Netwerkbeheer met Windows Server 2019 Deel 2 9057524104, 9789057524103

Citation preview

EEL 2 BEHEER EN BEVEILIGING VAN EEN LAN

JAN SMETS

N twerk AL b heer MET WINDOWS SERVER

2019

Netwerk .* heer

De serie De boekenserie Netwerkbeheer met Windows Server 2019 bestaat uit de volgende delen:

•Deel 1 Inrichting en beheer op een Local Area Network Deel 2 Beheer en beveiliging op een Local Area Network

MET WINDOWS SERVER

De boekenserie is sterk educatief van aard en daarmee veel meer dan een handleiding in het gebruik van een ICT-product. Dit educatieve aspect uit zich in de eerste plaats in de opzet van boekenserie zelf. Zo is om puur didactische redenen in het eerste deel gekozen voor het inrichten en beheren van een netwerk zonder dat hierbij rekening is gehouden met het onderwerp beveiliging. Dat maakt het mogelijk om de cursist stap voor stap een netwerk in te laten richten zonder meteen in abstracte termen te vervallen. Voor de inrichting en het beheer van een client/server-bedrijfsnetwerk is uitgegaan van Windows Server 2019 met Windows 10 als client. Doelgroep Voor HBO-opleidingen waarin kennis van netwerkbeheer is vereist, zijn beide delen zonder meer nodig. Voor de MBO-ICT opleiding: de serie is afgestemd op de kwalificatiedossiers van ICT-beheerder en Netwerk- en mediabeheerder. Voor de student Op de voor iedereen toegankelijke methodewebsite www.netwerk-smets.nl is aanvullend studentenmateriaal beschikbaar. Dit bestaat uit: werkboek presentaties instructievideo's toetsen per hoofdstuk Voor de docent De docentenhandleiding bevat per hoofdstuk tips voor het aanbieden van de leerstof. Deze digitale docentenhandleiding bevindt zich op www.brinkman-uitgeverj.nl en is toegankelijk via een docentenaccount. Daar is ook een ingevuld werkboek beschikbaar en een complete set eindtoetsen. De auteur Jan Smets heeft een jarenlange ervaring als docent, onder meer op het gebied van netwerkbeheer. De serie 'Netwerkbeheer met Windows Server' wordt al jaren beschouwd als hét standaardwerk over dit onderwerp.

ISBN 978.90-5752-410-3

ot

Brinkman Uitgeverij Postbus 59329 1040 KH Amsterdam tel. 020-4120970 wwwbrinkman-uitgeverij.nI [email protected]

r),kmanUitgeverij S

Voor alle vragen en opmerkingen over deze uitgave kunt u zich richten tot:

9 78905 524103 >

201

Netwerkbeheer met Windows Server 2019 Deel2

Netwerkbeheer met Windows Server 2019 DeeI2 Beheer en beveiliging op een LAN Jan Smets

Brinkman Uitgeverij Amsterdam. 2019

ISBN

978 90 5752 410 3 /

NUR

124

Omslagontwerp: Proforma, Barcelona Redactie, opmaak en zetwerk: Henk Pel, Zeist © 2019 Brinkman Uitgeverij, Amsterdam Gehele of gedeeltelijke overneming of reproductie van de inhoud van deze uitgave, op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van de auteursrechthebbende is verboden, behoudens de beperkingen bij de wet gesteld. Het verbod betreft ook gehele of gedeeltelijke bewerking. De uitgever is met uitsluiting van ieder ander gerechtigd de door derden verschuldigde vergoedingen voor kopiëren, als bedoeld in artikel 17 Auteurswet 1912 en in het KB van 20 juni 1974 (Stb. 351, 1974) ex artikel 16b Auteurswet 1912, te innen en/of daartoe in en buiten rechte op te treden. Correspondentie inzake overneming of reproductie richten aan: Brinkman Uitgeverij, Postbus 59686, 1040 LD Amsterdam www.brinkman-uitgeverij.nl tel. 020-4120970 e-mail: [email protected]

Zon, maan en sterren, die schijnen van heel verre maar MadelieJje, altijd blij, die schijnt van heel dichtbij GUUS KUIJER

VH

Inhoud

o

Inleiding

0.0

In dit hoofdstuk Dit boek i

0.1

1

i

Group poUcies 5

1.0

In dit hoofdstuk 5 Inzicht 6 Policies in Group Policy Objects 18 Blokkeren en forceren 37 Policies bij PoliForma BV 51 Toepassingen van group policies in een AD domain

1.1

1.2 1.3 1.4 1.5 2

Groepen 63

2.0 2.1 2.2 2.3

In dit hoofdstuk 63 Overzicht 64 Standaard ingebouwde groepen 67 De basisgroepsstructuur bij PoliForma BV

3

De toegangsbeveiliging tot een netwerk ioi

3.0 3.1 3.2

In dit hoofdstuk ioi Password en Account Policies ioi Password Policy 1o6 Account Lockout Policy 118 Kerberos Policy 126

3.3 3.4

87

4

Structureel beveiligd netwerkbeheer 141

4.0 4.1 4.2

In dit hoofdstuk 141 Gebruikersrechten 142 Structureel beveiligd netwerkbeheer bij PoliForma BV Werkstations 159 Het user account van de domain Administrator 167

4.3 4.4 5

De beveiligde toegang tot netwerkobjecten 169

5.0 5.1 5.2

In dit hoofdstuk 169 Autorisatie 170 De toegang tot shared folders 171 Gebruikersgemak 211 DFS Replication in PoliForma.local 233 De toegang tot shared printers 250 De effectieve permissie 260 De toegang tot andere netwerkobjecten 263

5.3 5.4 5.5 5.6 5.7

55

150

Netwerkbeheer met Windows Server 2019

viii

6 6.o 6.1 6.2 6.3 6.4 6.5 6.6 7 7.0 7.1 7.2 7.3 7.4 7.5 7.6

Backup en

recovery 267 In dit hoofdstuk 267 Ongestoorde file service 268 Backup-software en -hardware 270 Geagendeerd backups maken 274 Recovery 293 Eenmalige backups 307 Een set geagendeerde backups aanpassen

319

Beveiliging tegen Malware en Software installation In dit hoofdstuk 327 Virusprotectie op DC PFSVi 329 F-Prot op DC PFSVi voor de werkstations 344 Software-installatie op werkstations 350 F-Prot op werkstation PFWSi 357 Software de-installeren 364 Centraal beheer 368

8

Gebruik en beheer op afstand met een VPN 371

8.o

In dit hoofdstuk 371 VPN-server PFSVi 373 De VPN-client PFWSi 394 De VPN-verbinding gebruiken

8.1 8.2 8.3

9 9.0 9.1 9.2 9.3

Controte over uw netwerk

405

411

In dit hoofdstuk 411 Controle over de toegang tot een machine 412 Controle over de gebeurtenissen op een machine De conditie van een machine evalueren 446

10

Updates 469

10.0

In dit hoofdstuk 469 Updates voor Windows Server 2019 471 WSUS: updates voor Windows io-werkstations Windows io op de werkstations 518

10.1

10.2 10.3

A A.o A.i A.2 A.3 A.4

Overname 521 In deze bijlage 521 Uitgangssituatie 521 Verandering 521 Opdracht 524 Op te leveren producten Register

527

327

526

416

478

Deel 2

ix

Lijst van practica en opdrachten

Group policies 5 1.2.1 Policies in GPO's 9 1.3.1 Verschil maken 37 1.4.1 Groepsbeleid 52 1.5.1 Vooraf 55 1.5.2 Groepsbeleid ten aanzien van File Explorer 56 1.5.3 Groepsbeleid ten aanzien van Internet Explorer ii 57 1.5.4 Groepsbeleid ten aanzien van Microsoft Edge 59 1.5.5 Firewails 61 1

Groepen 63 2.2.1 Standaardgroepen 67 2.3.1 Groepen aanmaken 88 2

De toegangsbeveiliging tot een netwerk 3 3.2.1 Wachtwoordinstellingen 107 3.3.1 Inbraakbeveiliging 119 3.4.1 Kerberos Policy 133

101

Structureel beveiligd netwerkbeheer 141 4 4.1.1 Rechten 142 4.2.1 Structureel beheer 151 4.2.2 Mutaties 159 4.3.1 Computers lid maken 159 4.3.2 Disablen en resetten 162 De beveiligde toegang tot netwerkobjecten 169 5 5.2.1 De afdelingsfolder voor de afdeling Administratie 171 5.2.2 Owner 203 5.2.3 Afdelingsmappen delen 210 5.3.1 Namespace 212 5.3.2 Ingangen in de namespace 230 5.3.3 Flipse 231 5.3.4 Prikbord 232 5.4.1 Bestandsreplicatie 233 5.4.2 DataPFSV2 248 5.4.3 Test bestandsreplicatie 250 5.5.1 PFPRi 251 5.5.2 Werkplaats 260 5.6.1 Effectief 261

Netwerkbeheer met Windows Server 2019 Deel 2

X

6

Backup en recovery 267

6.2.1 6.3.1 6.4.1 6.4.2 6.5.1 6.6.1 6.6.2

Configuratie en installatie Geagendeerd 274 Restore 293 System recovery 301 Tussendoor 308 Aanpassen 319 Documenteren 324

271

7

Beveiliging tegen malware en software instaflation 327

7.1.1 7.2.1 7.3.1 7.4.1 7.5.1

F-Prot op PFSVi 329 Klaarzetten 345 Uitrollen via een GPO 352 F-Prot op PFWSi 357 De-installeren 365

8

Gebruik en beheer op afstand met een VPN

8.1.1 8.1.2 8.2.1 8.3.1

VPN installeren 374 VPN configureren 383 VPN op PFWSi 394 VPN gebruiken 405

9

Controle over uw netwerk 411

9.1.1 9.2.1 9.2.2 9.3.1 9.3.2

Verbonden 413 Logs en Events 417 Audit 436 Diagnose 448 Prestatietellers 459 Tellers bewaken 460

9.3.3

371

10

Updates 469

10.1.1

Updates Windows Server 2019 installeren 472 Voorbereidingen 479 WSUS-installatie 482 WSUS-configuratie 489 WSUS beheren 499 Windows Update op de werkstations 503 Goedkeuren 512 PFWSi bijwerken 518

10.2.1 10.2.2 10.2.3 10.2.4 10.2.5 10.2.6 10.3.1

1

o Inleiding

0.0 In dit hoofdstuk

In dit inleidende hoofdstuk komen de volgende zaken aan de orde. •Waarover gaat dit boek? •De eindtermen die aan dit boek ten grondslag liggen. •Veronderstelde voorkennis. •Conventies in dit boek. •Hoe u dit boek kunt doorwerken. •Extra materiaal bij dit boek.

0.1 Dit boek

Dit boek is het tweede van een serie boeken over netwerkbeheer met Windows Server 2019 en Windows io. Dit deel behandelt de elementaire leerstof die voor het beheren en beveiligen van een client/server-bedrjfsnetwerk nodig is. Daarbij ligt in dit deel de nadruk op de beveiliging. Vandaar de ondertitel: Beheer en beveiliging op een LAN. De boekenserie

De boekenserie Netwerkbeheer met Windows Server 2019 bestaat uit de volgende delen: • Deel i Inrichting en beheer op een LAN •Deel z Beheer en beveiliging op een LAN Beginsituatie voor dit deel

Deel 2 bouwt voort op deel i. Als beginsituatie voor de practica en opdrachten in dit deel wordt dus de eindsituatie van deel i gebruikt. Onderwerpen

Onder de elementaire leerstof moet u in dit deel de volgende onderwerpen verstaan: •Het kunnen toepassen van group policies (hoofdstuk i). •Het gebruik van groepen en met name de groepen voor de beveiliging (hoofdstuk 2). •De beveiliging van de toegang tot een netwerk (hoofdstuk 3). •De wijze waarop u een netwerk structureel kunt beheren (hoofdstuk 4). •Het beveiligen van de toegang tot netwerkobjecten (hoofdstuk 5). •Het maken van backups en het uitvoeren van een recovery (hoofdstuk 6). •De beveiliging tegen malware in een netwerk (hoofdstuk 7). •Het gebruik van VPN-verbindingen voor eigen gebruik en beheer (hoofdstuk 8).

Netwerkbeheer met Windows Server 2019 Deel 2 •De controle houden over een netwerk (hoofdstuk 9). •Het distribueren van updates in een netwerk (hoofdstuk io). Opleidingen Voor HBO-opleidingen en MBO ICT-opleidingen waarin kennis van netwerkbeheer is vereist, zijn de delen 1 en 2zonder meer in hun geheel nodig. Veronderstelde voorkennis voor dit deel De behandeling van Windows Server 2019 veronderstelt een zekere voorkennis bij de lezer. Het gaat hierbij in het bijzonder om de volgende onderwerpen: •Kennis van PC-hardware op het niveau van Digivaardig gevorderd of het ECDL (European Computer Driving License). Raadpleeg bijvoorbeeld www.ecdl.nl. Denk hierbij aan zaken als processortypen, geheugen(typen), bussen, harde schijven, disk controllers en dergelijke. •Kennis van en om kunnen gaan met het Windows io-besturingssysteem op het niveau van Digivaardig gevorderd of het ECDL. •Kennis van en om kunnen gaan met gangbare Windows-applicaties op het niveau van Digivaardig gevorderd of het ECDL. •Kunnen surfen op, zoeken op en downloaden van het internet. •Algemene netwerkkennis. •Elementaire kennis van TCP/IPv4. •De kennis die u aangereikt is in deel 1 Inrichting en beheer op een LAN. Dit deel bouwt daar immers op voort. U moet het doen Voor het leren inrichten, beheren en beveiligen van een netwerk is theoretische kennis van het netwerkbesturingssysteem nodig. In dit boek is dat Windows Server 2019. Even belangrijk als theoretische kennis is echter praktische vaardigheid. Bij het uitvoeren van uw dagelijkse werkzaamheden als netwerkbeheerder moet u straks een boek als dit niet meer nodig hebben. U bent dan simpelweg niet productief genoeg. Praktische vaardigheid krijgt u door het te doen. Vandaar dat u in dit boek een groot aantal practica en opdrachten tegenkomt. U doet er verstandig aan deze daadwerkelijk uit te voeren. Bij de voortgang wordt dat ook verondersteld. Conventies in dit boek •Windows Server 2019 Standard wordt in een Engelstalige edition gebruikt, Windows io in de Pro-edition en ook in een Engelstalige uitvoering. •Volume-, map- en bestandsnamen worden in cursief weergegeven. •Toetsen worden weergegeven in KLEINKAPITAAL. •Schermtekst en keuzes in bijvoorbeeld dialoogvensters en uitschuiflijsten, namen van volumes, mappen en bestanden worden cursief weergegeven. •Namen van objecten zoals machines, gebruikers en dergelijke worden cursief weergegeven. •Letterlijk in te voeren tekst wordt met deze cursieve letter weergegeven.

0 Inleiding

A 6o min,

•Afbeeldingen van schermen en dialoogvensters zijn afgedrukt met een resolutie van 1024 X 768. •Afbeeldingen zijn per hoofdstuk oplopend genummerd. •Practica kunt u op twee manieren uitvoeren: - met behulp van de Korte practicuminstructies: deze manier kunt u gebruiken als u denkt over voldoende kennis te beschikken over het practicumonderwerp. Een toelichting op de nodige begrippen vindt u steeds in de gedetailleerde practicumuitwerking; - met behulp van de Gedetailleerde uitwerking van het practicum: deze manier gebruikt u als u stap voor stap begeleid wilt worden en de bijbehorende theorie wilt bestuderen. - Practica en opdrachten beginnen en eindigen met een grijze balk. Aan het begin van elk practicum of opdracht staat in de kantlijn een pictogram met de geschatte tijdsduur die nodig is voor de uitvoering van het practicum of de opdracht. Dit boek doorwerken

De practica en opdrachten uit dit boek werkt u het handigst door met behulp van virtuele machines. Virtuele machines stellen wat hogere eisen aan de processorsnelheid, de grootte van het intern geheugen en de beschikbare schijfcapaciteit. Geadviseerd wordt om een PC of laptop te gebruiken met de volgende specificaties. Het merk is niet zo zeer van belang. •Intel Core i7 processor; • 16 GB intern geheugen; • 500 GB harde schijf of meer. Voor welk virtualisatieproduct u kiest, is aan u. De meest gangbare - Hyper-V, VMware en VirtualBox - zijn allen bruikbaar. Extra materiaal voor de cursisten

Het extra materiaal voor de cursisten is beschikbaar via de website www.netwerk-smets.nl. Deze site is voor iedereen vrij toegankelijk. Zoals bij deel 1 is ook bij deel 2 het volgende aanvullende materiaal beschikbaar: • Presentaties Voor elk hoofdstuk is een PowerPoint 2016-presentatie beschikbaar. Docenten/ begeleiders kunnen deze gebruiken om de stof uit het desbetreffende hoofdstuk toe te lichten. Daarmee zijn cursisten voorbereid op wat hun tijdens de practica te wachten staat. Ook voor lezers van dit boek die alleen werken, zijn die presentaties nuttig. Het levert hen een helikopterblik op het betreffende hoofdstuk.

3

Netwerkbeheer met Windows Server 2019 Deel 2

4

• Werkbladen Het belang van goed documenteren kan niet voldoende benadrukt worden. Om u te helpen bij dat documenteren zijn per practicum en opdracht werkbladen beschikbaar. De werkbladen leren u hoe u het documenteren kunt aanpakken. Als bij een practicum werkbladen beschikbaar zijn, staat dit vermeld onder Voor dit practicum heeft u nodig:. Daar wordt verwezen naar een Word 2016-document. Alle werkbladen zijn gebundeld af te drukken als een werkboek. U mag zoveel afdrukken maken als u wilt. • Toetsen Per hoofdstuk is er één toets beschikbaar. Met die toetsen kunt u bepalen hoe goed u de betreffende leerstof beheerst. De toetsen bestaan uit meerkeuzevragen. De toetsen maakt u op een computer. U krijgt na het maken van een vraag onmiddellijk het resultaat en de nodige feedback te zien. Aan het einde van de hoofdstukken waarbij een toets beschikbaar is, ziet u het onderstaande pictogram met daarbij de naam van de toets.

71 2-HI 11,

• Instructievideo's Voor een aantal wat lastigere onderwerpen zijn er instructievideo's beschikbaar. Daar waar dat het geval is, staat in de kantlijn het onderstaande pictogram met daarbij de titel van de instructievideo. Groep •Eindtoetsen Na het doorwerken van dit deel kunt u uzelf testen. Behalve een theorietoets die u op de gebruikelijke manier kunt maken, treft u in bijlage A van dit deel een eindproject aan. U mag dit eindproject zien als een praktisch proefexamen. Extra materiaal voor de docenten

Extra materiaal voor de docenten is beschikbaar via de website www. brinkman-uitgeverij. ni achter het docentenaccount.

5

i Group policies

1.0 In dit hoofdstuk

In deel i van deze boekenserie over netwerkbeheer zijn group policies al zijdelings ter sprake gekomen. Group policies leveren u uitgebreide mogelijkheden ten aanzien van het beheren en beveiligen van uw Windows Server 2019-netwerk. In dit hoofdstuk leert u group policies kennen en ermee omgaan. Daarbij concentreert u zich op het bepalen van de mogelijkheden van gebruikers op hun werkstations. Denk daarbij bijvoorbeeld aan het gebruik van het Control Panel en dergelijke. Door de veelheid aan mogelijkheden met group policies kunt u snel in verwarring raken. Om dat te voorkomen, past u in de practica van dit hoofdstuk slechts twee policies toe. Die twee policies veroorzaken bovendien met opzet geheel verschillende effecten. Dat zorgt voor duidelijkheid. Met behulp van die twee policies leert u alle ins en outs van group policies kennen. Heeft u die kennis eenmaal onder de knie, dan kunt u dat in de slotopdrachten van dit hoofdstuk demonstreren. U mist wellicht de twee tekeningen die de toestand van uw netwerk beschrijven aan het begin en aan het einde van dit hoofdstuk. Dat komt omdat group policies functioneel gezien niets wezenlijks aan uw netwerk veranderen. U beheert en/of beveiligt het slechts beter of anders. Als u dit hoofdstuk heeft bestudeerd en de practica en de opdrachten heeft uitgevoerd, dan beschikt u over: A Kennis

•U kent de mogelijkheden van policies in een Windows Server 2019-netwerk (paragraaf i.i). •U kent het verschil tussen local policies en group policies gedefinieerd in een GPO (paragraaf i.i). •U kent de standaard aanwezige GPO's (paragraaf 1.2). •U weet dat group policies in volgorde worden toegepast en overerven (paragraaf 1.2). •U weet dat u policies kunt instellen voor gebruikers en computers (paragraaf 1.2). •U weet dat u het effect van policies kunt controleren (paragraaf 1.2). •U weet dat u de toepassing van GPO's kunt blokkeren en afdwingen (paragraaf 1.3).

6

Netwerkbeheer met Windows Server 2019

Deel 2

B Vaardigheden •U kunt group policies op een machine handmatig verversen (practicum 1.2.1). •U kunt een nieuw GPO aanmaken en dit op de juiste plaats in AD koppelen (practicum 1.2.1). •U kunt policies in een GPO instellen (practicum 1.2.1). •U kunt de GPO-informatie bekijken en interpreteren (practicum 1.2.1). •U kunt voor een gebruiker de RSoP bepalen (practicum 1.2.1). •U kunt een simpel inlogscript maken (practicum 1.3.1). •U kunt de toepassing van GPO's op de juiste plaats blokkeren (practicum 1.3.1). •U kunt de toepassing van GPO'S afdwingen (practicum 1.3.1). •U kunt met behulp van group policies in een geschikt GPO: - de mogelijkheden voor de gebruikers ten aanzien van File Explorer regelen; - de mogelijkheden voor de gebruikers ten aanzien van Internet Explorer ii regelen; - de mogelijkheden voor de gebruikers ten aanzien van Microsoft Edge regelen; de werking van de Windows (Defender) Firewall op de werkstations regelen.

1.1

Inzicht Met policies geeft u vorm aan beleid. Een policy is een beleidsregel. Het kan bijvoorbeeld een beleidsregel in een Organisatie zijn die gebruikers het gebruik van het Control Panel op hun werkstations verbiedt. U regelt dat door de betreffende beleidsregel op hen van toepassing te laten zijn. In het vermelde geval is dat de policy Prohi bit access to Control Panel and PC settings die u op de juiste plaats inschakelt. Policies zijn er te kust en te keur. Een onvolledige telling leert dat er in Windows Server 2019 ruim 3000 verschillende beschikbaar zijn. Bovendien installeren sommige applicaties ook nog hun eigen policies.

Local policies Policies kunnen machine local worden ingesteld als local policies(afbeelding i-i). Zij gelden op werkstations en member servers in een Windows Server 2019-netwerk en ook op standalone PC'S. Belangrijk is het te weten dat local policies altijd als eerste worden uitgevoerd. Daarmee zijn local policies het minst krachtig. Straks zal blijken waarom dat zo is.

i Group policies

7

Local Group Policy Editor

-

0

X

File Action View Help

4.

1 I tm 1 7

i

Local Computer Policy CoreputerConfiguration Software Settings

Setting

Stet

Add or Remove Programs Display

Windows Settings Fersonaliaation

) M

Adrnioistrative Ternplatns

I& User Configoration Software Settings Windows Settings

v En

Adwinistrativr Tennplates Control Panel -. Desktop Network Shared Folders

Printers Programs Rrgional and Language Optiorss Alwayn open All Control Panel Items when opening Control Panel Not nonfigssred Hidr specitiad Control Panel items

Not coofigored

Prohibit a000ss to Control Panel and PC settings

liet configured

) Settings Page Visibility Show only tpecified Control Panel items

Not configssrnd Not configured

- - Start Menu and Taskbar Systorn -

Windows Cornponents Al[ Settings Staodard

S setting(s)

Afb. i-i Lokaal beleid voor het Control Panel op gebruikersniveau Voor u als netwerkbeheerder is het good practice het gebruik van local policies zoveel mogelijk te vermijden. Op Windows Server 2019-member- en -standaloneservers kunnen ze nog weleens toepasbaar zijn, op werkstations eigenlijk nooit. Local policies moet u namelijk per machine instellen. Van dat idee moet u inmiddels gruwen. Het staat immers haaks op de gedachte van centraal beheer. Group policies

In een Windows Server 2019-netwerk kunnen policies ook in AD (Active Directory) worden opgeslagen. Dat gebeurt in een GPO (Group Policy Object). Een GPO kan gekoppeld worden aan een site, een domain of een OU. Als een computer start en een gebruiker inlogt, wordt onderzocht welke GPO's op de computer en de gebruiker van toepassing zijn. Vervolgens worden de policies uit die GPO's in volgorde toegepast: eerst die op site-niveau, dan die op domain-niveau, dan die op OU-niveau. Deze volgorde van uitvoering is allesbepalend voor het uiteindelijke netto-effect van een policy. Uit het bovenstaande moet verder duidelijk zijn dat u voor het beheer van group policies twee tools nodig heeft: een om de GPO's te beheren en een om de policies in een GPO in te stellen. Group policies verversen

Group policies worden niet alleen bij het starten en inloggen toegepast. Op DC'S worden ze standaard elke 5 minuten ververst. Op member servers en Windows io-werkstations gebeurt dat elke 9° minuten. U kunt dit wijzigen. Waarin? In policies natuurlijk (afbeelding 1-2).

8

Netwerkbeheer met Windows Server 2019

Deel 2

Group Policy Management Editor File Aotion View Help

• Systerrr

Setting

- Aroesu-Deniori Arvistance

iL

App-V

State

Configure software Instaltation polioy processing

Not sonfigured

Configure Start Menu prefeeence estension policy peocesuing Nut coefrgueed

Audit Prooess Creation Configure wee Group Policy loopback processing mode

Not confrgueed

Configureweb-to-app linking with app URI handlees

Not confsgueed

Cnnfigurewieed pulicy procesring

Not oonfrgueed

Device Installation

Configure wieeters pulicy processing

Not uonfrgueed

Dirk NV Cache

Continue eopeneoues 00 this device

Not coefigueed

Dirk Quotas Duplay

Determine 6 inteeautive wees can generate Resultant Set of... Not uonfigueed

- Credentials Detegation Device Guard - Device HeeIth Attertatiun Service

-

Distributed COM

1

Driver lnstatlation Early Launch Antimalware

) EnableAD/DFS domaio controller syncheoniration during p... Not oonfigueed Enable Group Policy Caching for Servers Not oonfigueed [5 Pkone-PC liebing no this device ] Remove users' abiStyto invohe machine pnticy refeesh

Enhanced Storage Assen.

Not configueed Not cnnfrgueed

I1etttTtI2GprzmtImenna.momna

- File Classification lnfrasteucture File Share Shadow Copy Provider Filesystem

Set Group Policy refeesh interval for dumain unntrotees

Not sonfigueed

Spnoify startup polisypeocesuingwaittime

Notoonfrgueed

, Speoifywoehplase connectkeitywait time for potisypeocessi... Not configueed

- Folder Redireotion Groep Policy - lnternrt Communicatiun Management

[ Tuin off baskgeound refemh of Group Policy [) Toen off Group Policy Client Service AOAC optimiaatiun [

SCSI

Tom off Local Group Policy Objects processing - Toen nif Resuhont Set of Policy logging

Fe i

Not oonfigueed Nut oonfsgueed Not oonfsgoeed Not configueed

- KDC

it's

Kerberos t

0

Standard

56 oetting(s)

Afb. 1-2 Voor werkstations en member servers en daaronder voor DC's Altijd kunt u het verversen van group policies op een machine forceren. U doet dit door in het venster Windows PowerS heil ofCommand Prompt het commando gpupdate /force uit te voeren. Laat u de parameter /force weg, dan worden alleen wijzigingen toegepast. Meestal is dat voldoende. De mogelijkheden van group policies

Group policies geven u zoals vermeld veel mogelijkheden. De belangrijkste zijn: •U kunt er de mogelijkheden van gebruikers op werkstations mee regelen. •U kunt er start-, inlog-, shutdown- en uitlogscripts mee toewijzen. •U kunt er software mee publiceren en toewijzen aan gebruikers en/of computers. •U kunt er de functionaliteit van toepassingen als File Explorer, Microsoft Edge en Internet Explorer mee regelen. •U kunt er gebruikersrechten mee instellen. Van al deze mogelijkheden komen in dit hoofdstuk slechts enkele aan de orde. In de verdere leerstof van dit deel volgt meer, veel meer zelfs.

1.2

Policies in Group Policy Objects In deze paragraaf leert u hoe u met group policies moet omgaan in een netwerk als dat van PoliForma BV. Ook leert u de beide beheertools voor group policies kennen. Ten gevolge van de installatie van AD is de beheertool Group Policy Management automatisch geïnstalleerd op de DC's PFSVi en PFS V2. Deze beheertool is beschikbaar in het menu Tools van de Server Manager. Het is deze beheertool die u gebruikt om met group policies om te gaan.

i

Group policies

Practicum 1.2.1: PoLicies in GPO's 90 min.

In dit practicum: Leert u met policies in een GPO om te gaan. Voor dit practicum heeft u nodig: •De DC's PFSVi en PFS V2 zoals geconfigureerd na deel i van deze boekenserie. •Werkstation PFWSi zoals geconfigureerd na deel i van deze boekenserie. •Het werkblad bij practicum 1.2.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 90 minuten. Korte practicuminstructies

1;~ Een toelichting op de nodige begrippen en werkwijzen vindt u in de gedetailleerde Poticies practicumuitwerking. a Maak in de MMC Group Policy Management de site PFBudel zichtbaar. b Bekijk de in het domain PoliForma.local standaard aanwezige GPO's. Zorg dat u weet welke GPO's door overerven op de OU Domain Controllers van toepassing zijn. c Maak een nieuw GPO aan met de naam PFGebruikersGPO. Zorg dat dit gekoppeld is aan de OU PFAfdelingen. Het nieuwe GPO baseert u niet op een starter GPO. d Onderzoek welke GPO's nu op alle afdelingen van toepassing zijn. e Stel in het GPO PFGebruikersGPO de policy Pro hi bit access to Control Panel and PC settings in op Enabled.

Vul als commentaar in: Verhindert het gebruik van het Control Panel. f Haal de instelling uit punt e voor u in de MMC Group Policy Management. g Controleer of u als domain Administrator op werkstation PFWSi het Control Panel kunt gebruiken. Verklaar waarom wel of niet. Controleer of u als Doortje Heijnen op werkstation PFWSi het Control Panel kunt gebruiken. Verklaar waarom wel of niet. Controleer of u met het user account van Uzelf op werkstation PFWSi het Control Panel kunt gebruiken. Verklaar waarom wel of niet. h Controleer of u als domain Administrator op de DC's PFSVi en PFSV2 het Control Panel kunt gebruiken. Verklaar waarom wel of niet. Controleer of u met het user account van Uzelf op de DC's PFSVi en PFSV2 het Control Panel kunt gebruiken. Verklaar waarom wel of niet.

9

Netwerkbeheer met Windows Server 2019

10

i

Deel 2

Bepaal de RSoP van het user account van Uzelf op DC PFSVi. Bekijk de settings van de ingestelde policy ten aanzien van het Control Panel in deRSoP. Sluit alle machines in de juiste volgorde af.

GedetaiLLeerde uitwerking van het practicum

Dit uitgebreide practicum valt in een aantal delen uiteen. Dit keer zijn het er nogal wat: •Eerst maakt u kennis met de MMC Group Policy Management. •Dan zorgt u ervoor dat de site PFBudel in de MMC Group Policy Management te zien is. •Vervolgens bekijkt u de standaard gekoppelde GPO's in het domain PoliForma. local. •Dan bekijkt u het overerven van GPO's en de consequenties daarvan. •Vervolgens maakt u een nieuw GPO aan en koppelt dit aan de OU PFAfdelingen. •Dan maakt u kennis met de MMC Group Policy Management Editor en stelt u daarmee een policy in. •Daarna bekijkt u de GPO-informatie van het nieuwe GPO. •Dan bekijkt u de gevolgen van de ingestelde policy voor verschillende gebruikers op werkstation PFWSi en op de DC's. •Tenslotte gebruikt u een wizard om te bekijken welke policies voor een gebruiker op een machine uiteindelijk van toepassing zijn. i Zorg dat u als domain Administrator bent ingelogd op de DC's PFSVi en PFSV2. Laat werkstation PFWSi uit staan. Het Group Policy Management Console

Om te beginnen bekijkt u de MMC Group Policy Management. 2

Klik op DC PFSVi in het menu Tools van de Server Manager op Policy Management. Vouw in de tree uit zoals in afbeelding 1- 3Selecteer in de tree de root Group Policy Management.

de optie Group

i Group poticies

ii

Group Policy Management File Action View Wind~

D

X

Help

4lI á I t rnr Group Policy Management Foreut PoliForma.local Domains v PoliForrna.local f Gelooft Domein Policy Domain Controllers Delcuit Domain Contmollers Pulicy PF4fdelingen > G Administratie Automatisering Directie Productie - Stal Verkoop Group Policy Objects WMI Filters Starter GPOs Sitet ) Group Policy Modeling El Group Policy Resultu

Group Policy Management

N— ,&F~: PoFoerraioc

Afb. 1-3 De MMC Group Policy Management In de tree ziet u de uitgevouwen MMC Group Policy Management. Die is van toepassing op het Forest: PoliForma.local. In dat forest ziet u de containers: •Domains In de container Domains ziet u het domain PoliForma.local. Dat is het enige domain in het forest. Daarin ziet u de OU's die u in dit domain heeft aangebracht. In het domain PoliForma.local zijn twee standaard GPO'S gedefinieerd. Dat zijn: - Het GPO Default Domain Policy dat is gekoppeld aan het domain PoliForma.local. PoliForma.local ál Default Domein Policy

Dit GPO wordt uitsluitend gebruikt om policies in te stellen die voor alle computers en/of alle gebruikers in het domein moeten gelden. In het vervolg wordt hier nog dieper op ingegaan. - Het GPO Default Domain Controllers Policy dat is gekoppeld aan de OU Domain Controllers. Domein Controllers Default Domain Controllers Policy

Dit GPO wordt uitsluitend gebruikt om de toegang tot DC's en de manier waarop deze kunnen worden gebruikt te regelen. Ook hier wordt in het vervolg van dit deel nog op teruggekomen. •Sites In de container Sites ziet u nog even niets. Direct leert u hoe u daarin de site PFBudel zichtbaar kunt maken. • Group Policy Modeling

Netwerkbeheer met Windows Server 2019 Deel 2

12

Hiermee start u een wizard die u helpt bij het plannen, simuleren en testen van policies. In deze cursus komt dit niet aan de orde. Group Policy Resuits Hiermee kunt u een wizard starten die u laat zien welke policies uit welke GPO's voor een gebruiker op een machine van toepassing zijn. Het nettoresultaat wordt bewaard. Een site zichtbaar maken

Sites worden standaard niet getoond in de container Sites. De verhouding site/ domain ligt niet vast. In hoofdstuk 2 van deel i Inrichtingen beheer op een LAN heeft u gezien dat u één domain op één site kunt hebben (afbeelding 2-16 van deel 1). Bij PoliForma BV is dat het geval. U kunt echter ook één domain hebben op verschillende sites (afbeelding 2-17 van deel 1). Ook één site met verschillende domains kan (afbeelding 2-18 van deel 1). Wilt u op site-niveau group policies van toepassing laten zijn, dan moet u eerst die site(s) zichtbaar maken in de container Sites. Dat gaat op de volgende manier. 3 Klik in de tree van de MMC Group Policy Management op de container Sites. Open in het lege detailvenster het snelmenu. Klik op de optie Show Sites. In het gelijknamige venster ziet u een overzicht van de gedefinieerde sites (afbeelding 1-4). Bij u is er dat dus maar één. X

Show Sites Sites:

Nam

0 E PFJdd

Seled ,'I

Clear Ml

Ok

Canc&

Afb. 1-4 De gedefinieerde sites 4 Plaats een vink voor de site PFBudel. Klik op de knop OK. De site PFBudel is nu beschikbaar (afbeelding 1-5).

i Group poticies

13

Group Policy Management File Action View Window Help

l Als mn

• '+H

Group Policy Management Forents PoliForma.local

Sites Contents

Domains PoliForma.local

Ç Default Domein Policy

v

al Domein Controllers W Default Domein Control

v j PFAfdelingen Administratie Automatisering >

Directie Productie Fabricage

13 Staf 1 Verkoop Groep Policy Objects WMI Filters >

Starter GPOs

ts T PFltudel Groep Policy Modeling Group Policy Resolts

Afb. 1-5 De site PFBudel is beschikbaar Standaard gekoppelde GPO's

U las al dat een GPO altijd gekoppeld is aan een site, een domain of een OU. Gekoppeld wordt ook vaak gelinkt genoemd. U kunt een GPO koppelen aan één site, domain of OU, maar ook aan verschillende sites, domains of OU's. U bekijkt eerst hoe dit alles geregeld is met de twee standaard aanwezige GPO's. 5

Klik in de tree van de MMC Group Policy Management op het domain PoliForma.local in de container Domains. Haal in het detailvenster het tabblad Linked Group Policy Objects voor u. In het tabblad Linked Group Policy Objects ziet u het standaard aan het domain PoliForma.local gekoppelde GPO Default Domain Policy (afbeelding 1-6). Nu is dat één GPO. Het kunnen er ook meer zijn omdat u zelf GPO's aan het domain kunt koppelen. Is dat het geval, dan bepaalt u met het nummer in de kolom Link Order de volgorde van toepassing. Links van de lijst in het detailvenster ziet u knopjes om die volgorde te wijzigen. Bij u zijn die knopjes nu grijs (niet beschikbaar). Bij één gekoppeld GPO is de onderlinge volgorde immers niet aan de orde.

14

Netwerkbeheer met Windows Server

-

Group Policy Management

0

2019

Deel 2

X

Ene Action View Wind~ Help

4ljÉl la Group Policy Management Forestn PoliFororo.locat

PoliForma.tocal Status l.onked Gnwp Potuy Oboln Gwup Potcy kdrerNwrce Deleçrfio.r

Doorains v

LSdsrder Default Domain Policy v

M Domain Controllers

v

al PEAfdelingen

1

GPO

Eniorcnd

1& Defaut D000n Potcy No

Link brabled

GPO

Yen

Reold

Default Domain Control

Administratie Automatisering Directie v

Productie Fnbnicage

) 2 Staf Verkoop

1? Group

Policy Objects

WMI Filters > Sites

Starter GPOs

PFBodel Group Policy Modeling Group Policy Reculto

Afb. 1-6 Het GPO dat aan het domain gekoppeld is 6 Kijk in de tree van de MMC Group Policy Management op de OU Domain Controllers. U ziet in het detailvenster op het tabblad Linked Group Policy Objects het standaard aan deze OU gekoppelde GPO Default Domain Controllers Policy (afbeelding 1-7). jl Group Policy Management

X

File Action View Window Help

4nJ

I áI

Group Policy Management Forest PoliFomwo.local v

rt 't

2& Domains PoliFornna.local

pJ

Default Domain Policy

Domain

Controllers

Lrrked GroW Pobcy Obiecto Grongt Poky Wrendance Ddegion Lbdsrrtnr

GPO

-~9

Endonoed

Onfauk Donoon Con.. ho

LWr EnonbIed

GPO

Duo

Enubl

Domain Controllers Defuult Dornunn Control PFAfdeljngen - Administratie Automatisering Directie uj Productie

> j0 Fabricage Stof Verkoop Group Policy Objects WMI Filters .StaiterGP0s g Sites PFBudel Group Policy Modeling Group Policy Resoltu

]

Afb. 1-7 Het GPO dat aan de OU Domain Controllers is gekoppeld 7 Laat dit venster zo voor u staan voor het volgende.

i Group policies

15

Het overerven van GPO's

GPO's overerven. Dat is het gevolg van de objectgeoriënteerde inrichting van AD. Dat overerven gaat ook via de volgorde: site - domain - OU. Het aan het domain PoliForma.local gekoppelde GPO Default Domain Policy wordt dus geerfd door alle OU's in dat domain. Vervolgens erven ook nog alle kind-OU's de GPO's die op hun ouder-OU van toepassing zijn. 8 Haal in het venster van afbeelding 1-7 in het detailvenster het tabblad Group Policy Inheritance voor u (afbeelding 1-8). -

Group Policy Management File Action View Wind~

0

)


r

vi :

PoFom, aJoc

Oefautt Domein Contro

CJ PFGebroike,sGPO >

Ontifay knks o the locaton

The fokwsng sten. domnn. Uw Olie are"ad to tien GPO: Locabon PFNdtgee

Erorced

Lonk Enakled

Part,

No

Vee

PoiFonna

j Administratie Automatisering Directie

s.ág Productie Fabricage

Secn..ity Filtering The nettiogson Uw GPO ere, only apply to the folo,w,o osga. mme. and computers

Staf Verkoop

hihestcated U.

Group Policy Objects WMI Filters Starter GPOs Rereone Sites PFBudel Droop Policy Modeling

WMI Altenng tUin GPO s buked to the fottowesg WMI tEer.

Droop Policy Resolts

Afb. 1-13 De GPO-informatie in het detailvenster Verderop wordt op de informatie in het detailvenster nader ingegaan. Nu eerst de policy-instellingen zelf. Zonder policy-instellingen spreekt de GPO-informatie niet echt tot de verbeelding. De MMC Group Policy Management Editor Voor het bewerken van policies in een GPO gebruikt u een aparte tool. Dat is de MMC Group Policy Management Editor. Omdat deze op een GPO werkt, moet u deze ook bij een GPO starten. 14

Open in de tree van de MMC Group Policy Management het snelmenu bi) het GPO PFGebruikersGPO. Klik op de optie Edit. De MMC Group Policy Management Editor voor het GPO PFGebruikersGPO wordt gestart (afbeelding 1-14).

