Zapraszam do lektury najnowszego artykułu “Nowości w Active Directory Domain Services Windows Server 2008 R2“.
“Usługi katalogowe Active Directory są jednym z kluczowych zasobów współczesnych przedsiębiorstw. Od czasu wydania Windows Server 2008 zaczęły w nich zachodzić zmiany (np. AD stało się usługą systemową) niezwykle istotne z punktu widzenia administratora. Najnowsza wersja R2 wniosła kilka interesujących funkcji, o których powinien wiedzieć każdy specjalista IT.”
Przed chwilą zakończyła się moja kolejna już sesja o wirtualizacji jaką prowadziłem dla VirtualStudy. Tym razem przedstawiłem rozwiązania “Innej strony wirtualizacji” czyli technologie wspomagające zapewnienie kompatybilności i centralizacji dystrybucji aplikacji. Podczas prezentacji można było poznać rozwiązania:
- Wirtualizacji prezentacji: Terminal Services / Remote Desktop Services
- Wirtualizacji aplikacji: APP-V (Application Virtualization)
- Wirtualizacji stacji roboczych: Windows Virtual PC i MED-V (Microsoft Enterprise Desktop Virtualization)
Prezentacja do pobrania tutaj.
Kontynuując cykl przedstawiający nowe rozwiązania Windows Server 2008 R2 dzisiaj przyszła kolej na bezpołączeniowe przyłączenie komputera do domeny (offline domain joining). Jest to nowe rozwiązanie pozwalające na utworzenie konta komputera w Active Directory i przeniesienie informacji o domenie do komputera, który ma stać się członkiem domeny.
Pierwszym etapem jest zarejestrowanie konta w domenie i jednocześnie utworzenie pliku odpowiedzi, za pomocą którego zostaną przekazane informacje do nie podłączonego do sieci komputera (z systemem operacyjnym Windows 7 lub Windows Server 2008 R2). Wykonuje się to poleceniem: DJOIN /PROVISION /DOMAIN skalski.info /MACHINEOU “OU=Test Lab,DC=skalski,DC=info” /MACHINE off-client1 /SAVEFILE c:\off-client1.djoin
Polecenie djoin pozwala zarówno na utworzenie pliku odpowiedzi jak i jego wykorzystanie do bezpołączeniowego przyłączenia stacji do domeny. Najważniejszymi parametrami są:
Kolejnym krokiem jest przeniesienie utworzonego wcześniej pliku odpowiedzi (w tym przypadku off-client1.djoin) do komputera docelowego oraz jego użycie. Wykonuje się to poleceniem: DJOIN /REQUESTODJ /LOADFILE c:\off-client1.djoin /LOCALOS /WINDOWSPATH C:\Windows
Wynikiem wykonania ww. polecenia jest przekazanie stacji informacji o jej członkostwie w domenie. By zakończyć ten proces należy ponownie uruchomić komputer. Parametry zastosowane w poleceniu oznaczają:
Warto zwrócić uwagę na scenariusz przygotowania maszyn wirtualnych z wykorzystaniem tej metody:
Ostatnią kwestią jaką należy poruszyć jest bezpieczeństwo tego rozwiązania. Plik odpowiedzi zwiera w sobie liczne informacje, które powinny być odpowiednio chronione. Matthieu Suiche stworzył narzędzie (dinfo.exe), które dekoduje plik odpowiedzi i ujawnia informacje zawarte w DATA_BLOB.
Warto zwrócić szczególną uwagę na hasło w polu lpMachinePassword, nazwy domeny i lasu oraz liczne informacje o polisach i identyfikatorach.
Na prośbę słuchaczy warsztatów Windows Server 2008 R2, które prowadziłem w ABC Data Centrum Edukacyjne w Katowicach umieszczam do pobrania swoją prezentację. Zapraszam, również do monitorowania mojego bloga, na którym w najbliższych dniach będa pojawiać się opisy technologii i ich przykładowe zastosowania.
Praca w trybie XP Mode domyślnie odbywa się w 16bitowej głębi kolorów, co może powodować problemy z niektórymi aplikacjami. Jest to związane z domyślnym limitem liczby kolorów podczas połączenia zdalnego pulpitu (remote desktop). Zwiększenie liczby kolorów możliwe jest poprzez wyłączenie komponentów integracyjnych, co skutkuje brakiem dostępu np. do współdzielonego schowka i przekazywania dysków – jednak pozwala na pracę w 32bitowej głębi kolorów. Druga metoda polega na modyfikacji parametrów sesji terminalowej, dzięki czemu komponenty integracyjne pozostają włączone i liczba kolorów zwiększa się do 24bit.
Zmian można dokonać w dowolnym z dwóch kluczy:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
lub
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
należy dodać lub jeśli istnieje zmodyfikować wpis ColorDepth (dword) o wartości: 4, co pozwala na pracę w trybie High (24bit).
Niestety na chwilę obecną nie jest możliwe włączenie 32bitowej głębi kolorów podczas działania komponentów integracyjnych.
Ostatnio dość często mówi się o bezpieczeństwie zaszyfrowanych danych, jednym z ciekawych wątków jest aspekty automatycznego udostępniania zaszyfrowanych dysków przez udziały administracyjne. Przykładowo przenośny dysk został zaszyfrowany za pomocą Bitlocker to Go, po przyłączeniu do komputera zostaje on automatycznie udostępniony jako np. x$. Po odszyfrowaniu każda osoba posiadające uprawnienia może przeglądać jego zawartość poprzez \\nazwa_serwera\x$. By wyłączyć takie zdarzenia (np. Windows 7) wymagane jest dodanie nowego klucza DWORD (32-bit) o nazwie AutoShareWks z wartością 0 w ścieżce Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Parameters.Powyższa operacja na stałe wyłącza udziały administracyjne.
