SlideShare uma empresa Scribd logo

V-ICT-OR SHOPT IT 2014

V
V-ICT-OR

Het einde van logon scripts?

Tecnologia
1 de 19
Baixar para ler offline
Shopt-IT 2014 Het einde van Logon scripts? 1 Belangrijkste doeleinden logon scripts .............................................................................. 2 2 Klassieke werkwijze........................................................................................................... 2 3 Logon scripts nu via Group Policy..................................................................................... 3 4 Scripting of GPO preferences instellingen – best practices ............................................... 3 5 Kan ik mijn logon script’s vervangen door group policy preferences? ............................. 4 6 (Persoonlijke) Conclusies................................................................................................... 5 7 Case 1: Logon script vervangen door GPO........................................................................ 6 7.1 Vroeger: Logon script (47 lijnen VBS code) – locatie netlogon................................ 6 1) Mapping netwerk share (DFS namespace).................................................................. 6 2) BGInfo op bureaublad tonen ....................................................................................... 6 3) Update Access Front End – 40 lijnen VBS code (installatie afzonderlijk script) ....... 6 4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) ................... 6 7.2 Nu: GPO...................................................................................................................... 7 1) Mapping netwerk share (DFS namespace).................................................................. 7 2) BGInfo op bureaublad tonen ....................................................................................... 8 3) Installatie (vroeger 64 lijnen code) + Update van programma (Access Front End).... 9 4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) ..................... 11 8 Case 2: Persoonlijke mappen maken via GPO................................................................. 12 Stap 1 - Folder maken/delen en rechten instellen ................................................................ 12 Stap 2 - Security groep nieuwe gebruikers........................................................................... 13 Stap 3 - GPO voor drive mapping........................................................................................ 13 Stap 4 - Persoonlijke map aanmaken ................................................................................... 17
Shopt IT 2014 Ivo Depoorter Pagina 2 van 19 1 Belangrijkste doeleinden logon scripts • Folder mapping • Printer mapping • Omgevingsvariabelen • Registersleutels • Acties eigen aan de onderneming 2 Klassieke werkwijze (Belangrijkste) +Voordelen/-Nadelen: + Homedrive wordt automatisch gemaakt incl. rechten - 1 script per gebruiker - Script wordt enkel uitgevoerd tijdens het aanmelden - Scripten is arbeidsintensief en vergt veel kennis(overdracht)
Shopt IT 2014 Ivo Depoorter Pagina 3 van 19 3 Logon scripts nu via Group Policy Via computer configuration startup/shutdown of user configuration logon/logoff (Belangrijkste) +Voordelen/-Nadelen: + Meerdere Logon & logoff scripts per gebruiker/computer/GPO mogelijk + Volledige ondersteuning van Powershell (Vanaf Windows 7) - Standaard geen ondersteuning voor Windows XP, Vista, Server 2003 (+R2) (installatie van GPO Client side extensions!) 4 Scripting of GPO preferences instellingen – best practices Taken die uitgevoerd kunnen worden via group policy preferences • Folder mapping • Omgevingsvariabelen • Bestanden • Registerinstellingen • Printers (Belangrijkste) +Voordelen/-Nadelen: + Geen kennis van scripting nodig + ITL (Item Level Targetting) + CRUD (Create Read Update Delete) van objecten + Group policies worden periodiek vernieuwd (niet altijd logon of startup nodig)
Shopt IT 2014 Ivo Depoorter Pagina 4 van 19 5 Kan ik mijn logon script’s vervangen door group policy preferences? How to get rid of your logon scripts the easy and free way: http://www.grouppolicy.biz/2012/09/teched-2012-video-how-to-get-rid-of-your-logon- scripts-the-easy-and-free-way/ TargetingPreferences Targeting operatoren
Shopt IT 2014 Ivo Depoorter Pagina 5 van 19 6 (Persoonlijke) Conclusies • Het scripten van opstart taken is arbeidsintensief en kan in veel gevallen vervangen worden door group policy preferences. • GPO’s ter vervanging van scripts vraagt soms een andere aanpak • Security groepen spelen een belangrijke rol en kunnen voor meerdere doeleinden (her)gebruikt worden. Tip maak gebruikers sjablonen! • Het gebruik van de Netlogon share is niet langer nodig • Kennis van scripten blijft nodig voor andere doeleinden – meer en meer powershell!