20

Netwerkbeheer met Windows Server 2019 Deel 2

! Group Polky Mnogement Editor

-

0

X

File A,tion View Help

f

PFGeb,oikerrGpO (PE5V1.POLIFORMA.LOCAL Polky Computer Configuration Policies

Name Computer Configuration Ure, Configuration

Preferences t& Use, Configuration ) - Policies >

Preferences Standard

Afb. 1-14 De editor om de policies in een GPO in te stellen Toelichting •In de tree en in het detailvenster ziet u twee containers: - Computer Configuration Computer Configuration

Voor het beheer van computerspecifieke instellingen. De policies gelden voor de computers waarop het desbetreffende GPO van toepassing is, ongeacht welke gebruiker er via die computers inlogt. - User Configuration £ lire, Confrguratio,,

Voor het beheer van gebruikerspecifieke instellingen. De policies gelden voor de gebruikers waarop het desbetreffende GPO van toepassing is, ongeacht via welke computer die gebruikers inloggen. Let dus op. U kunt hier heel gemakkelijk een verkeerde keuze maken. Bepaal daarom altijd eerst of u een policy op computer- of user-niveau wilt instellen. Als een ingestelde policy uit Computer Configuration tegenstrijdig is met een ingestelde policy uit User Configuration is de uitkomst onduidelijk, omdat deze van allerlei factoren afhankelijk is. Beter vermijdt u een dergelijke situatie. •In de tree ziet u in de containers Computer Configuration en User Configuration telkens twee andere containers (afbeelding i-i; voor Computer Configuration en User Configuration is telkens de container Policies uitgevouwen):

1

Group policies ij Group File

21

-

Policy Management Editor

otion

View

PFGebrurkereGPO [PFSV1.POLIFORMA.LOCAI4 Policy

Name

-- CorrpoteeConfigaration

bv Computer

--

0

X

Help

Policies

Configuration

£User Configuration

Software Stting Windowo Sottingo Adnrinintrative T

platno Policy definition,

Preferences User Configuration Policies Software Settings Windows Settings Adnrinirtrative Ternplatm Policy definitions

-

Preferences

Afb. 1-15 De gegroepeerde policies onder Computer Configuration en User Configuration

- Policies In de containers Policies zijn de policies zelf gerangschikt in drie containers: - Software Settings Met de policy Software installation uit deze container kunt u software distribueren en instellen. - Windows Settings Bevat containers met policies waarmee u scripts kunt laten uitvoeren en instellingen kunt verzorgen ten aanzien van de beveiliging en dergelijke.

- Administrative Templates Hiermee kunt u policies instellen voor het besturingssysteem. Microsoft biedt u een groot aantal kant-en-klare instellingen aan in deze container. - Preferences Preferences geven u de mogelijkheid allerlei instellingen te regelen via intuïtieve schermen waarvoor u vroeger een script moest schrijven. Vroeger stelde u bijvoorbeeld voor gebruikers een driveletter bij een shared folder in met behulp van het net. exe-commando in een inlogscript. Onder Windows Server 2019 kunt u dit opnemen in de Preferences van een GPO dat op de gebruikers van toepassing is (afbeelding 1-16). Verderop in dit deel wordt hierop uitgebreid ingegaan.

Netwerkbeheer met Windows Server 2019 Deel 2

22

X

New Drive Properties General

comon

Aobofl:

te

LJ

Locabon: Itecorsnect:

fl

Label as:

Drive Letter Use first ava:lable. otarbrtg at: ® E,dsbnQ:

Connect as (optionaD Urer

-1f1

orfirn: pass:c: d:

Pasv,vrd:

-lide/Show all drives

lire/Show tflds drive ® No drange

®No chavge

o hoe ths drive Qshow Cis drive

o -lide all ckiShow al drives

OKI

0

r

cancrii

Afb. 1-16 Intuïtief aanmaken in plaats van scripts schrijven Een policy instellen Als voorbeeld wordt de al genoemde policy Prohi bit access to Control Panel and PC settings gebruikt. U configureert deze policy in het GPO PFGebruikersGPO onder User Configuration. 15 Vouw in de tree van de MMC Group Policy Management Editor in en uit zoals in afbeelding 1-17. Selecteer in de tree de container User Configuration\Policies\Administrative Templates: Policy definitions\Control Panel zoals in afbeelding 1-17. -

( Group Policy Management Editor

0

X

File Action View Help

.,IIiIiy J PFGebnuikerntiPO (PF5V1.POLIFORMA.LOCAL( Policy

Add or Rewove Program,

>j Policies Preferences > II& UserConfigruation .

Polirien Software Settings

State

Setting

CowpoterConfigoretion

Dispiny

2.1 Personalication j Printers Programs Regionnl and Language Option,

Windows Settings

Hide rpncified Control Panel item,

Not configured

Control Panel

Alwoys open All Control Panel Items when opening Control

Not configured

Desktop

Prohibit accens to Control Panel and PC Settings

Not configured

Show only specified Control Panel items

Not configured

Setting Page Vrsibility

Not configured

j Adreieiotrut:vn Tenapintee Policy definitions

Setvorb Snared Foldnrs

I.i

- Start Menu and Toskbar Syssnnn Windows Cnmponents All Settings - Preferences nrd S sett:nglol

Afb. 1-17 De policies voor het Control Panel

i Group policies

23

In het detailvenster ziet u nu de policies die u ten aanzien van het Control Panel kunt gebruiken. Sommige policies zijn bij elkaar ondergebracht in aparte containers. 16 Selecteer in het detailvenster de policy Prohi bit access to Control Panel and PC settings. Het detailvenster kunt u op twee manieren bekijken. Daarom zijn er twee tabbladen: Op het tabblad Extended ziet u de policies en de uitleg bij een geselecteerde policy (afbeelding 1-18). Droop Poliny Management Editor

0

X

Fik Action View Help

4 * 19 [1I L41 I mi 1 PFGebnsikorsstPO (PFSV1.POLIFORMA.LOCAL) Polioy -

Control Panel

Computer Configuration Proldidt 000eso to Control Panel and PC settings

Policino

)

Pret erences gf Usnr Configoration

Edit polrovsetting

A

Setting Adel or Remove Programs Display

policies

AdrninirtrativeTernplateu Polinydefinitions -

12 Printers

Requirementn Atleast Windows 200

3 Software Settings

i Windows Settings Control Panel Desktop

Programs

Reginnal and Langoage Options Desnnption: Hidn spenified Control Panel items Dioables all Control Panel programs and the PC settings app. 1 -23 Always open All Control Panel Items whee

Netwerk

Prnhibit acoers to Control Parcnl and PC or This setting prevento Controtwe and SysternSetti19,exe, the program files fel Control Panel and PC settings, from storting. As resolt, users cannot start Control Panel or PC settings, or run anp of their items.

Shared Folders Start Mens and Taskbar Syotenn Windows Componento All Settings --

Preterences S

j] Show only specified Control Panel items r Settings Page rdtsibility

V

ndard

S setting(s)

Afb. 1-18 Met uitleg Op het tabblad Standard ziet u geen uitleg (afbeelding 1-19). )J

Droop Polioy Management Editor

-

0

X

Fik Action Vim Help

* 1 ^ itl á~ 1 En 1 PFtebroikernGPO (PFSV1.POLIFORMA.LOCAL) Policy Computer Configsratinn

State

Setting Adel or Remove Programs Display

Preferences g

Pnrsonaliaatinn

Snor Configoration j Polinien j Software Settiogs Windows Settings Adwinistrative Teroplatesi Poliny definitioos -

Control Panel Desktop Nrtvsork Shored Folders

Printers

=Programs Reginnal and Langsage Options Hide speoified Control Panel items

i] Atways open All Control Panel Items when opening Control and PC rottingo Prohibit -- to Control P-1

LEJ Settings Page Visibiïity

Not coefigured

Al] Settings

Standard

Afb. 1-19 Zonder uitleg

Not onntrgurrd Not oonfigured

System Windows Compnnents

5 setting(s)

Not oonfigured

j Show osdyspenified Control Panel items

Start Mens and Taskbar t

Not oonfigsred

Netwerkbeheer met Windows Server 2019

24

Deel 2

In dit boek wordt het tabblad Standard gebruikt. Zoals u direct zult zien, kunt u de uitleg ook anders voor u krijgen. 17

Selecteer in het detailvenster het tabblad Standard zoals in afbeelding 1-19. Nu nog de policy Prohi bit access to Control Panel and PC settings instellen.

18

Dubbelklik in het detailvenster op de policy Prohi bit access to Control Panel and PC settings.

Het bijbehorende instelvenster verschijnt (afbeelding 1-20). Ook daarin kunt u de uitleg lezen. ffi

Prohibit access to Control Panel and PC settings

El

Prohibit access to Control Panel and PC settings

® Not Configured

Prevrous Setting

1

X

Next Setting

Commen

o Enabled o Disabled Supported 0fl:

Options:

At least Windows 2000

Help:

Disables all Control Panel programs and the PC settings app.

S

This setting prevents Control.exe and SystemSettingsexe, the program files for Control Panel and PC settings, from starting. As result, users cannot start Control Panel or PC settings, or run any of their items. This setting removes Control Panel from: The Start screen File Explorer This setting removes PC settings from: The Start screen Settings charm Account picture Search results 1f users try to select a Control Panel item from the Propnrties item on a content menu, a message appears explaining that setting prevents the action.

Canxel

Afb. 1-20 De uitleg staat ook in het instelvenster U ziet linksboven de drie instellingsmogelijkheden waarvan u er één moet kiezen (afbeelding 1-20): • Not Configured Dezelfde policy kan in verschillende GPO's worden ingesteld. Verschillende GPO's worden achter elkaar toegepast. De optie Not Configured betekent dat dit GPO deze policy niet verandert. •Enabled Deze policy wordt in dit GPO ingeschakeld.

i Group policies

•Disabled Deze policy wordt in dit GPO uitgeschakeld. Houd rekening met dubbele negatieven. U kent dat uit de wiskunde. In de volksmond is min maal min plus. Hier komt ook iets soortgelijks voor. Als u bijvoorbeeld een policy die met Hide begint disablet, worden de zaken achter Hide juist wel getoond. Veel policies schakelen een fenomeen in of uit of laten het ongemoeid. Bij veel andere policies moet u bij het inschakelen bepaalde zaken instellen. •Als u bijvoorbeeld de policy Hide specijled Control Panel items inschakelt (afbeelding 1-19), moet u opgeven welke items u wilt verbergen. • Als u bijvoorbeeld de policy Show only specijled Control Panel items inschakelt (afbeelding 1-19), moet u opgeven welke items u wilt laten zien. Er zijn ook combinaties van policies die tegenstrijdig zijn met elkaar. De policies Hide specijied Control Panel items en Show only specijled Control Panel items zijn daar voorbeelden van. In dat geval kunt u bij de uitleg lezen wat dan het resultaat zal zijn. Meestal is dat de meest beperkende. Elke policy kan op deze manier in een GPO worden ingesteld. Als dezelfde policy in verschillende GPO's staat ingesteld, geldt uiteindelijk de instelling uit het laatst toegepaste GPO. Daarbij telt Not Configured niet mee. Voorbeeld Uitgaande van de standaardsituatie heeft u het volgende ingesteld: •Machine local heeft u geen policies ingesteld. •U heeft een GPO gekoppeld op site-niveau. Daarin heeft u een bepaalde policy ingesteld op Enabled. •U heeft geen apart GPO gekoppeld aan uw domain. Aan uw domain is standaard wel het GPO Default Domain Policy gekoppeld. In dat GPO heeft u dezelfde policy op Not Configured laten staan. •U heeft een GPO gekoppeld aan een OU in uw domain. In dat GPO heeft u dezelfde policy ingesteld op Disabled. De vraag is vervolgens wat er effectief telt voor de gebruikers en/of computers in de OU. Het antwoord bepaalt u op de volgende manier: •De volgorde van toepassing is eerst machine local en daarna vervolgens site - domain - OU. •Na toepassing van de machine local policy is de instelling van de policy Not Configured. •De toepassing van het GPO op site-niveau stelt de policy in op Enabled. •De toepassing van het GPO op domain-niveau laat de policy onveranderd ingesteld op Enabled. Not Configured verandert immers de instelling van de policy niet.

25

Netwerkbeheer met Windows Server 2019

26

Deel 2

•Het laatst toegepaste GPO op OU-niveau verandert de instelling van de policy van Enabled in Disabled. Effectief staat voor de gebruikers en/of computers uit de OU de policy dus ingesteld op Disabled. U schakelt nu de policy Prohi bit access to Control Panel and PC settings in. 19

Selecteer in het venster van afbeelding 1-20 de optie Enabled. Typ in het tekstvak Comment als commentaar: Verhindert het gebruik van het Control Panel. Klik op de knop Apply. Klik op de knop OK. In de MMC Group Policy Management Editor ziet u in het detailvenster de instellingen van de gedefinieerde policy. Aan Yes in de kolom Comment ziet u dat er commentaar bij is opgenomen (afbeelding 1-21). 4t Group Policy Management Editor File Action View Help

jj PFGebroikertGPO LPF5V1.POLIFORMA.LOCALJ Policy v

Op CornpoterConfgoration -

Policiea

Preferences t 5Ç User Configoration Software Settings Windows Settingn Adnniatratioe Tenrplateo Policy deilnitions Control Panel -- Desktop Network -- SharedPoldors

State

Setting

Comment

Add Or Rennove Programs Display

Eá Persorratiaation El Printers Programs

CM Regional

and Langoage Option,

L l Hidr specified Control Panel items

Not cent igored

No

Alwayo open All Control Panel Items when ope... Not configored

No

Prohibitoocrr to Control Pond orrd PC to

LU Show oely speortied Control Panel items Settings Page Visibility

go

Errablool

Yeo

Not oonfigored

No

Not coofigored

No

Start Menu and Taskbar Systenr t

Windows Cowpononto j Al Settings

:i Prei erences Standard S oetting(s)

Afb. 1-21 De gedefinieerde policy met commentaar 20

Sluit het venster van de MMC Group Policy Management Editor met het sluitknopje rechtsboven. Actualiseer op DC PFSVi de policies met het commando gpupdate (afbeelding 1-22). Sluit daarna het venster Command Prompt of Windows PowerS heil weer.

i Group poEicies

Q\Wndows\system32\md.exe

27

-

0

X

Microsoft Windows [Version 10.0.17763.107] (c) 2018 Microsoft Corporation. All rights reserved. C: \Users\3an_Sme>gpupdate Updating policy... Computer Policy. update has completed successfully. User Policy update has completed successfully.

C: \Users\an_Sme>

Afb. 1-22 De wijzigingen in de policies zijn toegepast Nogmaals de GPO-informatie

Het venster met de specificaties van het GPO PFGebruikersGPO staat nu voor u (afbeelding 1-13). Het detailvenster daarvan moest nog besproken worden. Op het tabblad Scope (afbeelding 1-13)ziet u onder de kop Links de objecten waaraan het GPO is gekoppeld. Bij u is dat alleen aan de OU PFAfdelingen uit het domain PoliForma.local. U kunt een bestaand GPO eenvoudig aan een ander object (site, domain, OU) koppelen. Open daarvoor in de tree het snelmenu bij het betreffende object en klik op de optie Link an Existing GPO. U krijgt dan een lijst van beschikbare GPO's waaruit u een keuze kunt maken (afbeelding 1-23). Select GPO

X

Look in ts doman: Pootma.Ioc Group Pohcy objects: Name Default Doman, Controllers Pohcy Defoult Domam Pohcy GebrukersGPO

RiCacI

Afb. 1-23 Een GPO koppelen aan een geselecteerd object 21

Haal in het detailvenster het tabblad Details voor u (afbeelding 1-24).

Netwerkbeheer met Windows Server 2019

28

-

Group Poliry Management Fik Antion View Window 1-kip

j Groep Poliny Management Formt PoliFormo.lonal

0

Deel 2

X

1PFGebrulkersGPO Scope

Dnfols Sottftrgo Delegotion

v& Domains v ft PoliForroa.local

Donron:

PoFoonoJooio

Gelooft Donrain Poliny Domein Controllers

kl -

Default Domain Contro

Owrrer

Dooron, Adrr*,s (POLIR)RMA\Donmirr Mmks)

Created,

9-4-201918:5923

PFAfdelingeo ; PFGebruikersGPO Administratie t

51

Modfiod:

9-4-201918:59:23

Unon veroion:

0 (AD). 1 (SYSIIOL)

Automatisering Directie

Coondorveron:

8 (AD). 8 )SYSOL)

tqae ID.

(F6365126-2D1D4360-A872-365C05A36DA9)

Prodentie t

4j Fabricage

51 Stof

51

GPO Status:

Verkoop

Group Polky Objents WMI Filters StorterGPOs v

4g Sitns PF8udnl Group Policy Modeling Group Poliny Rnsttlts

Afb. 1-24 De Details Behalve de specificaties die voor zich spreken, ziet u er de uitschuiflijst GPO Status (afbeelding 1-24). De opties in de keuzelijst zijn: •Enabled Alle policies uit dit GPO worden toegepast. • All settings disabled Geen van de policies uit dit GPO worden toegepast. Het GPO bestaat wel maar de werking van de daarin ingestelde policies is uitgeschakeld. • Computer Configuration settings disabled Alle policies uit dit GPO onder Computer Configuration worden niet toegepast. Kies deze optie als u er in dit GPO geen heeft ingesteld. Het opstarten van de computers wordt erdoor versneld. • User Configuration settings disabled Alle policies uit dit GPO onder User Configuration worden niet toegepast. Kies deze optie als u er in dit GPO geen heeft ingesteld. Het inloggen van de gebruikers verloopt daardoor sneller. 22

Laat Enabled voorlopig geselecteerd staan. Haal het tabblad Settings voor u. Na de inventarisatie krijgt u eerst het bekende venster Internet Explorer voorgeschoteld. IE ESC staat, zoals u weet, ingeschakeld. Het is dus weer nodig om op de bekende knop Close te klikken. Vervolgens ziet u de policy die u zojuist heeft ingesteld (afbeelding 1-25).

i Group policies

29

Group Policy Management

LU

File Action View Window Help

4 ïel [1I A I$ tm Group Policy Management Forest PoliForma.local

PFGebruikersGPO fnp. Defade

Snfldrgs Dejogation

Domeins flJUtUNMFISJjO(000l

ton muttuge. onute.

Nu

Edit oatlfrgo,delete,

No

PoliForwajocal

f v

Mr Default Domain Policy POUFORMA\&ewpn

Domein Controllers

f

ee Mrmo

Default Domain Control

PFAfdelingen

Coe1modion (Enatsled)

PFGebwiknrsGPO Administratie

No edtb,gsded.

Automatisering CndVis.nuon (Bodsied) Directie

vIM

Productie Fabricage Staf Verkoop

Group Policy Objects WMI Filters

Coeed pand

Starter GPOs

ja Sites PFBudel

Policy

Setting

Plofirf oeeto

Brabled

Group Policy Modeling

Coeted Pee& and PC

Group Policy Resulto

Witngs

Ved*mdemt het gebeds vee het Cosilrol Pand

1

Afb. 1-25 De ingestelde policy ten aanzien van het Control Panel De gevolgen op werkstation PFWSi

U bekijkt nu de gevolgen van de ingestelde policy op werkstation PFWSi. Daar gaat het immers allemaal om. 23 Start werkstation PFWSi en log daarop in als domain Administrator.

Controleer of u als domain Administrator het Control Panel van werkstation PFWSi kunt gebruiken (afbeelding 1-26).

Netwerkbeheer met Windows Server 2019

30

-

All Control Panel Items

4' a >

Control Panel » All Control Panel Item»

AdjustyourComputers settings

3

Admoinistrative Tools BitLorker Drive Enrmyption

Cg Date

and Time

ga Devices and Printers File Explorem Options

Langoage

Barkop and Restore (»Vindows 7)

Color Management

Credential Manager

[&Default Program»

Device Manager

Q Ease of Acces» Center

GD Display

Flash Player (32-bit)

File 1-tistomy

lndeoïng Options 20 Keyboard Network and Sharing Center

Moose

99 Pemsonalizatmon Program» and Features

»4 RemotnApp

ga AotoPlay

el Intemet Options

if lnfra»ed

and Desktop Conoectioos

Speech Recognition

Lo System User Accounts li Windows Mobility Center

>(

»

View by. Small icons

• 4HomeGroup

A Fonts

0

Seomch Control Panel

v Pj

Deel 2

Wi Phone

Power Options

and Modem

10Recovery

Regioo

c

Sound

' Security and Mointenance Storage Sporen

Sysc Center

Tenkbar and Nmigation

Troobleshooting Windows Firewall

Windows Defendem Windows To Go

Ei Work

Folders

Afb. 1-26 Het GPO PFGebruikersGPO is op de domain Administrator niet van toepassing Het GPO PFGebruikersGPO is gekoppeld aan de OU PFAfdelingen en wordt als laatste toegepast. De policy Prohi bit access to Control Panel and PC settings staat daarin op Enabled ingesteld onder User Configuration. U kunt als domain Administrator het Control Panel normaal gebruiken omdat het GPO PFGebruikersGPO op de domain Administrator niet van toepassing is. In AD is het user account Administrator immers opgenomen in de container Users. Dat is een container en geen OU - en al helemaal geen OU die een (klein)kind-OU is van de OU PFAfdelingen. 24

Log op werkstation PFWSi uit. Gebruik daarvoor de optie Sign out. Log op werkstation PFWSi in als gebruiker Doortje Heijnen. Gebruik daarvoor de knop Other user. Controleer of u als Doortje Heijnen het Control Panel kunt gebruiken. Q Restrictions

X

This operation has been cancelled doe to mestrictions in effect on this computer. Please contact your system administrator.

OK

Afb. 1-27 Doortje kan het Control Panel niet gebruiken Als Doortje Heijnen kunt u het Control Panel niet gebruiken (afbeelding 1-27). Het GPO PFGebruikersGPO is gekoppeld aan de OU PFAfdelingen en wordt als laatste toegepast. In Het GPO PFGebruikersGPO staat de policy Prohibit access

i

Group policies

to Control Panel and PC settings ingesteld op Enabled. In AD is het user account van Doortje Heijnen opgenomen in de OU Productie. Dat is een kind-OU van de OU PFAfdelingen. Door overerven is daarop het GPO PFGebruikersGPO dus

van toepassing. 25 Klik op de knop OK in het venster van afbeelding 1-27.

Log op werkstation PFWSi uit. Gebruik weer de optie Sign out. Log op werkstation PFWSi in met het user account van Uzelf Gebruik weer de knop Other user. Controleer of u het Control Panel kunt gebruiken. Ook uzelf kunt het Control Panel niet gebruiken (afbeelding 1-27). Ook aan het Control Panel gerelateerde zaken als bijvoorbeeld de optie Personalize voor het aanpassen van het desktop-uiterlijk zijn niet mogelijk. Ook de achterdeuren zijn dus op slot. Het GPO PFGebruikersGPO is gekoppeld aan de OU PFAfdelingen en wordt als laatste toegepast. Daarin staat onder User Configuration de policy Prohi bit access to Control Panel and PC settings ingesteld op Enabled. U kunt het Control Panel niet gebruiken omdat op u het GPO PFGebruikersGPO van toepassing is. Uw user account is in AD geplaatst in de OU Automatisering en dat is een kind-OU van de OU PFAfdelingen. Door overerven is het GPO PFGebruikersGPO daarop van toepassing. Wat policies betreft is uw user account dus gelijkwaardig aan dat van Doortje Heijnen. 26 Klik op de knop OK in het venster van afbeelding 1-27.

Sluit werkstation PFWSi af. De gevolgen op de DC's PFSVi en PF5V2

Ook op de DC'S zijn er gevolgen. 27 Kijk op DC PFSVi of u als domain Administrator het Control Panel kunt gebruiken (afbeelding 1-28).

31

Netwerkbeheer met Windows Server 2019

32

EN All

-

Control Panel Items

4

4. EO

Adjust your computers settings

AutoPluy

Credential Manager

Date and Time

Device Manager

Devices and Printers

File Explorer Options

Flash Player (32-bit)

Indening Options

Internet Options

13 Color

Management

Default Programs

Q East of Access Center A Fonts iSCSI lnitrator Network and Shanog Center

EO Keyboard

Mouse

US Phone

Power Options

12 Programs and Features

Region

.1 RemoteApp

10 Recovery ' Security and Maintenance ® Syne Center Test to Speech Windows Defender Firewall

X

p

View by. Small icons

Administrotive Tools

and Modem

0

Search Control Panel

n Control Panel > All Control Panel Items

Deet 2

4 Sound

and Desktop Coonectioos

4 Speech Recognitron

System

EL Taskbar and Navigatetn

Trouhlenhooting

% ther Accounts

91 Windows Mobility Centen

Afb. 1-28 Om dezelfde reden als op werkstation PFWSi

Om dezelfde reden als op werkstation PFWSi kunt u als domain Administrator het Control Panel blijven gebruiken. 28 Log op DC PFS Vi uit als domain Administrator. Gebruik daarvoor de optie Sign

out. Log nu op DC PFSVi in met het user account van Uzelf. Gebruik daarvoor de knop Other user. Controleer of u het Control Panel kunt gebruiken (afbeelding 1-29). Kijk op de knop OK in de mededeling van afbeelding 1-29.

o

Restrictions

This operation kas been cancelled dun to restrictions in effect on this computer. Please contact your system administrator.

Afb. 1-29 Contact opnemen met uzelf

U kunt het Control Panel ook op DC PFSVi niet gebruiken omdat op u het GPO PFGebruikersGPO van toepassing is en als laatste wordt uitgevoerd. Uw user account is in AD geplaatst in de OU Automatisering en dat is een kind-OU van de OU PFAfdelingen. Verder is de poiicy Prohibit access to Control Panel and PC settings ingesteld onder User Configuration. Dit laatste betekent dat het voor u van toepassing is, ongeacht via welke machine u inlogt.

i Group policies

33

Group Policy Results

In uw huidige situatie is alles nog eenvoudig: een toegevoegd GPO met daarin één policy ingesteld onder User Configuration. In de praktijk is dat altijd anders. Door de veelheid aan policies die voor een gebruiker van toepassing zijn, komt het dan voor dat u niet meer ziet wat een bepaald effect veroorzaakt. Voor dit probleem heeft u de beschikking over de container Group Policy Results. Via een wizard kunt u precies bepalen welke policies uit welke GPO's op een machine voor een gebruiker van toepassing zijn. Het resultaat wordt bewaard in de container Group Policy Results. In het volgende bepaalt u de RSoP (Resultant Set of Policy) voor het user account van Uzelf U heeft op DC PFSVi en werkstation PFWSi last van hetzelfde probleem. U onderzoekt dit op DC PFSVi. 29

Log op DC PFSVi uit. Log op DC PFSVi opnieuw in als domain Administrator. Start de MMC Group Policy Management. Vouw in de tree uit zoals in afbeelding 1-30. Selecteer in de tree de container Group Policy Results zoals in afbeelding 1-30-

Group Policy Management

0

Group Policy Management Forest PoliForrno.local v Domains PoliFornro.locol Default Donroin Policy Do,rrain Controlkrr PFAfdelingen FFGebruikersGPO Administratie > ) Automatisering Directie > Productie Stof Verkoop Group Policy Objecto WMI Filters Starter GPOs > _ Sites Group Policy Modeling Group Policy Results

X 0

Fik Aotion View Window Help

Group Policy Resuits Contecte N.

Uow

Coepndnr

LoO Refrnatr Date

gl

áff

Afb. 1-30 De container Group Policy Results 30 Klik op de optie Group Policy Results Wizard in het menu Action. De gelijknamige wizard gaat van start. 31 Kijk op de knop Next > in het welkomstvenster.

Netwerkbeheer met Windows Server 2019

34

Deel 2

Vervolgens verschijnt het wizardvenster Computer Selection (afbeelding 1-31). U moet aangeven voor welke computer het onderzoek moet gelden. Zowel op DC PFSVi als op werkstation PFWSi kunt u het Control Panel niet voor u krijgen. Als u alleen geïnteresseerd bent in policies onder User Configuration kunt u het vakje voor Do not displaypolicy settings for the selected computer in the results (display userpolicy settings only) voorzien van een vink. Het laatste is nu het geval. Group Policy ResuttuWizard

X

co~"— Selection You con view policy settungs forthis computer orfor another computer cc tHu netwerk.

ij

Select the computer for wijd, you want to display policy settings. ® This computer

0Pnother computer.

D Do not display policy settings forthe selected computer in the resufts (display user pohcy settings only)

L . Nu verschijnt het wizardvenster User Selection. U moet aangeven op welke gebruiker het onderzoek van toepassing moet zijn. In de lijst ziet u de gebruikers die ooit op deze computer hebben ingelogd en van wie u de policy-data kunt uitlezen (afbeelding 1-32).

i Group poticies

35

Group Poliry Resuhu Wizard

X

Uver Selection You con view policy seltthgsferusers of the setected c~ er.

® Display pohcy setticgs for. ®Cu,rentuser

0Select

a ayecatc uw:

POUFORMAdnior POUFORMA\JajSme

TNo ho oely shows usns that have toJged om to the computer. and for whom you have pemaswoe to read Group Pofcy Revctts data. Do not duplay over pofcy settings es the resufts (etsçfay coorputerpofcy seftngs ordy)

>

Afb. 1-32 Voor welke gebruiker 33 Selecteer Select a specijic user. Selecteer in de lijst het user account van Uzelf Klik op de knop Next>. Tenslotte krijgt u het wizardvenster Summary of Selections voor u. Daarin ziet u de geselecteerde keuzes (afbeelding 1-33). Group Policy Resotts Woord

X

&xumaq of Selectiona

The lat contaivs the setecticns you made h the wizwd.

To make changes to yotr selections. click Back. To galbortbe poky selthsgs. ckk Ned. Sefecifon

Settings

Username Display over poicy settings Computer name Dvplay computer pokny settings

POuFORMA'Jansme Yen POLIFORMAWF5V1 No

L±Back

Afb. 1-33 De gemaakte keuzes

JiNod >

i

C~

Netwerkbeheer met Windows Server 2019

36

Deel 2

34 Kijk op de knop Next>. Nadat het onderzoek is voltooid krijgt u het slotvenster van de wizard voor u. 35 Kijk daarin op de knop Finish. Nadat het rapport is samengesteld, verschijnen de resultaten in het detailvenster. U moet eerst weer op de bekende knop Close klikken. In de tree ziet u het resultaat onder de naam van Uzelf opgenomen in de container Group Policy Resuits. Het rapport in het detailvenster bestaat uit drie tabbladen. Het tabblad Sumrnary ligt boven. 36 Haal in het detailvenster het tabblad Details voor u en kijk weer op de knop Close. Scroll eventueel in het detailvenster en pas aan om het venster van afbeelding 1-34 voor u te krijgen. Group Policy Management Fik Action Vim Wind~ Help

*R

X

1

Group Policy Management Fo,ert PoliForma.Iocal Domains PoliFomma.Iocal g Default Dornain Policy t G Dornoin Controllers PFAfdelingen PPGebruikersGPO Administratie Aotonratise,ing tä Directie Productie > M Staf > j Verkoop Group Policy Objects WMI Filters Starter GPOs 1Sites Group Policy Modeling v Group Policy Recultu Jan_Smoe on PFSVI

Jan_Sme 0fl PPSV1 Srarerramy

Dood, Poècy Evers

Folcy defroc,orr (ADMX fier) rereeved froe, the locel computer

L proktilat~to Control Pand and PC

> Q2

Setting

Winning GPO

Ecobled

FFGnbruberrGFO

Group Policy Obiedo

PFGebnikeonstPO (F63G5126-2O1D-43MB72365CD5A360A911

50

Afb. 1-34 Prohi bit access to Control Panel and PC settings is op u van toepassing

U ziet dat de policy Prohibit access to Control Panel and PC settings staat ingesteld op Enabled. Daarachter ziet u dat deze policy afkomstig is uit het GPO PFGebruikersGPO. Dat GPO is het Winning GPO. Het Winning GPO is dat GPO dat het uiteindelijke netto-effect heeft veroorzaakt. 37 Sluit op Sluit de

DC PFS Vi de MMC Group Policy Management af. DC'S PFSVi en PFS V2 af.

i Group policies

1.3 Blokkeren en forceren

Voor beheerders is de situatie na het vorige practicum serieus onbevredigend. Als beheerder heeft u administrator-bevoegdheden nodig op alle machines in uw netwerk. Wat u dus wilt, is dat er geen policies van toepassing zijn die uw mogelijkheden beperken - niet op de werkstations en niet op DC's. Het niet kunnen gebruiken van het Control Panel is voor beheerders onaanvaardbaar. Om dit probleem op te lossen, heeft u nu twee mogelijkheden. •U kunt op de OU Automatisering een GPO aanmaken en zorgen dat dit als laatste wordt toegepast. In dat GPO stelt u de policy Prohi bit access to Control Panel and PC settings in op Disabled. Omdat de OU Automatisering genest is in de OU PFAfdelingen zal Disabled dan gelden. Het wordt dan immers als laatste toegepast. Deze constructie werkt, maar heeft één groot nadeel. Als u voor de gebruikers in het GPO PFGebruikersGPO een policy instelt, moet u deze telkens ongedaan maken voor de beheerders. Geen eenvoudige effectieve oplossing en dus geen good practice. •De tweede oplossing is het blokkeren van alle policies uit overgeërfde GPO's die van toepassing zijn op de OU Automatisering. Behalve enkele policies uit het GPO Default Domain Policy die u niet zonder meer kunt blokkeren, wordt dan de toepassing van policies uit alle geërfde GPO's tenietgedaan. Deze laatste oplossing werkt u uit in het volgende practicum. U zult zien dat er vervolgens een ander probleem opduikt. Ook dat nieuwe probleem lost u op met een ingebouwde mogelijkheid van Windows Server 2019.

Practicum 1.3.1: Verschil maken

£ 75 min.

In dit practicum: Leert u selectief policies van toepassing te laten zijn.

Voor dit practicum heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na het vorige practicum. •Werkstation PFWSI zoals geconfigureerd na het vorige practicum. •Het werkblad bij practicum 1.3.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 75 minuten. Korte practicuminstructies Verschil

Een toelichting op de nodige begrippen en werkwijzen vindt u in de gedetailleerde practicumuitwerking. a Blokkeer op de OU Automatisering het overerven van group policies. Controleer opnieuw of u met het user account van Uzelf op werkstation PFWSi het Control Panel kunt gebruiken. Verklaar waarom wel of niet.

37

Netwerkbeheer met Windows Server 2019 Deel 2

38

Controleer of u als Niels Smets op werkstation PFWSi het Control Panel kunt gebruiken. Verklaar waarom wel of niet. b Maak een nieuw GPO aan met de naam PFBeheerdersGPO. Koppel dit nieuwe GPO ook aan de OU PFAfdelingen. Maak in dit nieuwe GPO PFBeheerdersGPO een inlogscript aan. Het inlogscript moet na het inloggen een venster tonen met daarin de tekst: Welkom op het netwerk van PoliForma BV. c Controleer als Doortje Heijnen op werkstation PFWSi of: •het inlogscript werkt; •het Control Panel beschikbaar is of niet. Verklaar het resultaat. d Controleer als domain Administrator op werkstation PFWSi of: •het inlogscript werkt; •het Control Panel beschikbaar is of niet. Verklaar het resultaat. e Controleer met het user account van Uzelf op werkstation PFWSi of: •het inlogscript werkt; •het Control Panel beschikbaar is of niet. Verklaar het resultaat. f Zorg dat voor de user accounts uit de OU Automatisering de uitvoering van het inlogscript wordt afgedwongen. Bekijk daarna voor de OU Automatisering de overgeërfde GPO's. g Controleer met het user account van Uzelf op werkstation PFWSi nogmaals of: •het inlogscript werkt; •het Control Panel beschikbaar is of niet. Verklaar het resultaat. h Dwing de toepassing van de policies uit het GPO Default Domain Policies af voor alle gebruikers en beheerders. i

Sluit alle machines geordend af.

Gedetailleerde uitwerking van het practicum

Ook dit practicum valt in enkele delen uiteen: •U begint met ervoor te zorgen dat de policy Prohi bit access to Control Panel and PCsettings op alle gebruikers van toepassing is maar niet meer op u en uw medebeheerder Fons Willemsen.

i Group policies •Vervolgens maakt u een nieuw GPO aan gelinkt aan de OU PFAfdelingen. In dat nieuwe GPO maakt u een inlogscript aan. •Vervolgens zorgt ervoor dat het inlogscript op alle gebruikers - ook op u en uw medebeheerder Fons Willemsen - van toepassing is. 1

Log als domain Administrator in op de DC's PFSVi en PFSV2. Haal op DC PFS Vi het venster van de MMC Group Policy Management voor u. Vouw in de tree het domain PoliForma.local volledig uit. Selecteer in de tree de OU Automatisering. Block Inheritance

U lost nu het probleem voor de beheerders op door het overerven van GPO's op de OU Automatisering te blokkeren. Daarna bekijkt u het effect. 2

Open in de MMC Group Policy Management in de tree het snelmenu bij de OU Automatisering. Klik op de optie Block Inheritance. Daarmee wordt deze optie voorzien van een vink. In het pictogram van de OU Automatisering ziet u nu een blauw pictogram met een wit uitroepteken. Dat geeft aan dat Block Inheritance op deze OU staat ingesteld. Merk op dat Block Inheritance een eigenschap is van een object waarop een GPO van toepassing kan zijn, dus van een domain of een OU. Van een site natuurlijk niet, want dat is het hoogste niveau. Daarin speelt overerven geen rol.

3 Actualiseer op DC PFSVi de policies met gpupdate. Start, om het effect van deze ingrijpende maatregel te bekijken, werkstation PFWSi. Log in met het user account van Uzelf Open het Control Panel. U ziet dat u het Control Panel weer kunt gebruiken (afbeelding 1-35). De toepassing van overgeërfde policies op de OU Automatisering is geblokkeerd.

39

Netwerkbeheer met Windows Server 2019

40

OM All Control Panel Items

'1' 0

r Control Panel

0 Al] Control Panel Items

C>

Adjust your computer's settings

99 AutnPlay col.( Management

Date and Time

rb Default

Denken and Printers

CD Display

File Explornr Options

,

A Fonts

Snarch Control Panel

View by. Small innen

BtLockor Onno Encsyptson

Adrninistrative Tnola

Backup and Restore (sVindows 7) Crrdential Manager Device Manager

Programs

Q Base of Accent Center Flash Playe, (32-bit)

File Histcny

4HnmeGrossp

ga Indening Options

lnfrared

Internet Options

EO Keyboard

Langssage

Mnuse

.

d Personalization Programs and Features RemoteApp and Desktop Connnctions

Deet 2

Phone and Modem Recovery ' Security and Maintenance

Speech Rncogoition

Stomage Spaces

System

Taskbar and Navigatinn

ij Snor Accounts

Windows Dnf onder

qJ Windows Mnbility Centen

Windows To Go

Network and Sharing Center Pnwer Options Region Sound

Ø Syec Conto, Tmoubleshooting

ê Windows Firewall Wnrk Folders

Afb. 1-35 Het Control Panel is voor gebruikers uit de OU Automatisering weer beschikbaar 4 Log op werkstation PFWSi nu uit en weer in als Niels Smets. Probeer via de Settings het Control Panel te gebruiken, bijvoorbeeld door de schermresolutie aan te passen. U ziet dat het GPO PFGebruikersGPO op Niels Smets van toepassing blijft (afbeelding 1-36). Niels Smets kan geen onderdelen van het Control Panel gebruiken.

0Restrictinns

O

X

This operation bas been canceiled duo to mestrictions in effect on this computer. Please contact your system administrator.

Afb. 1-36 Voor Niels Smets geen Control Panel 5 Kijk op de knop OK in de foutmelding. Sluit werkstation PFWSi af. Op de OU Automatisering is Block Inheritance ingeschakeld. Het resultaat daarvan kunt u natuurlijk in de MMC Group Policy Management zien. 6

Haal op DC PFSVi het tabblad Group Policy Inheritance van de OU Automatisering voor u zoals in afbeelding 1-37.

i Group poticies

41

Groep Policy Management

-

0

X

j File Action View Window Help

24 Groep

Policy Management

Formt PoliFormo.Iocol

A Domeino v

ft PoliForreelocnl

f Default Domein Policy v M Domein Controllers 0Dol ooit Domein Control 22 PFAfdeliogen

Automatisering Lî*ed Sloeg, Poky Citiecto Sloeg, Poboy kitrerdeoce DelO9OOOO fles 404 doen fl04 .crkde emmy GPOr ï,kndto des. For mom doteOs. nee Help

Pmecece

GPO

Locakoo

GPO Sloten

PFGebroikemsGPO Administratie Automatisering )

Directie Prorlectie

> 1 Fabricage Slof Verkoop Groep Policy Objects WMI Filters ) > , Sitno

Starter GPOs

Groep Policy Modeling Groep Policy Resoits Jan_Smoe en

Afb. 1-37 Geen GPO's meer geërfd

U ziet dat er niets meer wordt geërfd. Er is geen GPO meer van toepassing. Vergelijk afbeelding 1-37 met afbeelding 1-11. Scripts

Veel netwerkbeheerders willen dat er speciale dingen geregeld worden op de werkstations. Een methode om hiervoor te zorgen, is het schrijven van een programma dat op een bepaald moment automatisch wordt gestart. Een dergelijk programma wordt een script genoemd. Scripts kunt u schrijven in het scripting-raamwerk Windows Scripting Host dat bij Windows Server 2019 wordt geleverd. De werking daarvan en het schrijven van scripts vallen buiten het kader van dit boek. U moet ervoor in Visual Basic kunnen programmeren. U kunt een script ook schrijven als een batchbestand of in Windows PowerShell. Ook het schrijven van batchbestanden valt buiten het kader van dit boek. Als voorbeeld maakt u een inlogscript voor alle gebruikers bij PoliForma BV. De tekst van het script krijgt u aangereikt. Het is maar één regeltje. Dat script neemt u als een policy op in een apart GPO. Waarom wordt zo direct duidelijk. Dan zullen ook de namen van de GPO'S betekenis krijgen. 7

Koppel een nieuw GPO aan de OU PFAfdelingen met als naam PFBeheerdersGPO.

