograniczana dostępu aplikacji do działania tak długo, aż administrator systemu nie autoryzuje dla nich dostępu w efekcie zapobiegnie wykonania się kodu bez zezwolenia użytkownika
FQDN - nazwa domenowa, określająca położenie danego wezła w systemie DNS, składa się z nazwy hosta i co najmniej jednej domeny(etykiety) wyższego poziomu.
GPO - Zasady grup są zbiorami ustawień kontrolującymi zachowanie zarówno stacji klienckich jak i serwerów pod bardzo wieloma aspektami. Umożliwiają głęboką ingerencję w zachowanie systemów Windows. Pozwalają między innymi na kontrolę pulpitów użytkowników pod wieloma aspektami. Dostępnych opcji są setki, a niektóre z nich to na przykład blokowanie dostępu do panelu sterowania, ograniczenie funkcji menu start, ukrycie ikony Mój komputer, zablokowanie uruchamiania określonego programu itd. Za pomocą GPO możemy ponadto kontrolować zachowanie komputerów klienckich czy serwerów.
300 - Proszę omówić następujące pojęcia:
Global Catalog (GC), Access Control List (ACL), sufiks DNS
- Global Catalog (GC) jest to przestrzeń nazw zawierająca dane z katalogów wszystkich domen w lesie.
- Access Control List (ACL) lista uprawnień przypisana do konkretnego obiektu np katalogu lub pliku. Zawiera informacje na co może sobie pozwolić konkretny użytkownik
- Sufiks DNS - Sufiks jest umieszczony po nazwie komputera lub hosta i pokazuje na jakiej domenie znajduje się danych host np. host1.microsoft.com
GC-
ACL- lista kontroli dostępu. Standardowe uprawnienia w systemie plików systemu obejmują tylko: zapis, odczyt oraz wykonanie. Każde z uprawnień możemy definiować dla: właściciela pliku (ang. owner), grupy do której on należy (group) oraz pozostałych użytkowników (other).
Sufiks DNS- informuje o lokalizacji hosta wzgledem katalogu głównego dns, czyli okresla lokalizacje hosta w hierarchi dns.
400 - Proszę omówić następujące pojęcia:
multimaster replication, System Access Control List (SACL), Flexible Single Master Operations (FSMO),
FSMO -
Multimaster replication - jest metodą bazy danych replikacji, która pozwalaja dane które mają być przechowywane przez grupę komputerów i aktualizowane przez każdego członka grupy. System replikacji multi-master jest odpowiedzialny za propagowanie zmian danych dokonywanych przez każdego członka do reszty grupy i rozwiązywania konfliktów, które mogą powstać między jednoczesnego wprowadzenia zmian wprowadzonych przez różnych użytkowników.
SACL - listy systemowej kontroli dostępu identyfikacja użytkownika i grupy których pomyślnie i niepomyślne próby uzyskania do obiektu maja yć poddane inspekcji. Domyślnie listą SACL kontroluje właściciel lub twórca obiektu.
GROUP POLICY OBJECT
100 - Proszę omówić budowę Group Policy Object w środowisku grupy roboczej Windows 7 oraz domeny Windows Server 2008 R2.
W systemach Windows Vista i wyżej mamy kilka lokalnych GPO (poniżej Visty tylko jedno):
Lokalne GPO - Ustawienia komputera i ustawienia dla wszystkich użytkowników
GPO Administratorów - ustawienia dla użytkowników z grupy administratorzy
GPO dla nieadministratorów - ustawienia dla pozostałych użytkowników
Per-User GPO - ustawienia dla konkretnych użytkowników
W środowisku domeny WS2008 GPO są tworzone w Active Directory podczas instalacji Active Directory Domain Services i przechowywane w kontrolerze domeny. Początkowo składają się z 2 standardowych GPO:
Standardowe Zasady Domeny (Default Domain Policy) - definiują zasady kont domeny: hasła, blokady kont, zasady szyfrowania KERBEROS
Standardowe zasady kontrolera domeny (Default Domain Controlleres Policy) - definiuje zasady inspekcji dla kontrolerów domeny oraz Active Directory
Ustawienia w ramach zasady grup tworzą tzw. obiekt zasad grup. Każdy taki obiekt składa się z dwóch części:
- ustawień użytkownika: ustawienia w tej części dotyczą kont osób logujących się w sieci.
- ustawień komputera: pozwalają wymuszać określone parametry w odniesieniu do konkretnych maszyn.
200 - Proszę omówić oraz przedstawić przykłady zastosowania dla rozwiązań Security Filtering i Delegation w ramach ustawień GPO.
Security filtering - polega na przyznawaniu GPO lub wyłączaniu GPO konkretnym użytkownikom, grupom użytkowników, komputerom.
Delegation -
Security Filtering pozwala określić grupę dla której będzie stosowane dane GPO.
300 - Proszę przedstawić kolejność stosowania zasad w środowisku AD DS. Jakie jest przeznaczenie mechanizmów Enforced oraz Loopback Processing?
Mechanizm Enforced powoduje iż wszelkie ustawienia należące do danego obiektu GPO będą wykonywane nawet jeżeli normalnie zostały zabronione. Powoduje do nadpisanie wszelkich, wcześniej nadanych ustawień oraz eliminuje konflikty w ustawieniach zasad w innych GPO.