Shopt IT 2014 Ivo Depoorter Pagina 6 van 19 Front-end schrijft bij het openen het versie nr naar het register Controle bestaat de folder met de front-end op het bureaublad Vergelijk versie uit register met versie uit text bestand op server Update indien versie verschillend Schrijf nieuw versie nummer naar register 7 Case 1: Logon script vervangen door GPO 7.1 Vroeger: Logon script (47 lijnen VBS code) – locatie netlogon 1) Mapping netwerk share (DFS namespace) 2) BGInfo op bureaublad tonen 3) Update Access Front End – 40 lijnen VBS code (installatie afzonderlijk script) 4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk)
Shopt IT 2014 Ivo Depoorter Pagina 7 van 19 7.2 Nu: GPO 1) Mapping netwerk share (DFS namespace) • Maak een GPO (in het voorbeeld Drive mapping) • Gebruik User Configuration – Preferences – Drive Maps • Vul je eigen parameters (share, drive letter) in volgens het screenshot • Maak een security groep (in het voorbeeld GS-DFS-Namespace-User)
Shopt IT 2014 Ivo Depoorter Pagina 8 van 19 • Optioneel: maak een snelkoppeling naar het bureaublad 2) BGInfo op bureaublad tonen • Maak een vbs of batch om BGInfo op te starten • Maak een nieuwe of gebruik een bestaande GPO • Ga naar User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff) en dubbel-click op Logon Zie volledig voorbeeld op http://social.technet.microsoft.com/wiki/contents/articles/20262.apply-bginfo-using-a-group- policy-logon-script.aspx
Shopt IT 2014 Ivo Depoorter Pagina 9 van 19 3) Installatie (vroeger 64 lijnen code) + Update van programma (Access Front End) In deze group policy worden de mappen gemaakt die nodig zijn voor het gebruik van de Acces Front End als de gebruiker lid is van een bepaalde security groep. Het bepalen van de volgorde kan van belang zijn, zeker als je creatie van items (in dit geval folders) afhankelijk maakt van het bestaan van andere items. Opzoekingen in Active Directory zijn arbeidsintensiever van andere opzoekingen, zeker wanneer er een lage bandbreedte is tussen de client en de domein controller. In onderstaand geval wordt er alleen gecontroleerd of de gebruiker lid is van de opgegeven security groep bij de aanmaak van de eerste map (DB_Cliënten – order 1 ). Voor de creatie van de andere mappen wordt er gecontroleerd of de eerste map bestaat. Volgorde Maak map Als En 1 DB_Cliënten Gebruiker =lid security groep x De map DB_Cliënten bestaat niet 2 Cliënt_Fiches map DB_Cliënten bestaat 3 Excel_Sjablonen map DB_Cliënten bestaat 4 Word_Sjablonen map DB_Cliënten bestaat 5 Temp map DB_Cliënten bestaat Belangrijk voordeel: dezelfde security groep wordt gebruikt voor 3 doeleinden: • Group policy: programma installeren en up-to-date houden • SQL Server: rechten op de cliëntdatabank • Fileserver: rechten op cliënt bestanden In de volgende stap (order 1) wordt het bestand naar de map DB_Cliënten gekopieerd als deze bestaat.
Shopt IT 2014 Ivo Depoorter Pagina 10 van 19 Order 2 zorgt voor een update van het programma als de versie niet beantwoord aan de parameter in de group policy. Werking: • Tijdens het starten van de front-end schrijft de toepassing het versie nummer weg naar het register • De onderstaande ILT (Item Level Targeting) gaat deze versie uitlezen en opslaan in een variabele • Er wordt een nieuwe versie gekopieerd als de versie van de variabele niet gelijk is aan de versie opgegeven in de group policy Tot slot worden er ook enkele registersleutels aangemaakt die voordien in het installatiescript zaten en krijgt de front end ook een snelkoppeling op het bureaublad
Shopt IT 2014 Ivo Depoorter Pagina 11 van 19 4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) Omwille van de compatibiliteit met Topdesk wordt dit script niet gewijzigd. Het script verhuist van de netlogon share naar een group policy onder de instelling: Computer Configuration > Policies > Windows Settings > Scripts Startup
Shopt IT 2014 Ivo Depoorter Pagina 12 van 19 8 Case 2: Persoonlijke mappen maken via GPO Stap 1 - Folder maken/delen en rechten instellen Maak een map gebruikersmappen aan Deel deze map (gebruikersmappen$) en zet de share permissies op full control voor authenticated users (geverifieerde gebruikers) Wijzig de NTFS rechten door de volgende instellingen: Schakel het erven van bovenliggende rechten uit (disable inheritance) en stel de volgende rechten in SYSTEM = Full Control CREATOR OWNER = Full Control LOCALAdministrators = Full Control Authenticated Users = Traverse folder (Door map bladeren/Bestanden uitvoeren); Create folder (Mappen maken/Gegevens toevoegen); Write attributes (Kenmerken schrijven); Write extended attributes (Uitgebreide kenmerken schrijven); Read permissions (Leesmachtigingen)