Open de MMC Group Policy Management Editor om policies in het GPO PFBeheerdersGPO in te kunnen stellen. Vouw in de tree uit zoals in afbeelding 1-38.

Netwerkbeheer met Windows Server 2019

42

jf

-

Grocp Policy Management Editor

0

Deel 2

X

File Action View Help

f PFBeheerdereSPO

(PFSV1.POLIFORMA.I.00AL) Policy

Virl1POLIFORMA.LOttAhiVolicy

Computer Configuratino Poirciem

Select an item to view its descriptien.

-

Conflgoratioo

User Configuration

Windows Settings

:

Name

IS Computer

j Software Settings Name Renolution Poirny Script (Startup/Shutdown)

immT

Omployed Printen

5

Snourity Settings

olil Polrcy-baned QoS Adn,inietrative Tewplaten PoScy definition Preferences

j& Uuer Configoration Policien

23

Software Settings Wind— Settings

5

Scripts (LogoWLogoff) Security Settings

] Folder Redirection >

J Policy-baned OnS ¶ Deployed Printers AdwinintratrceTernplateur Policy definition

Preferences

dSn

Afb. 1-38 Verschillende soorten scripts U ziet nu de verschillende soorten scripts: •U vindt een container Scripts onder Computer Configuration\Policies\Windows Settings. - Een Startup-script wordt uitgevoerd als een computer van het netwerk start. - Een Shutdown-script wordt uitgevoerd als een computer van het netwerk wordt afgesloten. •U vindt een container Scripts onder User Configuration\Policies\ Windows Settings. - Een Logon-script wordt uitgevoerd als een gebruiker van het netwerk inlogt. - Een Logoff-script wordt uitgevoerd als een gebruiker van het netwerk uitlogt. Als een gebruiker een machine herstart, kunnen dus achtereenvolgens de volgende scripts uitgevoerd worden: •Het Logoff-script dat op de gebruiker van toepassing is. •Het Shutdown-script dat op de computer van toepassing is. •Het Startup-script dat op de computer van toepassing is. •Het Logon-script dat op de gebruiker van toepassing is. Ga dit na.

i Group poticies

43

Een Logon-script maken U maakt als voorbeeld een Logon-script. 8 Selecteer in het venster van afbeelding 1-38 in de tree van de MMC Group Policy Management Editor de container User Configuration\Policies\ Windows Settings\ Scripts (Logon/Logoif). Selecteer Logon in het detailvenster. Open het snelmenu bij het pictogram Logon in het detailvenster. Klik op de optie Properties. Het venster Logon Properties verschijnt (afbeelding 1-39). Bovenin het venster ziet u dat het om Logon-scripts gaat die in het GPO PFBeheerdersGPO zijn gedefinieerd. Het venster is verder dus nog leeg. Logon Properties

X

Script, Powe~ Scrris Logon Saipts for PFBeheerdersGPO

Name

Paramess

To new the script files stored in tNo Groep Pocy Obied. prees the button below. Show Ree...

1 OK

Cuncel

pcI•

Afb. 1-39 Nog geen Logon-scripts in het GPO PFBeheerdersGPO gedefinieerd

Voordat u een script kunt toevoegen, moet u dat hebben geschreven en als een bestand hebben opgeslagen. Dat moet dus eerst gebeuren. 9 Klik op de knop Show Files. Het venster van de map Logon is vanzelfsprekend nog leeg (afbeelding 1-40).

Netwerkbeheer met Windows Server 2019

44

1

-

Logon Share

Home

FiIr

0

>
>Directie

Ni, oottirGo defirred. Usar Corrfiguratoo (Errabled)

Productie Staf

> 2 Verkoop >2Group Policy o

a

Objects

WMI Filters

Windows Setlirsos Sosipis

Starter GPOs

Sites Group Policy Modeling Group Policy Results

For th.. GPO. Script orderi Not corttgsand Pne Wetrorrr vbs

v

Afb. 1-43 De Settings van PFBeheerdersGPQ op de OU PFAfdelingen 17 Actualiseer op DC PFSVi de policies met gpupdate.

Sluit het venster Command Prompt of Windows PowerS heil. De gevoLgen van het inlogscript U bekijkt nu de gevolgen van het instellen van het inlogscript Weikom.vbs. Ook dat is een beleidsregel. 18

Start werkstation PFWSi. Log in als Doortje Heijnen en haal haar desktop voor u. U ziet dat het inlogscript Weikom.vbs is uitgevoerd (afbeelding 1-44).

Welkom op het netwerk van PotiForma BV

Afb. 1-44 Het resultaat van het inlogscript Het inlogscript is op Doortje Heijnen van toepassing. Het user account van Doortje Heijnen is in de OU Productie geplaatst. Dat is een kind-OU van de

i Group policies OU PFAfdelingen. Daaraan is het GPO PFBeheerdersGPO gekoppeld. Door overerven is dat dus ook op de OU Productie van toepassing. Ook het GPO PFGebruikersGPO is op haar van toepassing. Doortje Heijnen zal het Control Panel dus niet kunnen gebruiken. 19

Kijk op de knop OK in venster Windows Script Host. Probeer als Doortje Heijnen een onderdeel van het Control Panel te gebruiken. Dit mag niet kunnen. Log op werkstation PFWSi uit. Log op werkstation PFWSi in als domain Administrator. Geef een verklaring waarom: •het inlogscript Welkom.vbs niet op de domain Administrator van toepassing is; •de domain Administrator het Control Panel wel kan gebruiken.

20

Log op werkstation PFWSi uit. Log op werkstation PFWSi in met het user account van Uzelf Haal uw desktop voor u. Ook voor uzelf ziet u het venster Windows Scripting Host niet in de desktop verschijnen. De policies uit het GPO PFBeheerdersGPO zijn dus niet op uw user account van toepassing. Uw user account is geplaatst in de OU Automatisering. Dat is een kind-OU van de OU PFAfdelingen waaraan het GPO PFBeheerdersGPO is gekoppeld. Waarom wordt dan toch het inlogscript niet op uw user account toegepast? Het antwoord is simpel. U heeft in het voorgaande Block Inheritance ingesteld op de OU Automatisering. Daarmee heeft u het overerven op die OU uitgeschakeld.

21

Log op werkstation PFWSi uit. Enforced

Wat nu als u voor de user accounts uit de OU Automatisering het inlogscript Welkom.vbs toch uitgevoerd wilt hebben? Wat u dan wilt, is dat op de OU Automatisering geen enkel GPO van toepassing is behalve het GPO PFBeheerdersGPO. Die situatie kunt u bereiken door Enforced toe te passen. Als u Enforced instelt op een GPO wordt Block Inheritance door dat GPO genegeerd. Merk op dat u Block Inheritance instelt op een domain of OU en Enforced op een GPO. Nu de uitvoering. 22

Haal op DC PFSVi het venster van afbeelding 1-45 voor u.

47

Netwerkbeheer met Windows Server 2019

48

Deet 2

Group Policy Management File Actioo View Window Help

IIX ,11 Group

Policy Management

Forest PoliFomrelocel

PFBeheerdersGPO Scope Details Setlast, Oetegoliun

Domaino PoliForma.local

Lirdw

Default Dowain Policy

DpIay hds, es tIlt, localion

Domein Controllers

list Iolowesg

t

Founa1ocl

sites. donraaw. and OUs ew ktked 101H, GPO:

PFAfdelingen .FBéheerdersGPO

J

PFGebruikersGPO

NR PFNdergen

Emdomoed

Link Emsotied

Pad,

No

Y.

PetFoma

Administratie >

Automatisering Directie Productie

Secoolly Flltenng

Stel

The onttesge es 1H, GPO cen orsly açtdy to the folowing group,, uw,,. end cumplw,

Verkoop Group Policy Objects

Pulherntcated Uw,,

WMI Filters Starter S POs Sites Group Policy Modoling

-J

Rw,oue

Group Policy Resulls WMI Fllteting Tilt, GPO ie Inkedtothelolnwiog WMlllter

Afb. 1-45 De GPO-informatie van het GPO PFBeheerdersGPO 23 Open in de tree het snelmenu bij het GPO PFBeheerdersGPO.

Kijk op de optie Enforced. Daarmee wordt deze optie voorzien van een vink. In het detailvenster ziet u dat Enforced nu op Yes staat ingesteld. Vergelijk met afbeelding 1-45. 24 Actualiseer op DC PFS Vi de policies met gpupdate.

Bekijk de geërfde GPO's op de OU Automatisering(afbeelding 1-46). U ziet dat de toepassing van het GPO PFBeheerdersGPO wordt afgedwongen(Enforced). Vergelijk met afbeelding 1-37.

i Group policies

49

Group Policy Management

-

0

File Action View Window Help

12 Group Policy Management Forest PoliForw,.tocal Domains PoliForwalocal Default Dowain Policy Dowain Controllers v PFrkfdelingen PFBeheerdemsGPO PFGebruikersGPO j Administratie Automatisering Directie > 91 Productie ) W Staf f Verkoop Group Policy Objects WMI Filters Starter GPOs L Sites Group Policy Modeling Group Policy Results

L Automatisering

X 6 1 X

- -

Linked lGor, PotcyOects Gmore Potcy Wredasce bejegatjon list IS doos oS Imckrdn wnj GPCs h-lmnd to otes. For nwre datark. toe Help.

W

Pmecedece

GPO

1 (Eedoemed) PFDokewdwnGPO

Locatmon

GPO Stoto,

PFNde,gen

Bsakled

> jó

[M

>

, Afb. 1-46 De toepassing van het GPO PFBeheerdersGPO wordt afgedwongen

Nu nog controleren. Het resultaat is voorspelbaar. 25 Log op werkstation PFWSi opnieuw in met het user account van Uzelf.

In afbeelding 1-47 ziet u het beoogde effect. Het GPO PFBeheerdersGPO wordt toegepast, u ziet immers het logon script. Het GPO PFGebruikersGPO wordt niet toegepast, u kunt immers het Control Panel gebruiken.

Netwerkbeheer met Windows Server 2019 Deet 2

50

All Covtrel Panel ltennc Control Panel > All Control Panel Items

0

Adjust your computers settings

EJ AutnPlay

Backop and Restone (Windows?)

13 Color

Credential Manager

Date and Time

rb Defaolt

OM Devkm

Toom

and Printers

File Explorer Options

Management

Device Manager

Programs

F ce of Accent Center

I Disnlao

X

Windows Script Host

Welkom op het netwerk van PoliForma BV

lnfrared

yboard etwork and Sharing Center

Langoage Personalizalion

OK

ewer Options

and Features

116 RemnteApp r

inh Playnr (32-bit) dexing Options

Fonts

já Programs

»

View byr Small kont

Bitlocken Drive Enctyption

29 Adeninistrative

A

Search Control Panel

and Desktop Connections

Secunity and Maintenance

I Sound

Speech Recognition

Storage Spenen

System

Taskbar and Nanigation

Trooblenhooting

User Accounts

Windows Defender

Windows Firewall

Windows Mobility Centen

ai WïndowsTo Go

Sync Center

Work Folders

Afb. 1-47 De toepassing van het GPO PFBeheerdersGPO wordt afgedwongen 26 Sluit op werkstation PFWSi alle vensters.

Sluit werkstation PFWSi af. Consequentie

In de vorige paragraaf heeft u gelezen dat het GPO Default Domain Policy nadrukkelijk bedoeld is voor alle gebruikers zonder enige uitzondering. In uw huidige constructie is dit GPO niet meer van toepassing op de beheerders in de OU Automatisering (afbeelding 1-46). Daarop heeft u immers Block Inheritance ingesteld. Hoe zorgt u ervoor dat het GPO Default Domain Policy wel weer van toepassing is op de beheerders? Juist, door op dat GPO ook Enforced in te stellen. 27 Dwing de toepassing van het GPO Default Domain Policy voor iedereen af door

daarop Enforced in te stellen. Controleer de toepassing van het GPO Default Domain Policy op de OU Automatisering. Vergelijk afbeelding 1-46 met afbeelding 1-48.

i Group poEicies

!g Groep

51

Policy Management

-

0

X

Fik Action View Window Help

I ;mei oIxI1 á III I EM Groep Policy Management Forest PoliForma.local

Automatisering

-

sedoop PokyCkfncte Grose Poky Wrertaece Delegelon

Domains PoliFornra.locat

gd dom not ercirde arry GPøshdsedto des. For mom Mais. cce Help.

Sg Default Domain Policy Domein Controllers PFAfdelingen áä PFBeheerdersGPO

Plncedece

GPO

1 (Vidorned) GeleeD Domain Pok.y 2 (Erdoeced) PFBebeordeesGPO

Locatmon

GPO Stotos

Polfonnalocat

Ecabeld Errebled

PFPidolngen

PFGebroikersGPO Ad rrrinietrat ie Automatisering

aj Directie Prodortie Staf Verkoop Groep Policy Okjeots WMI Filters

> 2 Starter GPOs >

sites Groep Policy Modeling Groep Policy Resolts

Afb. 1-48 Zo is alles weer in orde 28

Sluit de DC's PFS Vi en PFS V2 af.

Inzicht en overzicht

In de practica van dit hoofdstuk heeft u een groot aantal zaken over policies tot u genomen. Uiteraard is inzicht een voorwaarde. Overzicht houden komt echter onmiddellijk daarna. Daarom volgt hier een beschrijving van de situatie die op uw netwerk van PoliForma BV nu van toepassing is. •De standaard GPO's Default Domain Policy en Default Domain Controllers Policy zijn niet gebruikt. De standaardinstellingen daaruit blijven dus ongewijzigd. De toepassing van Default Domain Policy wordt wel afgedwongen. •De domain Administrator is buiten schot gebleven. Het user account daarvan heeft u in AD in de container Users laten zitten. •Het computeraccount PFWSi is ook buiten schot gebleven. Dit computeraccount heeft u in AD in de container Computers laten zitten. Bovendien heeft u nog geen policies onder Computer Configuration ingesteld. •Met twee nieuwe GPO's, Block Inheritance op de OU Automatisering en Enforced op het GPO PFBeheerdersGPO, is ervoor gezorgd dat: - het GPO PFGebruikersGPO gekoppeld aan de OU PFAfdelingen van toepassing is op alle gebruikers exclusief de beheerders uit de OU Automatisering; - het GPO PFBeheerdersGPO ook gekoppeld aan de OU PFAfdelingen van toepassing is op alle gebruikers inclusief de beheerders uit de OU Automatisering. Aan de OU PFAfdelingen zijn nu dus twee GPO's gekoppeld. Dat betekent dat u daarvan de volgorde kunt instellen. Die volgorde is echter niet van belang zolang u maar niet dezelfde policy in beide GPO's instelt.

Netwerkbeheer met Windows Server 2019 Deel 2

52

Wilt u nu in het vervolg van dit boek een policy toepassen dan hoeft u zich alleen maar de vraag stellen 'Op wie moet de policy van toepassing zijn? Het antwoord op die vraag bepaalt of u de policy instelt in het GPO PFGebruikersGPO of PFBeheerdersGPO. Zie de twee gedachtestreepjes hiervoor. De gebruikte namen van de beide GPO'S zullen nu betekenis voor u hebben.

1.4 Policies bij PoliForma BV

In deze paragraaf implementeert u enkele policies voor de gebruikers in het netwerk bij PoliForma BV. Zoals vermeld, bestaan er legio policies in Windows Server 2019.

Opdracht 1.4.1: Groepsbeleid 6o min.

In deze opdracht:

Stelt u policies in voor de gebruikers van het netwerk van PoliForma BV. Voor deze opdracht heeft u nodig:

•De DC's PFSVi en PFSV2 zoals geconfigureerd na het vorige practicum. •Werkstation PFWSi zoals geconfigureerd na het vorige practicum. •Het werkblad bij opdracht 1.4.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 6o minuten. Opdrachtinstructies

In deze opdracht is het de bedoeling dat u voor een paar onderwerpen groepsbeleid implementeert voor de gebruikers van de werkstations in het netwerk bij PoliForma BV. Daarbij gaat u uit van de situatie na het vorige practicum. In het voorgaande heeft u voor de gebruikers exclusief de beheerders de toegang tot het Control Panel verboden. U deed dit om zelf te leren met policies om te gaan. Daarvoor was de policy Prohi bit access to Control Panel and PC settings zeer geschikt. Meestal is dit in de praktijk echter een veel te drastische maatregel. Gebruikers moeten hun muis, toetsenbord, desktop en dergelijke persoonlijk kunnen instellen. Ook is het verstandig dat gebruikers printers en dergelijke apparaten kunnen zien via het Control Panel. Verstandiger is het daarom alleen de risicovolle items uit het Control Panel onzichtbaar te maken voor de gebruikers. Daarom eerst het volgende. i Stel op de gebruikelijke manier in het GPO PFGebruikersGPO de policy Prohi bit access to Control Panel and PC settings in op Not Configured. Verwijder ook het commentaar. Klik op de knoppen Apply en OK.

i Group policies Sluit de MMC Group Policy Management Editor. Actualiseer de policies op DC PFS Vi met gpupdate. Controleer op werkstation PFWSi of gebruiker Niels Smets het Control Panel weer kan gebruiken. Dat moet het geval zijn. Log op werkstation PFWSi daarna uit. 2 Stel vervolgens in het GPO PFGebruikersGPO de policy Hide specfied Control

Panel items in op Enabled. U vindt deze policy in dezelfde container. Vul vervolgens met behulp van de knop Show het venster Show Contents met de volgende onderdelen (afbeelding 1-49):

•Administrative Tools •Device Manager •Network and Sharing Center •Programs and Features •Recovery •System •Windows (Defender) Firewall(afhankelijk van wat er op uw Windows io-versie van toepassing is)

Afb.

Onbruikbaar voor de gebruikers in het Control Panel

3 Klik op de knop OK om het venster Show Contents te sluiten. Vul het tekstvak Comment met: Beperkt het gebruik van het Control Panel. Klik op de knoppen Apply en OK om de policy in te stellen. Sluit het venster van de MMC Group Policy Management Editor. Actualiseer de policies op DC PFS Vi met gpupdate. 4 Log op werkstation PFWSi opnieuw in als Niels Smets. Richt de desktop van Niels Smets in zoals in afbeelding 1-50. Dat moet nu kunnen.

53

Netwerkbeheer met Windows Server 2019

54

Deel 2

Afb. 1-50 De desktop voor een gewone gebruiker

Open tenslotte het Control Panel van Niels Smets(afbeelding 1-51). Eg All

Control Panel Items '

Control Panel > All Control Panel Items

Adjust your computers settings

7b Default Q Done

Backup and Restore (Windows 7) • Credentiol Manager

Programs

Devices and Printers File Eoptorer Options

of Access Center

Flash Player (32-bit)

96 lodeoing

Options

22 Keyboard

d Personalization i Regron

Snardr Control Panel

j BitLocker Drive Eneryption

Cg Date and 91 Display

Time

File History

4HomeGrornp

A Fonts

J11

Internet Options

I Langoage

JD Phone

and Modem

RemoteApp and Desktop Connectiens

Moose Power Options ' Security and Maintenance Storage Spaces

Sound

Speech Renognition

Synn Center

Taskber and Novigation

GR Troobleshooting

Windows Defender

gi Windows Mobility Center

Voer Accounts

jj Windows To Go

O

View byr Smalt icons -

ga AotoPlay Color Management

v Vj

j Work Folders

Afb. 1-51 Het Control Panel voor de gewone gebruiker is zo flexibel instelbaar

U ziet het resultaat. Geen enkel item uit de lijst van afbeelding 1-49 komt nog voor in het Control Panel van Niels Smets. Wilt u later alsnog een item verbergen, dan hoeft u dit alleen maar in de lijst van afbeelding 1-49 toe te voegen. Die lijst kunt u uitbreiden tot er niets meer in het Control Panel te zien is.

i Group poticies 5 Controleer nog met uw eigen user account of de beperkingen die voor Niels

Smets gelden ook voor u als beheerder gelden of juist niet. Nu u zelf. 6 Regel voor gebruikers behalve de beheerders het toepassen van policies voor het Start Menu and Taskbar en de Desktop. Maak zelf een keuze en zorg dat u gebruikers niet al te veel inperkt. 7 Bekijk met uw docent uw uiteindelijke resultaat voor gebruikers en beheerders op werkstation PFWSi. 8 Sluit op alle machines alle vensters. Sluit alle machines geordend af.

1.5 Toepassingen van group policies in een AD domain Inmiddels heeft u zoveel ervaring met Windows Server 2019 en Windows io in een AD domain dat het tijd wordt daarin zelfstandig zaken te gaan regelen. In deze paragraaf krijgt u daarom een aantal opdrachten voorgeschoteld die gaan over enkele toepassingen van groepsbeleid in een AD domain als dat van PoliForma BV. Eerst richt u zich op File Explorer (opdracht 1.5.2). Daarna op de toegang tot het internet via de internetbrowsers Internet Explorer n (opdracht 1.5.3) en Microsoft Edge (opdracht 1.5.4) zoals die in Windows io zijn ingebouwd. Tenslotte concentreert u zich op de Windows Firewall (opdracht 1.5.5) zoals die in Windows 10 is ingebouwd.

Vooraf In de volgende opdrachten gaat u zelfstandig zaken regelen. Enig geëxperimenteer is daarbij vanzelfsprekend. Bij dat experimenteren kan veel goed gaan, echter ook veel fout. Daarom zorgt u eerst voor kopieën van uw virtuele machines.

Opdracht 1.5.1: Vooraf 15 min.

In deze opdracht:

Maakt u reservekopieën van uw virtuele machines. Voor deze opdracht heeft u nodig:

•De bestanden van de virtuele machines PFS Vi, PFS V2 en PFWSi zoals geconfigureerd na de vorige opdracht. •Het werkblad bij opdracht 1.5.1 waarop u het nodige registreert. •Tijd: ± 15 minuten.

55

Netwerkbeheer met Windows Server 2019

56

Deel 2

Opd rachtinstructies

i Zorg dat noch de servers PFSVi en PFS V2 noch werkstation PFWSi draaien. 2

Maak veiligheidskopieën van de bestanden van de virtuele machines zodat u daar zo nodig later op kunt terugvallen.

3

Registreer waar u deze veiligheidskopieën bewaart.

Groepsbeleid ten aanzien van File ExpLorer

Met File Explorer kunnen gebruikers knippen, plakken en kopiëren - het gewone werk. Behalve dat kunnen zij ook schijven formatteren en CD's branden.

Opdracht 1.5.2: Groepsbeleid ten aanzien van File Explorer

Al In deze opdracht: 30 min.

Stelt u policies in voor de gebruikers van het netwerk van PoliForma BV ten aanzien van het gebruik van File Explorer op hun werkstations. Voor deze opdracht heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na de vorige opdracht. •Werkstation PFWSi zoals geconfigureerd na de vorige opdracht. •Het werkblad bij opdracht 1.5.2 waarop u uw werkzaamheden vastlegt. •Tijd: ± 30 minuten. 1

Log via werkstation PFWSi als Doortje Heijnen in op uw netwerk.

2

Start File Explorer op het werkstation.

3 Bekijk File Explorer en bedenk welke mogelijkheden van File Explorer u liever niet door de gebruiker wilt laten gebruiken. 4 Stel vervolgens via de nodige policies in een geschikt GPO die beperkingen in (afbeelding 1-52).

i Group policies

57

Group Policy Management Editor

E

File Action View Help

v j Windows Components

Setting

Add fnatores to Windows 10 Apptcation Compatibility

Prevloos Versions

Attachmeot Manager

2-2

Allom only per usa, or approved Shell eotensinns

AstoPtay Policim Credentiot User Interface

Disabte Koosno Folders

Not configured

Data Collection and Preview Buildo

Display confirmation dialog when deleting files

Not configured

D E Display the mens kar in File Explorer

Desktop Gadgets

Not configured

Desktop Window Manager

Do not olloso Polder Options to be opened from the Opti... Not configured

Digital Ineke,

Do not display the Welcome Center at one, legen jj Do not move deleted files to the Recycle Sin

EdgeUl

Do not request atteroate eredentials File Revosation ME lnstent Search Internet Explorer

EJ

Not configured

j Disabte binding direct, to IPmpestyfletStoragewithout i... Not configurrd

Clood Content

En El

State

21 Common Open File Dielog 2Eoplorec Frame Pane

App runtirne

Location and Sensors Microsoft Edge Microsoft Management Console Microsoft One, Eoperience Virtualioatin

1

Not configured Not configured

Do not track Shell sho,tcots doring —ming

Not configured

] Hide these specified dreces in My Computer

Not configured

j Hides the Manage item on the File Eoploren content menu

Not configuaed

Location where all def ooIt Likrary definition files for oser... Not configured ty Maximum allowed Recycle Sin nee

Not configured

j Maximum numbe, of recent documents

Not configured

) No Computers Neer Me in Network Locationu No Entire Netwerk in Network Locations

£i NetMeeting Network Sharing

Not configured

Not configured Not configured

-! Pin Internet seerch sites to the 5earch aoain links and t... Not confioured \ Extend) Staridord/

47setting(s)

Afb. 1-52 De policies voor File Explorer onder User Configuration Controleer met een geschikt user account. Groepsbeleid ten aanzien van Internet Explorer ii

Bij Windows Server 2019 wordt Internet Explorer li als internet-browser bijgeleverd. In de volgende opdracht regelt u de internettoegang voor de gebruikers van het netwerk van PoliForma BV via Internet Explorer ii op hun werkstations.

Opdracht 1.5.3: Groepsbeleid ten aanzien van Internet Explorer ii 30 min.

In deze opdracht: Stelt u policies in voor de gebruikers van het netwerk van PoliForma BV ten aanzien van het gebruik van Internet Explorer n op hun werkstations. Voor deze opdracht heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na de vorige opdracht. •Werkstation PFWSi zoals geconfigureerd na de vorige opdracht. •Het werkblad bij opdracht 1.5.3 waarop u uw werkzaamheden vastlegt. •Tijd: ±30 minuten. Opdrachtinstructies 1

Verricht even wat voorbereidend werk zodat u kunt controleren of de group policies die u aanbrengt ook daadwerkelijk werken: Gebruik als Doortje Heijnen op het werkstation de recommended settings voor Internet Explorer ii.

Netwerkbeheer met Windows Server 2019 Deel 2

58

•Stel als Doortje Heijnen op het werkstation voor Internet Explorer ii alle security zones in met de default-instellingen en herstart Internet Explorer ii. •Verzorg als Doortje Heijnen op het werkstation in Internet Explorer ii de volgende instellingen. - Schakel het smartscreen-filter voor de security zone Internet uit. - Schakel het XSS-filter voor de security zone Internet uit. •Breng nu in een bestaand GPO, dat geldt voor alle gebruikers behalve de beheerders, policies aan voor Internet Explorer ii op het werkstation. In die policies regelt u het volgende: - Het smartscreen filter voor de security zone Internet moet worden ingeschakeld. - Het XSS-filter voor de security zone Internet moet worden ingeschakeld. •Controleer op het werkstation met het user account van Doortje Heijnen of de policies hun werk correct hebben gedaan en de eerdere instellingen van Doortje Heijnen hebben overschreven. Als dat het geval is werken de policies correct. U kunt dat ook zien aan de melding van afbeelding 1-53 op het tabblad Security (Internet) van het dialoogvenster Internet Options op het werkstation van Doortje Heijnen.

0 Some

settoOs are manaed by your system adnistratar.

Afb. 1-53 Geregeld via groepsbeleid 2

Bedenk nu als beheerder hoe u zou willen dat Internet Explorer 11 door de medewerkers bij PoliForma BV zou moeten worden gebruikt. Welke mogelijkheden en onmogelijkheden er voor die gebruikers zouden moeten zijn. Betrek bij die overwegingen in elk geval de volgende zaken en registreer alle instellingen op het werkblad. •Welke items mogen er in de menu's van Internet Explorer bruikbaar zijn en welke niet? •Welke werkbalken moeten er voor de gebruikers beschikbaar zijn en welke niet? Hoe moeten de werkbalken die voor de gebruikers beschikbaar blijven eruitzien? •Welke mogelijkheden moeten er voor de gebruikers beschikbaar zijn op de beschikbare tabbladen van het dialoogvenster Internet Options en welke niet? •Hoe moet er met de geschiedenis omgegaan worden? •Wilt u de InPrivate Filtering en Tracking Protection ingesteld hebben voor de gebruikers of juist niet? •Mogen gebruikers bestanden vanaf het internet downloaden of niet?

3 Implementeer het door u uitgestippelde beleid ten aanzien van Internet Explorer ii in uw testopstelling. Documenteer alle aangebrachte instellingen nauwkeurig.

i Group policies

Groepsbeleid ten aanzien van Microsoft Edge

In Windows Server 2019 wordt Internet Explorer ii als standaard internet-browser gebruikt. Voor Windows io is dat behalve Internet Explorer ii ook Microsoft Edge. Specifieke Windows io-policies zijn doorgaans niet in de Group Policy Management Editor van Windows Server 2019 opgenomen. Wel is er een administrative template voor beschikbaar. Daarvan verschijnen met enige regelmaat nieuwere versies. In de volgende opdracht installeert u eerst dat administrative template en daarna bepaalt en implementeert u het groepsbeleid ten aanzien van het gebruik van Microsoft Edge bij PoliForma BV.

Opdracht 1.5.4: Groepsbeleid ten aanzien van Microsoft Edge

£ 45 min.

In deze opdracht: Stelt u policies in voor de gebruikers van het netwerk van PoliForma BV ten aanzien van het gebruik van Microsoft Edge.

Voor dit practicum heeft u nodig: •De DC's PFS Vi en PFS V2 zoals geconfigureerd na de vorige opdracht. •Werkstation PFWSi zoals geconfigureerd na de vorige opdracht. •Het werkblad bij opdracht 1.5.4 waarop u uw werkzaamheden vastlegt. •Tijd: ± 45 minuten. Opdrachtinstructies

Op het moment van schrijven van dit boek zijn er in Windows Server 2019 geen policies voor Microsoft Edge beschikbaar. Wat wel beschikbaar is, is een geüpdatet .admx-bestand met policies voor Windows io. Daarin zitten ook policies voor Microsoft Edge. Op de volgende manier installeer je die. i Download de jongste versie van het bestand Administrative (admx) for Windows io Update.msi en plaats dit tijdelijk op de desktop van server PFSVi. 2

Start het .msi-bestand en laat voor iedereen installeren in de map C:\Windows\ SYSVOL\sysvol\PoliForma. local\Policies.

3 Controleer de tijdens de installatie aangemaakte map C: \ Windows\SYSVOL\ sysvol\PoliForma. local\Policies\PolicyDefinitions en de inhoud daarvan. De policies voor Microsoft Edge zijn nu in AD beschikbaar in de Group Policy Management Editor onder: •Computer Configuration Ga daarvoor naar: Computer Configuration\Policies\Administrative Templates\ Windows Components\Microsoft Edge.

59

Deel 2

Netwerkbeheer met Windows Server 2019

6o

• User Configuration Ga daarvoor naar: User Configuration\Policies\Administrative Templates\ Windows Components\Microsoft Edge. J L Groop

-

Policy Management Editor

10

X

Fik Action View Help

21

Fik History

Setting

Find My Desice

2Allow Address bar drop-down list soggestions

Game Eoplorer Handwriting

State

ConfigoreAototill

Not configured

Allow Microsoft Cornpatibility List

Not configured

Allow clearing browsing data on nuit

Not configured

Honrestrosp Internet Explorer

L , Allow configuration updates for the Books Library

'23Internet Information Services - - Location and Sensors Morntenance Scheduler MOM Mnssxging Microsoft Edge Mic,ocoft Fl00 Authentkation liorosoft Snoondary Aothenticotinn Factor - Microsoft User EopenenceVirtuaFczation

Not configored

ConfigureDoNotTrack

Not contigored

1

Not configured

] Configure the Adobe Flash Click-to-Run setting

Not configured Not configured

Allow InPrivote browsing

Not configured

E

Configure Password Manager

Not configured

j

Configure Pop-op Blocker

Not configured

[j Allow Microsoft Edge to pre-launch at Windows st..

Not configured

NetMeeting

Allow pnoting

Not configured

OneDrive

Allow Saving History

Not configured

Allow soarch eogine costomizatinn

Not confugured

Configure search suggestions in Addeens bar

Not configured

Allow Sideloading of eotension

Not configored

OnlineAssistance [ 008E Portable Operating Systern P,rsnntation Settings Porh To lortrIl

T Confiaure Windows Oefende, SrnarlScrean




Afb. 2-2 De machine local groups in het venster Command Prompt 4 Laat het venster Command Prompt op werkstation PFWSi voor u staan. Standaardgroepen in Active Directory

Nu de standaardgroepen in AD. Ook die heeft u in deel i al eens bekeken. 5

Open op DC PFSVi de MMC Active Directory Users and Computers. Open de container Builtin van het domain PoliForma.local. U ziet een aantal standaard ingebouwde domain local security groups (afbeelding 2-3). Deze groepen worden daarom ook wel builtin domain local genoemd. Builtin domain local groups hebben vaak standaard al bepaalde leden. Ze behoren tot de vast ingebouwde groepsstructuur van AD. Daarom kunt u builtin domain local groups: •niet verplaatsen naar een andere container; •niet verwijderen uit de container Builtin; •niet hernoemen; •alleen maar nesten in andere builtin domain local groups.

2 Groepen

71

-

Actrve Directory Users and Corrrpoters File

J

Action

View

Avtkte Oirectery Usars and Computers IPF5V1.PoliFnrrr,e.lnnell Sound Qu ons PoliForma.local Conrputers Domein Controllers ForelgrstacurityPrincipols Maneged Service Accounts PEitfdelingen

-

ucern

0

X

Help

Name Avness Control Ausistonce Operators

Type

Deocrit

Security Group - Domein Local Memb

Account Operators

Security Group- Domein Local Memb

Adrrrinistrators

Security Group - Domein Local Adrnin

Beckup Operators

Security Group - Domein Local Backup

Certificate Service DCOM Accens

Security Group - Domein Local Memb

Cryptographic Operators

Savurity Group- Domein Level Memb

P&Distributed (OM Urern

Senurity Group- Domein Local Memb

Event log Reedes,

Security Droop - Domein Loost Memb

Guents

Security Group - Domein Local Guestu

-per-V Adrninintrators

Security Group - Domein Local Memb

IlSJUSRS

Security Group - Domein Local Ruilt-ir

Innorrring Forest Trust Builden

Security Group - Domein Local Memb

Nntvrork Contiguratinn Operators

Security Group - Domein Local Memb

Performance Log Users

Security Group - Domein Local Memb

Performance Monitor Users

Security Group- Domein Local Memb

Pre-Windows 2000 Compatible Acces Security Group - Domein Local A bank Print Operators

Secority Group - Domein local Memb

RDS Endpoint Servers

Security Group- Domein Local Servers

RDS Management Servers

Secoricy Group - Domein Local Servers

RDS Semote Acte,, Servers

Security Group - Domein Local Servers

Remote Desktop lisers

Security Group - Domein Local Memb

Remote Management Users

Security Group - Domein Local

91 RepScetor Server Operators

98Storage Replica Administrators

Memb

Sevority Group - Domein Local Supprv Security Group - Domein Local

Memb

Security Group - Domein Local

Memb

Terminal Server Linense Servers

Security Group - Domein Local Memb

lJcers

Sec.rity Group - Domein Local Users

Winclnwc Aothnricetion Acne,s Group Security Group - Domein Local Memb

Afb. 2-3 De container Builtin op DC PFSVi Vergelijkt u de vensters van het werkstation (afbeelding 2-1) en een DC (afbeelding 2-3), dan ziet u dat er gelijknamige groepen voorkomen. Bedenk dat de scope van machine local groups beperkt is tot de machine zelf. 6 Open op DC PFS Vi de container Users van het domain PoliForma.local. U ziet dat ook hier automatisch een aantal groepen beschikbaar is (afbeelding 2-4).

Netwerkbeheer met Windows Server 2019 Deel 2

72

El

Active Directory liters ond Computers

File

. v

Aution

View

Help

Aotrue Directory liters end Corepsrtnro [PFSV1.PoliForme.I000li Sound Quennn PeliFornro.locol

:,n

Buiftin otero Domein Controllers ForeignlieoerityPeincipelo 2 Monegnd Geruite Accounts iJ PFAfdelieqen

Type

tirwe

Voer &Admioioteotor AlIowed ROOC Password Repliontion Groep Seoerity Groep - Domein Lood CertPobliohero

Sneerity Groep- Donrein Lood

Clonnebte Domein Controllero

Secerity Groep - Global

Denied ROOC Poesword Repliootion Groep

Seoerity Groep - Deonnin Local

DHCP Adrnieistrotoro

Seoerity Group- Dernorn Local

DI-ICP liters

Seoerity Group - Domein 10001

DnsAdrrrino

Seoerity Groep - Domein Local

DooUpdateProrry

Seoerity Groep - Global

Dorrrein Adonins

Sooerity Groep- Global

Donrain Computers

Security Groep - Global

Don,oin Controllers

Security Greep - Global

DorrrainGenrtu

Sncerity Greep- Global

Domein Voert

Seeurity Greep - Globel

Enterprire Admins

Sneerity Groep - Iinioerrol

Entorprire Key Adroino

Seeerity Group - Universol

Enterproe Read-onty Domein Contretlern

Secerity Group - Universel

Group Policy Creotor Omers

Secerity Group - Global

&G-st

Veer

KeyAdmino

Seuerity Groep - Global

Proteoted Voert

Snoerity Groep - Ginbat

%RAS

end 145 Servers

Reod-onIy Domein Conrrollrrs

Security Groep - Domein Local Snourily Groep - Global

n

Afb. 2-4 De container Users op DC PFSVi In de container Users staan ook groepen die pas in de loop van de tijd worden aangemaakt. Een voorbeeld daarvan is de domain local group DnsAdmins. Die wordt pas aangemaakt als u de server role DNS Server installeert. 7 Voer op DC PFS Vi in het venster Windows PowerShell of Command Prompt het commando netloca/group uit (afbeelding 2-5). Vergelijk met de afbeeldingen 2-3 en 2-4. U ziet de domain local groups uit de containers Builtin en Users bij elkaar.

2

Groepen

Administrator. CAWindows\system3i\cmd.exe Microsoft Windows [Version 10.0.17763.107] (c) 2018 Microsoft Corporation. All rights reserved.

73

-

D

X

19

C:\Users\Administrator>net locaigroup Aliases For \\PFSVI

*Access Control Assistance Operators *Account Operators *Administrators *Allowed ROOC Password Replication Group *Backup Operators *Cert Publishers *Ce.jfjcate Service OCOM Access Cryptographic Operators *Denjed ROOC Password Replication Group *DHCP Administrators • OHCP Users *Oistributed COM Users COnsAdmins *Event Log Readers C6uests *Hyper.V Administrators *II5IUSRS lncoming Forest Trust Builders *Network Configuration Operators *Performance Log Users *Perfoance Monitor Users Pre-Windows 2000 Compatible Access Print Operators *RAS and lAS Servers Pj5 Endpoint Servers CROS Management Servers RDS Remote Access Servers eRemote Desktop Users CRemote Management Users • Replicator *Server Operators *Storage Replica Administrators *Terminal Server License Servers *Users *Windows Authorization Access Group The cominand conpleted successfully.

C: \Users\Administrator>

Afb. 2-5 De domain local groups uit de containers Builtin en Users 8 Voer op DC PFS Vi het commando netgroup uit (afbeelding 2-6). Vergelijk met afbeelding 2-4. U ziet alleen de global en universal groups uit de container Users.

Netwerkbeheer met Windows Server

74

ij Adninitmtoc

C\VAndowyter32\cmd.exe

0

2019

Deel 2

X

Microsoft Windows [Version 18.0.17763.1071 (c) 2018 Microsoft Corporation. All rights reserved. C: \tisers\Administrator>net group Group Accounts for \\PF5V1

C1oneab1e Domain Controllers *DnsupdateProxy Domain Admins Domain Computers *Domain Controllers Domain Guests Domain Users Enterprise Admins Enterprise Key Admins mEnterprise Read-only Domain Controllers Group Policy Creator Owners *Key Admins Protected Users *Read..only Domain Controllers Schema Admins The coimuand completed successfully.

C: \Users\Administrator> v

Afb. 2-6 Alleen de global en universal groups uit de container Users 9 Leg op het werkblad vast welke domain local groups er in het domain PoliForma.local voorkomen. Leg op het werkblad vast welke global en universal groups er in het domain PoliForma. local voorkomen. Sluit op werkstation PFWSi alle vensters. Sluit op de beide DC's alle vensters behalve de Server Manager. Nu dan de bespreking van de belangrijkste standaardgroepen. Administrators en Domain Admins

Leden van de machine local group Administrators hebben volledige controle over de machine. Leden van de builtin domain local group Administrators hebben volledige controle over het domain zelf en alle DC's en werkstations in het domain. Leden van de global group Domain Admins kunnen het eigen domain beheren alsof het domain administrators zijn. Als deze global group is toegevoegd aan de builtin domain local group Administrators in een ander domain van het forest, is beheer ook daar mogelijk. io Open op DC PFSVi het eigenschappenvenster van de builtin domain local group Administrators uit de container Builtin. Haal het tabblad Members voor u (afbeelding 2-7).

2

Groepen

75

Adminiotratoro Propertien Generol

Meerbets

?

X

MemberOf Maoaged By

Members: Name

Acbve Dbedoy Oosten Services Folder

& Mnbnistrator

PoliForma.local/Llsern

S,Dornain Admins

Folirormaiocal/Usern Eraerpnse Mmins FolFomraiocal/Users

Md -.

Remore

C~

OK

Afb. 2-7 De

leden van Administrators

U ziet dat de builtin domain local group Administrators standaard de Administrator als lid bevat. Daarnaast zijn ook de global group Domain Admins en de universal group Enterprise Admins standaard in deze groep geflest. li Haal het tabblad Member Ofvoor u (afbeelding 2-8). Administrators Proporties

?

X

Genera] Merebers MesoberOf Managed By Meerberof: Nar,re

Potiee Obedory [tornen Crneees Folder

Bralter groapo caneot be added to other groups.