Loopback Processing - zmienia standardowy algorytm używany przez klienta do uzyskania danego GPO. Zamiast korzystania z ustawień wyznaczonych przez węzeł User Configuration który jest powiązany z obiektem Użytkownika i egzekwowany bez względu na sprzet i miejsce w jakim dokona logowania do domeny, ustawienia użytkownika mogą być determinowane np. sprzętem na jakim pracuje (komputer desktop, maszyna wirtualna), miejscem itp. Ustawienia mogą wtedy być całkowicie zastąpione przez nowe GPO bądź mogą być dodane nowe ustawienia bądź ograniczenia (Replace Or Merge option)
400 - Proszę przedstawić miejsce przechowywania GPO oraz wskazać rozwiązanie pozwalające na centralizację szablonów administracyjnych. Z jakimi wymaganiami wiąże się takie rozwiązanie?
GPO przechowywane jest w 2 miejscach z racji tego, że składa się z 2 komponentów:
Group Policy Container - przechowywany jako obiekt w Active Directory Domain Service
Group Policy Template - pliki przechowywane na kontrolerze domeny w %SystemRoot%\SYSVOL\Domain\Policies\GPOGUID
Centralizacja szablonów (Central Store) - folder stworzony na kontrolerze domeny w %SystemRoot%\SYSVOL\Domain\Policies\ do przechowywania szablonów administracyjnych zawartych w plikach .admx/.adml w formacie XML
Wymogi: aby dokonywać zmian w GP komputer administracyjny musi mieć zainstalowany system Windows Vista bądź WS2008 aby był w stanie pracować z Central Store. Stworzone GPO mogą być wykorzystywane na starszych systemach.
WINDOWS PE
100 - Proszę omówić przeznaczenie środowiska Windows PE.
Jest to system operacyjny opracowany przez Microsoft służący głównie do przygotowywania komputerów klienckich do instalacji docelowego systemu operacyjnego(pre-instalację).
Windows PE stworzono głównie do trzech zadań: instalacji Windows - jako środowisko rozruchowe, które przygotowuje komputery kliencie do instalowania systemu, odzyskiwania oraz do rozwiązywania problemów z systemem.
200 - Proszę przedstawić metody dostępu do środowiska Windows PE.
Windows PE jest publicznie dostępne w Windows AIK. Można dostosować go przez Microsoft Deployment Toolkit 2010, który jest najbardziej optymalnym podejściem, jeśli wykorzystujemy MDT 2010 do wdrażania systemu Windows 7. Alternatywnie, można dostosować Windows PE ręcznie za pomocą narzędzi dostępnych w Windows
300 - W jakim formacie może być dostarczane środowisko Windows PE?
Najczęściej jest to obraz systemu który można nagrać w formie bootowalnej płyty DVD/pamięci przenośnej i uruchomić z niej komputer
Można także umieścić obraz na UFD startowym a następnie użyć UFD do instalacji systemu lub też można dodać niestandardowy obraz rozruchu systemu Windows PE z serwera Windows Deployment Services, a następnie uruchomić komputer zdalnie.
X 400 - Proszę wskazać dowolną usługę i omówić jej wymagania, która może stanowić bazę transportową dla Windows PE.
WINDOWS DEPLOYMENT SERVICES
100 - Proszę omówić przeznaczenie usługi Windows Deployment Services.
WDS jest narzędziem używanym do wdrażania systemów operacyjnych zwłaszcza do nowych komputerów za pomocą instalacji sieciowych
Windows Deployment Services jest aktualizacja i nowa wersja Remote Installation Services (RIS). Windows Deployment Services umożliwia wdrożenie systemów operacyjnych Windows za pomocą sieci, co oznacza, że nie trzeba instalować każdego systemu operacyjnego bezpośrednio z płyty CD lub DVD.
Pozwala przechowywać jeden lub więcej obrazów w jednym pliku.
200 - Proszę omówić rodzaje obrazów, które mogą być przechowywane w ramach Windows Deployment Services. Który rodzaj obrazów wymaga konfiguracji grup?
Rodzaj obrazu:RISETUP i RIPREP(tryb legacy) do wdrażania nowych systemów operacyjnych gdyż typ ten jest kompatybilny ze starszymi wersjami systemów.
Windows Imaging (WIM),Format plików Virtual Hard Disk (VHD) dla Windows Server 2008 i Windows 7
Rozruchowe- to WIM, stosowane do uruchomienia bez systemu operacyjnego
Instalacyjne - obszerna postać pliku WIM znajdują się wszystki pliki systemu operacyjnego
300 - W jakim formacie mogą być przechowywane w usłudze WDS obrazy przy założeniu, że poziomem funkcjonalności domeny jest Windows Server 2003?
w systemie Windows Server 2003 format zdjęć musi być przekonwertowany do obrazów RIPREP WIM
Format WIM
X 400 - Proszę omówić sposoby wykrywania klientów usługi WDS oraz metody zabezpieczania przed dołączaniem się do obrazów startowych przechowywanych w WDS.
//LEGENDA
Pytania zgodnie z działami i punktami. Podpunkty 1, 2, 3itd to różne wersje, które wymagają jeszcze przejrzenia i zatwierdzenia.