Shopt IT 2014 Ivo Depoorter Pagina 13 van 19 Stap 2 - Security groep nieuwe gebruikers Maak een Security groep GS-Persoonlijke_map Stap 3 - GPO voor drive mapping Maak de GPO Drive Mapping aan Onder User configuration – preferences – Drive maps bepaal je het path, de letter en het label van de homedrive. Door gebruik te maken van %LOGONUSER% zorg je ervoor dat de persoonlijke map de naam krijgt van de aangemelde gebruiker.
Shopt IT 2014 Ivo Depoorter Pagina 14 van 19 De variabele %LOGONUSER% is een functie die gebruikt kan worden binnen GPO’s om de naam van de aangemelde gebruiker weer te geven. Niet verwarren met de lokale variabele %USERNAME% !!! Andere variabelen zijn terug te vinden op: http://technet.microsoft.com/en- us/library/cc753915.aspx
Shopt IT 2014 Ivo Depoorter Pagina 15 van 19 Klik op de Common tab en selecteer Run in Logged-on user’s security context (Uitvoeren in de beveiligingscontext van de aangemelde gebruiker ) en Item-level targeting (Itemniveau als doel instellen) Run in Logged-on user’s security context Als de optie Uitvoeren in de beveiligingscontext van de aangemelde gebruiker is geselecteerd, wordt de beveiligingscontext waarbinnen het voorkeursitems wordt verwerkt, gewijzigd. De voorkeursextensie verwerkt voorkeursitems binnen de beveiligingscontext van de aangemelde gebruiker. De voorkeurextensie verkrijgt hierdoor als gebruiker toegang tot bronnen in plaats van als computer. Dit kan bijzonder belangrijk zijn wanneer er gebruik wordt gemaakt van stations toewijzingen of andere voorkeuren waarin de computer mogelijk niet over de juiste machtigingen voor bronnen beschikt of in gevallen waarin er omgevingsvariabelen worden gebruikt. De waarde van een groot aantal omgevingsvariabelen wijkt af wanneer deze wordt beoordeeld in een andere beveiligingscontext dan in die van de aangemelde gebruiker.
Shopt IT 2014 Ivo Depoorter Pagina 16 van 19 Item-level targeting Met de optie Itemniveau als doel instellen bepaal je aan welke voorwaarden er voldaan moet worden vooraleer de instelling toegepast worden. De instellingen hebben een waar/onwaar waarde die gewijzigd kan worden. Meerdere voorwaarden kunnen met de logische operatoren En/Of gecombineerd worden. De meest gebruikte filters zijn op security groep, IP adres bereik, organisatie eenheid, registerovereenkomst, bestandsovereenkomst Klik op Targeting en Voeg de security groep GS-Persoonlijke_map toe
Shopt IT 2014 Ivo Depoorter Pagina 17 van 19 Stap 4 - Persoonlijke map aanmaken In tegenstelling tot de home drive instellingen binnen Active Directory Users And Computers wordt de home map niet automatisch aangemaakt via de group policy dus zijn er enkele bijkomende stappen nodig. Maak een nieuwe group policy Persoonlijke map maken Verwijder authenticated users onder Security Filtering en voeg de net aangemaakte security groep toe (GS-Persoonlijke_map) Editeer de GPO Persoonlijke map maken Ga naar User configuration – preferences – Folder en maak een map aan die verwijst naar de share gemaakt in stap 1
Shopt IT 2014 Ivo Depoorter Pagina 18 van 19 De optie Create (Maken) is hier de beste optie en is ook veilig (zie groen icoontje voor de map naam). Indien de map bestaat wordt er verder niets meer ondernomen. Maken Een nieuwe map voor computers of gebruikers maken. Verwijderen Een map voor computers of gebruikers verwijderen. Vervangen Een map voor computers of gebruikers verwijderen en opnieuw maken. Het resultaat van de actie Vervangen is dat de inhoud van een bestaande map wordt verwijderd en alle bij de map behorende instellingen worden overschreven. Als de map niet bestaat, wordt met de actie Vervangen een nieuwe map gemaakt. Bijwerken Een bestaande map voor computers of gebruikers wijzigen. Het verschil met de actie Vervangen is dat uitsluitend binnen het voorkeursitem gedefinieerde instellingen worden bijgewerkt. Alle andere instellingen blijven zoals ze geconfigureerd zijn voor de map. Als de map niet bestaat, wordt met de actie Bijwerken een nieuwe map gemaakt. Link de GPO’s Drive Mapping en Persoonlijke map maken aan een OU en controleer de volgorde van de GPO’s. Zorg ervoor dat de link order van de GPO die de map aanmaakt lager is dan de GPO die instaat voor de drive mapping.
Shopt IT 2014 Ivo Depoorter Pagina 19 van 19 Klik op common Run in Logged-On user’s security context