OK

Afb. 2-8 Administrators

Cancel

is nergens lid van

U ziet dat de builtin domain local group Administrators zelf van geen enkele groep lid is. Zie ook de opmerking in het dialoogvenster. 12 Sluit het eigenschappenvenster van de builtin domain local group Administra-

tors door op de knop Cancel te klikken.

Netwerkbeheer met Windows Server 2019 Deel 2

76

Open op DC PFSVi het eigenschappenvenster van de global group Domain Admins uit de container Users. Haal het tabblad Members weer voor u (afbeelding 2-9). ?

Domain Adroins Propertios

General

Member,

MermherOf

X

Managed Bp

Mernber,: Name

Âthve Dbectory Domein Sersfcen Folder

& Administrator & Jan Smet,

PcliFonnaJocal/U,er, PoIiFonJocei/PFNdgenfPdonraNsenng

Md..

1

OK

1

Cancel

?pp'

Afb. 2-9 De leden van Domain Admins U ziet dat de Administrator en Uzelf lid zijn van de global group Domain Admins. 3

1

Haal het tabblad Member Of voor u (afbeelding 2-10). Domein Admins Proporties

X

General Membern MereberOf Manoged Bp Memberof: Name

fetive Dfredo,p Domein Ser

M—istrato,

PoljFomra.Iccal;Burftn

Denied RODC Password Repfcation Group PotFonnaJocaVUser,

Add... 11

Rernonej

The int display, onty group, from the current domein and gmups mairrfained in the Global Catatog, noch as univered group,.

OK

]

Cancel

Afb. 2-10 Zelf lid van Administrators

2 Groepen

77

U ziet dat de global group Domain Admins geflest is in de builtin domain local group Administrators. Zie ook afbeelding 2-7 waaruit u dezelfde conclusie kunt trekken. 14

Sluit op DC PFSVi het dialoogvenster Domain Admins Properties door op de knop Cancel te klikken. Open op werkstation PFWSi het eigenschappenvenster van de machine local group Administrators(afbeelding 2-11). ?

Administrators Propertres

X

Generol

ie Deocrrpbon:

Mmoristiators have complete and u,reetatcted acceas to the computer/domain

Meorbers: Mrsirrtstmtor PcGehoakerl POUFORMA\Domaar Admins

Orangesto a use?s group member*p arenotfedivesartgthene4tinrethe uw log s no.

Md

OK

Cancet

lJL Help

j

Afb. 2-11 De global group Domain Admins komt ook op werkstations voor Nu nogmaals Uzelf als gebruiker. In hoofdstuk 9 van deel i is uw user account door de domain Administrator toegevoegd aan de global group Domain Admins (afbeelding 2-9). Dat feit op zich voorziet u van geen enkele faciliteit op DC's. Maar omdat de global group Domain Admins zelf standaard genest is in de builtin domain local group Administrators(afbeeldingen 2-7 en 2-10) voorziet het u via die weg van administrator-bevoegdheden op DC'S. Omdat ook op werkstations de global group Domain Admins geflest is in de machine local group Administrators(afbeelding 2-11) voorziet het u via die weg van administrator-bevoegdheden op de werkstations. Merk nogmaals op dat een in AD opgeslagen domain group dus genest kan zijn in een machine local group. Doorgaans betreft dat dan global groups. Probeer deze constructie alvast te begrijpen en te onthouden. In hoofdstuk 5 wordt er veel uitgebreider op ingegaan als u deze voor de gebruikers gaat toepassen. Wilt u in het algemeen een aantal gebruikers van een faciliteit voorzien dan: •Maakt u eerst een domain local group aan en voorziet u die van de gewenste faciliteit.

Netwerkbeheer met Windows Server

78

2019

Deel 2

•Maakt u een global group aan. Daarin plaatst u de gebruikers die van die faciliteit gebruik moeten kunnen maken. •Voorziet u in de gewenste faciliteit door de global group in de domain local group te nesten. 15

Beschrijf op het werkblad hoe het user account van Uzelf aan administrator~ bevoegdheden komt op DC PFS Vi en werkstation PFWSi. Sluit op werkstation PFWSi het dialoogvenster Administrators Properties door op de knop Cancel te klikken. Users en Domain Users

Ook van de groep Users bestaat een machine local variant en een builtin domain local variant. Verwar overigens de groepen Users niet met de AD-container Users. •Leden van de machine local group Users kunnen een werkstation bedienen, maar bijvoorbeeld geen applicaties installeren of systeeminstellingen wijzigen. •De builtin domain local group Users is de groep die u kunt gebruiken als u echt alle gebruikers van een bepaalde faciliteit wilt voorzien. Leden van de global group Domain Users hebben normaal toegang tot het netwerk via hun werkstations. Het is deze groep waarin standaard de gebruikers worden geplaatst bij het aanmaken daarvan (deel 1 afbeelding 9-42). Probeer bij de volgende opdrachten de hiervoor genoemde constructie te herkennen. 16

Open op DC PFSVi het eigenschappenvenster van de builtin domain local group Users uit de container Builtin. Haal het tabblad Members voor u (afbeelding 2-12). Users Properties t3er,

?

X

Members Me,nberOf Maseged By

Mernbers: Name

t,Aclhenlicated 91Domain Usero tINTERACTIVE

ActIve Dbemory Domaio Seedceo Folder 'Jse,s NTAIJTHORITY

PoliFomiajocal/Users NT AUTHORITY

Remove

Cancel

Afb. 2-12 Leden van Users

Apply

2 Groepen

79

U ziet dat de global group Domain Users en de system groups Authenticated Users en INTERACTIVE geflest zijn in de builtin domain local group Users. 17

Haal het tabblad Member Of voor u (afbeelding 2-13). Users Properties

General Mernbero

? Mernber Of

X

Manaed Bp

Merebero(: N&oe

Active Deectery Domein Serrrces Folder

Brthr ers ~ot be added to other Qroups.

t

Ok

ca1

Afb. 2-13 Users is nergens lid van

U ziet dat de builtin domain local group Users standaard nergens lid van is. Zie ook weer de opmerking in het dialoogvenster. 18 Sluit het eigenschappenvenster van de builtin domain local group Users door op

de knop Cancel te klikken. Open het eigenschappenverister van de global group Domain Users uit de container Users. Haal het tabblad Members voor u (afbeelding 2-14).

Netwerkbeheer met Windows Server 2019

80

?

Domain Users Properties Genend

Mernbms

Menrbercf

Name

X

Managed By

Activa Dhedory Domme Services Folder

Adrnnistrator

PoliFormaincal/Lisern

Daniqoe Voss

PotFoneaocol/PFMd&ingen/af

&Dick Brinkman

PolFoiaiocaIfPFMd&ingee/Dkectie

& & Doortje Heijrren & fons Flipse & Fons Wnllemsen & Henk Pet

PohFoaPFMdelngers/Mn*srate

Ddr Boqert

Deel 2

PohFomaocPFMddingen/Prodrrdie PolFomalocal/FFMdelinqeo/Prodsnctie/Fabncrt"' FoWormalcal/PFPfdelingen/Arlonnatisening PotFonaocd/PFMdekngeofDeedin

Hennan Bom..,

PoFonJocol/PFMd&rngeofProductie

Jan Snete

PotFoonajocd/PFr5ld&rngen/thrtonnatiseeng

Jolanda Bronds PobFoenaJocol/PFMdelrngen/Dnrectle

& Karn Visse kntriqt

Sald..

PolFomnajocd/PFMdefngen/Produolie PolFoneniocal/Unern

Rennrove

OK

Cancel

Afb. 2-14 Leden van Domain Users U ziet dat de in deel 1 aangemaakte gebruikers allen lid zijn van de global group Domain Users. 19

Haal het tabblad Member Of voor u (afbeelding 2-15). .

Dornain Users PropOrties General Membens

1


Account Lockout Policy Local Policies

i Windows

Secunuty Setting - -. -

Policy

Account Policies

Firewall with Advanced Sectifity

Network List Manager Policies Public Key Policies

Enforce password history

24 passwords,rewerobered

Matomuro password age

42 days

jo Minimum

password age

1 days

Minimum password length

7 characters

Password want weet cotoplexity requirewents

Enabled

Store passwords using revernible enctyption

Disabled

TJ Software Restriction Policies j Appllcation Control Policies

> >

-, IP Secority Policies on Local Computer Advanced Audit Policy Configuration

Afb. 3-1 De machine local passwords settings In afbeelding 3-2 ziet u de Password Policy uit het GPO Default Domain Policy. Dat GPO is zoals u weet gekoppeld aan het domain PoliForma.local. U vindt de policy voor wachtwoorden onder Computer Configuration omdat gebruikers uitsluitend via een computer verbinding met het netwerk kunnen maken. -ry

Fdr

-

Pclry Klerogrrrrnt ldrtor

Axtion

View

X

0

Help

4I Default DomainPotioylPFtVl.POUFORMA.LOCAI] Policy ° #p Computer nfigumtion C Polioin Software Sottiegs Windows Settings Now, Resolotion Policy Scripts (Slortup/Shutdown) rnr Onployed Printnrn Snucritybeltingo A000unt Policiro Panoword Policy > S jj Account Lxckout Policy Kerberos Polioy Sj Local Policies Event Log Restnoted Groops t System Services t Rgity tFile Syntorn gf Vitrnd Network hEtE 802.3) Policies Windows Oefenden Fir,woll wifh Advanoed teourity Network tinr Manager Policies r° Wireirs, Network (lEEf 802.111 Policies -- Public Key Policins

Policy

.

Polioytatting

Eoforoe password hintory

24 passwords remewbered

Moorwuw pusnword ago Minimum pasosord age

42 days 1 days

Minimum pasoword length

7 chanecters

Pannword must weet rowpiwity requirewentu Enabled Store parswonds oning revernible eorcryption Dinabled

>la

t

1Password Policy Account Lockout Policy Kerberon Policy Local Policien toont Log

> Za Restncted Groupe ) Syrtero Services > :a Regiutrej > :,a File Syntero Pitred Network (IEEE 802.3) Policien Windows Oefender Firewall w.th Advanced Socority Network Lint Manager Policien VOrelnon Network (IEEE 832.11) Policrer Poblro Key Pohcieo

Afb. 3-3 Alle policies op Not Defined

In afbeelding 3-4 ziet u de Password Policy uit het GPO PFBeheerdersGPO. Ook hier ziet u dat alle policies ingesteld staan op Not Defined. Group Policy Management Editor File Action View Help

PFBeheerdernGPO )PF5V1.POLIFORMA.LOCAL) Policy Computer Configoration Policien Software Setting,

v22 Windows

Policy Setting

Enforce panowoed frintory

Not Defined

~mum password age

Not Defined

'Minimum pansword age

Not Defined

Settings

Scripts Name Renolutron Policy )StartupfShotdown) Deployed Printers Secunty Srttingn Account Policien Pa~ Policy

> 1 Account Loutrout Policy > já Kerberon Policy >

Local Policien

>

Event Log

) Ea Rertricted

Groopo

Syntem Sorrocen

Ca Regintry File Syntem Wired Network (IEEE 802.3) Policien Windows Oefender Firewall with Advooced Secority Network Lint Maoeger Folicien Wirelen, Network (WEE 802.11) Policier Public Key Policier

Afb.

Policy

Alle policies op Not Defined

Minimum password length

Not Defined

Pansword munt meet compleoity requirementu Not Defined Stom panowonds swing reoenoible encmyption

Not Defined

1o6

Netwerkbeheer met Windows Server 2019

Deel 2

Een domain onder Windows Server 2019 Onder Windows 2000 Server en Windows Server 2003 was een domain gedefinieerd als een verzameling netwerkobjecten met één gemeenschappelijk beveiligingsbeleid. Dat beveiligingsbeleid betrof met name de Account Policies. Voor het domain golden de Account Policies ingesteld in het GPO Default Domain Policy. Klaar. Vanaf Windows Server 2008 is de mogelijkheid opgenomen om zogeheten fine-grained passwords toe te passen. Voor een groep gebruikers kunt u daarmee afwijkende password-instellingen definiëren. Daarmee kunt u aan de passwordinstellingen van een groep gebruikers met vergaande mogelijkheden zwaardere eisen stellen. Dat terwijl u de overige gebruikers daarmee niet belast. Om die reden is onder Windows Server 2008 de definitie van een domain ook aangepast. In hoofdstuk 2 van deel i heeft u daarover gelezen. Fine-grained passwords worden in dit boek niet toegepast. In het domain PoliForma.local gelden dus de password-instellingen uit de Account Policies uit het GPO Default Domain Policy. Juist omdat deze later worden toegepast dan de machine local Account Policies zijn ze de effectieve instellingen. De Account Policies uit GPO's gedefinieerd op OU's worden namelijk genegeerd. Standaard staan ze daarom ook ingesteld op Not Defined (afbeeldingen 3-3 en 3-4). Het veranderen van die instelling kan wel, maar heeft geen zin. In afbeelding 3-2 ziet u dat op domain-niveau de Account Policies zijn ondergebracht in drie containers: •Password Policy • Account Lockout Policy •Kerberos Policy Aan elke container wordt een aparte paragraaf besteed. Het doorwerken van de practica is voor u vooral van belang omdat bij inlogproblemen allerlei schermen als reactie kunnen verschijnen. Als u gebeld wordt door een gebruiker omdat deze een inlogprobleem heeft, moet u aan de hand van het reactiescherm kunnen bepalen waar het probleem zit. Veel kans dat u zich daarmee een gang naar de gebruiker bespaart.

3.2 Password Policy In de container Password Policy van het GPO Default Domain Policy treft u beleidsregels aan ten aanzien van het wachtwoord. Via de Password Policy zorgt u ervoor dat gebruikers: •voldoende vaak hun password wijzigen; •hun passwords voldoende variëren; •geen te eenvoudige passwords kunnen gebruiken. In het volgende practicum komt u dit allemaal tegen. Eerst moet er echter wat voorwerk verricht worden.

3 De toegangsbeveiliging tot een netwerk

Practicum 3.2.1: Wachtwoord instellingen 45 min.

In dit practicum: •Verricht u eerst het nodige voorwerk. •Configureert u voor het domain PoliForma.local de password-instellingen. Voor dit practicum heeft u nodig: •De DC's PFSVi en PFS V2 zoals geconfigureerd na het vorige hoofdstuk. •Werkstation PFWSi zoals geconfigureerd na het vorige hoofdstuk. •Het werkblad bij practicum 3.2.1 waarop u de geconfigureerde instellingen vastlegt. •Tijd: ± 45 minuten. Korte practicuminstructies Controleer of op alle gebruikers het GPO Default Domain Policy wordt toegepast.

a Passwords

b Schakel voor Loes Heijnen de optie Password never expires uit. c Stel op DC PFSVi voor alle gebruikers de policy Maximum password age in op 2 dagen. Stel tevens voor alle gebruikers de policy Minimum password age in op o dagen. Actualiseer op DC PFSVi de policies. Log via werkstation PFWSi in als Loes Heijnen (Loe_Hei met password Loe&Hei). Noteer de verschenen schermmelding en de oorzaak daarvan op het werkblad. Verander het wachtwoord van Loes Heijnen in Kk3 en log opnieuw in als Loes Heijnen. Noteer de schermmelding en de oorzaak daarvan op het werkblad. Verander het wachtwoord van Loes Heijnen in K/einkind3 en log opnieuw in als Loes Heijnen. Noteer de schermmelding en de oorzaak daarvan op het werkblad. Sluit werkstation PFWSi af. d Stel op DC PFSVi voor alle gebruikers de policy Enforce password history in 0p2.

Actualiseer op DC PFSVi de policies. Log via werkstation PFWSi in als Loes Heijnen met password Kleinkind3. Verander als Loes Heijnen op werkstation PFWSi het password weer in Loe& Hei en log opnieuw in als Loes Heijnen. Noteer de schermmelding en de oorzaak daarvan op het werkblad.

107

Netwerkbeheer met Windows Server 2019 Deet 2

108

Stel als Loes Heijnen op werkstation PFWSi het password K!eindochter2 in en log opnieuw in als Loes Heijnen. Stel als Loes Heijnen op het werkstation het password Loe& Hei weer in en log opnieuw in als Loes Heijnen. e Stel voor alle gebruikers weer de Password Policy in uit afbeelding 3-2. Schakel werkstation PFWSi uit. Schakel de DC's uit. Gedetailleerde uitwerking van het practicum

Uitgangspunt zijn dus de DC's PFS Vi en PFSV2 en werkstation PFWSi zoals u die heeft geconfigureerd na het vorige hoofdstuk. i Start de DC's PFS Vi en PFSV2 en log daarop in als domain Administrator. Laat werkstation PFWSi uit staan. Voorwerk

Voordat u met de password-instellingen uit het GPO Default Domain Policy kunt experimenteren, moet er wat voorwerk verricht worden. •Op alle gebruikers moet het GPO Default Domain Policy van toepassing zijn. Door het toepassen van Block Inheritance kunt u dat uitgeschakeld hebben laten staan. •Voor de gebruiker waarvan u met de Password Policy gaat experimenteren, mogen de opties User cannot change password en Password never expires niet ingeschakeld staan. 2

Open op DC PFSVi de MMC Group Policy Management. Haal in het detailvenster het tabblad Scope van het GPO Default Domain Policy voor u zoals in afbeelding 3-5.

3 De toegangsbeveiliging tot een netwerk

a

l

109

Group Policy Management

-

0

X

File Action View Window Help

Group Policy Management Forest PoliForrnajocal

Default Domain Policy Scope Details Seeltrçs Oetegthon

Domains PoliFormalocal Default Domain Policy IZ Domain Controllers v

W Default Domain Controllers Policy Z. PFAfdelingen g PFBeheerdersGPO

Unko Srgday link. .rth, ltcutton

PølFo,ma1oc

lbefolownrg utea. domaern. and OUs are hrked to flun GPO Locabon Po&Fu,nraiocal

Ertoeced

U,ds broked

Yen

Vee

g PFGebruikersGPO Administratie Automatisering >

Directie

Secs.ity Filtering

Productie

The etirgn n tien GPO ter oe apply to the folowurg groups. unern. and cooVuilmu

Staf

Name

Verkoop ktlrettcated Unere Group Policy Objects WMI Filters Starter GPOs >

Sites

Md._j 1

Rernooe

Group Policy Mndeling Group Policy Results

Will Altenng

hee GPO

ie hised to the fotowerg WMhfkm.

-

Afb. 3-5 De scope van het GPO Default Domain Policy U ziet dat de toepassing van het GPO Default Domain Policy wordt afgedwongen. Enforced staat ingesteld op Yes. U heeft dit ingesteld in hoofdstuk 1 van dit boek (afbeelding 1-48). 3 Als Enforced bij u niet staat ingesteld, zorg daar dan alsnog voor. Sluit vervolgens het venster van de MMC Group Policy Management. In het vervolg van dit practicum gaat u de password-instellingen in het GPO Default Domain Policy wijzigen. Dat is de centrale plaats waar u dit doet. Telkens bekijkt u dan het effect van die wijzigingen door als Loes Heijnen werkstation PFWSi te gebruiken. Willen de wijzigingen ook werken dan mogen voor het user account van Loes Heijnen de opties User cannot change password en Password never expires niet ingeschakeld staan. Dat komt omdat deze opties voorrang hebben op ingesteld wachtwoordbeleid. Zie de toelichting Passwords onder afbeelding 9-12 van deel i. User cannot change password heeft u niet ingeschakeld,Password never expires echter wel. Die optie schakelt u dus voor Loes Heijnen uit. 4

Klik op het tabblad Account van het eigenschappenvenster van Loes Heijnen de vink voor Password never expires weg (afbeelding 3-6). Het user account van Loes Heijnen is opgenomen in de OU Staf. Klik op de knop Apply. Klik nog op de knop OK. Sluit op DC PFS Vi alle vensters behalve de Server Manager.

Netwerkbeheer met Windows Server 2019

110

?

Loes Heijnen Proporties Drahn

Meerbm0f Geceeul

&oronent

Remote Desktop Seroiceo Profrle Pccorof Pronte Totephones

Remote control Md,ess

Deel 2

X

Seskons COMe Orgarszaton

Userlogon name:

I

'oFonnaJocof

Usertoqon name (om-Werdows 2000): POLIFORMA\

loe—Hei

1

Llog o,T:»:

Fl UrJock account Account options;

E User must change password St neot logon El Usercanrot change passwonl El Password oever eopwes El Stom password using reversible encryption

®

v

— Never

0End of:

Idondag 16

01


Pnuuword Policy Account Lookout Policy Kmbe,oc Policy

> > > )

Local Polkict Event Log Reutricted Groupt Sytt,flt Smmiunu

-

>:g Rngigy t

--

---.---

,

t

Afb. 3-8 Maximaal 2 dagen, minimaal o dagen Nu het effect voor Loes Heijnen. Die heeft uit deel i de user logon name Loe_Hei en het password Loe&Hei. 7 Start werkstation PFWSi en log in als Loes Heijnen met user logon name Loe_Hei en password Loe&Hei. Het gevolg is het venster van afbeelding 3-9. De geldigheidsduur van het wachtwoord is verlopen. Dit is zo omdat het zeker langer dan 2 dagen geleden is dat u het user account van Loes Heijnen heeft aangemaakt. U moet dus een nieuw password invoeren.

Other user ! -- Your pascword kas Oupired and must ho chunged.

Cancel

Afb. -9 De Maximum password age is overschreden 8 Noteer de schermmelding en de oorzaak daarvan op het werkblad. Klik op de knop OK. Het venster voor het wijzigen van het password van Loes Heijnen is verschenen (afbeelding 3-10).

3 De toegangsbeveiliging tot een netwerk

113

Other user

±

Conhini pass:,:] Sign in to: POUFORMA

How do 1 5jan in to another don,arn?

Cancel

Afb. 3-10 Het

wachtwoord wijzigen

Password Length

Naarmate een password korter is, is het eenvoudiger te achterhalen. Een lengte van 5 karakters wordt tegenwoordig als absoluut minimum gezien. De standaardwaarde in Windows Server 2019 is 7 (afbeelding 3-2). U bekijkt nu het reactievenster als een gebruiker een te kort password invoert. 9

Wijzig in de tekstvakken New password en Confirm password het wachtwoord van Loes Heijnen in: Kk3. Log in. De melding van afbeelding 3-11 verschijnt. Het password zelf voldoet niet aan de daaraan gestelde eisen. Dit keer bestaat het maar uit 3 karakters.

Other user Uoable to update the pansword. lire valoe provided tor the new pasoword does not meet lire Iength, coniplesuty, er tristory restuiremeots of lire donnain.

OK

Afb. 3-11 Het nieuw ingevoerde wachtwoord voldoet niet aan 10

de eisen

Noteer de schermmelding en de oorzaak daarvan op het werkblad. Klik op de knop OK. Het venster van afbeelding 3-10 verschijnt. U moet nog steeds het password van Loes Heijnen veranderen omdat de geldigheidsduur daarvan is verstreken.

ii Vul het oude Password van Loes Heijnen in: Loe& Hei. Wijzig in de tekstvakken New password en Confirm password het wachtwoord van Loes Heijnen in: Kleinkind3 Log in.

Netwerkbeheer met Windows Server 2019 Deel 2

114

Het password Kleinkind3 bestaat uit io karakters. Dat is meer dan 7 en dus lang genoeg. Nadat het wachtwoord is veranderd, verschijnt nog het venster van afbeelding 3-12.

Other user Yor.rd

OK

Afb. 3-12 Het wachtwoord is gewijzigd 12

Noteer de schermmelding en de oorzaak daarvan op het werkblad. Kijk nog op de knop OK. Werkstation PFWSi start nu door en komt met het Bureaublad van Loes Heijnen.

13

Sluit werkstation PFWSi op de gebruikelijke manier af. Enforce password history

De bedoeling van deze policy is om te zorgen dat gebruikers het wachtwoord voldoende variëren. Zonder deze voorziening zouden gebruikers met twee wachtwoorden immers hun leven lang vooruit kunnen. 14

Open op DC PFS Vi via het venster van afbeelding 3-2 het eigenschappenvenster van de policy Enforce password history (afbeelding 3-13). Enforce password history Properties

?

X

Security Pobcy Setting Esploe,

2 1

Erorce panword isstory

Ddne this potcy sethr,g Keep ponsword historyfor 24

possosord, rernes,thesed

F Afb. 3-13 De geschiedenis van wachtwoorden

3 De

toegangsbeveiliging tot een netwerk

Met het aantal onder Keep password history for bepaalt u hoeveel van de door de gebruikers toegepaste passwords worden onthouden. Het aantal heeft betrekking op de laatst gebruikte passwords. Deze mogen niet als nieuw password worden hergebruikt. 15

Laat de vink voor Define this policy setting staan. Stel het aantal in op 2. Klik op de knop Apply. Klik op de knop OK. Sluit het venster Group Policy Management Editor. Actualiseer de policies via het commando gpupdate. Sluit daarna het venster Windows PowerShell of Command Prompt. Van Loes Heijnen is het huidige password Kleinkind3. Haar vorige geldige password is Loe&Hei.

16

Start werkstation PFWSi en log in als Loes Heijnen met haar huidige wachtwoord Kleinkind3. Gebruikers kunnen altijd zelf hun password wijzigen. Veronderstel dat Loes Heijnen haar password Loe&Hei terug wil instellen. Dat is haar vorige geldige password en de policy Enforce password history staat nu ingesteld op 2.

17

Druk als Loes Heijnen op werkstation PFWSi op de toetsencombinatie CT RL + ALT + D ELETE.

Het venster van afbeelding 3-14 verschijnt.

Afb. 3-14 Na CTRL+ALT+DELETE 18

Klik op de optie Change a password. Het venster van afbeelding 3-10 verschijnt. Nu met de titel Change a password.

19

Vul het Old password van Loes Heijnen in. Dat is nog steeds Kleinkind3.

115

Netwerkbeheer met Windows Server 2019 Deel 2

116

Vul in de tekstvakken New password en Confirm password het oorspronkelijke wachtwoord van Loes Heijnen in. Dat was Loe&Hei. Log in. Het venster van afbeelding 3-11 verschijnt weer. Dit keer omdat Loes een wachtwoord geprobeerd heeft in te stellen dat tot de twee laatst gebruikte behoort. De policy Enforce password history, ingesteld op 2, verhindert dit nu. zo Noteer de schermmelding en de oorzaak daarvan op het werkblad. Klik vervolgens op de knop OK. Stel op werkstation PFWSi als Loes Heijnen het nieuwe password Kleindochter2 in. Het geldige password is nog steeds Kleinkind3 en het vorige nog steeds Loe&Hei. Log in. Klik nog op de knop OK als het password is gewijzigd. De laatste twee gebruikte wachtwoorden zijn nu Kleindochter2 en Kleinkind3 geworden. De laatste twee mogen niet gebruikt worden omdat Enforce password history nog steeds ingesteld staat op 2. Loes moet dus weer haar oorspronkelijke wachtwoord Loe&Hei in kunnen stellen. 21

Stel op werkstation PFWSi voor Loes Heijnen het password Loe&Hei weer in. Het geldige password is ondertussen Kleindochter2. Schakel daarna werkstation PFWSi uit. Password must meet complexity requirements

Onder Windows Server 2019 staat deze policy standaard ingeschakeld (afbeeldingen 3-2 en 3-15). Als deze policy ingeschakeld staat, moeten passwords bestaan uit een combinatie van hoofd- en kleine letters, cijfers en speciale tekens. Bovendien mogen passwords niet gelijk zijn aan de full name of user logon name. Deze instelling zorgt samen met de standaard wachtwoordlengte van 7 karakters voor redelijk veilige passwords. Zeker als u ook nog Enforce password history op de standaardinstelling van 24 wachtwoorden laat staan.

3 De toegangsbeveiliging tot een netwerk

Password must meet complexity requirements Proporties

117

?

X

Security Policy Setting Loplun

v

Pamwurd eurO meet courpleoty rertsuer000ts

s

Oie tits poticy setting: ® Enabled Q Doasted

1

OK

Cancel

Afb. 3-15 Altijd ingeschakeld laten De originele instellingen

U stelt nu nog de Password Policy in op de originele instellingen. In de praktijk voldoen deze. 22 Neem afbeelding 3-2 voor u.

Stel alle policies uit de Password Policy in op de in afbeelding 3-2 getoonde instellingen. Sluit daarna de beide DC's af. Opmerkingen en good practice ten aanzien van passwords

•In deel i onder afbeelding 9-12 vindt u de nodige aanbevelingen voor uw gebruikers om complexe wachtwoorden te onthouden. •Een van de meest voorkomende taken van beheerders en helpdeskmedewerkers is het resetten van wachtwoorden. Gebruikers bellen u op met de mededeling dat het wachtwoord vergeten is. Zorg er in deze gevallen voor dat u zeker weet dat degene aan de andere kant van de lijn vertrouwd kan worden. Zorg dat u zeker weet dat hij ook degene is die hij zegt te zijn. •Wachtwoordbeleid is niet rechttoe-rechtaan. Als u te veel beperkingen invoert, is het wachtwoord moeilijker te ontcijferen door kwaadwillenden. U bereikt er echter tegelijkertijd ook een omgekeerd effect mee. Stel bijvoorbeeld dat u uw gebruikers om de twee weken dwingt om een complex wachtwoord van minimaal io karakters te verzinnen. Het gevolg zal dan zijn dat 99 van de ioo gebruikers hun wachtwoord op een papiertje onder hun muismat gaan bewaren.

Netwerkbeheer met Windows Server 2019

118

Deel 2

3.3 Account Lockout Policy

De Account Lockout Policy fungeert als inbraakbeveiliging. Bij een inbraakpoging zal iemand herhaald proberen om met een combinatie van user logon name en password toegang tot uw netwerk te krijgen. Via de Account Lockout Policy kunt u na een in te stellen aantal mislukte inlogpogingen het user account automatisch laten blokkeren. U kunt regelen hoe lang het geblokkeerd blijft voordat het automatisch weer wordt vrijgegeven. U kunt het ook handmatig vrijgeven. Met de inbraakbeveiliging probeert u een brute force of een dictionary attack op uw netwerk te voorkomen. Een hacker kan namelijk gebruikmaken van software die voortdurend het hele alfabet of een woordenboek afloopt om daarmee het password van een gebruiker te raden. Disabled of Locked out

Een bestaand user account kan op twee manieren onbruikbaar zijn. Het is belangrijk het verschil goed te begrijpen. Account is disabled Dit is een instelling in de Account options van het betreffende user account (afbeelding 3-16). Loes Heijnen Propernes MembmOf

Ooks

Remote control CSenerd

Eovr,ormerd

Senkons

Remote Desktop Senices Profile Accor,O P,ofiIe Telephones

Ad&ess

;
(

Fik Action View Help

rm

15 n

Delrlt Dorrrain Policy IPFSV1POLIFORMA.LOCAL] Policy u

tPS

Computer Configuration Policies

t2 Software

Settingu

Policy

Policy Setting

Enforce user 1090fl restrictions

Enabled

Maximum Iifetir,,e for service ticket

600 minuten

L9 Maximu m lifetimne lor uv, ticket

10 hoorn

Windows Settings t

En

Name Rmolutron Policy Scripts (Startop/Shutdown)

Maximum lifetime lor user ticket renewal

7 dayx

Maximum tolerance for computer doch synchronization S minutes

Deployed Printers Senurity Settings Account Policies > > t

t t

J J

t

Account Loukout Policy Kerberoc Policy Local Poliues Event Log Restricted Groupu

t t

. Porrword Policy

'a Syntent Services 2

Regintry

Afb. 3-36 De policies uit de Kerberos Policy Enforce user logon restrictions

De eerste policy is Enforce user logon restrictions. Via deze policy stelt u in of de KDC elk verzoek om een session ticket moet afzetten tegenover de gebruikersrechten van de betreffende gebruiker. Gecontroleerd wordt of de gebruiker het recht heeft om op de server in te loggen 6f het toegangsrecht heeft via het netwerk. Bovendien wordt gecontroleerd of het user account nog steeds een geldig user account is. Standaard staat de policy Enforce user logon restrictions ingeschakeld. Ondanks dat een verzoek om een session ticket at te zetten tegenover de gebruikersrechten vertraging oplevert, laat u deze policy ingeschakeld staan. Als u deze policy uitschakelt kan het daarna voorkomen dat er voor een gebruiker een service ticket wordt afgegeven terwijl pas later blijkt dat die gebruiker niet over het juiste toegangsrecht beschikt. Op grond van het laatste wordt de gebruiker dan weliswaar alsnog de toegang ontzegd. U mist echter dan wel de dubbele beveiliging. Gebruikersrechten

Met een gebruikersrecht wordt een mogelijkheid bedoeld waarop de gebruiker aanspraak kan maken zolang dat gebruikersrecht aan hem is toegekend. Een voorbeeld van een gebruikersrecht dat in het volgende hoofdstuk aan de orde komt, is het recht om op een DC te mogen inloggen. Standaard beschikken de domain Administrator en de leden van een aantal groepen over dit recht. In hoofdstuk 1 heeft u dat gelezen. 2

Dubbelklik in het detailvenster op de policy Enforce user logon restrictions. Het bijbehorende eigenschappenvenster verschijnt (afbeelding 3-37).

3 De

toegangsbeveiliging tot een netwerk Enforce user 1090fl restrictions Proporties

135

?

X

Secsuity Policy Sotting BqAan Ertorce user togen ,nstrtions

Define tios pocy setting: tt Ecabled

0Disabled

OK

Afb. 3-37 Enforce user logon restrictions 3 Laat de policy ingeschakeld staan zoals in afbeelding 3-37. Kijk op de knop OK. Maximum Lifetime for service ticket Deze tijd bepaalt hoelang een toegewezen service ticket kan worden gebruikt om de service te benaderen. Uit het voorgaande weet u dat een gebruiker met hetzelfde service ticket verschillende keren toegang tot de betreffende service kan verkrijgen. Na de bedoelde tijd moet er op basis van het user ticket een nieuw service ticket voor de betreffende service worden gegenereerd. Gebruikers die een service gebruiken, hebben van deze tijdslimiet geen last. Een service ticket is er immers alleen maar om toegang tot de betreffende service te verkrijgen. De minimale tijd is io minuten. De maximale tijd wordt bepaald door de setting van de policy Maximum lfetime for user ticket. 4 Dubbelklik in het detailvenster op de policy Maximum lifetime for service ticket. Het eigenschappenvenster van afbeelding 3-38 verschijnt.

Netwerkbeheer met Windows Server 2019 Deel 2

136

?

Maximum lifetinre for service ticket Properkes

)
(

Secruoy Pocy Setting E'qrlr Maurourr rtefete for o,erticket

De.re this pokyset" lidret espees er 10

r.tJ h-

OK

1

Ccd

Afb. 3-39 De levensduur van het TGT 7 Wijzig de tijd onder Ticket expires in in 9 hours. Kijk op de knop Apply. Kijk op de knop OK. Maximum lifetime for user ticket renewal

De tijd bepaalt de periode gedurende welke een bestaand user of service ticket kan worden vernieuwd. Is deze tijd verstreken dan moet er een nieuw ticket bij de KDC worden aangevraagd. In de praktijk is eenmaal per week voldoende. 8 Dubbelklik in het detailvenster op de policy Maximum lfetime for user ticket renewal. Het bijbehorende eigenschappenvenster verschijnt (afbeelding 3-40).

Netwerkbeheer met Windows Server 2019 Deel 2

138

Maximum lifetime for 05cr ticket renewal Properties

X

Securrty Policy Sefting EcyIan

lv

Maxerrurn hfetime for user ticket renewal

Ea Dee tiâs pohcy setting Toket renewad expires in: 7

al

day,

OK

Cancel

Afb. 3-40 Hetzelfde user ticket vernieuwen

9

Stel zo nodig onder Ticket renewal expires in in 7 days. Klik op de knop OK. Maximum tolerance for computer clock synchronization

Om geen hashes in berichten op te hoeven nemen, wordt door Kerberos bij verschillende stappen in de totale toegangsbeveiliging een time stamp gebruikt. In het voorgaande las u hierover. Met deze policy geeft u aan hoe groot het maximale verschil mag zijn tussen de tijden op de network client en de KDC. De standaardwaarde is daarbij s minuten. Voor optimale beveiliging beperkt u deze tijd zoveel mogelijk. U stelt een waarde van 2 minuten in. Voor snelle LAN-verbindingen is dat ruim genoeg. 10

Dubbelklik in het detailvenster op de policy Maximum tolerance for computer clock synchronization. Het bijbehorende eigenschappenvenster verschijnt (afbeelding 3-41).

3 De toegangsbeveiliging tot een netwerk

139

?

Maximum tolerance for computer clock synchronization

X

Sec'utfty Policy Setting Explan Maximum tolemnce for computer doch syncfvxnizutron

Dehm tfas pohey suttirig Maximum tderance. 5

minuten

Ok

Curicnt

Afb. 3-41 Hoeveel de klokken mogen afwijken

ii Stel onder Maximum tolerance in 2 minutes. Kijk op de knop Apply. Klik op de knop OK. 12 Vergelijk de instellingen van de Kerberos Policy met die uit afbeelding 3-42.

Herstel als dat nodig is. Sluit daarna het venster Group Policy Management Editor. -

f Group Policy Management Editor File

Action

4I

View

-mi

0

X

Help

I

Dnfauft Domain Policy IPFSV1.POLIFORMA.lOCALIP;ixiy Computer Conligurit,on

"

Software Settings

Polixy Setting

Policy

i

PoI,xim

Enforce ure, 1090fl rentrictiona

Enabled

~mum Iifetiere for service ticket

540minutes

Maximum lifetime for ure, ticket

9 hoort

-1 Wmdo

u Maxinr ex Irfet m t

1 N n, Eer Scripts (Sta,tup/Shutdown) Deployed Printers Sexurity Settings

JJ Account Policien > > > >, > >

-

Parrword Policy Account 1okout PoIy eeherosPxIixy Local Pnlicim Event Log Rertsicted Grnupr Syntern Servieen

>Regist,y

ticket

ew 1

7 dayr

Maximum tolerance for computer clnxk rynxhrnnnution 2 minuten

v

Afb. 3-42 De gewijzigde Kerberos Policy

Netwerkbeheer met Windows Server 2019

140

13

Deel 2

Actualiseer op DC PFSVi de policies met het commando gpupdate. Sluit daarna het venster Windows PowerS heil of Command Prompt. Controle U controleert nog de werking door op werkstation PFWSi in te loggen als Loes Heijnen en een service te gebruiken.

14

Start werkstation PFWSi. Log in als Loes Heijnen. Maak gebruik van de file service op DC PFSVi door via File Explorer de inhoud van de home directory van Loes Heijnen te bekijken. Een en ander moet foutloos en snel verlopen. Sluit daarna werkstation PFWSi af. Sluit ook de beide DC's af. 2-H3

141

4 Structureel beveiligd netwerkbeheer

4.0 In dit hoofdstuk

2_H4 Het netwerk is de infrastructuur van de informatievoorziening van een organisatie. Voor een Organisatie is het goed beveiligd functioneren van het netwerk dus van levensbelang. Het goed functioneren van het netwerk staat of valt met goed functionerende hardware en gedegen beheer. Beveiliging van het netwerk is daarbij weliswaar van een andere orde, maar minstens even belangrijk. Altijd moet u alle aspecten in uw overwegingen betrekken. Gedegen netwerkbeheer organiseert u door daarin structuur aan te brengen vandaar de titel van dit hoofdstuk. Structureel beveiligd netwerkbeheer is ook nodig omdat u weleens afwezig bent. U bent bijvoorbeeld met vakantie of u volgt een nascholingscursus. Ook tijdens uw afwezigheid moet een gebruiker die bijvoorbeeld zijn password vergeten is vooruit worden geholpen. Goed structureel beveiligd netwerkbeheer kenmerkt zich voornamelijk door continuïteit en eenvoud. Continuïteit is vanzelfsprekend. Eenvoud schept duidelijkheid voor de mensen die het moeten uitvoeren. In eenvoudig georganiseerd en structureel beveiligd netwerkbeheer is geen plaats voor zelf gecreeerde gelegenheidsoplossingen. Ook moet u planmatig te werk gaan. Om dat laatste te kunnen doen, zijn er onder Windows Server 2019 in AD groepen beschikbaar met speciale bevoegdheden. In hoofdstuk 2 van dit deel heeft u over die groepen al het een en ander gelezen. Als u dit hoofdstuk heeft bestudeerd en de practica en opdrachten heeft uitgevoerd, beschikt u over de volgende: A Kennis

•U weet waarvoor gebruikersrechten kunnen worden toegepast (paragraaf4.1). •U kent enkele belangrijke gebruikersrechten en hun gevolgen (paragraaf4.1). •U weet hoe u structureel beveiligd netwerkbeheer planmatig kunt opzetten (paragraaf4.2). •U kent de interne structuur in AD die bedoeld is voor structureel beveiligd netwerkbeheer (paragraaf4.2 en 4.3). •U kent het verschil tussen het disablen en het resetten van een computer account (paragraaf 4.3). •U weet hoe u het user account van de domain Administrator beter kunt beveiligen (paragraaf4.4).

Netwerkbeheer met Windows Server 2019 Deel 2

142

B Vaardigheden

•U kunt de gebruikersrechten Allow log on locally, Access this computer from the network en Allow log on through Remote Desktop Services instellen, afgestemd op de gebruikers en het beheer van uw netwerk (practicum 4.1.1). •U kunt een plan voor structureel beveiligd netwerkbeheer implementeren (practicum 4.2.1). •U kunt een mutatieformulier ontwerpen voor doorgevoerde wijzigingen in uw netwerk (opdracht 4.2.2). •U kunt de gebruikersrechten ten aanzien van het recht Add workstations to domain beperken, rekening houdend met de wijze waarop het beheer structureel is georganiseerd (practicum 4.3.1). •U kunt een computer account disablen en resetten (practicum 4.3.2).