Na stronie prometric.com pomału pojawiają się wyniki z ostatnich egzaminów Windows 7 (beta) czyli 71-685, a pewnie już wkrótce 71-686. Przy tej okazji potwierdziły się informacje o dodatkowym egzaminie który jest konieczny do otrzymania tytułu MCITP: Enterprise Desktop Support Technician 7. Co ważne egzaminy te (2 do wyboru) nie pochodzą od Microsoft ale są firmowane przez HDI, dodatkowo informacji o tym wymogu nie znajdziemy w przewodniku edukacyjnym (jesień/zima 2009), a dopiero na stronach MS lub w certification planner.
Przewodnik edukacyjny nie zawsze mówi prawdę…
…przy obu egzaminach znajdziemy podpis “*pod warunkiem posiadania MCTS: Windows 7, configuring” nie ma tutaj ani słowa o HDI…
Jak zatem wygląda ścieżka PRO: EDST 7?
otwierając certification planner pojawia się informacja o wymogu zaliczenia jednego egzaminu elekcyjnego…
A co z PRO EDA 7 (Enterprise Destop Administrator)?
…tutaj na szczęście narazie nie ma ma zmian czyli wystarczą dwa egzaminy
Czym się to je czyli egzaminy HDI?
Tak wysokie kwoty za egzamin (przeprowadzany online na ich stronie) raczej nie będą zachęcać do zdobywania tego tytułu…
Na koniec…
Pozostaje mi pochwalić się zaliczeniem egzaminu 71-685…
Kolejny raz mam przyjemność zaprosić Was na spotkania VirtualStudy, tym razem przedstawiające technologie Windows 7 i Windows Server 2008 R2.
Data: 09-10-06 20:00
Temat: BitLocker i BitLocker 2 Go, Paula Januszkiewicz, Poziom: 300
Na spotkaniu zostaną przedstawione mechanizmy szyfrowania BitLocker 2 Go i BitLocker w Windows 7 oraz Windows Server 2008 R2. Omówiona zostanie architektura tych rozwiązań, pokazane techniczne nowości oraz sposoby zarządzania wymienionymi mechanizmami.
Data: 09-10-14 20:00
Temat: AppLocker Deep Drive, Grzegorz Tworek, Poziom: 300
AppLocker jest jedną z najciekawszych funkcjonalności Windows 7. Wydaje się, że może on pomóc wielu administratorom, ale zanim uwierzy się w jego skuteczność – warto spojrzeć jak tak naprawdę działa. Podczas sesji przyjrzymy się oficjalnej stronie Applockera, zastanowimy się gdzie może być w praktyce użyteczny a później spróbujemy go popsuć i oszukać.
Data: 09-10-20 20:00
Temat: Zapobiec niepożądanemu – ABC rozwiązywania problemów w Windows 7, Łukasz Foks, Poziom: 300
Zobacz dlaczego Windows 7 jest rewolucją w zakresie rozwiązywania problemów – nowe technologie jak Problem Steps Recorder (z nowej perspektywy narzędzia wiersza poleceń!) czy Windows Troubleshooting Platform zdecydowanie upraszczają i ułatwiają to zadanie. Podczas sesji omówione zostaną dodatkowe elementy takie jak Remote Assistance czy Remote Desktop. A to wszystko z perspektywy nowego systemu!
Od początku tygodnia trwają sesje online poświęcone tematom związanym z dwoma egzaminami w wersji beta (71-685 i 71-686) w ramach VirtualStudy.pl – Jest to portal, którego założeniem jest organizacja spotkań za pośrednictwem Live Meeting. Dzisiejszego wieczoru miałem przyjemność poprowadzić sesję “Plan and manage a physical hardware and virtualization strategy”, moją prezentację możecie pobrać tutaj. Warto wspomnieć, że dzisiaj został pobity aktualny rekord oglądalności - w mojej sesji uczestniczyło 90 osób. Wkrótce zostanie udostępnione także nagranie tej sesji o czym na pewno powiadomię w kolejnym wpisie.
7 września Laurent Gaffié na swoim blogu opublikował kod pozwalający na atak skutkujący B.S.O.D., wkrótce po tym utworzony został exploit pozwalający na wykorzystanie luki do zdalnego wykonania kodu. Kod wykorzystujący błąd negocjacji smb2.0 został przetworzony na wiele języków (python, c# itp.) oraz jako moduł do aplikacji typu Metasploit.
Komponent odpowiedzialny za lukę to srv2.sys, podprogram w nim zawarty po otrzymaniu żądania ustanowienia właściwej komunikacji (NEGOTIATE PROTOCOL REQUEST) kończy swoją pracę powodując wystąpienie błędu systemowego PAGE_FAULT_IN_NONPAGED_AREA.
Zagrożone są wszystkie nowe systemy wykorzystujące SMB2.0 (zarówno Windows Client jak i Windows Server) łącznie z najnowszymi ich wersjami np. Windows 7.
Na tą chwile jedyna możliwa obron to wyłączenie udostępniania lub użycie narzędzia FixIt (KB975497) opublikowanego 17 września przez Microsoft wyłączający smb2.0.
Powered by WordPress | Theme: Aeros 2.0 by TheBuckmaker.com