Recomendados

TOPsis in een notendop
TOPsis in een notendopTOPsis in een notendop
TOPsis in een notendopTOPdesk
 
Preventief Onderhoud - Vakbeurs Facilitair - Januari 2017
Preventief Onderhoud - Vakbeurs Facilitair - Januari 2017Preventief Onderhoud - Vakbeurs Facilitair - Januari 2017
Preventief Onderhoud - Vakbeurs Facilitair - Januari 2017TOPdesk
 
XPages Introductie
XPages IntroductieXPages Introductie
XPages IntroductieRob Bontekoe
 
General Drupal presentation in Dutch
General Drupal presentation in DutchGeneral Drupal presentation in Dutch
General Drupal presentation in DutchRoel Meester
 
group policies in windows 2008 server
group policies in windows 2008 servergroup policies in windows 2008 server
group policies in windows 2008 serverkgotthold
 
New features cognos10.2
New features cognos10.2New features cognos10.2
New features cognos10.2Jan van Otten
 
Drupal7 Development
Drupal7 DevelopmentDrupal7 Development
Drupal7 DevelopmentHans Rossel
 
Mdot 4a broker introductie
Mdot 4a broker introductie Mdot 4a broker introductie
Mdot 4a broker introductie Mid-Office days on Tour
 

Recomendados

TOPsis in een notendop
TOPsis in een notendopTOPsis in een notendop
TOPsis in een notendopTOPdesk
 
Preventief Onderhoud - Vakbeurs Facilitair - Januari 2017
Preventief Onderhoud - Vakbeurs Facilitair - Januari 2017Preventief Onderhoud - Vakbeurs Facilitair - Januari 2017
Preventief Onderhoud - Vakbeurs Facilitair - Januari 2017TOPdesk
 
XPages Introductie
XPages IntroductieXPages Introductie
XPages IntroductieRob Bontekoe
 
General Drupal presentation in Dutch
General Drupal presentation in DutchGeneral Drupal presentation in Dutch
General Drupal presentation in DutchRoel Meester
 
group policies in windows 2008 server
group policies in windows 2008 servergroup policies in windows 2008 server
group policies in windows 2008 serverkgotthold
 
New features cognos10.2
New features cognos10.2New features cognos10.2
New features cognos10.2Jan van Otten
 
Drupal7 Development
Drupal7 DevelopmentDrupal7 Development
Drupal7 DevelopmentHans Rossel
 
Mdot 4a broker introductie
Mdot 4a broker introductie Mdot 4a broker introductie
Mdot 4a broker introductie Mid-Office days on Tour
 
Community Kick Off Slides
Community Kick Off SlidesCommunity Kick Off Slides
Community Kick Off SlidesWouterJansen
 
SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)
SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)
SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)Fred Janssen
 
Connections next
Connections nextConnections next
Connections nextSasja Beerendonk
 
Oplijsting mogelijkheden open source
Oplijsting mogelijkheden open sourceOplijsting mogelijkheden open source
Oplijsting mogelijkheden open sourceguesta83c7d
 
oplijsting_mogelijkheden_open_source
oplijsting_mogelijkheden_open_sourceoplijsting_mogelijkheden_open_source
oplijsting_mogelijkheden_open_sourceguesta83c7d
 
Portiva - Sushi and SharePoint
Portiva - Sushi and SharePointPortiva - Sushi and SharePoint
Portiva - Sushi and SharePointAlbert Hoitingh
 
Bs 2 les 20110428
Bs 2 les 20110428Bs 2 les 20110428
Bs 2 les 20110428Maarten Daniels
 
Gutsy New Features
Gutsy New FeaturesGutsy New Features
Gutsy New Featuresguest341e20
 
metadata & open source #osgeonl dag 2012
metadata & open source #osgeonl dag 2012 metadata & open source #osgeonl dag 2012
metadata & open source #osgeonl dag 2012 pvangenuchten
 
Didax Beheerhandboek v300
Didax Beheerhandboek v300Didax Beheerhandboek v300
Didax Beheerhandboek v300Marten Boven
 
Dutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionDutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionAlbert Hoitingh
 
Logging En Monitoring Presentatie Met Penetratie Testen 0.5
Logging En Monitoring Presentatie Met Penetratie Testen 0.5Logging En Monitoring Presentatie Met Penetratie Testen 0.5
Logging En Monitoring Presentatie Met Penetratie Testen 0.5Ferdinand_u
 
Backup for dummies
Backup for dummiesBackup for dummies
Backup for dummiesMarco van der Hart
 
OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)
OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)
OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)Avansa Mid- en Zuidwest
 
Rapport 201012 xmpp_federatie_ocs_implementatiehandleiding
Rapport 201012 xmpp_federatie_ocs_implementatiehandleidingRapport 201012 xmpp_federatie_ocs_implementatiehandleiding
Rapport 201012 xmpp_federatie_ocs_implementatiehandleidingsig-uc
 
Versiebeheer van database changes
Versiebeheer van database changesVersiebeheer van database changes
Versiebeheer van database changesArjen van Vliet
 
16. BI-Tooltip: MicroStrategy System Manager
16. BI-Tooltip: MicroStrategy System Manager16. BI-Tooltip: MicroStrategy System Manager
16. BI-Tooltip: MicroStrategy System ManagerFourPoints Business Intelligence
 
LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)
LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)
LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)Fred Janssen
 
Multiscope Socratos Adviesraad
Multiscope Socratos AdviesraadMultiscope Socratos Adviesraad
Multiscope Socratos AdviesraadJohn Kivit
 
PowerCraft Technology - Flyers A4
PowerCraft Technology - Flyers A4PowerCraft Technology - Flyers A4
PowerCraft Technology - Flyers A4Jelle de Jong
 

Mais conteúdo relacionado

Semelhante a V-ICT-OR SHOPT IT 2014

Community Kick Off Slides
Community Kick Off SlidesCommunity Kick Off Slides
Community Kick Off SlidesWouterJansen
 
SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)
SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)
SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)Fred Janssen
 
Oplijsting mogelijkheden open source
Oplijsting mogelijkheden open sourceOplijsting mogelijkheden open source
Oplijsting mogelijkheden open sourceguesta83c7d
 
oplijsting_mogelijkheden_open_source
oplijsting_mogelijkheden_open_sourceoplijsting_mogelijkheden_open_source
oplijsting_mogelijkheden_open_sourceguesta83c7d
 
Portiva - Sushi and SharePoint
Portiva - Sushi and SharePointPortiva - Sushi and SharePoint
Portiva - Sushi and SharePointAlbert Hoitingh
 
Gutsy New Features
Gutsy New FeaturesGutsy New Features
Gutsy New Featuresguest341e20
 
metadata & open source #osgeonl dag 2012
metadata & open source #osgeonl dag 2012 metadata & open source #osgeonl dag 2012
metadata & open source #osgeonl dag 2012 pvangenuchten
 
Didax Beheerhandboek v300
Didax Beheerhandboek v300Didax Beheerhandboek v300
Didax Beheerhandboek v300Marten Boven
 
Dutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionDutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionAlbert Hoitingh
 
Logging En Monitoring Presentatie Met Penetratie Testen 0.5
Logging En Monitoring Presentatie Met Penetratie Testen 0.5Logging En Monitoring Presentatie Met Penetratie Testen 0.5
Logging En Monitoring Presentatie Met Penetratie Testen 0.5Ferdinand_u
 
OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)
OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)
OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)Avansa Mid- en Zuidwest
 
Rapport 201012 xmpp_federatie_ocs_implementatiehandleiding
Rapport 201012 xmpp_federatie_ocs_implementatiehandleidingRapport 201012 xmpp_federatie_ocs_implementatiehandleiding
Rapport 201012 xmpp_federatie_ocs_implementatiehandleidingsig-uc
 
Versiebeheer van database changes
Versiebeheer van database changesVersiebeheer van database changes
Versiebeheer van database changesArjen van Vliet
 
LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)
LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)
LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)Fred Janssen
 
Multiscope Socratos Adviesraad
Multiscope Socratos AdviesraadMultiscope Socratos Adviesraad
Multiscope Socratos AdviesraadJohn Kivit
 
PowerCraft Technology - Flyers A4
PowerCraft Technology - Flyers A4PowerCraft Technology - Flyers A4
PowerCraft Technology - Flyers A4Jelle de Jong
 

Semelhante a V-ICT-OR SHOPT IT 2014 (20)

Community Kick Off Slides
Community Kick Off SlidesCommunity Kick Off Slides
Community Kick Off Slides
 
SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)
SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)
SNUG 2008 - Lotus Domino 8.5 Administration (dutch/nederlands)
 
Connections next
Connections nextConnections next
Connections next
 
Oplijsting mogelijkheden open source
Oplijsting mogelijkheden open sourceOplijsting mogelijkheden open source
Oplijsting mogelijkheden open source
 
oplijsting_mogelijkheden_open_source
oplijsting_mogelijkheden_open_sourceoplijsting_mogelijkheden_open_source
oplijsting_mogelijkheden_open_source
 
Portiva - Sushi and SharePoint
Portiva - Sushi and SharePointPortiva - Sushi and SharePoint
Portiva - Sushi and SharePoint
 
Bs 2 les 20110428
Bs 2 les 20110428Bs 2 les 20110428
Bs 2 les 20110428
 
Gutsy New Features
Gutsy New FeaturesGutsy New Features
Gutsy New Features
 
metadata & open source #osgeonl dag 2012
metadata & open source #osgeonl dag 2012 metadata & open source #osgeonl dag 2012
metadata & open source #osgeonl dag 2012
 
Didax Beheerhandboek v300
Didax Beheerhandboek v300Didax Beheerhandboek v300
Didax Beheerhandboek v300
 
Dutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information ProtectionDutch Microsoft Security Meetup Windows Information Protection
Dutch Microsoft Security Meetup Windows Information Protection
 
Logging En Monitoring Presentatie Met Penetratie Testen 0.5
Logging En Monitoring Presentatie Met Penetratie Testen 0.5Logging En Monitoring Presentatie Met Penetratie Testen 0.5
Logging En Monitoring Presentatie Met Penetratie Testen 0.5
 
Backup for dummies
Backup for dummiesBackup for dummies
Backup for dummies
 
OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)
OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)
OpenTechTalks: Haal méér uit Chrome en Firefox (Gregory Deseck & Merijn Supply)
 
Rapport 201012 xmpp_federatie_ocs_implementatiehandleiding
Rapport 201012 xmpp_federatie_ocs_implementatiehandleidingRapport 201012 xmpp_federatie_ocs_implementatiehandleiding
Rapport 201012 xmpp_federatie_ocs_implementatiehandleiding
 
Versiebeheer van database changes
Versiebeheer van database changesVersiebeheer van database changes
Versiebeheer van database changes
 