4.1 Gebruikersrechten In het vorige hoofdstuk is een gebruikersrecht gedefinieerd als een mogelijkheid waarop een gebruiker aanspraak kan maken. In het kader van structureel beveiligd netwerkbeheer bekijkt u in deze paragraaf enkele gebruikersrechten die met DC's en AD te maken hebben. Omdat ze specifiek met DC's en AD te maken hebben, zijn de bedoelde gebruikersrechten opgenomen in de Local Policies van het GPO Default Domain Controllers Policy. Dat GPO is, zoals u in hoofdstuk 1 van dit deel heeft gezien, gekoppeld aan de OU Domain Controllers. Verwar het GPO Default Domain Controllers Policy niet met het GPO Default Domain Policy. Het laatste is, zoals u weet, gekoppeld aan het domain zelf en op alle netwerkobjecten daarin van toepassing.

Practicum .i.i: Rechten 30 min.

In dit practicum: •Regelt u wie er via een DC mogen inloggen op het netwerk. •Regelt u wie er DC's via het netwerk mogen benaderen. •Beveiligt u het maken van een remote verbinding beter. Voor dit practicum heeft u nodig: •De DC's PFSVi en PFS V2 zoals geconfigureerd na het vorige hoofdstuk. •Werkstation PFWSi zoals geconfigureerd na het vorige hoofdstuk. •Het werkblad bij practicum 4.1.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 30 minuten. Korte practicuminstructies

a Noteer aan wie het recht Allow log on locally op DC's is toegewezen. Rechten

b Zorg ervoor dat de groep Everyone niet langer over het gebruikersrecht Access this computer from the network beschikt.

4 Structureel

beveiligd netwerkbeheer

143

c Geef Uzelf het recht om via een remote verbinding in te loggen op DC's. Controleer of Uzelf via werkstation PFWSi de remote verbinding met DC PFSVi normaal kunt gebruiken. Stel voor Danique Voss in dat zij vanaf All computers mag inloggen. Geef Danique Voss het recht Allow log on through Remote Desktop Services. Probeer via werkstation PFWSi als Danique Voss remote in te loggen op DCPFSVi. Noteer de foutmelding en de oorzaak daarvan op uw werkblad. Verwijder voor Danique Voss het recht Allow log on locally. Stel voor Danique Voss weer in dat zij uitsluitend via werkstation PFWSi mag inloggen. d Sluit werkstation PFWSi af. Sluit de beide DC's af. Gedetailleerde uitwerking van het practicum

Om te beginnen bekijkt u eerst waar u gebruikersrechten kunt instellen. 1

Zorg dat u via de DC's PFSVi en PFS V2 ingelogd bent als domain Administrator. Start op DC PFSVi de MMC Group Policy Management en vouw in de tree uit zoals in afbeelding 4-1Selecteer in de tree het GPO Default Domain Controllers Policy zoals in afbeelding 4-1. De kenmerken van het GPO Default Domain Controllers Policy ziet u in het detailvenster op het tabblad Scope. E3

Group Policy Management

la

Group Policy Management Forest PoliFormo.local

x er te

File Action View Window Help

Default Domain Controllers Policy Snope Details Snitlirge Delegaoon

v Domains PoliForrna.local Default Donrain Poliny Domain Controllers

Unko 0opiay tanks tr tNo lonalion.

PoiFoonaloc

The lotowerg eten, dnreainn. oud OUr are lorired to tot

GPO

Default Domein Controters Policy PFAfdelingen Group Policy Objects

Lonaton

Erdoeced

Link Enabled

99 Domein CorEroteen

No

Yen

WMI Filters > L Veen

Starter GPOs Socsaity Filtering

jy Group Policy Modeling Group Policy Resuits

Tito rettbrgn n tien GPO east ordy applyto thnfotowreg grootse. meen, and coogruteen: Name Z.ftdhet1icated li-

Afb. 4-1 Het GPO Default Domain Controllers Policy

144

Netwerkbeheer met Windows Server

2019

Deel 2

2 Open in de tree het snelmenu bij het GPO Default Domain Controllers Policy. Kijk op de optie Edit om het GPO Default Domain Controllers Policy te bewerken. Inmiddels is de Group Policy Management Editor op de gebruikelijke manier verschenen. 3 Vouw in de tree uit zoals in afbeelding 4-2(Computer Configuration\Policies\ Windows Settings\Security Settings\Local Policies en selecteer User Rights Assignment). -

Group Policy Management Editor File

Ation

kiem

Help

- --

0

X

-----------

--

iIXEI T Default Domain Controllers Policy (PF5V1.POLIFORMA.LOCAL) Policy

Policy

Computer Configuration

-

Acceso Credential Manager as a trusted caller

Policies

Access this computer from the network

Software Settings kjAct as part of the operatingsystem

WindowsSettings

Addworkstationstodomein

Name Resolutuon Policy

Adjust memory quotas for a peocesu

Scripts(StartcplShotdown)

tAllow lag on ocally

Deploynd Printerss

Mow lag on theuugh Remote Desktop Servicen

SecsintySetting

[Back upfllesanddieevtories

vecu; t Pefleien

Bypass traverse checking Change the tystemtime

A.dit Policy

>

Change the time zone

0 mRsghtsAssigntnent Security Options

) Create a pagefile

Event Leg

Create a teken object

Restricted Groups

2'Create global object

System Services

Create permanent shared object

Registiy

Create uymbolic links

File System

Drbug program,

t Weed Network (IEEE 8023) Policies

e

Windows Dnfender Firewall with Advueced Security

Deny aecess to thin computer from the network

fj Grey lag anus a batch job i Deny lag on as a service ijj Deny log no (ocally

Network List Manager Policies Wirelrss Netwerk (WEE 80211) Policies 1 Public Key Policies

,

(WOeno loo on throuah Remote Denktee Srr.icec



.

Netwerkbeheer met Windows Server 2019 Deel 2

176

Het volgende wizardvenster is Specfy share name. 7 Zorg zo nodig voor de share name AfdelingAdministratie. Vul het tekstvak Share description met: Share op de folder voor de afdeling Administratie. Laat de overige tekstvakken ongemoeid. Klik op de knop Next>. Zorg in het wizardvenster Configure share setting voor geen enkele vink. Klik op de knop Next>. Het volgende wizardvenster is Specfy permissions to control access (afbeelding 5-5). -

New Show Woord

0

X

Specfty permissions to control access Select Prof le Share Location

Pennissions to access the flits on a share are set using a combination of folder pemsissions, share permissions, and, optionatly, a central access policy.

Share Name

Show perrnissione Eve,yone Full Control

Other Settings

Folder perniusionus

FErfltiSSiOflS

Type

Pnncipal

An—

AppliesTo

Confirmation

AOow

BUILTIFAUseen

Special

This folder and subfolde,s

Mow

BUILTIFAUsers

Read & enen,,... This foldec subfolde,s, and file> Full Control

Aflow

CRSATOR OWNER

Allow

NT AUTHORIT'ASYSTEM Full Control

Subfolders and files only This folder, subfolders, and files

All—

BUIL11N\Mmrnistrators Full Control

This folder, subfolders, and files

Alias>

BUIL11FAMn,inistrators Full Control

This folder only

Custornize peenissions... 1

« Prenious

Nest>

Crate

Cancel

Afb. 5-5 Het wizardvenster om permissies in te stellen In deel i Inrichting en beheer op een LAN heeft u dit wizardvenster min of meer voor kennisgeving aangenomen. In dit deel wordt dat anders, want permissies hebben alles met beveiliging te maken. Bestudeer eerst de volgende toelichting. Het is een uitgebreide materie. De toelichting loopt door tot de laatste alinea boven punt 8 van dit practicum op bladzijde 186. Pas daarna herneemt u het practicum. Neem er ruim de tijd voor. Permissies Zoals u in afbeelding 5-5 kunt zien, bestaan er voor volumes en folders twee soorten permissies:

De beveiligde toegang tot netwerkobjecten

177

• NTFS-permissions Deze worden hier Folder permissions genoemd omdat u deze in deze wizard op mapniveau toekent. In afbeelding 5-5 ziet u een tabel met de voorgestelde NTFS-permissies. • Share-permissions In afbeelding 5-5 ziet u boven de tabel dat de share-permissies ingesteld staan op: Everyone Full Control. NTFS-permissions Zoals de naam al zegt, zijn NTFS-permissies toe te passen op NTFS-volumes. Op FAT32-volumes zijn NTFS-permissies niet toe te passen. Een en ander ziet u ook aan het aantal tabbladen van het eigenschappenvenster van een volume. X

PF5V1TEST (Ir) Properties Prevlous Versins Gerreral Tools

Custoodze Hardware

Sharhsg

PF5V1Data (Fr) Properties Shadow Copies Previous Veceoes General Tools Hardware

Quota

Custorrrrze

Sha,ng

Secunty

I•JtoIlt

88119511

Type:

X

Type:

Local Disk

LocaUDisk

Mesyres: NTFS Ne system: FAT32 • used • Free space: Capacity:

24.576 bytes

24,0 KB

0.473.152.512bytes 9,7508 10.473.177.088 bytes

• Used space: • Free space:

682.999.808 bytes

651 MB

104.174.596.096 bytes

97.0GB

Capacy:

104.857.595.904 bytes

97.6 GB

9,7508

0

0

Dok Cleavup

DOve Fr

Copereos this dove to save dok space °0ow fles ce dOs dove to have cooferrts edeved in addton to Iie proyetes

Apçly

Afb. 5-6 Een FAT32-volume

OK

Cancel

Afb. 5-7 Een NTFS-volume

In afbeelding -6 ziet u het eigenschappenvenster van een FAT32-volume. U ziet dat dit 6 tabbladen bevat. In afbeelding 5-7 ziet u het eigenschappenvenster van een NTFS-volume. U ziet dat dit 9 tabbladen bevat. De extra tabbladen Shadow Copies en Quota zijn in deel i Inrichting en beheer op een LAN al aan de orde gekomen. Het andere extra tabblad is het tabblad Security. Het is dit tabblad dat bij NTFS-permissies een hoofdrol speelt.

Netwerkbeheer met Windows Server 2019 Deel 2

178

X

PFSV1 Data (F:) Propertios Shadow Copies General

Prenious Version,

Tools

Hardware

Quota Shanng

Custorr.ze Security

X

PF5V1 Data (F:) Propeaties Prevloos Veritons

Shadow Copie, General

Teols

Hardware

Quota Slioifrrg

F.\

Object name:

Object name:

&oop orus& nanies :

Groop or usrenrenes:

ga Ene,yone

st Everyone

&CREATOR OWNER 2&SYSTEM £&Mmuostraton (POLIFORMA\Mmiciotrators) Users (POLIFORMA\Uoers)

*SYSTEM ,dm:notrators POLIFOR11AAdrninistratorxj

2&CREATOR OWNER

Users POUFORMA\User,)

To change pemrinicons. dick Edo.

To change perreissions. dok Edo.

Pemdsbons lor Usees Fdi control

Peesussions lor Mmirsstralorc Fot control

'how

Deny

mockfy Read & execute

Modn'y

Ustfootercontents

list fotderconterts

Read

Read

Edit... PJlow

Witte

Witte

Special peneinsions

Special perminsions

Carscel

Afb. 5-8 Een deel van de ACL

Mvanced

-

Deny

0

'1

Read &execute

For special pemsisoonsoradvaiced settngs. dick Muanced

Customize SecurttY

For special pemossions or advanced SetttflcS. dok Mvanced

OK

1

,tdvanced

Carcel

Afb. 5-9 Een ander deel van de ACL

In afbeelding 5-8 ziet u het tabblad Security zoals dat standaard wordt ingesteld voor een nieuw volume. In afbeelding 5-8 ziet n de NTFS-permissies die zijn toegekend aan leden van de builtin domain local group Users. De NTFS-permissies die zijn toegekend, zijn voorzien van een vink in de kolom Allow. Over de NTFS-permissies zelf direct meer. Wat u in afbeelding 5-8 ziet, is het deel van de ACL behorende bij het netwerkobject PFSViData (F:) dat van toepassing is op de domain local group Users. Voor de leesbaarheid is de SID vervangen door de naam van het in dit geval group account. In afbeelding 5-9 ziet u het deel voor de builtin domain local group Administrators uit dezelfde ACL. U ziet dat er andere NTFS-permissies aan zijn toegekend dan aan de builtin domain local group Users. Als u op het tabblad Security van afbeelding 5-8 of 5-9 onder de lijst Group or user names op de knop Edit kijkt, krijgt u een venster als dat van afbeelding 5-10 voor u.

5

De beveiligde toegang tot netwerkobjecten 7 Permiosjons

for PF5V1 Data (F:)

X

Seou Object name: Group orosnrones: á& Everyone MCREATOR OWNER

B& SYSTEM £&Mministrators (POLIFORMA'mctrotoro) IJsers POLIFORr.lA'Usersj

1 Pennirolons for Usees

Pow

0 0 E1 2

RA c~ Moctfy Read f execute Ladfoldercontents Read

OK

Grey E] 0 0 0 0

Cancel

Afb. 5-10 Een bewerkbare ACL Via dit venster kunt u de ACL van het netwerkobject bewerken (toevoegen, verwijderen of wijzigen). De geselecteerde groep of gebruiker in de lijst Group or user names bepaalt welk deel van de ACL u bewerkt. Via de vinkvakjes Allow en Deny in de onderste lijst met NTFS-permissies stelt u de gewenste NTFS-permissies voor de geselecteerde groep of gebruiker in. Daarbij heeft u drie mogelijkheden. U plaatst een vink in de kolom Allow. PJow

[i1

Deny

0

Het mag. Daarmee kent u de betreffende NTFS-permissie hier toe. U plaatst geen vink. jlow

0

Grey 0

Het mag niet. Daarmee kent u de betreffende NTFS-permissie hier niet toe, maar weigert u deze ook niet expliciet. Voorbeeld In de ACL van een map plaatst u voor de groep Directie een vink in de kolom Allow bij de NTFS-permissie Full control. In dezelfde ACL plaatst u voor de groep Verkoop geen enkele vink. Het resultaat is dan het volgende: - Is een gebruiker alleen lid van de groep Directie dan geldt de NTFS-permissie Full control. - Is een gebruiker alleen lid van de groep Verkoop dan is er geen toegang. - Is een gebruiker lid van de groep Directie en van de groep Verkoop dan geldt de NTFS-permissie Full control.

179

Netwerkbeheer met Windows Server 2019 Deel 2

180

U plaatst een vink in de kolom Deny. Pow

Deny

D

Het mag nooit. Daarmee weigert u de betreffende NTFS-permissie onder alle omstandigheden. Deny heeft dus voorrang op Allow. Voorbeeld In de ACL van een map plaatst u voor de groep Directie een vink in de kolom Allow bij de NTFS-permissie Full control. In dezelfde ACL plaatst u voor de groep Verkoop een vink in de kolom Deny bij de NTFS-permissie Full control. Het resultaat is dan het volgende: - Is een gebruiker alleen lid van de groep Directie dan geldt de NTFS-permissie Full control. - Is een gebruiker alleen lid van de groep Verkoop dan is er geen toegang. - Is een gebruiker lid van de groep Directie en van de groep Verkoop dan is er geen toegang, ondanks het lidmaatschap van de groep Directie. Deny heeft immers voorrang. NTFS-permissies en elementaire machtigingen Met de in de lijsten van de afbeeldingen 5-8 en 5-9 getoonde NTFS-permissies kunt u in de dagelijkse praktijk meestal uit de voeten. De getoonde NTFS-permissies worden ook wel sjablonen genoemd. Zij bestaan uit een vastomlijnd aantal elementaire machtigingen - precies zoals een straat bestaat uit huizen of een molecuul bestaat uit atomen. Voor speciale gevallen kunt u ook alleen maar elementaire machtigingen instellen en dus niet gebruikmaken van een van de NTFS-permissies (sjablonen). Voor de groepen Everyone en Users (afbeelding 5-8)is dat standaard al gebeurd. Bij die groepen is de NTFS-permissie Special permissions voorzien van een grijze vink in de kolom Allow. Alles wat afwijkt van een NTFS-permissie (sjabloon) wordt Special permissions genoemd. Om goed inzicht te krijgen in wat de NTFS-permissies in de lijst precies betekenen, eerst die elementaire machtigingen. Als u in het venster van afbeelding 5-8 of5-9 op de knop Advanced klikt, krijgt u het venster van afbeelding 5-11 voor u. In afbeelding 5-11 ziet u op het tabblad Permissions de ACL van het netwerkobject PFSViData (F:) op een volledige manier. U ziet nu alle AGE'S uit de ACL. Nogmaals: een ACL is een tabel en een ACE is een regel uit die tabel. Een van de AGE'S voor de groep Users is geselecteerd. Die ACE levert op het volume F. de NTFS-permissie Users Allow:Read & execute.

5 De beveiligde toegang tot netwerkobjecten

181

fidvanced Security Settings for PFSV1 Data (Fr)

Na—

FA

Ownerr.

SYSTEM qyCh.n9c

Pnrrnissions

Aoditing

0

X

Elf ective Acoens

Fa oddifional ioforrrsatio1h double-click a perarrission entry. To rnodify a pnrrnission ootry, select tbc entry and click Edit (if availabk). Permission entrien Type

Prindpal

Accens

Inherited from

Allow

Administrators (POUFORMA\...

Fuif control

None

This folder, subfolders end files

SYSTEM

Full control

None

This folder, subfoldero and files

Allow

CREATOR OWNER

Folf control

None

Subfolders and files orrly

Alla,

Urrrs :PCLIFORf,tA\Usnrs)

Read & ececute

Ncrrn

Th„ fcIdcr rc fc!dorc crd les

*Allow *Allow

Usurs (POLIFORMA\Users)

Create folders/ appen...

None

This folder and subfolders

&

Ç! Allow

Applies to

Users(POLIFORMA\lisers)

Create film / write data

None

Sobfoldersonly

Allow

Everyono

Read & noecute

None

This folder only

AddJ

[Removej

Edit

D Replace all child object perneissiun entries with inheritable pernsission eetries from this object 1

OK1 :çnc;

Afb. 5-11 De advanced security settings Als u in de lijst Permission entries in de kolom Principal een gebruiker of groep selecteert zoals in afbeelding 5-11 en op de knop Edit kijkt, krijgt u een ander venster voor u met daarin de betreffende NTFS-permissie (afbeelding 5-12). Perrrrinsion Entry for PF5V1Drto(h)

Prnrpat

lisrr, (POLlFOR14A\Osarsl telerS prirrpc

Type.

0110,,

Applirr 1.. ThiloIdr, oubfoldrrr ard tilrs

Brec peneissises

tno,, adcarrcnd pnrnicccc.

0Foli control JModay

21 Road&nasrste Lig fsldrroonrenrs toad EJWsre Sproral perrnictions Only eppr these prrrrrisriors ro objects ard/or conto ons sif in strO cnrra,r,rr

AddasnnditinrlohnoarrrrsTheprinripoloillbagrantrdrhPeefiedPannisdonssnh'fsnndihonreeret. 0/da rccd OOc

l.ol

Afb. 5-12 De NTFS-permissie Users Allow:Read & execute op het volume F. Kijkt u in dat venster op de link Show advanced permissions dan krijgt u het venster met de bijbehorende elementaire machtigingen voor u. In afbeelding 5-13 ziet u dat voor dezelfde ACE. De link Show advanced permissions is dan veranderd in Show basicpermissions.

Netwerkbeheer met Windows Server 2019 Deel 2

182

0

Peomiteon EnPy for PF5V1OCt (Tij

Prinoipit:

Toen (POLITORMAWoero) Select pr,no:poI

Type

AIIO

X

Apphen to Thofoldor s,bfoide,% end frien

Shon boon pen000ono

Adoncedpennioeiono

0Poll control Ea TrevefoIden/e000tefile el Iref foldeo/ reed data

o Delete

BRaad etibote,

o

Reed entended ettnboteo

DWoiteettoibteo Witte entendedottribotee

Reed peronionrone

DCrete fiten/oorite data

0Change pecnmnreiono

OCrente foldeon/ epperd dam

Dïekeowneoohip

Only opp, thee peonn:ooiono to obje nond/or oonteineoc wphir th„ corteinee

Add a oondrtion to limit attent. The prino:pal ooli be granted the epecitied permiosiono only if oonditiont are met.

Âdd e oondnion

OK

1

Afb. 5-13 De elementaire machtigingen Achter Principal ziet u de groep of gebruiker die u in het venster van afbeelding 5-11 heeft geselecteerd. Met de link Select a principal kunt u een ander account selecteren. In de keuzelijst Type kunt u Allow of Deny selecteren. In het tekstvak Applies to ziet u de scope, de reikwijdte. Misschien heeft u gemerkt dat de groep Users in afbeelding s-ii in drie ACE'S wordt getoond, elke keer met een andere vermelding in de kolom Applies to. Dit komt omdat de scopes van de drie NTFS-permissies van elkaar afwijken. In de lijst onder Advanced permissions in afbeelding 5-13 ziet u de elementaire machtigingen waaruit de NTFS-permissie Allow Read & execute voor de group Users in dit geval is opgebouwd. In tabel 5-1 ziet u welke mogelijkheden de elementaire machtigingen geven. Zoals u in tabel 5-1 ziet, zijn er bij elke elementaire machtiging twee niveaus: folder en file. Dat is logisch want een folder wordt gebruikt om files in op te slaan. Door middel van de scope valt te regelen of iets betrekking heeft op alleen folder- of file-niveau of combinaties daarvan.

5 De beveiligde toegang tot netwerkobjecten

Elementaire machtiging

Mogelijkheden

Traverse folder/execute file

Traverse folder geldt alleen voor mappen. Als u een programma uitvoert dat bestanden aanroept in submappen waar u geen toegang toe heeft, zorgt deze machtiging dat de betreffende bestanden toch benaderd kunnen worden. Execute file geldt alleen voor bestanden. Deze permissie zorgt dat u uitvoerbare bestanden (programma's) kunt starten.

List folder /read data

List folder geldt alleen voor mappen. U kunt er de map- en bestandsnamen binnen de map mee zien. Read data geldt alleen voor bestanden. U kunt er de inhoud van een bestand mee bekijken.

Read attributes

U kunt er de attributen van mappen of bestanden mee bekijken (Read-only, Hidden en dergelijke).

Read extended attributes

U kunt er de Extended attributes mee bekijken. Extended attributes worden toegekend door een toepassing. Microsoft Word kent er bijvoorbeeld verschillende toe zoals Titel, Auteur en dergelijke.

Create files /write data

Met Create files kunt u nieuwe bestanden in de map aanbrengen. Met Write data kunt u gegevens in een bestand wijzigen, overschrijven of verwijderen. Gegevens toevoegen aan het einde van een bestand kan niet.

Create folders/append data

Met Create folders kunt u mappen in de map aanmaken. Met Append data kunt u gegevens aan het einde van een bestand toevoegen. Gegevens wijzigen kan niet.

Write attributes

Hiermee kunt u bestandskenmerken als Read-only, Hidden en dergelijke wijzigen.

Write extended attributes

Hiermee kunt u de Extended attributes wijzigen.

Delete subfolders and files

Hiermee kunt u de inhoud (submappen en bestanden) van de map verwijderen. Dit kan ook als u niet beschikt over de permissie Delete.

Delete

Hiermee kunt u een map of bestand zelf verwijderen uit een map. Op de map zelf moet u over de machtiging Delete subfolders and files beschikken.

Read permissions

Hiermee kunt u de NTFS-permissies voor een map of bestand weergeven. U kunt deze niet wijzigen.

Change permissions

Hiermee kunt u de NTFS-permissies wijzigen.

Take ownership

Hiermee kunt u het eigenaarschap van een map of bestand overnemen. Zie Ownership (Eigenaarschap) verderop.

Tabel 5-1 Elementaire machtigingen De NTFS-permissies (sjablonen) zijn dus samengesteld uit elementaire machtigingen. In tabel 5-2 ziet u het verband. De kolom List folder contents geldt uiteraard alleen voor mappen.

183

Deel 2

Full control

CZ

execute

List folder contents

Netwerkbeheer met Windows Server 2019

184

x

x

x

x

x

x

x

x

x

Read attributes

x

x

x

x

x

Read extended attributes

x

x

x

Traverse folder/execute file List folder/read data

x

x

x

x

x

Create folders lappend data

x

x

x

Write attributes

x

x

x

Write extended attributes

x

x

x

x

x

x

x

Create files / write data

Delete sub folders and files

X

Delete Read permissions

x

x

x

x

Change permissions

x

Take ownership

X

Tabel 5-2 NTFS-permissies zijn opgebouwd uit elementaire machtigingen Kenmerken van NTFS-permissies Bij het toepassen van NTFS-permissies moet u verder nog rekening houden met de volgende kenmerken: •Vaak is in ACL's van netwerkobjecten een ACE opgenomen voor SYSTEM. Met SYTEM wordt het systeem bedoeld. Op servers is dat dus Windows Server 2019. •In de AGL van een volume, map of bestand is automatisch een ACE opgenomen voor de system group CREATOR OWNER met NTFS-permissie Special permissions. Deze system group wordt door Windows Server 2019 gebruikt om automatisch speciale elementaire machtigingen toe te kennen aan de gebruiker die de map of het bestand aanmaakt. De gebruiker die de map of het bestand aanmaakt wordt de Owner (eigenaar) daarvan genoemd. Over het eigenaarschap straks meer. •In de lijst met elementaire machtigingen zijn er enkele die op mappen en bestanden werken. Een voorbeeld daarvan is Traverse folder / execute file. Als deze aan een map wordt toegekend geldt Traverse folder voor de map en Execute file voor de bestanden in die map. •Voor dezelfde map of bestand kan een gebruiker verschillende NTFS-permissies krijgen, bijvoorbeeld als gebruiker en als lid van één of meer groepen. Is dit het geval dan werken NTFS-permissies cumulatief: u moet de NTFS-permissies dan 'optellen' De meest uitgebreide telt en wordt de effectieve NTFS-permissie genoemd. De Deny-permissie heeft echter altijd voorrang op de Allow-permissie. •Als u voor een groep andere NTFS-permissies instelt, werken deze meteen door. De gebruikers uit de groep hoeven er niet opnieuw voor in te loggen.

5 De

beveiligde toegang tot netwerkobjecten

185

Als u echter een gebruiker toevoegt aan een groep werken de voor die groep geldende NTFS-permissies niet meteen door voor de toegevoegde gebruiker. Daarvoor moet de toegevoegde gebruiker eerst opnieuw inloggen. Standaard staat inheritance(overerven) ingeschakeld. In een directorystructuur heeft met uitzondering van de root van het volume elke map een parent(ouder). Dat is de map of de root van het volume, waarin deze zelf is geplaatst. In afbeelding 5-11 ziet u het venster Advanced Security Settings for PFSViData (F:). Dat heeft betrekking op de root van volume F:. Inheritance is daarbij niet aan de orde omdat de root van een volume geen parent heeft. Daarom staat er telkens None in de kolom Inherited from. In afbeelding 5-14 ziet u hetzelfde venster van de map F:\ UserFolders. Zoals u weet is die gedeeld onder de naam UserFolders (afbeelding 5-3). .j Advanced Security Setting, for UserFolders

-

Na..

F:\U,erFolderu

Ownor

Aderiniutrotor, (POUFORMA\Adrnini,trntor,) 19Change

Pernri,,inn,

Share

Auditing

0

)
Ei o Ei Computers o oti Doworn Controllers oEi ForeignSecurityPnnvipalu Maneged ServiveAmvouets PFitfdelingen Aderinitaotl >Aatowice otneg Directie Productie Staf t £ Verkoop o Ei Unero

Ei Sved

0

X

Help

Name

Type

Adwnrntrrtie

Denonption

Sncorrty Group - Global

Global group voor de old,

User

Boekhouder

___________________________________________________________

SDirk

Boged

T_ÂfdeingAdwinGratie Sevurity Group - Dornoin Level Toegangsgroep tot de aIr

Afb. 5-35 Gepubliceerd in de bijbehorende OU Dirk Bogert moet nu de afdelingsfolder kunnen gebruiken. 26 Log op werkstation PFWSi opnieuw in als Dirk Bogert.

Netwerkbeheer met Windows Server 2019 Deel 2

202

Controleer in File Explorer met de optie Network of Dirk Bogert toegang heeft tot de share AfdelingAdministratie. Dat mag geen probleem meer zijn. Maak als Dirk Bogert op werkstation PFWSi een Rich Text Document aan met een willekeurige inhoud. Bewaar dit document onder de naam Test.rtf in de afdelingsfolder van de afdeling Administratie op DC PFSVi. Sluit werkstation PFWSi af. Sluit ook de beide DC's af. Good practice

•Een goede beveiliging kenmerkt zich door zoveel mogelijk barrières. Via NTFSen share-permissies beschikt u over een dubbele beveiliging, de een uitgebreider dan de ander, maar toch. Het is verstandig die dubbele beveiliging ook toe te passen. •Het maken van domain local toegangsgroepen wordt vaak als omslachtig ervaren. Voor het beheer levert het echter, naast overzichtelijkheid, enorme voordelen op. Komt er bijvoorbeeld op een afdeling een nieuwe collega werken, dan maakt u daarvoor in de juiste OU een user account aan en plaatst u dat in de juiste afdelingsgroep. Daarmee is gelijk de beveiligde toegang tot de afdelingsfolder geregeld. De beveiigingsstructuur is zo afhankelijk gemaakt van de organisatiestructuur. Een ander groot voordeel zit in het feit dat u er ook global en universal groups uit andere domains in op kunt nemen. Vooral na overnames en fusies ervaart u dan de voordelen. AGDLP

Het hiervoor gehanteerde principe wordt vaak de AGDLP-strategie genoemd. AGDLP moet u in een netwerk met één domain als volgt lezen: Accounts plaatsen in een Global group, deze plaatsen in een Domain Local group en daaraan Permissies toekennen op shared resources. Het eigenaarschap

In het voorgaande heeft u al gelezen dat degene die een file of folder aanmaakt op een NTFS-volume daarvan automatisch de eigenaar(owner) is. De eigenaar beschikt daarop standaard over de NTFS-permissie Allow:Full control. Als eigenaar kunt u dus anderen machtigingen op dat object toekennen, ongeacht voor u eventueel geldende Deny-instellingen. Bent u eigenaar van een object dan kunt u dat eigenaarschap aan niemand anders opdringen. Als een ander daartoe gemachtigd is via de elementaire machtiging Take Ownership kan die het eigenaarschap wel overnemen. Leden van de groep Administrators kunnen altijd het eigenaarschap overnemen. Veel objecten worden door het systeem aangemaakt. Daarvan wordt het eigenaarschap toegewezen aan de builtin domain local group Administrators.

5 De beveiLigde toegang tot netwerkobjecten

Practicum 5.2.2: Owner

/),~\ k 30

min.

In dit practicum: •Bekijkt u het eigenaarschap van een bestand. •Bekijkt u wanneer en hoe u het eigenaarschap kunt overnemen. Voor dit practicum heeft u nodig: •De DC'S PFSVi en PFSV2 zoals geïnstalleerd en geconfigureerd na het vorige practicum. •Werkstation PFWSi zoals geïnstalleerd en geconfigureerd na het vorige practicum. •Het werkblad bij practicum 5.2.2 waarop u uw werkzaamheden vastlegt. •Tijd: ±30 minuten. Korte practicuminstructies

a Voeg als gebruiker Teus de Jong een regel toe aan het bestand F:\AfdelingsFolders\AfdelingAdministratie\Test.rtfop DC PFSVi. Dat bestand is daar door Dirk Bogert neergezet. Bewaar het gewijzigde bestand op dezelfde plaats. b Probeer als Teus de Jong het eigenaarschap van het bestand F:\AfdelingsFolders\ AfdelingAdministratie\Test.rtf op DC PFSVi over te nemen. Noteer op het werkblad de foutmelding die het gevolg is van die poging. c Neem als domain Administrator het eigenaarschap van het bestand F:\AfdelingsFolders\AfdelingAdministratie\ Test. rtf op DC PFSVi over. Noteer op het werkblad de waarschuwing die u hierbij krijgt. d Sluit werkstation PFWSi en de beide DC's af. Gedetailleerde uitwerking van het practicum

U bekijkt het eigenaarschap aan de hand van het bestand Test.rtf. Dat bestand is door Dirk Bogert in de afdelingsfolder van de afdeling Administratie geplaatst. 1

Start de beide DC's en log daarop in als domain Administrator. In punt 26 van het vorige practicum heeft Dirk Bogert het bestand Test. rtf in de afdelingsfolder van de afdeling Administratie geschreven. Daardoor is Dirk Bogert de eigenaar van dat bestand. U probeert nu als Teus de Jong dit bestand te bewerken.

2

Start werkstation PFWSi en log daarop in als Teus de Jong. Gebruik op werkstation PFWSi File Explorer en open het bestand Test. rtf uit de share AfdelingAdministratie op DC PFSVi.

203

Netwerkbeheer met Windows Server 2019

204

Deel 2

Voeg onder de tekst een regeltje toe, bewaar het gewijzigde bestand en sluit daarna WordPad. Laat de inhoud van de share AfdelingAdministratie voor u staan. Teus de Jong kan het bestand normaal gebruiken. Het is goed om na te gaan waarom dat zo is. Het user account van Teus de Jong is opgenomen in de OU Directie en lid van de global group Directie. Teus de Jong is echter ook lid van de global group Administratie. Dat group account is opgenomen in de OU Administratie. Die global group Administratie heeft u in punt 24 van het vorige practicum lid gemaakt van de domain local group T_AfdelingAdministratie. Voor die toegangsgroep is op de folder F. \AfdelingsFolders\AfdelingAdministratie op DC PFS Vi de NTFS-permissie Allow:Modfy van kracht. Het bestand Test.rtf heeft diezelfde NTFS-permissie geërfd toen het door Dirk Bogert in die map werd weggeschreven. Bovendien is op de share AfdelingAdministratie voor de toegangsgroep de share-permissie Allow:Change van toepassing. Beide beveiligingsbarrières zijn dus voor Teus de Jong geen probleem. U bekijkt of Teus de Jong het eigenaarschap kan overnemen. 3 Open op werkstation PFWSi als Teus de Jong het eigenschappenvenster van het bestand Test. rtf Haal het tabblad Security voor u (afbeelding 5-36). ' Test Propert,es Genen

Security

Object name:

X Oetas

Previous Vemrons

\\PFSV1\NdebngAdcteistrotie\Testjtf

Group oruwnames: £&SYSTEM & Dirk Bogert (Dü...Bog€PotEomroloccl) T_NdetngMmirristratie (POLIFORMA\T_PdetlngMrniraro. MMrehstrators (POLIFORMA'Adnroaatrotors)

M

To change permisarons. cBde Ectt. Peeor000ns for Dirk Bogert

Edit Plow

Deny

Full control Morky Raad kexecute Read

1

Wnte Spemal peentssioos For special peerossions or advanced ssitsigs. ctck Myanced.

OK

Cancd

Afb. 5-36 De NTFS-permissies op het bestand

5

De beveiligde toegang tot netwerkobjecten

205

Merk op dat Dirk Bogert in de lijst Group or user names apart voorkomt. Dit is zo omdat deze de eigenaar van het bestand is en er daarom de NTFS-permissie Allow:Full control op heeft (afbeelding 5-36). 4 Kijk op de knop Advanced. Haai van het verschenen diaioogvenster Advanced Security Settings for Test zo nodig het tabblad Perrnissions voor u (afbeelding 5-37). Advanced Security Settings forTest

0

Na—

\\PFWl\AfdnliogAdroinctrotie\Toct.rtf

Ownnc

Dirk Bogn,t (Dir_Bog©PoliFornro.locol) Change

Pernri,oionn

Share

Anditing

X

EifoctiveAcco

For a dditi000l inforrotjon double-click a pernriunion ontry. To orodify a perroirrion ontry, select thn nntry and click Edit (if ovoiloblo). Fermissioo entries Accec,

Type

Principol

Alk-

Ad,nini,trators (POLlFORMA\Adniniutrotorn) Fuif control

loherited fronr \\PFSV1\AfdelinqAdnrioirtrrtie\

& &

Allow

T,AfdnlingAdrnini,tratie (POLIFORMA\T_Af... Modify

Allow

Dirk Bogert ([email protected])

Fuif control

\\PFSV1\AfdelingAdoriniotrotie\

£

All—

SYSTEM

Fuif control

\\PFSVlWdelingAdn,initratie\

\PFSVl\AfdeliogAdrninirtratie\

Add Disable inheritancn

OK

Afb.

Het eigenaarschap

U ziet linksboven in het venster dat Dirk Bogert nog steeds de eigenaar is. Door het openen, aanpassen en wegschrijven van het bestand door Teus de Jong heeft de laatste dus niet het eigenaarschap verkregen. Omdat u ingelogd bent als Teus de Jong kan deze proberen het eigenaarschap naar zich toe te halen. 5 Klik op de link Change in de regel Owner. Change

Daarop verschijnt het bekende venster om een gebruiker te selecteren. 6 Selecteer op de gebruikelijke manier het user account van Teus de Jong. Kijk op de knop Apply. Daarop verschijnt de foutmelding van afbeelding 5-38.

Netwerkbeheer met Windows Server 2019

206

Deel 2

X

Windows Security

Unable to set new owner on Test. Access is denied.

OK

Afb. 5-38 Niet dus Teus de Jong beschikt over NTFS-permissie Allow:Modfy op het bestand. Dat is echter niet voldoende om het eigenaarschap over te nemen. In tabel 5-2 ziet u immers dat de elementaire machtiging Take Ownership niet in de NTFS-permissie Modify is opgenomen. 7 Klik op de knop OK in de foutmelding. Sluit op werkstation PFWSi zoveel mogelijk vensters met de knop Cancel. Sluit ook alle overige vensters. Sluit werkstation PFWSi af. U neemt vervolgens als domain Administrator het eigenaarschap over. Dat kan altijd, ongeacht de voor de domain Administrator geldende NTFS-instellingen. Hierdoor bent u als domain Administrator altijd in staat om de NTFS-permissies op een file of folder te wijzigen. Nadat u het eigenaarschap heeft overgenomen, beschikt u immers altijd over de elementaire machtiging Change permissions op het betreffende object. Zie daarvoor tabel 5-2. 8 Haal op DC PFS Vi via File Explorer het eigenschappenvenster van het bestand F:\AfdelingsFolders\AfdelingAdministratie\Tést.rtfvoor u. Haal het tabblad Security voor u. Klik op de knop Advanced. Het venster van afbeelding 5-37 staat voor u, nu echter op DC PFSVi. 9 Neem nu als domain Administrator op dezelfde manier als hiervoor het eigenaarschap over. Klik nog op de knop Apply. Nu verschijnt de waarschuwing van afbeelding 5-39. Windows Security

X

you have just taken ownership of this object, you will need to close and reopen this objects properties before you can view or change permissions.

O1

[

Afb. 5-39 Waarschuwing

OK

5 De beveiligde toegang tot netwerkobjecten

207

Voordat u gebruik kunt maken van de mogelijkheid om als nieuwe eigenaar de NTFS-permissies op het bestand te wijzigen, moet u het eigenschappenvenster eerst sluiten en daarna opnieuw openen. '0

Klik op de knop OK in de waarschuwing. In het dialoogvenster Advanced Security Settings for Test ziet u vervolgens dat de domain Administrator de nieuwe eigenaar is geworden (afbeelding 5-40). Advonced Secority Settingo for Tent

E

Name

Fr\AfdelingnFolderAAfdebngÂdministrotje\Tentrtf

Ownec

Adrninintrotor (POLIFORMA\Adrnini,trator) Change

Pernrinnionn

Share

Auditiog

For odditionol int orrnotion, double-dick

X

EffoctiveAccens

permission entry. To nnodify

perrniusion coPy, select the entry ond dick Edit (tE avoiloble).

Permission entrien

M

Type

Principol

Allow

Adndnintrotors (POLIFORMA\Admninistrotomn) Full control

F.\AfdelingsFolders\AfdelingAdmninistmotie\

T_Af dol ingAdrninintrotie (POLIFORMA\T..Af... Modify

FAfdelingsFolderuWdelingAdnitnistmotie\

&% Allow

Accens

Inherited trom

&

Allow

Dirk Bogert (Dir_BoglAPoliFormalocol)

Full control

Parent Object

IL

Allow

SYSTEM

Full control

Fr\AfdelingsFolders\AtdelingAdministrotie\

Add Dicabir inhrritoncr

OK

r

Cancel

j

ppfy:

Afb. 5-40 U heeft het eigenaarschap naar de domain Administrator toe gehaald Merk overigens op dat Dirk Bogert blijft beschikken over de NTFS-permissie Allow:Full control op het bestand Test.rtf. Hij kan echter op werkstation PFWSi het eigenaarschap niet meer naar zich toehalen. De share-permissie Allow:Change op de share AfdelingAdministratie verhindert dat. Share-permissie Allow:Change is immers vergelijkbaar met NTFS-permissie Allow:Modfy (tabel 5-3). Share- en NTFS-permissies conflicteren dus in dit geval en dan geldt de meest beperkende. Effectief geldt dus voor Dirk Bogert NTFS-permissie Allow:Modfy en daartoe behoort de elementaire machtiging Take Ownership niet (tabel 5-2). ii Sluit op DC PFSVi alle vensters op de gebruikelijke manier. Sluit de beide DC's af.

208

Netwerkbeheer met Windows Server 2019 Deel 2

Good practice bij het gebruik van share- en NTFS-permissies

In het voorgaande heeft u share- en NTFS-permissies leren kennen en die u eigen gemaakt. U deed dat op een volume waarop slechts enkele mappen voorkwamen. In de mappen kwam tijdelijk her en der maar een enkel testbestand voor. U zult gemerkt hebben dat u voortdurend moet opletten om de draad niet kwijt te raken - terwijl het werken met die permissies op zich niet ingewikkeld is. Hier krijgt u enkele handreikingen hoe u met deze problematiek kunt omgaan. •Gebruik op datavolumes eenvoudige doorzichtige folderstructuren met een duidelijke naamgeving. Dat vereenvoudigt het troubleshooten. •Breng shares aan op doordachte punten in de folderstructuur. Hanteer doorzichtige share-namen. Als u een map deelt en de map- en share-naam verschillen, bouwt u een onduidelijkheid in. •Gebruik voor elke share zoveel mogelijk slechts één domain local toegangsgroep. Plaats gebruikers of gebruikersgroepen die toegang tot de share moeten hebben in de toegangsgroep. Ken aan de toegangsgroep de maximaal nodige share-permissie toe. Bedenk dat op datavolumes gebruikers zelden meer nodig hebben dan de share-permissie Change. Te ruime share-permissies zorgen voor een te ruim filter. Een te ruim filter betekent onnodig veel inperken met NTFS-permissies. •Deel liever te weinig permissies uit dan te veel. Als u te weinig permissies uitdeelt, is het gevolg meestal een telefoontje van een geïrriteerde gebruiker die uw dikke huid op de proef stelt. Als u echter te veel permissies uitdeelt, is de kans groot dat u er pas achter komt als het te laat is. Weinig gebruikers zullen u opbellen met de mededeling dat zij iets ingezien hebben dat niet voor hun ogen bestemd was. •Schakel bij voorkeur op elke nieuwe share het overerven uit. Begin dus op elke share opnieuw met het toekennen van NTFS-permissies. Leer uzelf aan om dit direct na het aanmaken van de share te doen en niet pas als er al structuren zijn aangebracht. Dan heeft het overerven immers al plaatsgevonden. •Wees binnen shares op map- en bestandsniveau zo zuinig mogelijk met het toekennen van NTFS-permissies. Als het mogelijk is, ken ze dan alleen op mapniveau toe. Voor de meeste bestanden die door verschillende gebruikers worden gebruikt, is Read & execute en Write vaak al voldoende. Modfy is dat zeker. Bevat een map uitsluitend zulke bestanden, ken die NTFS-permissies dan op de map toe. •Gebruik bij het toekennen zoveel mogelijk groepen. Vermijd als het kan het toekennen aan afzonderlijke gebruikers. •Ken NTFS-permissies precies toe. Als een gebruiker een bestand niet mag inzien, waarom zou deze het dan wel mogen verwijderen? •Pas in extreem uitzonderlijke situaties slechts het onthouden van NTFS-permissies toe met Deny. Door Allow niet te voorzien van een vink kent u de permissie ook niet toe. Dat is weliswaar anders dan Deny voorzien van een vink, maar meestal is het voldoende.

5 De beveiligde toegang tot netwerkobjecten

•Hiervoor al vermeld, maar toch: als u op al uw shares de share-permissie Everyone Allow:Full control laat staan, heeft u nooit een conflict met NTFSpermissies. Voor de toegang regelt u dan alles via één instrument: de NTFSpermissies. U weet echter ook dat de groep Everyone betrokken kan zijn bij NTFS-permissies. U weet ook hoe gevaarlijk vooral de groep Everyone kan zijn. De keuze is aan u. Het is alleen belangrijk dat u zich de draagwijdte van uw keuze goed realiseert. •U bent verantwoordelijk voor de beveiliging. Zorg dat u niet verantwoordelijk gehouden kunt worden voor het kwijtraken van mappen of bestanden. •Snuffel als domain Administrator niet in de data van gebruikers. Verschaf de domain Administrator of de groep Administrators dus geen toegang tot zaken waar u niets te zoeken heeft. In bijzondere gevallen kunt u als domain Administrator altijd het ownership overnemen. In testopstellingen is het juist handig de domain Administrator overal van de share-permissie Allow:Full control en NTFS-permissie Allow:Full control te voorzien. Vandaar dat u dit in dit hoofdstuk ook heeft gedaan. •En als laatste: u kunt onmogelijk alles onthouden, dus documenteer zorgvuldig. Kopiëren en verplaatsen

Gebruikers kopiëren en verplaatsen mappen met hun inhoud en bestanden van mappen naar mappen, soms ook nog van het ene volume naar het andere als hen dat is toegestaan. In het kader van share- en NTFS-permissies is dit gebonden aan regels. •Om mappen of bestanden te kunnen kopiëren en verplaatsen moet u voldoende machtigingen hebben. Bedenk bijvoorbeeld dat kopiëren en verplaatsen betekent dat in de doelmap geschreven wordt. Het verplaatsen houdt ook het verwijderen van het origineel in. •Bij kopiëren en/of verplaatsen naar een FAT32-volume vervallen alle NTFS-permissies: op FAT32-volumes bestaan die niet. •Bij kopiëren naar hetzelfde of een ander NTFS-volume vervallen voor de kopieën alle machtigingen. De gekopieerde mappen met hun inhoud en de gekopieerde bestanden erven de machtigingen van de map waarin zij terechtkomen. •Bij het verplaatsen van mappen en bestanden geldt: - Bij verplaatsen naar een andere plaats op hetzelfde NTFS-volume blijven de machtigingen behouden, onafhankelijk van de machtigingen op de map waarin zij terechtkomen. - Bij verplaatsen naar een ander NTFS-volume vervallen alle machtigingen. De verplaatste mappen met hun inhoud en de verplaatste bestanden erven de machtigingen van de map waarin zij terechtkomen. Van gekopieerde of verplaatste bestanden wordt de gebruiker die het kopiëren • of verplaatsen uitvoerde de eigenaar, behalve bij verplaatsen op hetzelfde volume.

209

Netwerkbeheer met Windows Server 2019

210

DeeL

2

DeLen op FAT32-volumes

Op FAT32-volumes zijn NTFS-permissies niet beschikbaar, wel share-permissies. Uit beveiligingsoverwegingen moet u dus een heel goede reden hebben om FAT32-volumes te gebruiken. Niettemin kunt u ermee te maken krijgen. Het delen van een folder op een file server heeft u in het voorgaande steeds gedaan via de New Share Wizard. Die startte u vanuit de Server Manager. Deze wizard werkt echter alleen op NTFS-volumes. Als u deze start en naar een folder op een FAT32-volume verwijst, krijgt u de foutmelding van afbeelding 5-41 voorgeschoteld. Het delen van mappen op FAT32-volumes gaat verder op dezelfde manier als in Windows io. U zou dat moeten kunnen. The specified path does not inctude a valid drive letter.

Afb. 5-41

De wizard

werkt alleen op NTFS-volumes

Opdracht 5.2.3: Afdelingsmappen delen 6o min,

In de volgende opdracht is het aan u om afdelingsmappen voor de overige afdelingen aan te maken en te delen. In deze opdracht:

•Maakt u afdelingsmappen aan voor de overige afdelingen bij PoliForma BV. •Deelt en beveiligt u deze afdelingsmappen volgens het ADGLP-principe. Voor deze opdracht heeft u nodig:

•De DC's PFSVi en PFS V2 zoals geconfigureerd na het vorige practicum. •Werkstation PFWSi zoals werkend na het vorige practicum. •Het werkblad bij opdracht 5.2.3 om uw werkzaamheden te documenteren. •Tijd: ± 6o minuten. Opdrachtinstructies 1

Breng op DC PFSVi voor elke afdeling een afdelingsmap aan in de map F:\AfdelingsFolders. Hanteer gelijksoortige naamgeving en omschrijvingen. De map voor de onderafdeling Fabricage is daarbij een submap van de map F:\AfdelingsFolders\AfdelingProductie.

2

Pas per afdelingsmap het AGDLP-principe toe voor een gecontroleerde en beveiligde toegang. Hanteer daarbij gelijksoortige namen, omschrijvingen, NTFSen share-permissies.

3 Publiceer de gemaakte shares in de overeenkomstige OU's en hanteer daarbij gelijksoortige namen en omschrijvingen. 4 Bedenk dat alle alarmbellen afgaan als gebruikers hun bestanden niet kunnen gebruiken. Test daarom elke constructie via werkstation PFWSi afzonderlijk met behulp van een toepasselijke gebruiker en een testbestand. Verwijder na het testen dat testbestand weer.

De beveiligde toegang tot netwerkobjecten

5 Sluit als alles correct werkt werkstation PFWSi en de beide DC's gecontroleerd af.

5.3 Gebruikersgemak

Een van uw taken is om ervoor te zorgen dat gebruikers vlot en eenvoudig op hun werkstations hun werk kunnen doen. Het telkens via de optie Network uit File Explorer hun afdelingsfolder moeten opsporen en openen hoort daar dus niet bij. De afdelingsfolder(s) bevat(ten) bestanden die gebruikers het meeste bewerken. Via File Explorer moeten die afdelingsfolders dus snel en eenvoudig bereikbaar zijn. Er zijn verschillende manieren waarop u de bedoelde bereikbaarheid kunt realiseren. Vroeger werd dit gedaan door per gebruiker een persoonlijk inlogscript te laten uitvoeren. In een .bat-bestand werd met behulp van het commando Net.exe de drive mapping ingesteld. Dat bestand werd opgeslagen in de share NETLOGON. Vervolgens werd er op het tabblad Profile van een user account in het tekstvak Logon script naar dat.bat-bestand verwezen. In Windows Server 2019 kunt u de bovenstaande methode nog steeds gebruiken. Vanaf Windows Server 2008 kunt u dit echter ook regelen via voorkeurinstellingen in een GPO of via een DFS Namespace. Het is de laatste manier die u in het volgende practicum toepast. Om die DFS Namespace bij de gebruikers zichtbaar te krijgen, past u een voorkeurinstelling in een passend GPO toe. Zo heeft u dan de beide moderne manieren een keer uitgewerkt. DFS Namespaces DFS (Distributed File System) is een dienst die beschikbaar is in een Windows Server 2019-netwerk. Die dienst bestaat uit twee onderdelen. •Met DFS Replication kunt u mappen en bestanden repliceren. Daarmee kunt u een vorm van fouttolerantie creëren. Bestandsreplicatie komt later in paragraaf 5.4 van dit hoofdstuk aan de orde. •Met DFS Namespaces kunt u naamruimtes inrichten. Een naamruimte is in DFS een share van shares. In een naamruimte kan DFS de shares die voor de gebruikers belangrijk zijn bij elkaar brengen. Het resultaat is voor gebruikers buitengewoon doorzichtig. Dat komt omdat de verschillende shares als een directory-structuur aan de gebruikers worden gepresenteerd. De shares die in de naamruimte worden opgenomen, kunnen shares zijn op elke willekeurige computer uit het netwerk. Voor de beveiliging wordt teruggevallen op de ingestelde share- en NTFS-permissies. Dat laatste heeft u voor de afdelingen bij PoliForma BV hiervoor al correct geregeld.

Zoals vermeld is een naamruimte een share van shares. De hoofdingang van een namespace op de harde schijf wordt de DFS Root van die naamruimte genoemd. U gaat nu verder met het maken en inrichten van een naamruimte voor de shares die op het netwerk van PoliForma BV voor de gebruikers straks van belang zijn. Daarbij zorgt u tevens weer voor fouttolerantie.

211

Netwerkbeheer met Windows Server 2019 Deel 2

212

Practicum 5.3.1: Namespace 45 min.

In dit practicum: •Installeert u de role service DFS Namespaces op DC PFSV2. •Voegt u een naamruimte toe waarin u later de voor de gebruikers belangrijke shares onderbrengt. •Maakt u de namespace fouttollerant door een andere server als namespace server toe te voegen. •Voegt u de share op de afdelingsfolder voor de afdeling Administratie als folder target toe in de namespace. •Stelt u de namespace ter beschikking aan de gebruikers. •Beveiligt u de aangemaakte drive mapping naar de DFS Root van de namespace tegen (per ongeluk) verwijderen. Voor dit practicum heeft ii nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na de vorige opdracht. •Werkstation PFWSi zoals werkend na de vorige opdracht. •Het werkblad bij practicum 5.3.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 45 minuten. Korte practicuminstructies

Gemak

Een toelichting op de nodige begrippen vindt u in de gedetailleerde practicumuitwerking. a Installeer - dit keer als eerste op DC PFSV2 - de role service DFS Namespaces uit de server role File and Storage Services en herstart DC PFSV2. b Maak op DC PFSV2 een DFS namespace aan met de volgende kenmerken: •De namespace wordt gehost op DC PFSV2. •De naam van de namespace wordt: PoliForma. •Het Local path laat u ongemoeid. •De share-permissies op het Local path van de namespace zijn Administrators full access en de overige gebruikers read-only. •De naamruimte wordt van het type domain-based alleen in de Windows Server 2019-mode. c Controleer of na de installatie de map C:\DFSRoots\PoliForma bestaat en een gedeelde map is. Vervang op de share PoliForma de share-permissie Everyone Allow:Read door Authenticated Users Allow:Read. d Voeg DC PFSVi als extra namespace server toe zodat de naamruimte fouttolerant wordt. Controleer of ook op DC PFSVi de DFS Root een gedeelde map is en wijzig de share-permissie Everyone Allow:Read in Authenticated Users Allow:Read.

De beveiligde toegang tot netwerkobjecten

213

e Voeg de share op de afdelingsfolder van de afdeling Administratie toe als folder target in de namespace. f Stel via een voorkeurinstelling in een GPO, dat voor alle gebruikers en beheerders van toepassing is, de namespace onder de driveletter Y: ter beschikking aan de gebruikers. g Test op werkstation als Dirk Bogert de beschikbaarheid van de namespace en de toegang tot zijn afdelingsfolder. Doe nogmaals dezelfde test maar dan als Madelief Smets. Maak als Teus de Jong de afdelingsfolder leeg. h Schakel de policy in die het onmogelijk maakt om drive mappings aan te maken of te verbreken, in een GPO dat op alle gebruikers behalve de beheerders van toepassing is. Test als Loes Heijnen via het werkstation. i

Sluit het werkstation en de beide DC's af.

Gedetailleerde uitwerking van het practicum

i Start de beide DC's en log op beide in als domain Administrator. De role service DFS Namespaces toevoegen

Om gebruik te kunnen maken van namespaces moet u natuurlijk eerst de betreffende role service installeren. U doet dat dit keer op DC PFSV2. 2 Installeer de role service DFS Namespaces op DC PFSV2. De role service DFS Namespaces is een onderdeel van de server role File and Storage Services. Laat gelijk ook de bijbehorende beheertool DFS Management installeren. 3 Herstart DC PFSV2,log weer in als domain Administrator en controleer met tool DFS Management het resultaat op DC PFSV2 (afbeelding 5-42). DES Fl1. Attion Vtiw Window Help

]HEM DES Mnqon,ent

t

Raplitation

Getting Started , Usa ttat tat to wotit a,d mittoge Lto,tn1ad F. StOn DES n,awooanit,d

ttiioatgoWis.

DES Mooag,,o.ntTaokt Pubhth Dato to Multiple Sa,v,,t odel, sorowo arpen- to t mille tr,,dtoldew To Doof, a,eosapaos to wake do, dtotde,,I000ted 0 , itweaao,ed.dytith,todenwmoknttoo, ,oabteto 0,50,0 ,wrti, ootoi000.toa DFS ttepioakoetokpep fIre 0,0,0 ,pdoor.red no ,ndodo nov,,, Collevt Otto to, Bookup Purpovet Ds, DFS R,çioolionto retiotie data t,,,, a te,verin abrond, otto, to t onvere, omA tito, redofa totierfo, badvitpo,po,ao. You van o naiypdddrttte 000,0i,annrereaoetoeoo.ethti b,nod, rOei, al vonodtothobraoott s,roerorfaiooerfo atod, snvo,idretanodr ,wo,,lntaravtidde. Manege Nam,spaceo and Replivation Groups Manot, ,oitoirg 000nsaaoe, and r,pioolion gotres by adoftg the,,, to tt,e waroot, tinotay

a

Add ne,o,spao,tn tispfay_

Itust,ation of t Naoroopaoe Ittoot,ati,n of t Raptoatioo Group

Afb. 5-42 Het installatieresultaat

ik

Mdtepitatmon ~ to

Netwerkbeheer met Windows Server 2019 Deet 2

214

Een namespace toevoegen

Nu dan een naamruimte toevoegen. 4 Selecteer in de tree van de beheertool DFS Management de container Namespaces. Open het snelmenu bi) de container Namespaces en klik op de optie New Namespace. Om te beginnen moet u aangeven welke server de nieuwe namespace gaat hosten. Daarom verschijnt het venster Namespace Server van de New Namespace Wizard (afbeelding 5-43). -

New Namespace Wizard

0

X

Namespace Server Steps:

Enterthe name of the server that wil host the namespace. The server you opecdy wil be koown as the namespace server.

Namespace Server

Namespace Name and Settings Server: Namespace Type

11

Berwse...

Review Settings and Create Namespace Corôsnation

Cavce!

Afb. 5-43 Waar hosten U host de nieuwe naamruimte - zoals gezegd dit keer - op DC PFSV2. 5 Kijk op de knop Browse en selecteer op de gebruikelijke manier DC PFSV2. Klik op de knop Next>. Het volgende wizardvenster is Namespace Name and Settings (afbeelding 5-44).

5 De beveiligde toegang tot netwerkobjecten

215

Ne:: Nanrespace \V:rard

D

X

Narnespace Name and Settings

Steps: Namenpace Server

Enter a name for the namespace. fris name will appear after the server ordoniain name in the namespace path. toch as \\Server\Name os \\Domain\Name.

Nameepace Name and Settings Name: Namespace Type Review Settings and ûeate Nainespace Cordornatron

1

11 E~: Pubie

Enecessay. the eezaid ml mate a shamd folderon the naimespace server. To moddy the settings of the shased fotdee, noch as te toont paf h and peensmatons. click Eet Settings.

cPrevorus

Afb.

Snet

De naam van de namespace

In dit wizardvenster moet u de nieuwe namespace van een naam voorzien. Ook moet u instellen in welke gedeelde map de gegevens van de nieuwe namespace worden opgeslagen. Die map is dus de DFS Root. Van die DFS Root moet u bovendien nog de share-permissie(s) instellen. 6 Vul het tekstvak Name met: Pol/Forma. Klik in het wizardvenster op de knop Edit Settings. Daarop verschijnt het dialoogvenster Edit Settings van afbeelding 5-45.

Netwerkbeheer met Windows Server

216

2019

DeeL

2

>

Edit Sottingo NaoeWace server 1pf002 Shared folder:

J PoFomia !.ocal pah ddedfolder:

IC:\0

FSRoots\PoFota

Sharod folder permoalons: ® Pal uren have readoeb, pennssvns

0Af usen have read and oaSe penoissions MmhSstratorv have fuf access: other usen have read-onfy o peteossions Mrniniotrators have hal acceso; other userv have read and -We

O penviosions o

Usa cuSorn pamdoal005:

OK

Afb.

1

Canon

De eigenschappen van de DFS Root voor de namespace PoliForma

Toelichting •In het tekstvak Namespace server ziet u de naam van de server waarop de namespace wordt gehost. •In het tekstvak Shared folder ziet u de share name van de DFS Root waarin de gegevens van de namespace zullen worden opgeslagen. Die naam is gelijk aan de naam van de namespace: PoliForma. •In het tekstvak Local path of shared folder staat C:\DFSRoots\PoliForma. Voorgesteld wordt om die map als DFS Root te gebruiken. Als u een andere map daarvoor wilt gebruiken, kunt u deze met de knop Browse selecteren. Met die knop kunt u ook eerst een nieuwe map aanmaken en die dan selecteren. •In het vak Shared folder permissions kunt u de share-permissies instellen op de gekozen DFS Root. U accepteert het voorstel C:\DFSRoots\PoliForma. U stelt de share-permissies zo in dat de Administrators daarop volledige toegang krijgen en alle overige gebruikers alleen kunnen lezen. 7 Selecteer bij Sharedfolderpermissions de optie Administrators have full access; other users have read-onlypermissions. Klik op de knop OK in het dialoogvenster Edit Settings. Klik op de knop Next> in het wizardvenster. Het volgende wizardvenster is Namespace Type (afbeelding 5-46).

De beveiLigde toegang tot netwerkobjecten

- New Nanrespace Wizard

-

217

0

X

Nermespace Type

Sra:

Sineot the type of nameepaceto mate.

Namespace Server () Domanbased namespace Namespace Name and Settings Naereopace Type Review Settaigs and Create Namespace Corû,nation

A domain-based namenpace u atored er> one armere nae,eapace servers and in Active Dectory Domme Services. You cme .iuease the any ci a dormaer-based narrsespace by uthrg rocttbte servers. Whrer created a> Vdows Server 2008 node, the nareespace arprpo,ts a>ceeaaed scatabety and accessbased ersaneratian.

&erbteWndcws Servier 2008mode Ftemiew of domain-based narneapace:

0Stand-alone narnespace A stand-alom namespace is stored one single namespace server. You cao increaee the avadabitfy of a stand-atorre namespace by hostiog t one failovee duoter.

Preview of standalone nameapace: \\pfsv2\Pot Forma

Afb. 5-46 Het type naamruimte

Toelichting In het wizardvenster Namespace Type kunt u kiezen uit: •Stand-alone namespace Bij een stand-alone namespace maakt u gebruik van één server met daarop de DFS Root(s). Met een standalone namespace kunt u dus geen fouttolerante naamruimte bereiken behoudens via clustering. De server hoeft geen lid te zijn van een domain. Standalone namespaces kunt u implementeren op een DC, op een member server en zelfs op een standalone server in een peer-to-peer-netwerk. •Domain-based namespace Bij een domain-based namespace kunt u zonder clustering juist wel voor fouttolerantie zorgen. Voor een domain-based namespace is uiteraard een domain nodig. De namespace wordt in AD opgenomen. De fouttolerantie wordt bereikt door de naamruimte te installeren op meer dan één server. Die servers moeten tenminste member servers zijn in het domain. Omdat DFS in Windows Server 2008 sterk is gewijzigd, kunt u voor die versie kiezen of juist niet. Voor die keuze dient de optie Enable Windows Server 2008 mode. In uw geval zal het duidelijk zijn dat u voor een domain-based Windows Server 2019-naamruimte kiest. 8

Selecteer zo nodig Domain-based namespace. Haal zo nodig de vink voor Enable Windows Server 2008 mode weg. Klik op de knop Next>.

Netwerkbeheer met Windows Server 2019

218

Deel 2

In het venster Review Settings and Create Namespace ziet u nog een samenvatting van uw instellingen (afbeelding 5-47). -

New Namespace Waard

IJ

X

Review Settings rond Creote Nemespace

Stss:

You selected the fotoworg setthrgsforthe new mamespace. Othe settogs are correct.inch Create to mate your new nanrespace. To change a setting. ctck Previous, er select the appwpnate page si the neertatice pane.

Namespace Server Namespace Name and Settings

Namespace settings: Namespace Type Review Settings and Create Namespace Coefiroration

Namespace Namespace name: \'J'otForeralocal\PolFoeTra Namespace type: Domarr (Wlndows 2000 Server mode) Namespace server pf9v2 Root shared folder: Ashared folder wit be created 9 one doen not ndst. Locic path of namespace shased folder: C:'rDFSRools\PotForma Pemdsicons for namespace shared folder: Mmrrotratorfrat control. eoesyone wad

L< °°°'.J Afb.

De samenvatting

9 Controleer uw instellingen. Herstel als dat nodig is. Klik in het wizardvenster vervolgens op de knop Create om de nieuwe namespace aan te maken. Kijk tenslotte op de knop Close in het wizardvenster Confirmation als de namespace met succes is aangemaakt. In het detailvenster van DFS Management ziet u de nieuwe naamruimte in de container Namespaces (afbeelding 5-48). -

DFS Management File Actioo View Wiodow

•*l

lO

DFS Msneyrrvent 5 Nemrspeces . \\PoliFcrrva.IoratPnliForwa Rrplvrricr

0

X ee

top

Nawespaces

Name VuPoliForrrre.looaPrPoliForma

Afb. 5-48 De nieuwe naamruimte

5 De beveiligde toegang tot netwerkobjecten

219

Notatie In het voorgaande is een naamruimte gedefinieerd als een share van shares. Merk de wijze op waarop de naamruimte wordt genoteerd:\\PoliForma.local\ PoliForma (afbeelding 5-48). Die notatie is niet gelijk aan die van een UNC-pad maar lijkt er wel sterk op. De notatie wordt ook op een soortgelijke manier geïnterpreteerd: de naamruimte PoliForma in het domain PoliForma.local. 10 Controleer via de Server Manager of de map C:\DFSRoots\PoliForma inderdaad

gedeeld is (afbeelding 5-49) onder de share name PoliForma. SHARES Al] shares l4total

ITASKS

Filter

Share

Local Path

Pro~

4 PF5V2 (4) NETLOGON

C\Wirrdow\SYSVOL\yvoNPoLF... SME

PoliForma

C:WFSRoots\PoliForma

print$

C:\Windows\system32\spooMriv... SMB

SYSVOL

C:\Windows'tSVSVOL\ysvoI

SMB

SMB

Afb. 5-49 De share PoliForma moet bestaan Merk op dat op schijf de naamruimte gestalte krijgt in die gedeelde map. ii Vervang op de share PoliForma de share-permissie Everyone Allow:Read door Authenticated Users Allow:Read. Dat is veiliger. Controleer de inhoud van de map C:\DFSRoots\PoliForma. Deze moet nog leeg zijn. Een namespace server toevoegen

Om het aanbieden van een namespace aan de gebruikers fouttolerant te maken, moet u tenminste nog één namespace server toevoegen. Het hosten van een namespace op twee of meer servers verhoogt tevens de beschikbaarheid van die naamruimte. Een werkstation zal, als dat mogelijk is, altijd kiezen voor een namespace server in de eigen site. Uiteraard moet op die tweede server de role service DFS Namespaces beschikbaar zijn. 12 Installeer nu eerst op DC PFSVi op dezelfde manier als hiervoor de role service DES Namespaces. Herstart DC PFS Vi en log weer in als domain Administrator.

Vouw vervolgens op DC PFS V2 in de beheertool DES Management de tree volledig uit. Selecteer in de tree de namespace \\PoliForma.local\PoliForma. Haal in het detailvenster het tabblad Namespace Servers voor u zoals in afbeelding 5-50.

Netwerkbeheer met Windows Server 2019 Deel 2

220

-

DFS Management

DFS Management -' j Namespaces '\PoliFermaJocaFiPoliForwa

11

Replication

0

X E x

File Actien View Wordow Help

\\PoliFornocal'it'eliFenea (Ooniain-based in Windows 2000 Server model Narnemace

Namespace Servers

Delegal!on

Search

1 entree Type

1, Referral Staten Errabled

1

Site

Path

PFBud&

\\PFSV2.Poirorrn Ioca]'PotForrrv

Afb. 5-50 Namespace Servers op server PFSV2 In het detailvenster ziet u het UNC-pad van de DFS Root\\PFSV2.PoliForma. local\PoliForma van de naamruimte \ \PoliForma. local\PoliForma. DC PFSV2 is dus een namespace server. Zoals u ook ziet, wordt in AD bijgehouden in welke site de namespace server is opgesteld. U voegt DC PFSVi als namespace server toe. Daarmee maakt u de naamruimte fouttolerant. 13

Open op DC PFSV2 in de tree bij de namespace \\PoliForma.local\PoliForma het snelmenu en klik op de optie Add Namespace Server. Daarop verschijnt het gelijknamige dialoogvenster van afbeelding 5-51. U kunt nu weer een server kiezen en daarop de settings instellen. X

Add Namespace Server

Namespace: \\PObFanrraiocal\PoliFOrrna Namespace server.

II

1

li

Orowse...

Path to ntiared folder. \\cserver name >\PotForma

To nsodfy the settings of the strared folder, ouch as Os local path and strarod folder pennissicrrs. click Edo Settings.

L

Cancel

Afb. 5-51 Een naamruimte server toevoegen 14

Gebruik de knop Browse en voeg daarmee op de gebruikelijke manier DC PFSVi toe. Klik weer op de knop Edit Settings.

5 De beveiligde toegang tot netwerkobjecten

221

Stel weer alleen maar share-permissie Administrators have full access; other users have read-onlypermissions in. Kijk 2 x op de knop OK. Na afloop is het UNC-pad van de DFS Root op de tweede namespace server zichtbaar in het detailvenster (afbeelding 5-52). U heeft nu voor de namespace \\PoliForma. local\PoliForma fouttolerantie gerealiseerd. DFS Management

-

E

X

File Action View Window Help

4.4 IfiI

II

DFS Management v

\FoliForma.lneal\PoliForma (Dornain-based in V1ndnv 2CC'D Ser.nr rende)

Narnespaces

äg

\\PoliForma.locaVPoliForma .) Replicatinn

Nameopace Nmeeopane Samere Deegabon Searcb 2milea Type

1

1

Referral Sta... Site

1

Path

Enabled

PFBud&

\\PFSV1.PoFornraJncWcgFmma

Enabled

PFBUd&

\\PFSVPeffoonaJocd\PobFmna

Afb. 5-52 Twee namespace servers zorgen voor fouttolerantie

15 Controleer op DC PFS Vi de aangemaakte en gedeelde map C:\DFSRoots\ PoliForma. Die moet op DC PFSVi vergelijkbaar zijn met afbeelding 5-49. Wijzig op die share PoliForma de share-permissie Everyone Allow:Read weer in Authenticated Users Allow:Read. Sluit daarna alle vensters op de gebruikelijke manier behalve de Server Manager. De namespace wordt nu op twee namespace servers gehost. De DFS Root is op beide namespace servers correct beveiligd. Folder targets

Een folder target is een share die is opgenomen in een namespace. Direct na het aanmaken van een namespace en eventuele extra namespace servers zijn er nog geen folder targets beschikbaar. 16

Selecteer op DC PFSV2 in de tree van de DFS Management zo nodig de namespace \\PoliForma.local\PoliForma zoals in afbeelding 5-52. Selecteer in het detailvenster het tabblad Namespace. U ziet dat er nog geen ingangen(o entries) zijn opgenomen (afbeelding 5-53).

Netwerkbeheer met Windows Server 2019

222

Deel 2

0

DFS Management File Arriors View Window He

DFS Management v

\\PotiFormajcal\Pot,Pornsa (Domale-based in Windows 2000 Server mode)

Namespaces \\PoliForesa.tocal\FoliForma Replkatron

)

Namespace Narnesyace Servers Delegation Search 0 erstrres Type

Name

Afb. -53 De DFS Root is nog leeg

U voegt een ingang toe voor de afdelingsmap van de afdeling Administratie. Het UNC-pad dat daarbij hoort is:\\PFSVi\AfdelingAdministratie. De share heeft u in het vorige practicum gepubliceerd in AD in de OU Administratie. 17

Open op DC PFSV2 in de tree van de DFS Management het snelmenu bij de namespace \\PoliForma.local\PoliForma en kijk op de optie New Folder. Daarop verschijnt het dialoogvenster New Folder van afbeelding 5-54. New Folder

X

Name

11

1

Preview of narnespace: \\PoliFomrajocal\Pol,Fseea\ Folder targets:

1

Add

i1LCcel

Afb. 5-54 Een ingang toevoegen 18

Vul het tekstvak Name met: Administratie. Kijk op de knop Add om een gedeelde map toe te voegen. Daarop verschijnt het dialoogvenster Add Folder Target van afbeelding 5-55.

5 De beveiFigde toegang tot netwerkobjecten

Acht Folder Target

223

X

Polli to foldertwget: Browse,., Ercample: \\Server\Shoed Fdder\Folder

Cancel

1

Afb. 5-55 Aangeven welke gedeelde map 19 Klik de knop Browse. Daarop verschijnt het dialoogvenster Browse for Shared Folders. zo Kijk weer op de knop Browse in dit nieuwe dialoogvenster en selecteer DCPFSVi. U ziet nu de shares op die DC (afbeelding 5-56). D

Browse for Shared Folders

>(

Server PFSV1 Show Shared Folders Shared folders: ..

MdetngPrctonratsenng

0•

Mdetegtreche

0 :3

MdetrrgFerdodce MdetegStaf NdetngVerkoop Oedeerfd&ircgFabricage FoliFomra REMINST UseeFolders UserPreftes

20 Eg

0-

New Shared Folder...

OK

Cancel

Afb. 5-56 Shared folders op DC PFSVi 21

Selecteer zo nodig de shared folder AfdelingAdministratie op DC PFSVi in de lijst Shared folders. Klik x op de knop OK. De share \\PFSVi\AfdelingAdministratie is nu in de naamruimte als folder target toegevoegd onder de naam Administratie. Het aantal entries staat op i (afbeelding 5-57).

Netwerkbeheer met Windows Server 2019

224

QS DFS QS File

-

Management Action

View

Window

Deel 2

0

Help

*4Li[JI ii mm \\PoliFnrmajocI\PolIForma (Domain-based in Windows 2000Server mode)

fè DFS Management

b Namespaces > 1\\PotForma.locaFPoliForma

v J

ivrnnspace

Nemerpace Servers

OelvgWcn

Search

Replicatinrr Type

ij

1

Name Mtninidratie

De ingang voor de afdeling Administratie

Afb. 22

Sluit op DC PFSV2 de beheertool DFS Management.

23

Controleer of de AD-replicatie goed heeft gewerkt op DC PFS Vi. Dat moet het geval zijn. De namespace beschikbaar stellen aan de gebruikers

Er zijn verschillende manieren waarop u een naamruimte aan gebruikers ter beschikking kunt stellen. U kiest ervoor om dat te doen als een drive mapping in een voorkeurinstelling in een GPO. Omdat de naamruimte straks beschikbaar moet zijn voor alle gebruikers inclusief de beheerders kiest u voor het GPO PFBeheerdersGPO. 24

Open op DC PFSVi de Group Policy Management Editor bij het GPO PFBeheerdersGPO.

25

Vouw in de tree uit naar de container User Configuration\Preferences\ Windows Settings\Drive Maps (afbeelding 5-58). J Droop Policy Management Editor

-

0

X

File Actinn View Help

13

ij FFBohonrdersGFO

o+

[PFSVI.POLIFORMA.LOCAL] Policy

Cnrvpster Configuratinn Policies

Drive Maps

-- Preferences Name

51 Dan, Cnnlignrotinn > [1 Folicien

Order Actinn Pa-

Th- are no items to show in this view.

- Preferences Windows Settings @l Applications Drive Maps

MI Environment Files Folders Ini Film Regiatry Shn,tcots Control Panel Settings

Prof emnces A Eotonded ) Standard Drive Maps

Afb. 5-58 Drive mappings als voorkeurinstellingen

5 De beveiligde toegang tot netwerkobjecten

225

26 Open in het detailvenster het snelmenu en kijk op New en Mapped Drive.

Daarop verschijnt het dialoogvenster Mapped Drive Properties om een drive mapping in te stellen (afbeelding 5-59). X

New Drive Properties General Cononat

Li

Locabon: Secomect

Label as:

Drive Letter Use first avalae, starterg ot iîj E,dsbrg:

Colstect as (opbona J— rianCvrihim pavsv-.crd:

Porrvvord: Ilde/Show fl55 drive

Nde/Show al drives

®NO drange Hde list drive Show Ons drive

®Nod,ange Qlide al drives OShow al drives

o

0

1

OK

IH

Afb. 5-59 De drive mapping instellen 27 Selecteer met de uitschuiflijst Action de optie Create.

Vul het tekstvak Location met het pad naar de DFS Root van de namespace: \PoliForma. !ocal\PoliForma. Vul het tekstvak Label as met Afdelingsmappen. Stel achter Existing de drive letter Y in. Selecteer in de kolom Hide/Show this drive de optie Show this drive. Vergelijk het dialoogvenster met dat van afbeelding 5-60. Herstel als dat nodig is.

Netwerkbeheer met Windows Server 2019 Deel 2

226

X

New Drive Properties

General Cominon

Aclion: LDreate

Lotion:

\'?oliFormo. local V'oiForrna

Reconnect:

L

Label as:

Afdeingsnrappen

Drive Letter

0Use

first avalable, sterling at: ®Uw:

C000ect as (oplionaQ

C:flFr vi poor ?;Orl -

Parswoid:

Hide/Show al drives

lide/Show tids drive

® No charge

o No charige o Hide Ihis drive

0ide al drives 0Show al drives

® Show his drive

lOKI

P1LAPY 1 L

1

Help

Afb. 5-60 De drive mapping naar de namespace 28 Kijk nog op de knoppen Apply en OK. U ziet de nieuwe voorkeurinstelling in het detailvenster (afbeelding 5-61). J Groop Policy Management Editor

-

0

X

File Acbon View Help

ms PFfieheerdersGPO (PF5V1.POLIFORMA.LOCAL) Policy

vOp Computer Costigorotion )in Policies

+ Naerr Order Action Path 1

Reconrect

Creatie \',PoliFommnn.locollPoliFor... No

j Preferences UserConfigoration Policies Preferences Windows Settings ® Applirat:ons Drive Maps Environment Files Folders mi Files

>

' Registmy J Shomtcstn Control Pond Settings

eocesendStnnderd Drive Maps

Afb. 5-61 De drive mapping naar de namespace 29 Sluit het venster Group Policy Management Editor en voer een gpupdate uit. Nu nog het effect bekijken. 30

Start werkstation PFWSi en log in als Dirk Bogert. Open File Explorer en selecteer in de tree This PC.

5 De beveiligde toegang tot netwerkobjecten

227

In het detailvenster ziet u de drive mapping naar de DFS Root onder de naam Afdelingsmappen en met de driveletter Y:(afbeelding 5-62). Het kan zijn dat u daarvoor een keer extra moet uit- en inloggen om de drive mapping in het profile van de gebruiker te krijgen. vlThisPC

[

Computer

VreW n Th1sPC

Pj

Search This PC

Folders (6)

* Qu:ck acces, • Desktop

t

3Downloads

#

"

Desktop

Documents

Downloads

Music

Picturus

vid—

Docunrents Picture Jt Music • Videos >

4L OneDrive

Devices and drives (2)

> k@ ThISPC

Local Disk (Q)

) co Network

uI:i.. 222GBfreeof239GB

CD Drive (D.) VirtsialBoo Gunst Additions 0 bytes free of 81,9 MB

Network locations (2)

-

—

Afdelingsmappen Ç)

Dirjog (\'sPFSVl\UsesÇolders)(Zs)

85.7 GB free of 971 GB

099 Gtfreeof 1,00 GB

10 items

Afb. 5-62 De 31

drive mapping(Y) naar de namespace op het werkstation

Gebruik driveletter Y. en open achtereenvolgens de map Administratie en het bestand Test.rtf dat zich daarin bevindt. Voeg een regel aan de tekst toe en bewaar het bestand opnieuw.

32

Log op het werkstation vervolgens in als MadeliefSmets. Probeer via dezelfde driveletter Y. het bestand Test. rtf te openen. Madelief krijgt nu een foutmelding (afbeelding 5-63). Network Error

Windows cannot access \\PoliForma.local\PoliForma\Administratie You do not have permission to access \\PoliFerma.local\PoliForma\Administrutie. Contact your network administrator to request access. Fqr more information about permissions. nee Windows Help and Support

Afb. 5-63 Madelief

krijgt geen toegang

Madelief krijgt geen toegang omdat zij niet is opgenomen in de toegangsgroep T_AfdelingAdministratie en dus niet over de juiste permissies beschikt.

Netwerkbeheer met Windows Server 2019

228

DeeL

2

33 Log op werkstation vervolgens in als Teus de Jong. Verwijder het bestand Test. rtf via de driveletter Y. Waarom is dat voor Teus de Jong geen probleem? Log op het werkstation uit. Afwerken

Normaal hebben gebruikers op werkstations de mogelijkheid om een bestaande drive mapping te verwijderen (afbeelding 5-64). Doet een gebruiker dat met de drive mapping Y dan kan dat tot, voor de gebruiker, onverwachte situaties leiden. De DFS Root van de toegepaste namespace is dan immers niet meer eenvoudig bereikbaar. X

% Disconnect Network Drives Select the network drive(s) you want to disconnect then click OK. Network Drives, Afdelingsmappen (Y)

Teu ton \PFSV1\UserFoIders) (Z)

85,7 GB free of 971 GB

0,98 GB free of 1,00 GS

OK

Cancel

Afb. 5-64 Standaard kunnen gebruikers drive mappings verwijderen

U werkt nu de gehele ingerichte omgeving af door gebruikers het maken en verbreken van drive mappings onmogelijk te maken. Daarmee houdt u controle over die drive mappings en maakt u het geheel gebruikersonafhankeljk. Voor de beheerders met domain administrator-bevoegdheden mag deze beperking natuurlijk niet gelden. Policy in PFGebruikersGPO

U brengt de beperkingen aan in het GPO PFGebruikersGPO. Daarmee gelden deze voor iedereen, behalve voor de mensen met domain administrator-bevoegdheden. Dat zijn precies de domain Administrator, Fons Willemsen en Uzelf 34 Open op DC PFS Vi de MMC Group Policy Management Editor bij het GPO PFGebruikersGPO. Selecteer in de tree User Configuration\Policies\Administrative Templates\ Windows Components\File Explorer.

5

De beveiligde toegang tot netwerkobjecten

229

Open in het detailvenster het eigenschappenvenster van de policy Remove "Map Network Drive" and "Disconnect Network Drive"(afbeelding 5-65). Selecteer Enabled om de policy in te schakelen. Klik nog op de knoppen Apply en OK. -

Remove Wap Network Drive and 'Disconnect Network Drive Remove"Map Network Drive" and "Drsconnect Network Drive"

® Not Configured

Previous Setting

0

X

Next Setting

Comment:

o Enabled o Disabled Suppoited 0fl:

Options:

At least Windows 2000

Help:

Prevents users from using File Explorer or Network locatioris to map or disconnect network drives.

.S

1f you enable this setting, the system removes the Map Network Drive and Disconnect Network Drive commands from the toolbar and Tools menus in File Explorer and Network Locatioris and from menus that appear when you right-click the File Explorer or Network Locations icons. This setting dom not prevefit users from connecting to another computer by typing the name of a shared folder in the Run dialog box. Note This setting was documented incorrectly on the Explain tab in Group Policy for Windows 2000. The Explain tab States iricorrectly that this setting prevents users from connecting and disconnecting drives. Note It is arequirement for third-party applications with

OK

Afb. 5-65 Geen

Cancel

drive mappings meer maken of verbreken

Let wel! Deze beleidsinstelling verbiedt gebruikers niet om via de optie Network naar shared resources te zoeken. Het is ook niet de bedoeling om dat te verbieden. 35 Sluit het venster Group Policy Management Editor. Actualiseer op DC PFSVi de policies met gpupdate. Sluit alle vensters behalve de Server Manager. Testen U test uiteraard nog op correcte werking. 36 Start werkstation PFWSi en log in als Loes Heijnen. Open in File Explorer het venster This PC. Probeer via het snelmenu bij de drive mapping Afdelingsmappen (Y) deze drive mapping te verbreken.