16. BI-Tooltip: MicroStrategy System Manager
16. BI-Tooltip: MicroStrategy System Manager16. BI-Tooltip: MicroStrategy System Manager
16. BI-Tooltip: MicroStrategy System Manager
 
LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)
LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)
LUG 2009 - Lotus Domino 8.5.1 Administration (dutch/nederlands)
 
Multiscope Socratos Adviesraad
Multiscope Socratos AdviesraadMultiscope Socratos Adviesraad
Multiscope Socratos Adviesraad
 
PowerCraft Technology - Flyers A4
PowerCraft Technology - Flyers A4PowerCraft Technology - Flyers A4
PowerCraft Technology - Flyers A4
 

V-ICT-OR SHOPT IT 2014

  • 1. Shopt-IT 2014 Het einde van Logon scripts? 1 Belangrijkste doeleinden logon scripts .............................................................................. 2 2 Klassieke werkwijze........................................................................................................... 2 3 Logon scripts nu via Group Policy..................................................................................... 3 4 Scripting of GPO preferences instellingen – best practices ............................................... 3 5 Kan ik mijn logon script’s vervangen door group policy preferences? ............................. 4 6 (Persoonlijke) Conclusies................................................................................................... 5 7 Case 1: Logon script vervangen door GPO........................................................................ 6 7.1 Vroeger: Logon script (47 lijnen VBS code) – locatie netlogon................................ 6 1) Mapping netwerk share (DFS namespace).................................................................. 6 2) BGInfo op bureaublad tonen ....................................................................................... 6 3) Update Access Front End – 40 lijnen VBS code (installatie afzonderlijk script) ....... 6 4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) ................... 6 7.2 Nu: GPO...................................................................................................................... 7 1) Mapping netwerk share (DFS namespace).................................................................. 7 2) BGInfo op bureaublad tonen ....................................................................................... 8 3) Installatie (vroeger 64 lijnen code) + Update van programma (Access Front End).... 9 4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) ..................... 11 8 Case 2: Persoonlijke mappen maken via GPO................................................................. 12 Stap 1 - Folder maken/delen en rechten instellen ................................................................ 12 Stap 2 - Security groep nieuwe gebruikers........................................................................... 13 Stap 3 - GPO voor drive mapping........................................................................................ 13 Stap 4 - Persoonlijke map aanmaken ................................................................................... 17
  • 2. Shopt IT 2014 Ivo Depoorter Pagina 2 van 19 1 Belangrijkste doeleinden logon scripts • Folder mapping • Printer mapping • Omgevingsvariabelen • Registersleutels • Acties eigen aan de onderneming 2 Klassieke werkwijze (Belangrijkste) +Voordelen/-Nadelen: + Homedrive wordt automatisch gemaakt incl. rechten - 1 script per gebruiker - Script wordt enkel uitgevoerd tijdens het aanmelden - Scripten is arbeidsintensief en vergt veel kennis(overdracht)
  • 3. Shopt IT 2014 Ivo Depoorter Pagina 3 van 19 3 Logon scripts nu via Group Policy Via computer configuration startup/shutdown of user configuration logon/logoff (Belangrijkste) +Voordelen/-Nadelen: + Meerdere Logon & logoff scripts per gebruiker/computer/GPO mogelijk + Volledige ondersteuning van Powershell (Vanaf Windows 7) - Standaard geen ondersteuning voor Windows XP, Vista, Server 2003 (+R2) (installatie van GPO Client side extensions!) 4 Scripting of GPO preferences instellingen – best practices Taken die uitgevoerd kunnen worden via group policy preferences • Folder mapping • Omgevingsvariabelen • Bestanden • Registerinstellingen • Printers (Belangrijkste) +Voordelen/-Nadelen: + Geen kennis van scripting nodig + ITL (Item Level Targetting) + CRUD (Create Read Update Delete) van objecten + Group policies worden periodiek vernieuwd (niet altijd logon of startup nodig)
  • 4. Shopt IT 2014 Ivo Depoorter Pagina 4 van 19 5 Kan ik mijn logon script’s vervangen door group policy preferences? How to get rid of your logon scripts the easy and free way: http://www.grouppolicy.biz/2012/09/teched-2012-video-how-to-get-rid-of-your-logon- scripts-the-easy-and-free-way/ TargetingPreferences Targeting operatoren