Netwerkbeheer met Windows Server 2019

230

Deel 2

U ziet dat de optie Disconnect network drives niet meer in het snelmenu voorkomt. Ook de knop Map network drive in de groep Network van het lint Computer is onbruikbaar grijs (afbeelding 5-66).

Manage Pin to Start Add a network location Open in new window Pin to Quick access Delete Rename ap netwOrk

Pro perties

Afb. 5-66 Niet meer te maken of te verbreken 37 Sluit werkstation PFWSi af. Sluit de beide DC'S af. De overige ingangen in de namespace Nu u in het vorige practicum een fouttolerante namespace heeft ingericht, is het tijd om ook de overige gedeelde en beveiligde afdelingsmappen daarin op te nemen.

Opdracht 5.3.2: Ingangen in de namespace 45 min.

In dit practicum: . Brengt u de shares op de overige afdelingsmappen onder in uw namespace. Voor deze opdracht heeft u nodig: •De DC'S PFS Vi en PFSV2 zoals geconfigureerd na het vorige practicum. •Werkstation PFWS zoals werkend na het vorige practicum. •Het werkblad bij opdracht 5.3.2 waarop u uw werkzaamheden vastlegt. •Tijd: ± 45 minuten. Opdrachtinstructies i Breng de shares op de overige (onder)afdelingsfolders onder in uw namespace. Hanteer gelijksoortige namen en eventuele omschrijvingen.

5 De beveiligde toegang tot netwerkobjecten

231

Dr:vefoole Afdelingooroppoo(y:) •

Home

Share

View

-

D

Menage

X -

r Thie PC » Afdelingsmappen (Y-.)

v 3o

Sea,oh Afdelingsmappen (Y:)

P

w Nanr

Date roodified

Type

Sioe

* Quick access Adnrini»tratie

20-4-2019 11:34

File folder

4-»toreratioering

20-4-2019 12:27

Filefolder

Deoktop

5-

Downloado Doourerento

Jl

ir

Directie

20-4-201912:28

File folder

Fabricage

20-4-201912:31

File folder

Pi»tore»

Productie

20-4-2019 12:32

Filefolder

Music

Stof

20-4-201912:20

File folder

Video»

Verkoop

20-4-2019 12:30

File folder

OneDrirve -J Thi»PC Network

7 item»

Afb. 5-67 Simpel en helder 2

Test de werking van de namespace uitvoerig via werkstation PFWSi en passende gebruikers. Test daarbij niet alleen de toegang tot de mappen waarmee zij moeten kunnen werken, maar ook die tot de mappen waartoe zij geen toegang mogen hebben. Zorg dat alles correct en vlot functioneert.

3

Sluit na afloop alle machines op een geordende wijze af.

Uitzonderingen

Regels zijn er om precies te weten waar u van afwijkt. Ook in deze materie krijgt u met uitzonderingen te maken. Een paar veel voorkomende uitzonderingen worden beschreven in de hiernavolgende twee opdrachten.

Opdracht 5.3.3: Flipse

£ 30 min.

In deze opdracht: Zorgt u voor een uitzonderingssituatie voor Floris Flipse.

Voor deze opdracht heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na de vorige opdracht. •Werkstation PFWSi zoals geconfigureerd na de vorige opdracht. •Het werkblad bij opdracht 5.3.3 waarop u uw werkzaamheden vastlegt. •Tijd: ± 30 minuten. Opdrachtinstructies

U wordt gebeld door Floris Flipse die bij PoliForma BV verantwoordelijk is voor het onderhoud van het machinepark. Hij heeft een bestand gemaakt waarin per machine het verrichte onderhoud is beschreven en de kosten daarvan zijn opgenomen.

Netwerkbeheer met Windows Server 2019 Deel 2

232

Dat bestand heeft de naam Machines.rtf Tot nu toe heeft hij het bestand lokaal op zijn werkstation opgeslagen. Van zijn baas Peter Carprieaux heeft hij gehoord dat dit niet verstandig is omdat er zo geen backup van dat bestand zal worden gemaakt. Floris Flipse is echter huiverig om het bestand in de afdelingsmap op de netwerkserver te plaatsen omdat iedereen van de afdeling Productie en van de onderafdeling Fabricage het bestand dan kan inzien en kan veranderen. Wat hij graag wil, is het bestand op een zodanige manier op de file server plaatsen dat alleen hij het kan veranderen. Met zijn baas Peter Carprieaux is hij overeengekomen dat deze het bestand wel mag inzien. De beheerders met domain administrator-bevoegdheden behouden in de testopstelling de volledige controle. i Bedenk een oplossing die aan de wensen van Floris Flipse en Peter Carprieaux tegemoetkomt. 2

Implementeer die oplossing. Test met behulp van een testbestand.

3 Sluit werkstation PFWSi en beide DC's af.

Opdracht 5.3.4: Prikbord 30 min.

In deze opdracht: Zorgt u voor een uitzonderingssituatie voor MadeliefSmets. Voor deze opdracht heeft u nodig: •De DC's PFSVi en PFS V2 zoals geconfigureerd na de vorige opdracht. •Werkstation PFWSi zoals geconfigureerd na de vorige opdracht. •Het werkblad bij opdracht 5.3.4 waarop u uw werkzaamheden vastlegt. •Tijd: ±30 minuten. Opdrachtinstructies

Algemeen directeur Madelief Smets heeft wel eens mededelingen waarvan zij vindt dat iedereen die moet kunnen lezen. Wat zij wil is een soort prikbord waarop iedere ingelogde computergebruiker bij PoliForma BV iets moet kunnen ophangen. Denk daarbij aan tekstbestanden, spreadsheets en presentaties. Net als bij een prikbord in de supermarkt mag elke ingelogde gebruiker alles lezen, wijzigen en verwijderen. Het prikbord moet voor de ingelogde gebruikers ook gemakkelijk toegankelijk zijn via de namespace. i Bedenk een oplossing die aan de wensen van Madelief Smets tegemoetkomt. Voor de domain Administrator en de domain Guest mag de oplossing natuurlijk niet van toepassing zijn. Een groep waarvan iedereen, behalve de domain Administrator en de domain Guest lid is, komt hierbij goed van pas.

De beveiligde toegang tot netwerkobjecten 2

Implementeer die oplossing. Test met behulp van een testbestand.

3 Bespreek de oplossingen en implementaties van de opdrachten 5.3.3 en 5.3.4 met uw docent. 4 Sluit werkstation PFWSi en beide DC's af.

5.4 DFS Replication in PoliForma.LocaL

De voorziening DFS Replication zorgt ervoor dat bestanden uit geselecteerde mappen op een server worden gerepliceerd naar een andere server. Daarmee kunt u dus fouttolerantie op bestandsniveau bereiken. DFS Replication gebruikt daarbij een eigen replicatieproces, losstaand van de AD-replicatie dus. De bestandsreplicatie is na de eerste replicatie automatisch wederzijds. Als op een van de betrokken servers een bestand gewijzigd is en is afgesloten, wordt het automatisch gerepliceerd naar de andere betrokken servers. Voor het transport wordt compressie toegepast via RDC (Remote Differential Compression). Dit om de verbinding tussen de servers zo min mogelijk te belasten. Het bovenstaande houdt in dat u op één server aan moet geven welke bestanden u wilt repliceren. Op de andere in de bestandsreplicatie betrokken server(s) moet er ruimte zijn om die gerepliceerde bestanden op te slaan. In het volgende practicum configureert u de voor de hand liggende bestandsreplicatie van het datavolume van DC PFSVi met DC PFSV2.

Practicum 5.4.1: Bestandsreplicatie

Ak 6o min.

In dit practicum: Configureert u de bestandsreplicatie van het datavolume PFSViData (F:) met een plek op de harde schijf van DC PFSV2. Voor dit practicum heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na het vorige practicum. •Het werkblad bij practicum 5.4.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 6o minuten. Korte practicuminstructies

Replicatie

Een toelichting op de nodige begrippen vindt u in de gedetailleerde practicumuitwerking. a Installeer op beide DC's de role service DFS Replication.

233

Netwerkbeheer met Windows Server 2019 Deel 2

234

b Maak op server PFSV2 een replicatiegroep aan voor de bestandsreplicatie van het volume PFSViData (F:) met het volume PFSV2Rep1 (G:) met de volgende kenmerken: • Het type is Multipurpose replication group. • De naam is: DataPF5V1. • De omschrijving is: Replicatie van PFSViData (F:) met PFSV2Rep/ (G:). • De replicatie werkt in het domain PoliForma.local. • De replicatie verloopt continu met de volle bandbreedte van de WAN-verbinding. • De NTFS-permissies blijven behouden. c Controleer of na verloop van tijd de bestandsreplicatie heeft plaatsgevonden. d Sluit alle machines af. Gedetailleerde uitwerking van het practicum

Eerst zorgt u voor de installatie van de aparte, voor dit doel bedoelde, role service DFS Replication. i Start beide DC'S en log daarop in als domain Administrator. De role service DFS RepLication

Om wederzijdse bestandsreplicatie mogelijk te maken, heeft u op beide servers de role service DFS Replication nodig. Die role service is een onderdeel van de server role File and Storage Services. In het voorgaande installeerde u al de role service DFS Namespaces. 2

Installeer op beide DC'S de role service DFS Replication. Sluit daarna alle vensters behalve dat van de Server Manager. Herstart beide servers zodat deze zichzelf opnieuw configureren. De bestandsreplicatie van PFSVi met PF5V2

Nu alles zover klaar staat, configureert u de bestandsreplicatie van het volume PFSViData (F:) op DC PFSVi met het volume PFSV2Rep1 (G:) op DC PFSV2. Beide volumes heeft u in het voorgaande aangemaakt en zijn dus beschikbaar. 3 Log op beide servers weer in als domain Administrator. 4 Start - weer op DC PFSV2 - vanuit het menu Tools de beheertool DFS Management. Vouw op DC PFSV2 de container DFS Management volledig uit. Selecteer in de tree de container Replication (afbeelding 5-68).

5 De beveiligde toegang tot netwerkobjecten

235

DFS Management File Action View Window Help

lé DFS Management va Namespaces

Roplkatioo Name

\\poliforrna.local\poliforma Domain System Volume

Replication Doniain System Volume

Afb. 5-68 De container voor replicatie 5 Open in de tree het snelmenu bij de container Replication en kijk op de optie New Replication Group. Het venster Replication Group Type van de New Replication Group Wizard verschijnt (afbeelding 5-69). New Replication Group Wizard

-

E

Replication Group Type

Stops: Repkation Gmyp Type Name and Dumain Repicahon Group Memborn Topology Sioechon Hub Membees Hub and Spoke Connections Replication Group Sdredrde and Bandwithh

Select the type of repication group to mate. ® Mutdpurpooe ropication group lhiu option configuws wplicaton baween Iwu ce mum swvesfurpubl:cut:on. cuotmd drariog. and other sceearros.

o Replwation group for data cotedron This option curdlgreestwosay mplication betweeo two servers. such as branch server and a sub (deohoatron) server. ibm utows you to collect data ut the hub omver. You cantheo usa backup software to back up the data no the 1mb server.

Pnroasy Membee Folders 10 Repbcate Resiew Settbrgs and Create Replication Group Confirmation

Ne,d>

Afb. 5-69 Het type instellen

Czcn

X

Netwerkbeheer met Windows Server 2019

236

Deel 2

Toelichting U kunt kiezen uit twee replicatietypen: • Multipurpose replication group Dit type is bedoeld voor de wederzijdse bestandsreplicatie tussen twee of meer servers waarbij de bestanden op alle betrokken servers bewerkbaar zijn. • Replication group for data collection Dit type is bedoeld om bestanden op verschillende servers bij elkaar te brengen op één server. Dat bij elkaar brengen is bedoeld voor het handig kunnen maken van backups. De keuze die u hier maakt, ligt voor de hand. 6 Selecteer zo nodig de optie Multipurpose replication group. Klik op de knop Next>. Nu verschijnt het wizardvenster Name and Domain (afbeelding 5-70). De replicatiegroep moet een naam krijgen. New Replication Group Wizard

0

X

Name and Domein

Steps:

Type a name and doe,ain for the reptication group. The name of the repkation group oog be oroque kr the domair that host, the meptication group.

Replication Group Type Name and Domain Replication Group Memobern

Name of rnptcation group:

11

Topotogy S&edmorm Heb Memnbem,

Optioed deecription of epicatton group:

Heb and Spoke Cormeedions Reptcation Group Scbedmde and Bandwidth Prima Member

Domein:

Folder, to Replicate

PotiFoenalocal

Browse...

Review Settings and Croate Rephcation Group Contbmnation

.

5 De beveiligde toegang tot netwerkobjecten

237

Vervolgens verschijnt het wizardvenster Replication Group Members(afbeelding 5-71). U moet aangeven welke servers er bij de bestandsreplicatie betrokken worden. New Replication Group Waard

-

G

X

Replication Group Members

Stops: Repkaton Group Type Name and Domae Replication Group MnJ.oes

Odr AcM and thee seled two ormore serne,s that wd become nwebms orthn rephcaton group. Members: S—er

Domain

Topotnçy Seledion heb Me,nbers Hub and Spnke Cooeect,ons Replication Group Sctiedote and Bandwoth Pnrnary Momber Folders to Repkate Review Settings and Create Repkatice Group Conbmaka

rs Afb. 5-71 Welke servers worden bij de replicatie betrokken In uw geval zijn de servers PFS Vi en PFS V2 betrokken bi) de bestandsreplicatie die u wilt configureren. 8 Klik op de knop Add om servers toe te voegen. Gebruik het venster Select Computers en voeg daarmee op de gebruikelijke manier de servers PFS Vi en PFSV2 beide toe. Als de controle goed verlopen is, worden beide servers toegevoegd. 9 Klik op de knop Next>. Dan verschijnt het wizardvenster Topology Selection (afbeelding 5-72).

Netwerkbeheer met Windows Server 2019

238

Deel 2

0

New Replication Group W-aard

Topology Selection

Ste:

Select a topology of curroections amung mennbern of the replication group.

Replication Group Type Hub 'd vpc.k Name and Dnmasi Repication Group Menrbew Topology Set ection Replication Group Schedule and Bandwidth Pnmary Member Eoldnw to Repicate Review Settings and Cerafe Replication Group Corthnrapon

This topology regulresthree or mom member, er the replination group.i Ir this topology. spoke m~ am cunnected to we ortwo hub membes . flis topology wurke wet Ir pubhcafion scenunus whene data orginatee from the hak mernber and rnptcates nut to the spoke roerobers.

Eh

® Put mesh In that topology. each memberwpicates hek at other menebero of the repication group. That topology worke wet when thew are ten orfewermeenbers in the tepicatiun group.

o No topology Select that option d you want to mate a custore topology after you finish the waard. Na repication wit take p!ace unti you mate the custom topology.

L. Het volgende wizardvenster is Replication Group Schedule and Bandwidth (afbeelding 5-73).

5 De beveiligde toegang tot netwerkobjecten

239

- New Repircation Group Wizard

-

E

X

Reptrcation Group Sctiedute and Bandwidth

Spo:

Select the reptcation schedute and bandwrthh to ho used by default for afl new conrrections in the rnptcation group.

Reptcagon Group Type Cij Reptcute contsrruously using the specsted handsrhdth Name and Domain Uw this optron to enable repkation 24hours a day. seoen days a week song the folowerg bandwdth:

Rephcat,nn Group Membew Topology Setedrort

Bandwdth: Retdthation Group Schedsde and Bandwidth Pnnrary Membm Folders to Rephcate Review Settings and Create Reptcahoo Group

1

Fot

o Repticate dunng the specdied days and tinten Use tths option to specify the days and thee's at wbrch reptcagon occorn by default. The rnGal reptcation schedote hao no rephcation intervals; you ernst mate at least one replicaGon irterod before replicatrun cao noot,.

Curfsnrution

. Vervolgens verschijnt het wizardvenster Primary Member (afbeelding 5-74).

Netwerkbeheer met Windows Server 2019 Deel 2

240

-

New Replication Group Waard

99

0

Primery Member

Stepe:

Select the nonnen that cootanis the content you wand to reptcote to otheemerrrbers. No nemen is known as the pitnary neerober.

Replication Group Type Name and Domain

Praeary erembee

Repicahon G,00p Meerbern Topotogy Sateetron Replication Group Sdredute and Bandardth

t the folders to be rephcated atreody edlt en mutiple servers, the folders and bles on the prbnany member alt be authoritative donng aatrat repficatioe.

Pdmary Meerber Folders to Ropicate Review Settings and Create Replication Group Corfernatron

. Dan verschijnt het wizardvenster Folders to Replicate van afbeelding 5-75.

5 De beveiligde toegang tot netwerkobjecten

241

-

New Repirratron Group Wizard

0

X

Folders to Rephcate

To select a folder ce the pnmary mernber that you want to reptcate to other membem of the reptcatioo group.click Add.

Stepe:

Reptcation Group Typ, Name and Dumarn Repkation Group Membere

Reptcated folders: toçaI Patfr

Reptcated Folder Name

NTFS Peenbsaons

Topology Soteeroon Reptcation Group Schedole and Barrdwioth Pnmarp Membee Folderoto Repticate Review Seftings and Geste Reptcation Group Corstorratron

FH Afb.

Wat op server PFSVI

U moet nu aangeven welke mappen op server PFS Vi u in de bestandsreplicatie wilt betrekken. In uw geval is dat het gehele volume PFSViData (F:). 13

Klik op de knop Add. Daarop verschijnt het dialoogvenster Add Folder to Replicate.

14

Klik eerst op de knop Permissions » om dat onderdeel van het dialoogvenster uit te vouwen (afbeelding 5-76).

Netwerkbeheer met Windows Server 2019

242

Deel 2

>(

Add Folder to Replicate

Meenbec PFSV1 local path of folder to repticate:

Example: C:\Doctonents

Select ortype a name to represent this folder on af membere of the rephcation greep. this name in keown as the replicated folder name. ® Usa name based on path:

o

Une cuatom name:

Eeample: Documents

Select the NTFS peesdsa005 fortlre replicated folder: tt Eicicing permissiors o Custompemieaons:

Peenissions

«1

Caecet

Afb. 5-76 Welke map repliceren 15 Gebruik de knop Browse en selecteer daarmee het volume PFSViData (F:) door Es te selecteren. Kijk op de knop OK in het dialoogvenster Browse For Folder. Laat namen ongewijzigd. Selecteer daarom zo nodig Use name based on path:. Selecteer zo nodig Existingpermissions om de bestaande NTFS-permissies ook te laten gelden op DC PFSV2. Kijk op de knop OK in het diaioogvenster Add Folder to Replicate. Kijk op de knop Next> in het wjzardvenster. Vervolgens verschijnt het wizardvenster Local Path of F on Other Members (afbeelding 5-77).

5 De beveiligde toegang tot netwerkobjecten

243

j New Replicatiors Group Wizard

-

0

X

Local PetIt of F on Other Members

To speedytine local path of the rnplicated folder oe whetker the folders read-orrly, setect tIto appropnate member and thee dek Edit

Stro: Repcatioe Group Type

0

Name and Domein

Prenary membec

PFSV1

Plonary memben toont path:

F:\

Retcaten Group Mesnbers Memberdetals: Topology Solecton Repbcahon Group Sctredsde and Bandosidth

PFSV2

Local hok

MembeeshIt Stat.

,Not Set>

Osabled

Prenary Mereben Folders to Reptcate Local Pafh of F Meesbees

Other

Review Settings and Creatie Repboation Group Cordknralion

Preotoon

Nest ,

Cancel

Afb. 5-77 Waar de gerepliceerde bestanden moeten worden opgeslagen op de replicatiepartner Toelichting U moet nu aangeven in welke map u de gerepliceerde bestanden op de replicatiepartners wilt opslaan. Omdat u het repliceren instelt van DC PFSVi met DC PFSV2 moet u dus een lokale map selecteren op DC PFSV2. Speciaal hiervoor heeft u in deel i het volume PFSV2Rep1(G:) aangemaakt op DC PFSV2. Had u meer dan twee servers opgenomen in de replicatiegroep dan verschijnen er in dit venster ook meer servers. Op elke replicatiepartner moet u dan aangeven waar de gerepliceerde bestanden terecht moeten komen. Dat kan dan per server afwijken. 16

Selecteer zo nodig de regel met server PFSV2 en klik op de knop Edit. Daarop verschijnt het dialoogvenster Edit van afbeelding 5-78.

Netwerkbeheer met Windows Server 2019

244

Deel 2

x

Edit

Meosber:

IPFSV2 Select the intial status of the replicated folder os flits meesber.

Membesship status: ® Disabled the reptcated folder Ml eot be stosed en this member.

) Enabled Keep the following folder syochroeszed with other nsembesn.

Local path of folder: Brov;se --

Exareple. C:\Oafa

0Make the selected repbcated folder on that nseosber,eadoo,.

OK

Cancel

Afb. 5-78 Opslaan op DC PFSV2 17 Selecteer Enabled om het lidmaatschap van de replicatiegroep daadwerkelijk in te schakelen. Klik op de knop Browse en selecteer in het dialoogvenster Browse For Folder het volume Gs op server PFS V2.PoliForma.local. Dat is dus het volume PFSV2Rep1 (G:). Klik op de knop OK in het dialoogvenster Browse For Folder. Klik op de knop OK in het dialoogvenster Edit. Klik op de knop Next> in het wizardvenster. Het samenvattingvenster van de wizard staat nu voor u (afbeelding 5-79).

5 De beveiligde toegang tot netwerkobjecten

245

New Reptkatiorr Group Wizard

ak 9W gg

-

EI

X

Review Settings and Create Replication Group

Reptroatiorr Group Type

You noleded the foflowrrrg settings for the new ,epticatiorr group. Sthe settirrgs aan correct. ddr Create to creute the new replcat,on group. To change a setting. click Preuious. or select the appropuate page in the onentatior, paoe.

Name and Domorrr Repteafon Group Memberu

Reptrcation group aettkrgs:

Topotogy Sldectroo

tRepication Group Name: Data PFSV1

Replication Group Sdiedule and Barrdwidth

Reptrcabon Group Deedptusa Repdcatie nou PFS Vi Data (F) met FF5 V2RegI (G:)

Prrrrary Menrber Folders to Reptcate Locio Path of F orr Other Merobeas Review Settings oud Create Reptication Group

Domein of Reptoation Group: PotiFoenalocat Ffephcation Group Merobam (2): PFS Vii PFSV2 Topology type: Put roeoh

Corrfirnration

List of cormedi000 (2): FFSV2-> PFSV1 ptrsvi -> PFSV2 Dofauti Cororedion Scheakde: Repticate ourdieuousty wtih Put baodwoflh

1 \\poliforrna.local\potrfonna iVi Replicatior,

Mernberships Corrrrndions Replicated Folders Delegatron 2eetdes

DataPFSV1 4. Domain System Volume

State

1

Local Path

1 Mereberuhi... 1

Mersrber

1

...

Replicated

1

Stagieg 0e...

8 Replicated Folders Fl2 items)

Afb. 5-82 Het

Fr\

Enabled

PFSV1

F

4.00G8

G\

Enabted

PFSV2

t'

4.00GB

tabblad Memberships van de replicatiegroep DataPFSVi

21 Bekijk de tabbladen Memberships, Connections en Replicated Folders. Controleer

de informatie op die tabbladen. De eerste replicatie kan even op zich laten wachten. Uit de informatie van afbeelding 5-81 weet u waarom.

5 De beveiligde toegang tot netwerkobjecten

247

Mogelijkheden

•Na het repliceren van AD is natuurlijk ook op DC PFSVi de replicatiegroep DataPFSVi aanwezig (afbeelding 5-83). Het kan overigens nodig zijn daarvoor alleen de Server Manager nogmaals te herstarten. OFS Management

-

0

X

PCj Fik Action Il5w Window Help

041 FI Ii QS NS Management

Da5aPF5VI (PoliFon,ma.local)

g Namespaces \\polfor.loar\poliforn-a Replloation 4 DatsPFSVS Dernain Systern Volume

l&o

Comomeolions Repked Fddets Detegstion

2 entnnm State

local Path

1 Mernbemship Status

1

Memben

1

Replicated Folder

x

t Staging

Qoota

Repliceted Folder F (2 items)

Afb. 5-83 De replicatiegroep DataPFSVi op DC PFSVi

•U kunt alsnog het repliceren geagendeerd laten plaatsvinden of het replicatieschema en de bandbreedte veranderen. Voor bijvoorbeeld geagendeerd repliceren, open je het snelmenu bij de replicatiegroep en kiest u voor de optie Edit Replication Group Schedule. U krijgt dan het dialoogvenster Edit Schedule voor u waarin u een en ander kunt wijzigen (afbeelding 5-84). Edit Schedule

Base schedofe 0fl: i Local time of meceiving moembee

0f) 0

2

4

6

8

10

12

14

16

18

20

22

24

&modag woensdag donderdag

zondag Bandwidth utage:

1 EssO

OK

Afb. 5-84 Het repliceren aanpassen

•Na de initiële replicatie is ook handmatig repliceren mogelijk. Dat kan twee kanten op. Kies daarvoor op het tabblad Connections van de replicatiegroep in het snelmenu van de bedoelde verbinding de optie Replicate Now. Daarop verschijnt het dialoogvenster Replicate Now. Een voorbeeld daarvan ziet u in afbeelding 5-85. Door daarin de optie Override schedule te selecteren, kunt u het repliceren forceren.

Netwerkbeheer met Windows Server

248

2019

Deel 2

X

Replicate Now Senctng membei Recewing mwnber

Cuewi

:

PFSV1

Nonn& schedtie

Bandt*h

o Onenide Ouration:

l5 ~es -

B&rdwtni.h usage:

pit

® Use ~ai schedtde Bandwinih usage: OK

LC

Afb. 5-85 1-let repliceren forceren •U kunt het repliceren in- of uitschakelen. Kies daarvoor op het tabblad Connections van de replicatiegroep in het snelmenu van de bedoelde verbinding de optie Enable respectievelijk Disable. Op dezelfde manier kunt u het repliceren voor een deelnemende server in- of uitschakelen op het tabblad Memberships van een replicatiegroep. •Via allerlei eigenschappenvensters kunt u verder de eigenschappen van de componenten van de ingestelde bestandsreplicatie aanpassen. 22

Sluit de beide servers correct af.

De replicatie van DC PF5V2 met PFSVi

In het vorige practicum heeft u gezorgd voor bestandsreplicatie van het datavolume PFSViData (F:) op DC PFS Vi met het volume PFSV2Rep1 (G:) op DC PFSV2. Ook voor het datavolume PFSV2Data (F:) op DC PFSV2 moet u uiteraard bestandsreplicatie instellen. Dat verzorgt u in de nu volgende opdracht.

Opdracht 5.4.2: DataPF5V2

£ 30 min.

In deze opdracht:

•Zorgt u voor bestandsreplicatie van het volume PFS V2Data (F:) op DC PFSV2 met DC PFSVi. Voor deze opdracht heeft u nodig:

•De DC's PFSVi en PFSV2 zoals geconfigureerd na het vorige practicum. •Het werkblad bij practicum 5.4.2 waarop u uw werkzaamheden vastlegt. •Tijd: ± 30 minuten.

5 De beveiligde toegang tot netwerkobjecten

249

Opd rachtinstructies

i Start de beide servers en log daarop in als domain Administrator. Een nieuwe replicatiegroep

2

Maak op DC PFSV2 de nieuwe replicatiegroep DataPFSV2 aan op een zelfde wijze als u DataPFS Vi heeft aangemaakt. Repliceer daarbij het volume PFSV2Data (F:) met het volume PFSV1Rep1 (G:).

3 Heb weer enig geduld en wacht tot de replicatiegroep op DC PFS Vi zichtbaar is (afbeelding 5-86). -

DFS Management

0

X

File Action Viem Window Help

, DFS Management Namespaces > v

Replicatioe

Name

\\PoliForma.local\PoliForma Replicetion

DataPFSV1

DataPFSVI

DataPFSV2

DataPFSV2

Domain System Volume

Domain System Volume

Afb. 5-86 De replicatiegroep is gerepliceerd naar PFSV1Rep1 (G:)

4 Herstart op DC PFSV2 de Server Manager en bekijk daarop de replicatiegroep DataPFSV2 (afbeelding 5-87). -

j DFS Management

Cl

X 4' X

File Action View Window Help

4. 4IjjI mm t

DFS Management

DataPF5V2 (PohForma.local)

Namespaces \\PoliForma.local\PoliForma Replication DataPFSV1

MmbewHps Connections Replcated Foldem Degalion 2entnes State

DataPFSVZ

4

Domain System Volume

1

Local Path

1 Membeeshi... 1 Mernber

1

Replicated ...

Staging Qu...

8 Repikated Folder Fl2 items) G:\

&abled

PFSV1

F

4.00GB

F\

Enabled

PFSV2

F

4.00GB

>

Afb. 5-87 De replicatiegroep DataPFSV2 op DC PFSV2

Sluit de servers correct af.

Netwerkbeheer met Windows Server 2019

250

Deel 2

U heeft nu fouttolerantie voor uw file service op het netwerk van PoliForma BV gerealiseerd: •Het datavolume op DC PFS Vi wordt wederzijds gerepliceerd met DC PFSV2. Daarvoor heeft u de replicatiegroep DataPFS Vi in gebruik. •Het datavolume op DC PFSV2 wordt wederzijds gerepliceerd met DC PFSVi. Daarvoor heeft u de replicatiegroep DataPFSV2 in gebruik. In de volgende opdracht test u de gehele constructie.

Opdracht 5.4.3: Test bestandsreplicatie

A xk 15 min.

In deze opdracht: Test u de geïmplementeerde bestandsreplicatie van PFSVi naar PFSV2 en omgekeerd. Voor deze opdracht heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na het vorige practicum. •Het werkblad bij practicum 5.4.3 waarop u uw werkzaamheden vastlegt. •Tijd: ± 15 minuten. Opdrachtinstructies

i Zorg dat u als domain Administrator bent ingelogd op de DC's PFSVi en PFSV2. 2

Maak op DC PFSVi een WordPad-bestand aan met een willekeurige inhoud en bewaar dit als een .rf bestand op het volume PFSViData (F:) met de naam TestBestandsreplicatie.

3 Open op DC PFS V2 vanuit het volume PFSV2Rep1 (G:) het bestand TestBestandsreplicatie.rtf. Door de replicatie moet dat daar voorkomen. Schrijf dit bestand vervolgens onder dezelfde naam weer weg maar dan op het volume PFSV2Data (F:). 4 Bekijk nu de inhoud van de volumes PFSViData (F:), PFSViRep1 (G:), PFSV2Data (F:) en PFSV2Rep1 (G:). Als alles correct werkt, moetje nu overal het bestand TestBestandsreplicatie. rtf aantreffen. 5

Sluit de beide DC's geordend af.

5.5 De toegang tot shared printers

In hoofdstuk 10 van deel 1 Inrichting en beheer op een LAN heeft u de printer PFPRi geïnstalleerd, gedeeld en gepubliceerd in de OU PFAfdelingen. De bijbehorende afdrukeenheid is geplaatst in de hal van het kantoorgebouw (afbeelding 5-88). Omdat u niet over de fysieke network enabled afdrukeenheid beschikt, heeft u de printer PFPRi gepauzeerd. Dit om allerlei foutmeldingen te voorkomen.

5 De beveiligde toegang tot netwerkobjecten

251

Rit Act.,, thee. HAp -

M. Oi&.oid 1

Lonal Senv,,

ii. Al] Se,vnm

ri

AD DS

T&

OHCP

£ ONS il File and Stort ie lis

J Acte..

D.r.ttnyo.ccc and Cempcten(PFSV1Peliroema.lon&] . SaoedQneont S POliFe,rrn local Cernp.terc Oeme.rConoolle,c Fcio5cco.tyPo,eee.lc , . M.nagedSar.ieeAcenurtn

'Pet Orgaeentierel helt Oiganaatierctl Uno Organdatienal One P~ O,ganaatienal U

,1

peSvl.pFeRn P,OPAl.,

t

x

O

"ee,

Ott.r pOen 00 non , de .t dAn9 0, OU con, de afdeling St OU one r de af dtïng Pl Bedient de HP Limiet 00 one. de torenS. 000ene de .tdel,ngA. OUnen, de afdeleigA.

G'ne.A M.ct,.d Ey

eEc Pnnt Snrn,oOe ii Remote Accel l WOS

[HP lee.A

PiRaat, P0

IB.deea de HP La.,deg 5200

çri.nnageal Poceg ,ee.d Ecento Sem—

1600

1

de

Pertomear OPA renalt

Afb. 5-88 Geïnstalleerd, gedeeld en gepubliceerd In deze paragraaf regelt u de toegang tot deze printer en zorgt u voor een gebruikersvriendelijke toegang. Tenslotte zorgt u dat in de werkplaats op een vergelijkbare manier gebruikers voorzien worden van gepaste printfaciliteiten.

Practicum 5.5.1: PFPRi

Al In dit practicum: 45 min.

Regelt u de beveiligde toegang tot de bestaande printer PFPRi. Voor dit practicum heeft u nodig: •De DC's PFS Vi en PFS V2 zoals geconfigureerd na de vorige paragraaf. •Werkstation PFWSi zoals geconfigureerd na de vorige paragraaf. •Het werkblad bij practicum 5.5.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 45 minuten. Korte practicuminstructies

Z_-— Shared printer

a Gebruik de AGDLP-strategie. Zorg er daarmee voor dat alle computergebruikers bij PoliForma BV - ook de domain Administrator - de bestaande shared printer PFPRi op hun werkstations kunnen gebruiken om hun werk af te drukken. b Zorg dat er voor alle computergebruikers bij PoliForma BV op hun werkstations automatisch verbinding met de shared printer PFPRi wordt gemaakt. c Test met een gebruiker via werkstation PFWSi. d Sluit werkstation PFWSi en beide DC's af.

Netwerkbeheer met Windows Server 2019

252

Deel 2

Gedetailleerde uitwerking van het practicum

Analoog aan NTFS-permissies zijn op printers print-permissies van toepassing. In dit practicum leert u die kennen en past u de AGDLP-strategie toe op printer PFPRi. 1

Start de beide DC'S en log daarop in als domain Administrator. Start op DC PFSVi de MMC Print Management, vouw in de tree daarvan uit zoals in afbeelding 5-89. Open in het detailvenster het eigenschappenvenster van de printer PFPRI en haal het tabblad Security voor u (afbeelding 5-89). Ho 000)00

VIOCO

-ISp

IIxI_uI OOM M.o.ço.t

al Codo.oF,ftm

1 »

G POlS

S 05007560110100

P.00C N.o.. QuaoSmo. k0)c.o,oft PootC 00F Roll, *Mio.00ltXPS Doo,OMMW,iIfl KoM) P.uod •PFPRI

D*eCN.m. Mk,o.oltPriah10000 63)0,01011 005 00000MoIW00004 HPUoionoI PnnOogPS

100010... )a.o,N.o,. 00501 000.» 0 P0501 001.9 0 0006100CM) 0

X

ö00001 00CPCCC G,.S 06.60) 100050

DowWC000 1000.17763.1 1000 177611 61220.1.23510

Pol. »00001013 050101100001

1601001.9.0015 »001

»U0PPLCA106N PICIM071 0Acoo»fl LAtosoGl.l5.0.10214044835139.2050412011,3127)»3164-)) MCCEA7000WI1ER MMs00000O'OUI0000\Pd.51ol.W.l vOo »?00100MMS.flOpS*O.,)

145

[i• IlSo

Poo.lSolvE P150

o

0 0

0 Cl 0

S--

..

0K

II

7.005

Jd»)

Afb. 5-89 De beveiliging van een printer Toelichting •Het tabblad Security van een printerobject werkt op dezelfde manier als u dat inmiddels gewend bent van NTFS-permissies. •Mogelijke print-permissies (sjablonen) zijn: - Print - Manage printers - Manage documents •Op dezelfde manier als bij NTFS-permissies is elke print-permissie opgebouwd uit elementaire machtigingen (tabellen 5-4 en 5-5). U kunt deze op dezelfde manier voor u krijgen via de knoppen Advanced en Edit en de link Show advanced permissions. •Ook het eigenaarschap kunt u bekijken en eventueel overnemen. De elementaire machtiging Take ownership bestaat en geeft ook hier de mogelijkheid om anderen print-permissies toe te kennen.

5 De beveiligde toegang tot netwerkobjecten

253

• Ook de print-permissie Special permissions kunt u op dezelfde wijze toepassen. • Op dezelfde manier als bij NTFS-permissies kunt u vinken plaatsen in de kolommen Allow en Deny. Ook open laten mag. De werking en reikwijdte kent u. Ook hier heeft Deny altijd voorrang op Allow. • Inheritance is bij een printer niet van toepassing. • Met de knoppen Add en Remove kunt u op dezelfde manier print-permissies toekennen aan een gebruiker of gebruikersgroep. Daarbij maakt het verschil of het een printer op een DC of op een niet-DC is. Op een niet-DC bestaan immers ook machine local users en groups. Elementaire machtiging Mogelijkheden De gebruiker mag een afdruktaak naar de printer sturen. De gebruiker kan de De[aultprinterinstellen en de eigen print jobs beheren. De gebruiker kan de printereigenschappen en de print-permissies Manage printers wijzigen. De gebruiker kan de printer verwijderen. Manage documents De gebruiker kan alle gespootde print jobs verwijderen, pauzeren en laten hervatten. De gebruiker kan de volgorde van afdruktaken wijzigen. Hiermee kunnende print-permissies die op de printer van toepasRead permissions sing zijn, worden bekeken. Hiermee kunnen de print-permissies worden gewijzigd. Change permissions Hiermee kan het eigenaarschap overgenomen worden. Take ownership

Print

Tabel 5-4 Elementaire machtigingen

Print

Print

Manage printers

x

x

x

Manage printers Manage documents Read permissions Change permissions Take ownership

Manage documents

x

x x x

x x x x

Tabel 5-5 Op het tabblad Security (afbeelding 5-89) ziet u dat er voor enkele gebruikers en enkele groepen standaard print-permissies staan ingesteld: • De system group Everyone heeft print-permissie Allow:Print. Die groep verwijdert u direct om de inmiddels bekende reden. • De system group CREATOR OWNER laat u met rust. • De domain Administrator en de builtin domain local groups Administrators, Print Operators en Server Operators beschikken standaard over alle print-permissies. Ook die laat u intact. Bedenk dat u in het kader van structureel beheer in onder andere hoofdstuk :

Netwerkbeheer met Windows Server 2019

254

Deel 2

- Uzelf en Fons Willemsen heeft toegevoegd aan de global group Domain Admins die op zijn beurt lid is van de builtin domain local group Administrators. Jolanda Brands en Peter Carprieaux lid heeft gemaakt van de builtin domain local group Print Operators. Al deze gebruikers beschikken dus over alle print-permissies. Standaard wordt het eigenaarschap van een printer toegewezen aan de system group SYSTEM (afbeelding 5-90). Voor het overnemen daarvan gelden dezelfde regels als bij NTFS-permissies. Het is bad practice om voor printers het eigenaarschap van SYSTEM te wijzigen. 0

Advanced Secooty Settings for PFPR1

>


Deonription

Organiootional Unit 01) voor de afdeling Vr Seourvy Group Dvrvvv Loost Toysogcgronp tot pv Organoational Unit Organiontionol Unit

OU voor de afdeling St

-

Printer

OU voor de afdeling Pr Bedient de HP LaserJet

,11 Directie

Organtontional Unit

01) voor de Directie

J Actvmnotinering 33 Adrniniotrotie

Orgevoational Uort

OU voor de afdeling A.

)timers

0r9nioationol Smit

OU voor de afdeling ST

PF5V1-PFPR1

Afb. 5-91 De domain global toegangsgroep 3 Haal zoals in afbeelding 5-89 het tabblad Security van het eigenschappenvenster van printer PFPRi voor u. Klik op de knop Add en voeg op de gebruikelijke manier de domain local group T_PFPRi toe. Selecteer de groep T_PFPRi in de lijst Group or user names. Stel zo nodig print-permissie Allow:Print in. Verwijder de system group Everyone uit de lijst. Vergelijk met afbeelding 5-92. Herstel als dat nodig is. Klik nog op de knoppen Apply en OK. X

PFPR1 Proporties Gooeea

Sharing

Securtiy

Mvanced

Porto --

Cvlor Management

Device SofTutge

About

Group or user namen; ALLAJ°PLICATION PACKPES

MA~ Lkrkrtown(S-1-15.3-1024-4044835139-265848204l-3l27973l64-32 &CREAT0R OWNER T_PFPRT POLIFORMA\T_PFPRT) Metidstrator MMrîiofxatoo ('OUFORMA\Mrritritstratoms) I&Semveropecators

0UF0RMA\Senver0peratoes)

L

Md. Aow

Pertrosetons for T_PFPRT

Reomove Deny

21D D 0

Print Manage this portIer Monage docoorrertts Special perrrris&orrs

For opedat perrrdssi008 or odoerrced ontUngs. click Mvanced.

OK

Afb. 5-92 Ingestelde print-permissies

Advanced

Netwerkbeheer met Windows Server 2019

256

Deet 2

De toegang effectueren

Nu nog de toegang effectueren. Om alle gebruikers lid te maken van de toegangsgroep kunt u de domain global group Domain Users inzetten. Daarvan zijn alle gebruikers van PoliForma BV lid. 4 Haal het tabblad Members van het eigenschappenvenster van de domain local group T_PFPRi voor u. Klik op de knop Add en maak op de gebruikelijke manier de global group Domain Users lid (afbeelding 5-93). Klik nog op de knoppen Apply en OK. Sluit op DC PFSVi alle vensters.

General Mebe,

X

?