  • 5. Shopt IT 2014 Ivo Depoorter Pagina 5 van 19 6 (Persoonlijke) Conclusies • Het scripten van opstart taken is arbeidsintensief en kan in veel gevallen vervangen worden door group policy preferences. • GPO’s ter vervanging van scripts vraagt soms een andere aanpak • Security groepen spelen een belangrijke rol en kunnen voor meerdere doeleinden (her)gebruikt worden. Tip maak gebruikers sjablonen! • Het gebruik van de Netlogon share is niet langer nodig • Kennis van scripten blijft nodig voor andere doeleinden – meer en meer powershell!
  • 6. Shopt IT 2014 Ivo Depoorter Pagina 6 van 19 Front-end schrijft bij het openen het versie nr naar het register Controle bestaat de folder met de front-end op het bureaublad Vergelijk versie uit register met versie uit text bestand op server Update indien versie verschillend Schrijf nieuw versie nummer naar register 7 Case 1: Logon script vervangen door GPO 7.1 Vroeger: Logon script (47 lijnen VBS code) – locatie netlogon 1) Mapping netwerk share (DFS namespace) 2) BGInfo op bureaublad tonen 3) Update Access Front End – 40 lijnen VBS code (installatie afzonderlijk script) 4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk)
  • 7. Shopt IT 2014 Ivo Depoorter Pagina 7 van 19 7.2 Nu: GPO 1) Mapping netwerk share (DFS namespace) • Maak een GPO (in het voorbeeld Drive mapping) • Gebruik User Configuration – Preferences – Drive Maps • Vul je eigen parameters (share, drive letter) in volgens het screenshot • Maak een security groep (in het voorbeeld GS-DFS-Namespace-User)
  • 8. Shopt IT 2014 Ivo Depoorter Pagina 8 van 19 • Optioneel: maak een snelkoppeling naar het bureaublad 2) BGInfo op bureaublad tonen • Maak een vbs of batch om BGInfo op te starten • Maak een nieuwe of gebruik een bestaande GPO • Ga naar User Configuration > Policies > Windows Settings > Scripts (Logon/Logoff) en dubbel-click op Logon Zie volledig voorbeeld op http://social.technet.microsoft.com/wiki/contents/articles/20262.apply-bginfo-using-a-group- policy-logon-script.aspx
  • 9. Shopt IT 2014 Ivo Depoorter Pagina 9 van 19 3) Installatie (vroeger 64 lijnen code) + Update van programma (Access Front End) In deze group policy worden de mappen gemaakt die nodig zijn voor het gebruik van de Acces Front End als de gebruiker lid is van een bepaalde security groep. Het bepalen van de volgorde kan van belang zijn, zeker als je creatie van items (in dit geval folders) afhankelijk maakt van het bestaan van andere items. Opzoekingen in Active Directory zijn arbeidsintensiever van andere opzoekingen, zeker wanneer er een lage bandbreedte is tussen de client en de domein controller. In onderstaand geval wordt er alleen gecontroleerd of de gebruiker lid is van de opgegeven security groep bij de aanmaak van de eerste map (DB_Cliënten – order 1 ). Voor de creatie van de andere mappen wordt er gecontroleerd of de eerste map bestaat. Volgorde Maak map Als En 1 DB_Cliënten Gebruiker =lid security groep x De map DB_Cliënten bestaat niet 2 Cliënt_Fiches map DB_Cliënten bestaat 3 Excel_Sjablonen map DB_Cliënten bestaat 4 Word_Sjablonen map DB_Cliënten bestaat 5 Temp map DB_Cliënten bestaat Belangrijk voordeel: dezelfde security groep wordt gebruikt voor 3 doeleinden: • Group policy: programma installeren en up-to-date houden • SQL Server: rechten op de cliëntdatabank • Fileserver: rechten op cliënt bestanden In de volgende stap (order 1) wordt het bestand naar de map DB_Cliënten gekopieerd als deze bestaat.
  • 10. Shopt IT 2014 Ivo Depoorter Pagina 10 van 19 Order 2 zorgt voor een update van het programma als de versie niet beantwoord aan de parameter in de group policy. Werking: • Tijdens het starten van de front-end schrijft de toepassing het versie nummer weg naar het register • De onderstaande ILT (Item Level Targeting) gaat deze versie uitlezen en opslaan in een variabele • Er wordt een nieuwe versie gekopieerd als de versie van de variabele niet gelijk is aan de versie opgegeven in de group policy Tot slot worden er ook enkele registersleutels aangemaakt die voordien in het installatiescript zaten en krijgt de front end ook een snelkoppeling op het bureaublad
  • 11. Shopt IT 2014 Ivo Depoorter Pagina 11 van 19 4) Schrijf systeeminformatie weg naar share voor Topsis (script Topdesk) Omwille van de compatibiliteit met Topdesk wordt dit script niet gewijzigd. Het script verhuist van de netlogon share naar een group policy onder de instelling: Computer Configuration > Policies > Windows Settings > Scripts Startup
  • 12. Shopt IT 2014 Ivo Depoorter Pagina 12 van 19 8 Case 2: Persoonlijke mappen maken via GPO Stap 1 - Folder maken/delen en rechten instellen Maak een map gebruikersmappen aan Deel deze map (gebruikersmappen$) en zet de share permissies op full control voor authenticated users (geverifieerde gebruikers) Wijzig de NTFS rechten door de volgende instellingen: Schakel het erven van bovenliggende rechten uit (disable inheritance) en stel de volgende rechten in SYSTEM = Full Control CREATOR OWNER = Full Control LOCALAdministrators = Full Control Authenticated Users = Traverse folder (Door map bladeren/Bestanden uitvoeren); Create folder (Mappen maken/Gegevens toevoegen); Write attributes (Kenmerken schrijven); Write extended attributes (Uitgebreide kenmerken schrijven); Read permissions (Leesmachtigingen)
  • 13. Shopt IT 2014 Ivo Depoorter Pagina 13 van 19 Stap 2 - Security groep nieuwe gebruikers Maak een Security groep GS-Persoonlijke_map Stap 3 - GPO voor drive mapping Maak de GPO Drive Mapping aan Onder User configuration – preferences – Drive maps bepaal je het path, de letter en het label van de homedrive. Door gebruik te maken van %LOGONUSER% zorg je ervoor dat de persoonlijke map de naam krijgt van de aangemelde gebruiker.
  • 14. Shopt IT 2014 Ivo Depoorter Pagina 14 van 19 De variabele %LOGONUSER% is een functie die gebruikt kan worden binnen GPO’s om de naam van de aangemelde gebruiker weer te geven. Niet verwarren met de lokale variabele %USERNAME% !!! Andere variabelen zijn terug te vinden op: http://technet.microsoft.com/en- us/library/cc753915.aspx
  • 15. Shopt IT 2014 Ivo Depoorter Pagina 15 van 19 Klik op de Common tab en selecteer Run in Logged-on user’s security context (Uitvoeren in de beveiligingscontext van de aangemelde gebruiker ) en Item-level targeting (Itemniveau als doel instellen) Run in Logged-on user’s security context Als de optie Uitvoeren in de beveiligingscontext van de aangemelde gebruiker is geselecteerd, wordt de beveiligingscontext waarbinnen het voorkeursitems wordt verwerkt, gewijzigd. De voorkeursextensie verwerkt voorkeursitems binnen de beveiligingscontext van de aangemelde gebruiker. De voorkeurextensie verkrijgt hierdoor als gebruiker toegang tot bronnen in plaats van als computer. Dit kan bijzonder belangrijk zijn wanneer er gebruik wordt gemaakt van stations toewijzingen of andere voorkeuren waarin de computer mogelijk niet over de juiste machtigingen voor bronnen beschikt of in gevallen waarin er omgevingsvariabelen worden gebruikt. De waarde van een groot aantal omgevingsvariabelen wijkt af wanneer deze wordt beoordeeld in een andere beveiligingscontext dan in die van de aangemelde gebruiker.
  • 16. Shopt IT 2014 Ivo Depoorter Pagina 16 van 19 Item-level targeting Met de optie Itemniveau als doel instellen bepaal je aan welke voorwaarden er voldaan moet worden vooraleer de instelling toegepast worden. De instellingen hebben een waar/onwaar waarde die gewijzigd kan worden. Meerdere voorwaarden kunnen met de logische operatoren En/Of gecombineerd worden. De meest gebruikte filters zijn op security groep, IP adres bereik, organisatie eenheid, registerovereenkomst, bestandsovereenkomst Klik op Targeting en Voeg de security groep GS-Persoonlijke_map toe
  • 17. Shopt IT 2014 Ivo Depoorter Pagina 17 van 19 Stap 4 - Persoonlijke map aanmaken In tegenstelling tot de home drive instellingen binnen Active Directory Users And Computers wordt de home map niet automatisch aangemaakt via de group policy dus zijn er enkele bijkomende stappen nodig. Maak een nieuwe group policy Persoonlijke map maken Verwijder authenticated users onder Security Filtering en voeg de net aangemaakte security groep toe (GS-Persoonlijke_map) Editeer de GPO Persoonlijke map maken Ga naar User configuration – preferences – Folder en maak een map aan die verwijst naar de share gemaakt in stap 1
  • 18. Shopt IT 2014 Ivo Depoorter Pagina 18 van 19 De optie Create (Maken) is hier de beste optie en is ook veilig (zie groen icoontje voor de map naam). Indien de map bestaat wordt er verder niets meer ondernomen. Maken Een nieuwe map voor computers of gebruikers maken. Verwijderen Een map voor computers of gebruikers verwijderen. Vervangen Een map voor computers of gebruikers verwijderen en opnieuw maken. Het resultaat van de actie Vervangen is dat de inhoud van een bestaande map wordt verwijderd en alle bij de map behorende instellingen worden overschreven. Als de map niet bestaat, wordt met de actie Vervangen een nieuwe map gemaakt. Bijwerken Een bestaande map voor computers of gebruikers wijzigen. Het verschil met de actie Vervangen is dat uitsluitend binnen het voorkeursitem gedefinieerde instellingen worden bijgewerkt. Alle andere instellingen blijven zoals ze geconfigureerd zijn voor de map. Als de map niet bestaat, wordt met de actie Bijwerken een nieuwe map gemaakt. Link de GPO’s Drive Mapping en Persoonlijke map maken aan een OU en controleer de volgorde van de GPO’s. Zorg ervoor dat de link order van de GPO die de map aanmaakt lager is dan de GPO die instaat voor de drive mapping.
  • 19. Shopt IT 2014 Ivo Depoorter Pagina 19 van 19 Klik op common Run in Logged-On user’s security context