T_PFPR1 Propert~

Mer,,brOf ManaQed By

Me,ebe,,: Name

Domme User,

Md

Adive Dweetory D~ Sereicen Folder PoFoaJocaVUsam

Ré eTl

OK

Cancel -

ppIy

Afb. 5-93 Alle gebruikers zijn indirect lid van de toegangsgroep De gebruikersvriendelijke toegang

Zoals u in de vorige paragraaf een drive mapping als een voorkeurinstelling in een GPO heeft ingesteld, zo kunt u dat ook met printers. Omdat iedereen van de printer PFPRi gebruik mag maken, brengt u de instelling aan in een GPO dat op alle gebruikers van toepassing is. Het GPO PFBeheerdersGPO is daarvoor geschikt. Dat is immers van toepassing op alle gebruikers inclusief de beheerders. De enige die hier buiten valt is de domain Administrator. s

Open het venster Group Policy Management Editor van het GPO PFBeheerdersGPO. Open in de tree de container User Configuration\Preferences\Control Panel Settings (afbeelding 5-94). Selecteer in de tree de container Printers (afbeelding 5-94).

5 De beveiligde toegang tot netwerkobjecten

f

257

Group Pohsy Management Editor

-

0

X

Fik AnImo Vinse Help

4.41 t L].l Û 1 w

1

u=

1 IQ

+

PFlaheerdersGPø (PF5V1.POLIFORMALOCAL) Policy

v IS ConspotorConfigotatien Polinien

Printers

Preferencen v £ Ster Configoration

Name

Order Action

Pr000ssing

> 2 Petities

There are no items to show in this viow.

Preferences Windows Sattings J Control Panel Settings Data Sources Decrces

(4 Folder Options $ Internet Settings

23 Local

Users and Groups

Network Options

sm Power Options Ptintaw

Desunpbon No pobnion solnotnit

• Regional Options Schedulad Tanks Start Menu

, \Pcns

nrd

Printers

Afb. 5-94 Printers in de Control

Panel Settings

U voegt vervolgens de printer PFPRi toe. Dat is een gedeelde printer. 6 Open in het detailvenster het snelmenu. Klik op de optie New en Shared Printer. Het venster om een printer toe te voegen verschijnt. Vul de uitschuiflijst Action met de optie Create. Klik op de knop achter het tekstvak Share path en browse naar de gepubliceerde printer PFSVi-PFPRi. Vergelijk de instellingen met die uit afbeelding 5-95. Herstel als dat nodig is. Klik nog op de knoppen Apply en OK.

Netwerkbeheer met Windows Server 2019 Deel 2

258

New Shared Printer Properhes General Coemron

- Delete all ohared printer corereobons Shared printer \r?FSV1rFpR1

Share palb:

D Set tNs printer 00 Via default printer... ooit ifa local printer n not present

Map to local port (optonaD Local port: Reconnect Unrnap at local porto

T:oK

lrc000alhi

t

HeIDI

De printer als een voorkeurinstelling

Afb.

In het venster New Shared Printer Properties kunt u de printer als de default printer instellen. U doet dat niet omdat iedereen die over de print-permissie Allow:Print beschikt dat zelf kan instellen. De printer is inmiddels als een voorkeurinstelling in het detailvenster verschenen (afbeelding 5-96). -

jg Groep Pelicy Management Editor

0

X

File Action View Help

0

1

I Dl

1Pee1 §

1

PFteheerdertGPO PFSV1.POLIFORMA.LOCÂLI Policy ContputerConfigoration

Name PFPR1

Order Action Path

Default

1 Create \\PFSV1\PFPRI

No

Policien Prefereeces

t

UuerConfigoratioe

L

Policien

. Preferent j \Vindowt Settings v Control Panel Settings Data Seorces

cv Senicas

Folder Optiont internet Settinge Local Seen and Groups Nelwork Optiono Power Optïone Printere Regionol Options SchedulndTasko Start Menu Extended Loot changed: 20-4-201920:36:51

Afb. 5-96 Printer ingesteld 8 Sluit het venster Group Policy Management Editor. Actualiseer op DC PFS Vi de policies met het commando gpupdate. Sluit daarna het venster Command Prompt of Windows PowerS heil.

5

De beveiligde toegang tot netwerkobjecten

259

Testen

Uiteraard test u met een geschikte gebruiker. Daarbij moet u mogelijk weer twee keer inloggen. 9 Start werkstation PFWSi en log in als gebruiker Wiel Nouwen.

Log uit en log opnieuw weer in als Wiel Nouwen. Open op de desktop een nieuw Rich Tekst Document. Druk dat document af via File, Print en Print. U ziet dat er voor Wiel Nouwen automatisch een verbinding is gemaakt met de gedeelde printer PFPRi(afbeelding 5-97). Wiel Nouwen kan printer PFPRi dus gebruiken. Zo nodig kan er even gebruik worden gemaakt van de knop Find Printer. Print

X

Generol Select Printer PFPR1 on pfsvl

> Status:

fl Print

Peooed

Locabon:

Hafltsetoorgebouw

Come,t

Sedert de HP LaserJet 5200

to ete Leences

1

1 EM P(rler...

Page Range Al Sded.,on

0Pogen

Niinberct co~: li

WI

Cu,rernt Page

1 1-95115

Colate

Enten ether a single page nunbenora single page range. Pore,senple. 5-12

[c1

Afb. 5-97 De verbinding met de gedeelde printer voor Wiel Nouwen 10 Sluit op werkstation PFWSi alle vensters.

Sluit werkstation PFWSi af. Sluit de beide DC's af. De printomgeving voor de werkplaats

U werkt nu de printomgeving bij PoliForma BV af, door voor de werkplaats een aparte printer te installeren.

Netwerkbeheer met Windows Server 2019

260

Deel 2

Opdracht 5.5.2: Werkplaats

Aal min. In deze opdracht: 20

Zorgt u voor de gebruikersvriendelijke toegang tot de printomgeving in de werkplaats. Voor deze opdracht heeft u nodig: •De DC'S PFSVi en PFSV2 zoals geconfigureerd na het vorige practicum. •Werkstation PFWSi zoals geconfigureerd na het vorige practicum. •Het werkblad bij opdracht 5.5.2 waarop u uw werkzaamheden vastlegt. •Tijd: ± 20 minuten. Opd rachtinstructies

In de werkplaats heeft u een network enabled afdrukeenheid geplaatst. Die printer PFPR2 heeft u in opdracht 10.5.1 van deel 1 Inrichting en beheer op een LAN geïnstalleerd op printserver PFSV2 en gepubliceerd in AD in de OU Fabricage. Alle directieleden en leden van de afdelingen Staf, Productie en Fabricage mogen deze printer gebruiken. De overige medewerkers mogen de printer niet gebruiken. 1

Zorg dat alleen voor de collega's voor wie de printer bedoeld is bij het inloggen automatisch een verbinding met de printer tot stand wordt gebracht.

2 Bespreek de totale geïmplementeerde printomgeving met uw docent.

3 Sluit alle machines gecontroleerd af.

5.6 De effectieve permissie

In het voorgaande heeft u gewerkt met share-, NTFS- en print-permissies. U heeft ook gezien dat share-permissies van een geheel andere orde zijn dan de overige. Bij het instellen van NTFS- of print-permissies speelt het eigenaarschap een rol. Afhankelijk van de aard van het netwerkobject kan ook het overerven een rol Spelen. Bovendien kunnen permissies verkregen worden door het lidmaatschap van verschillende groepen. In het voorgaande is daarop al gewezen. Het effect daarvan heeft u ervaren. Wat het uiteindelijke toegangsniveau voor een gebruiker tot een netwerkobject is, wordt de effectieve permissie voor die gebruiker genoemd. Als u permissies op een netwerkobject heeft ingesteld en bij het testen komt er een onverwacht resultaat, dan kunt u die effectieve permissie laten bepalen. Die wordt u getoond in de vorm van elementaire machtigingen. Vaak helpt het u het onverwachte resultaat te verklaren. Daarop kunt u dan zaken aanpassen.

5 De beveiligde toegang tot netwerkobjecten

Practicum 5.6.1: Effectief 15 min.

In dit practicum: Bekijkt u de effectieve permissie van gebruikers voor verschillende netwerkobjecten. Voor dit practicum heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na de vorige opdracht. • Het werkblad bij practicum 5.6.1 waarop u uw werk vastlegt. •Tijd: ± 15 minuten. Korte practicuminstructies a Bepaal de effectieve permissie van Dirk Bogert op de folder F:\AfdelingsFolders\ AfdelingAdministratie. Noteer deze op het werkblad. b Bepaal de effectieve permissie van Floris Flipse op printer PFPR2. Noteer deze op het werkblad. c Sluit de beide DC's correct af. Gedetailleerde uitwerking van het practicum In dit practicum bekijkt u voorbeelden van de effectieve NTFS- en print-permissies. Telkens zijn daarbij twee zaken van belang: • Het netwerkobject bepaalt de soort permissies. • De gebruiker waarvan u de effectieve permissies wilt zien. 1

Log op beide DC's in als domain Administrator. De effectieve NTFS-permissie

NTFS-permissies zijn van toepassing op NTFS-volumes, -mappen en -bestanden. 2

Haal via File Explorer de inhoud van de map F:\AfdelingsFolders voor u. Open in het detailvenster het eigenschappenvenster van de folder F:\AfdelingsFolders\AfdelingAdministratie. Haal het tabblad Security voor u. Klik op het tabblad Security op de knop Advanced. Haal van het verschenen dialoogvenster Advanced Security Settings for AfdelingAdministratie het tabblad Effective Access voor u (afbeelding 5-98).

261

Netwerkbeheer met Windows Server 2019

262

[

D

Advanced Secority Settings for AfdngAdniniutrotie

Name

F\AfdolingsFolderAAfdelingAdrninistratie

Ownen

Adrninistrato,s (POLIFORMA\Adroinistrators) 19Change

Perrnissions

Share

Aodit,ng

Deel 2

X

EffectroeAccess

Effective Accent aliows you to view the effective perwissions for a user, group, or device account. 1f the account isa member of domain, you cao also evaluate the impact of potential additioos to the secuoty token for the account. When you evaluate the impact of adding u group, any group that th intended group isa rnember of must be added separately. Userf Group:

Select 0 ure, Inciode group rnernbership

Device

ClirkAdd ttro,o

-

Add itrrvsj

Select a device Inciude group rrrerobership

ClickAdd itev,t

dd bom

Include a user cls:m Includr a daice cla:rv

OK

Cancel

bpyIv

Afb. 5-98 Effectieve permissie U heeft nu bepaald van welk netwerkobject u de effectieve permissie wilt bekijken. Nu moet u bepalen voor welke gebruiker u de effectieve permissie wilt zien. Dirk Bogert werkt op de afdeling Administratie. 3 Klik op de link Select a user en voeg op de gebruikelijke manier het user account van Dirk Bogert toe. Met de lijst Inciude membership kunt u de effectieve permissie van de gekozen gebruiker bepalen als lid van een bepaalde groep. Die groep moet u toevoegen met de knop Add items achter de lijst. 4

Klik op de knop View effective access om de effectieve permissies te laten bepalen. U ziet de elementaire machtigingen van Dirk Bogert op de folder F. \AfdelingsFolders\AfdelingAdministratie op DC PFSVi (afbeelding 5-99). Let daarbij op de melding in de kolom Access limited by.

5 De beveiligde toegang tot netwerkobjecten

263

Advanued Security Settings for AfdelirrgAdnrinistratie

0

N,roei

Fd,AfdelingsFolderAAfdelingAdr,rinistratie

Owrieri

Aderirristrators (POLIFORMA\Administrato,$) 19Change

Pernissions

Share

Auditing

X

EffectiveAccess

5ff ective Access aliows you to viewthe effective permmssions for a user, group, or device account. 1f the account isa member of domain, you can also evaluate tbc impact of potential additions to tbc security token for tbc account. When you evaluate the impact of ad ding a group, any group that the irrtendod group is rnember of must be added separatnly. User/ Group

Dirk Bogert (Dir_Bog©Polifornra.loval)

Select auto,

leclode group membership

Doiicni

ii

Select a device lnclude group mnnrbership

J.Z4

Inciude auser claim Inulude a device claim VSeweffectiveaccms 5ff ective accesu

Perenission

Acceus limitent by

X

Full control

Share, File Permissions

Traverse folder/ mecute file List folder/ read data Read attribs,tes Read outended attributen Create files wete data Creote folders 1 appeod dato Write attnbutes

1

OK

1

Cancel

De elementaire machtigingen voor Dirk Bogert op Afb. F:\AfdelingsFolders\AfdelingAdministratie 5 Noteer het resultaat op het werkblad. Sluit alle vensters. Effectieve print-permissies

Nu u gezien heeft hoe u de effectieve permissie bepaalt voor een NTFS-object, zou u dat voor een printerobject zelf moeten kunnen. 6 Bepaal de effectieve permissie van gebruiker Floris Flipse op het printerobject PFPR2. Noteer het resultaat op het werkblad. Sluit de beide DC's op de gebruikelijke manier af.

5.7 De toegang tot andere netwerkobjecten In dit hoofdstuk heeft u een aantal permissies leren kennen. Alle hebben zij te maken met de toegangsbeveiliging tot netwerkobjecten. Voor de bijbehorende netwerkobjecten geven de permissies gestalte aan het proces van autorisatie. Zoals u inmiddels weet, gaat het er daarbij om wat een gebruiker met het netwerkobject mag doen. Met de permissies die in dit hoofdstuk zijn behandeld, krijgt u als net-

Netwerkbeheer met Windows Server 2019 Deel 2

264

werkbeheerder in de dagelijkse praktijk in elk geval te maken. Vooral de file service zorgt voor het bijna dagelijks werken met share- en NTFS-permissies. Veel netwerkobjecten kennen hun eigen permissiesysteem waarbij ook geldt dat elke permissie is opgebouwd uit elementaire machtigingen. In afbeelding 5-100 ziet u als voorbeeld de permissies die gelden voor de forward lookup zone PoliForma. local. PoliFormalocal Proporties Gwerd

7

Start of kjthority (S0

WINS

X

Name Seroen Secorfy

Zone Trane,s

Group or user names SELF

£L4otherrtroated Unern SYSTEM £&OosMnans (POLI ORMA'DrroMnUns) a&Oorearr Mnuno (POLIFORMA\Domen Mrrors) &Entepnse Mnioo (POLIFORMA\Foterprtse Mmkrs) L±d. Pemrortons for Everyooe

] L°°

Mow

1

Grey

D 2Ei

Ftcoot

Ei

Read Write &eate all chtd objecto Delete all chdd objeato

Ei Ei fl

Ei Ei Ei

v

For spedal penessions oradvanoed settirrgs. dick

OK

Afb. 5-100 Permissies op een forward lookup zone Ook die permissies - u zou ze DNS-permissies kunnen noemen - zijn opgebouwd uit elementaire machtigingen (afbeelding 5-101).

5 De beveiligde toegang tot netwerkobjecten

265

P,n,,ion EnKyfo, PoIFnrno.Ion,I

D

>(

P,inopoL AO1,,nti,t,d U,,o S&,nfopnnOp,I lyp Appli. 1«

~ Wly

o Foil oonUol o Li,t oont,nto

E Modify

DRood.1Iprop,d,o

DInoIid.fodwn000

oII prop,,fi,, EW,it,

0Dlte

ModIFy pnooiono

C,,ot, ollohild nbj,nt, 0Dd ,I1 nhdd objncto dnZon,Snop,ConMin, obj,n,

0O,I,f,,,btro, EJRood pomdoono

0DI,fodn,ZonoSoop,Contner objncfo

0Rood

DRd DS-I,PIR,pIinoFo,

PopodioO .IIp,npoioo

E:IWrt, ollp,opodi,o o Rood do do

JRead

[1 Rood

Cl Rood

S.IoPooy.Conpnt,rFor DS-KbTgfIinkRl ,noOS.boofX000nRDN

o Rood odonydod oWn,, odocydod

Wnto nooDh-bootif,nRDN

0Rood

Wnt, D5-L000lEffnotionodntiooTinr,

nooCOM-PortibonSeflink

Rood ,nnCOM-Unrt,trnk

0Rood

OFSR-CpRof,nonoo81

Rood nooOFSR-MornbnrRof000nneBL

Rood nooD -10 lEEf

OnodoonTirno

Rood nroDSl000lhnoydoTinro

0Wnf.

nnoDS-Lo IER onRnoydnldnrn

Rood nntoo-nnottnrodRy

0Rnd nooDN-DNSKERno0,d,

0Rood

Wntn ro,DNO-DNSKE Record,

0Wet,

nntdt-nnbnoOlTrontjt,on nd,-n,ncbffr.n,itic,

DRood tnoDNS-DNSEVReco,dS,tîtL

DRood DS-M,nrbor,FnrAoRokBL

DWritenroDNS-DNSYRecondS, ffTL

DRood OS-MnnebercOlRoonorProportyhietRL OK

Cononi

Afb. 5-101 Opgebouwd uit elementaire machtigingen Bij sommige permissies speelt het overerven een rol. Bij andere kan dat juist niet het geval zijn. Dat hangt van de aard van het netwerkobject af. Van veel netwerkobjecten wordt het tabblad Security verborgen. U krijgt dit tabblad dan voor u door in het menu View de optie Advanced Features te voorzien van een vink. Veel netwerkobjecten worden tijdens de inrichting van het netwerk automatisch aangemaakt. DNS heeft u bijvoorbeeld in de slipstream laten installeren tijdens de installatie van AD op de servers PFSVi en PFS V2. Daarbij werd automatisch de forward lookup zone Poliporma.local aangemaakt. Het eigenaarschap wordt dan doorgaans toegewezen aan SYSTEM.Zoals altijd kunt u het eigenaarschap als domain Administrator overnemen. Ook het bepalen van de effectieve permissie kan. Voor de meeste automatisch aangemaakte toegangsbeveiligingen geldt dat u er geen omkijken naar heeft. In het sporadische geval dat u er toch iets aan moet wijzigen, wordt studie vooraf sterk aanbevolen. Sterker nog: dat zal nodig zijn 2-H5

267

6 Backup en recovery

6.o In dit hoofdstuk

2_H6 Een belangrijke beheer- en beveiligingstaak bestaat uit het maken van backups. In het geheel van de IT-middelen zijn de data het belangrijkste. Hardware die het laat afweten, kunt u vervangen. Software die niet goed meer functioneert, kunt u opnieuw installeren en configureren. Zelfs een besturingssysteem zou u opnieuw kunnen installeren en met behulp van uw netwerkdocumentatie opnieuw kunnen configureren. Data die verloren zijn gegaan terugkrijgen, is echter praktisch onmogelijk. En data gaan verloren. Uw harde schijven waarop de data zijn opgeslagen, gaan bijvoorbeeld een keer stuk. Daarom moet u juist voor de bedrjfsdata extra veiligheidsmaatregelen treffen. Maar er is meer. Wat te doen als een server niet meer start en daarmee de continuïteit van uw dienstverlening in gevaar wordt gebracht? Opnieuw installeren en configureren met behulp van uw netwerkdocumentatie duurt in de praktijk meestal veel te lang. Als u dit hoofdstuk heeft bestudeerd en de practica en opdrachten heeft uitgevoerd, beschikt u over de volgende: A Kennis

•U kent de aspecten die met een ongestoorde file service te maken hebben en waar u verantwoordelijk voor bent (paragraaf 6.1). •U weet dat centrale opslag van data backup-procedures vergemakkelijkt (paragraaf 6.1). •U kent de vier vragen die bij het maken van een backup beantwoord moeten worden. U kent een aantal belangrijke overwegingen die van toepassing zijn op het maken van backups (paragraaf 6.1). •U kent backup soft- en hardware (paragraaf 6.2). •U kent enkele eigenschappen van de backup-voorzieningen in Windows Server 2019 (paragraaf 6.2). •U kent de verschillende backup-types (paragraaf 6.3). •U weet wat geagendeerde backups zijn. U weet hoe Windows Server Backup daarmee omgaat (paragraaf 6.3). •U kent het principe van het restoren van data (paragraaf 6.4). •U weet dat u het besturingssysteem met behulp van een geschikte backup kunt herstellen (paragraaf 6.4). •U weet dat u eenmalige backups kunt maken. U kunt benoemen waarom dat nodig kan zijn (paragraaf 6.5). •U weet dat u het maken van backups moet documenteren (paragraaf 6.6).

Netwerkbeheer met Windows Server 2019 Deel 2

268

B Vaardigheden

•U kunt in Windows Server 2019 de backup-voorzieningen installeren (practicum 6.2.1). •U kunt per volume het backup-type instellen (practicum 6.3.1). •U kunt het maken van geagendeerde backups naar wens instellen (practicum 6.3.1). •U kunt data restoren (practicum 6.4.1). •U kunt een system recovery uitvoeren met behulp van een geschikte backup (practicum 6.4.2). •U kunt op verschillende manieren eenmalige backups maken (practicum 6.5.1). •U kunt een bestaande set geagendeerde backups aanpassen of verwijderen (practicum 6.6.1). •U kunt formulieren ontwerpen voor uw netwerkdocumentatie om backups te registreren (opdracht 6.6.2).

6.1 Ongestoorde file service

Het is duidelijk dat gebruikers in hun werk in hoge mate afhankelijk zijn van een ongestoorde file service. Als netwerkbeheerder bent u daar verantwoordelijk voor. In deze paragraaf komen aspecten die daarop betrekking hebben aan de orde. U als netwerkbeheerder

De zorg voor een ongestoorde file service begint bij uzelf als netwerkbeheerder. •Zorg voor een behoorlijke fysieke beveiliging van de serverruimte: een goed slot op de toegangsdeur dus. Als kwaadwillenden zonder meer bij uw servers kunnen komen, maakt u het ze wel erg eenvoudig. •Voorkom onnodige ongelukken. Zorg in de serverruimte dat de bekabeling netjes is weggewerkt. Laat geen gereedschap slingeren. •Zorg dat stroomstoringen geen rampen kunnen veroorzaken. Installeer een UPS per server. De prijs mag geen bezwaar zijn. •Houd de serverruimte en de servers zelf schoon. Servers in dezelfde ruimte als schoonmaakmiddelen vertonen snel gebreken. Stof en vuil zijn uit den boze. •Zorg voor een goede klimaatbeheersing in de serverruimte. •Beveilig uw netwerk tegen indringers. Zorg voor bescherming tegen hackers, virussen, spam, spyware en dergelijke. Verderop in dit deel wordt hierop dieper ingegaan. •Verzorg uw aandeel in het rampenplan van uw Organisatie. Uw dienstverlening moet altijd kunnen doorgaan. Zorg dat u niet de enige bent die op de hoogte is van het rampenplan. Rampen wachten niet op uw aanwezigheid. •Zorg dat u deskundig bent. In geval van een ramp moet u niet alleen weten wat er moet gebeuren, u moet het ook kunnen uitvoeren. Zorg ook hierbij dat u niet de enige bent die dat weet en kan.

6 Backup en recovery

Centrale opslag

Backup-procedures zijn een onderdeel van het rampenplan. Die procedures worden aanzienlijk overzichtelijker als alle gebruikers hun documenten op een file server bewaren in plaats van op hun werkstations. In deel i heeft u centraal opgeslagen roaming profiles ingesteld om dit te bewerkstelligen. Samen met de home folders van de gebruikers en de afdelingsfolders heeft u die opgeslagen op het datavolume PFSViData (F:). Zelfs het prikbord uit het vorige hoofdstuk heeft u daar opgeslagen. Voor fouttolerantie repliceert u dat alles ook nog. Bedenk echter dat repliceren niet een volwaardig alternatief is voor het maken van backups. Tenslotte nog twee zaken die met de materie uit dit hoofdstuk te maken hebben maar bekend worden verondersteld: •U kunt op Windows-machines altijd gebruikmaken van restore points. •U kunt het maken van schaduwkopieën toepassen (deel i, hoofdstuk 7). Backups

Het maken van een backup is een vorm van het maken van een reservekopie. Bij het maken van elke backup zijn altijd vier vragen te beantwoorden: • Hoe moet de backup worden gemaakt? •Wat moet er in de backup worden meegenomen? • Wanneer moet de backup worden gemaakt? • Waarop moet de backup worden opgeslagen? Ten aanzien van het maken van backups zijn verder de volgende overwegingen van belang: • Het wijzigen van data De regelmaat waarmee data worden gewijzigd, bepaalt mede de backup-frequentie. Wordt bijvoorbeeld een bestand dagelijks gewijzigd dan volstaat het niet om eenmaal per week een backup te maken. Dat moet dan een of meer keren per dag. • De gevoeligheid van data De gevoeligheid van data voor de bedrijfsvoering is van invloed op de backup-frequentie en de manier waarop u backups maakt. Van gevoelige informatie wilt u wellicht dagelijks backups maken die gecodeerd worden opgeslagen. Van gevoelige informatie wilt u wellicht aparte backups bewaren die langer teruggaan dan de backups voor ongevoelige informatie. • De vereiste hersteltijd Afhankelijk van de gevoeligheid van data voor de bedrijfsvoering moeten data snel kunnen worden hersteld. Het online zijn van bijvoorbeeld de bedrjfsdatabase is er een voorbeeld van. Bij het plannen van backups moet u daarmee rekening houden. • De tijdstippen waarop u backups maakt Backups maakt u het beste op tijdstippen dat er zo weinig mogelijk gebruik van de data wordt gemaakt. Bekende tijdstippen daarvoor zijn de middagpauze, het

269

Netwerkbeheer met Windows Server 2019 Deel 2

270

einde van de werkdag en 's nachts. Weekenden zijn geschikt voor het maken van uitgebreidere backups. Het bewaren van backups Bij het bewaren van backups is de eerste stelregel dat u altijd een backup bij de hand moet hebben. Rampen kondigen zich immers niet aan. Met die backup moet u kunnen zorgen dat de bedrijfsvoering met een minimaal verlies aan tijd voortgang kan vinden. De tweede stelregel is dat rampen ook het bedrijfspand zelf kunnen treffen. Denk daarbij aan brand of inbraak. Daarom zorgt u ervoor dat van alle bedrijfsdata er minimaal één backup buiten het bedrijfspand wordt bewaard.

6.2 Backup-software en -hardware

Voor het maken van backups heeft u soft- en hardware nodig. Software

Zoals met alle software is ook backup-software in allerlei varianten te koop. Voor geavanceerde backup-oplossingen wordt in bedrijven vaak software als ARCserve, Acronis, Veritas of Iomega gebruikt. Deze programma's bieden uitgebreide mogelijkheden maar vereisen ook nogal wat kennis. In Windows Server 2019 is een eigen backup-programma ingebouwd: Windows Server Backup. Dit backup-programma gebruikt u verder in dit hoofdstuk. De belangrijkste kenmerken van Windows Server Backup zijn: •Windows Server Backup kan twee soorten backups maken: - De geagendeerde backups worden automatisch een of meer keren per dag op vooraf ingestelde tijdstippen gemaakt. - De eenmalige backups worden op uw initiatief gemaakt. •Afhankelijk van de soort backup kan Windows Server Backup deze opslaan op interne of externe harde schijven, op dvd's en in shared folders van andere machines. Het maken van backups naar tape wordt niet ondersteund. •Windows Server Backup is bij het maken van geagendeerde backups uitgerust met automatisch schijvenbeheer. Geagendeerde backups kunnen uitsluitend op aparte interne of externe harde schijven worden opgeslagen. Als een schijf voor geagendeerde backups in gebruik is, eigent Windows Server Backup zich die schijf toe. De schijf is niet meer bruikbaar voor andere doeleinden. Het is daarom dat u zo dadelijk eerst een nieuwe schijf in DC PFSVi installeert. Verder zorgt Windows Server Backup zo nodig voor vrije ruimte door oude backups te verwijderen. Over geagendeerde backups straks meer. •Windows Server Backup kan alleen backups maken van lokale NTFS-volumes, niet van FAT32-volumes. •Een met Windows Server Backup geschikt gemaakte backup kunt u gebruiken om een server te herstellen als deze bijvoorbeeld niet meer wil starten.

6 Backup en recovery

271

Windows Server Backup

Windows Server Backup start u via de gelijknamige optie uit het menu Tools van de Server Manager. Als u vervolgens in de tree op Local Backup klikt, krijgt u het venster van afbeelding 6-1 voor u. Windows Server Backup moet u eerst als een aparte feature installeren. Daarover gaat dan ook het eerste practicum van dit hoofdstuk. wbadwio - [Windows Series Backup (Local)[

-

0

>(

File Action View Help

'4IijI u mm Windows Server Backup (1 Local Backup

Windows Server Backup (Local) Backup your irnportant data to a local or onlirte location

Local Backup Back up your important files, applications, or entire server to a locaty

Q) Windows Server Backup is not instulled on this computer. To in, wizard to select the Windows Server Backup feature.

OnBne Backup

) Afb. 6-1 Nog niet geïnstalleerd

Practicum 6.2.1: Configuratie en installatie

15 min.

In dit practicum: • Brengt u een nieuwe schijf aan in DC PFSVi. •Installeert u Windows Server Backup op DC PFSVi. Voor dit practicum heeft u nodig: • DC PFSVi zoals geïnstalleerd en geconfigureerd na het vorige hoofdstuk. • Het werkblad bij practicum 6.2.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 15 minuten. Korte practicuminstructies

a Zorg in uw virtuele machine PFS Vi dat er een schijf is toegevoegd met een capaciteit van 500 GB. b Zorg dat op DC PFSVi de feature Windows Server Backup is geïnstalleerd. c Sluit DCPFSViaf.

Netwerkbeheer met Windows Server 2019

272

Deel 2

Gedetailleerde uitwerking van het practicum Breng in uw virtuele machine PFSVi een nieuwe harde schijf aan met een capaciteit van 500 GB. De wijze waarop u dat moet doen is afhankelijk van het systeem dat u gebruikt (VMware, HyperV, VirtualBox enzovoort). Raadpleeg zo nodig uw docent.

1

De backup-voorzieningen onder Windows Server 2019 moet u installeren via de Add Roles and Feature Wizard. 2

Start DC PFSVi en log in als domain Administrator. De backup-voorzieningen installeren

Er zijn twee manieren waarop u de backup-voorzieningen onder Windows Server 2019 kunt gebruiken: •Met het eerdergenoemde Windows Server Backup. Dat is te installeren als een aparte MMC en te starten via het menu Toois van de Server Manager. •Via varianten van het commando wbadmin die u invoert in het venster Cornmand Prompt of in Windows PowerS heil. U kiest voor de eerste methode. 3 Start vanuit de Server Manager de Add Roles and Features Wizard. Selecteer Role-based orfrature-based instaliation. Klik op de knop Next>. Selecteer server PFS Vi.PoliForma. local. Klik op de knop Next>. Klik op de knop Next> in het wizardvenster Select server roles. Selecteer in het wizardvenster Select features de feature Windows Server Backup. Klik op de knop Next>. Werk de wizard verder af met de knop Instail en na de succesvolle installatie met de knop Close. 4

Sluit DCPFSViaf.

Hardware Backup-devices bestaan er in allerlei soorten en maten. Hieronder vindt u de twee belangrijkste. • Tape- en DAT-devices Nog steeds worden devices die een magnetische tape gebruiken veel gebruikt voor het maken van backups. Tapes zijn onderhevig aan slijtage, kunnen breken of uitrekken. Dat komt de betrouwbaarheid niet ten goede. Dat ze desondanks nog het meeste worden gebruikt, komt door de prijs. De kosten per opgeslagen gigabyte zijn voor tapes verreweg het laagst.

6 Backup en recovery

Tapes gebruiken een tapeformaat. Veel gebruikte formaten zijn: - QIC(Quarter Inch Cartridges) - DLT(Digital Linear Tape) met de variant SDLT (Super DLT) - LTO(Linear Tape Open) Afhankelijk van het device, de tape en het toegepaste tapeformaat kan gecomprimeerd tot ongeveer i TB per tape worden opgeslagen. Voor echt grote backups worden vaak autoloaders gebruikt. Een autoloader of taperobot heeft een magazijn van tapes die automatisch worden gewisseld.

Afb. 6-2 Een SDLT-tape

• Harde schijven Harde schijven gebruiken voor het maken van backups heeft als nadeel dat het veel duurder is. Toch hebben ze tapes inmiddels bijna geheel vervangen. Het grote voordeel van harde schijven zit in de snelheid. Vooral bij het herstellen met behulp van een gemaakte backup speelt dit een rol. Harde schijven worden voor backup-doeleinden vaak toegepast in een RAID-opstelling of in een NAS.

Afb. 6-3 Een NAS

273

Netwerkbeheer met Windows Server 2019

274

Deel 2

Backup-hardware in uw testopstelling voor PoLiForma BV

Voor het maken van backups gaat u in uw testopstelling gebruikmaken van de derde harde schijf die u in practicum 6.2.1 heeft toegevoegd. Die derde harde schijf hoeft voor de practica uit dit hoofdstuk niet ingedeeld te zijn. Het bestaan ervan is voldoende.

6.3 Backup

Geagendeerd backups maken

De basis van het maken van backups is regelmaat. Daarom bestaat er in Windows Server Backup de mogelijkheid om dit geagendeerd te doen. Geagendeerd wil zeggen, dat u opgeeft met welke frequentie het ingestelde backup-proces (wanneer, hoe, wat en waarop) moet worden uitgevoerd. Windows Server Backup zorgt dan voor de rest. Het enige waarvoor u daarbij moet zorgen, is dat de schijf of schijven waarop de backup moet worden opgeslagen op de machine beschikbaar is of zijn. Een goed ingestelde set geagendeerde backups onder Windows Server Backup voorziet in de meeste behoeftes. In paragraaf 6.4 zult u zien dat u er het volgende mee kunt: •Tot op bestandsniveau restoren. •Een server herstellen als deze niet meer wil starten. Eerst het instellen van een set geagendeerde backups. Windows Server Backup heeft er een aparte wizard voor.

Practicum 6.3.1: Geagendeerd 90 min.

In dit practicum: •Stelt u in Windows Server Backup de performance settings in. •Stelt u een set geagendeerde backups in. •Laat u de set geagendeerde backups met gewijzigde omstandigheden enkele malen uitvoeren. Voor dit practicum heeft u nodig: •DC PFS Vi zoals geconfigureerd na het vorige practicum. •Het werkblad bij practicum 6.3.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 90 minuten. Korte practicuminstructies

a Stel op DC PFSVi voor alle volumes incrementele backups in. b Stel het geagendeerd maken van backups in: •Laat alle volumes in de backup meenemen. •Laat de eerste backup over minstens een kwartier vanaf nu beginnen. De tweede begint een half uur na de eerste.

6 Backup en recovery

275

•Laat de backup opslaan op de nieuwe schijf die u in practicum 6.2.1 heeft aangebracht. c Maak op DC PFS Vi de map F:'iBackup Test aan. Plaats daarin twee .rtf.bestanden met een willekeurige inhoud. Noem de bestanden Test.rtf en Proef rtf. d Wacht tot de eerste backup is gemaakt. Stel daarna het backup-type van de gemaakte backup vast en noteer deze. e Verwijder het bestand Proef rtf uit de map F:\Backup Test definitief van schijf. f Wacht tot de tweede backup is gemaakt. Stel daarna de backup-types van de laatste backup vast en noteer deze. g Verwijder de map F:\Backup Test definitief van schijf. h Maak in AD een gebruiker aan met als user logon name Stagiair en password Leer/ingi. i

Sluit DCPFSViaf.

Gedetailleerde uitwerking van het practicum

Omdat het de eerste keer is dat u Windows Server Backup gebruikt, moet u voor het maken van de eerste backup Windows Server Backup configureren. 1

Start DC PFSVi en log daarop in als domain Administrator. Start de MMC Windows Server Backup vanuit het menu To als van de Server Manager. Het venster Windows Server Backup staat voor u (afbeelding 6-4). wbdesin . (Windows Server Backup (lool)J File Action View Help

(s Windows Server Backup (Loost mooi Backup

Windows Server Backup (Local) Backup your important data to a local or onhine location

Loost Bsckssp Loot BscsspStstuo Not Bsokup liroe: Nur.sbor of ovoiloble bsokupn:

Afb. 6-4 De MMC Windows Server Backup

Netwerkbeheer met Windows Server 2019 Deel 2

276

In het detailvenster van het scherm ziet u dat u nog geen backup met dit programma heeft gemaakt. De performance settings Voordat u een set geagendeerde backups gaat instellen, configureert u eerst de performance settings van Windows Server Backup. 2 Klik in het venster van afbeelding 6-4 in de tree op de container Local Backup. Klik vervolgens op de optie Configure Performance Settings uit het menu Action. Voor u verschijnt het dialoogvenster Optimize Backup Performance (afbeelding 6-5). i

X

Optimize Backup Performance

Byourhados 000tain fut volume,. you cao manege future performance by choosreg we of the fotownrg settings. V the backup corrtains onty the system state neafile erfekter. these settings are not appfed.

®

Noimat backup performance Ihe thee to mate the backup is proporternis to the ene of the data behrg backed up.

o Faster backup performance iscrease the backup speed byysst tracking the changes between the tast and orrenet backup. TNo ,,right reduce disk ttrrnoghput nn volumes hrmbrded er the backup. Ns option in not reconnnended for seesers wfh diskntensme operstions. o Custom Configure each volume separotety ff poo have certain volumes that have diministenisve operations. Volume

Backup Option

Syuterrr Reserved

Ft. backup

PohForrnaWDti (J)

Fuf backup

PFSV1RepI(G:)

Fslbackcp

o Afb. 6-5 Hoe FAT32-volumes worden niet getoond en zijn ook niet voor u te krijgen. De instellingen die u in het dialoogvenster van afbeelding 6-5 kunt configureren, hebben verder te maken met het backup-type. Backup-types Met het backup-type bepaalt u hoe de backups zullen worden gemaakt. Backup-types werken bij de gratie van het archiefbit. Het archiefbit is een bestandskenmerk dat gebruikt wordt om een backup-programma te laten weten of het bestand nieuw of gewijzigd is. Bij een nieuw bestand of als een bestand wordt gewijzigd, wordt het archiefbit altijd ingesteld. Als u het archiefbit van een bestand wilt zien, gebruik dan het commando attrib in het venster Command Prompt of Windows PowerS heil. De volgende backup-types zijn mogelijk. Of een backup-programma een backup-type ondersteunt, is een ander verhaal. In dit verband kent Windows Server Backup zijn beperkingen.

6 Backup en recovery

•Normal Kopieert alle bestanden uit de selectie ongeacht hun archiefbit en verwijdert voor alle bestanden het archiefbit. Een backup gemaakt met dit type wordt ook wel een full backup of een volledige backup genoemd. Gebruikt u uitsluitend volledige backups en moet u een beroep doen op uw backups, dan hoeft u uitsluitend de laatste volledige backup terug te plaatsen. Dat is dus simpel. Bedenk wel dat u telkens alles in de backup meeneemt. Dat kost veel tijd en doorgaans erg veel ruimte op het backup-opslagmedium. Met Windows Server Backup kunt u full backups maken en terugplaatsen. •Copy Als Normal behalve dat de instelling van het archiefbit niet wordt gewijzigd. Dit backup-type wordt zelden gebruikt. Het is vooral bedoeld voor situaties waarin u een exacte kopie wilt terugplaatsen op een andere machine. Copy is in Windows Server Backup niet beschikbaar. • Incremental Kopieert alle bestanden uit de selectie waarvan het archiefbit staat ingesteld en verwijdert het archiefbit daarna. In de backup worden alle bestanden meegenomen die sinds de vorige Normal of Incremental backup zijn gewijzigd of toegevoegd. Incrementele backups werken dus in combinatie met een volledige backup. Met Windows Server Backup kunt u incrementele backups maken en terugplaatsen. Bij het maken wordt de combinatie van volledige backup en incrementele backups door Windows Server Backup automatisch onderhouden. Dat gebeurt per volume. Bij het terugplaatsen hoeft u alleen nog maar de datum te kiezen. Maakt u per dag meer dan één incrementele backup dan moet u ook het tijdstip op die dag kiezen. Die zo gekozen situatie wordt dan automatisch en volledig hersteld. • Differential Kopieert alle bestanden uit de selectie waarvan het archiefbit is ingesteld en laat het archiefbit ongewijzigd. Ook differentiële backups werken in combinatie met een volledige backup. Differentiële backups worden per keer groter omdat het archiefbit niet wordt gewijzigd. Per keer kosten differentiële backups dus ook meer tijd en opslagruimte. Het herstellen gaat echter snel. Differential is in Windows Server Backup niet beschikbaar. •Daily Kopieert alle bestanden die nieuw of gewijzigd zijn op dezelfde dag als het backup-proces wordt uitgevoerd. Daily is in Windows Server Backup niet beschikbaar. U stelt de performance settings in. Daarmee geeft u aan hoe de backups gemaakt moeten worden. Dat instellen kunt u desgewenst per volume. Voor een snelle afhandeling en om ruimte op de backup-media te besparen, stelt u voor alle volumes incrementele backups in.

277

Netwerkbeheer met Windows Server 2019

278

Deel 2

3 Selecteer in het dialoogvenster Optimize Backup Performance van afbeelding 6-5 de optie Faster backup performance. Ondanks de keuze voor incrementele backups zal de eerste keer een full backup worden gemaakt. Dit komt niet alleen omdat voor alle bestanden het archiefbit nog ingesteld staat. Het systeem van incrementele backups werkt, zoals u hiervoor las, met een volledige backup en wijzigingen.

Vss De VSS (Volume Shadow Copy Service) zorgt voor het maken van schaduwkopieën. Schaduwkopieën zijn nodig om ook bestanden die door applicaties in gebruik zijn in een backup te kunnen meenemen. Als u voor het maken van incrementele backups kiest, worden de schaduwkopieën per volume opgeslagen en bijgehouden. Als u voor full backups kiest, worden de schaduwkopieën per keer opnieuw gemaakt. 4 Klik op de knop OK in het dialoogvenster Optimize Backup Performance. U heeft nu ingesteld hoe backups zullen worden gemaakt. Geagendeerde incrementele backups

U vervolgt met het instellen van de set geagendeerde backups. 5 Klik op de optie Backup Schedule in het menu Action. Voor u verschijnt het welkomstvenster Getting Started van de Backup Schedule Wizard. 6 Klik op de knop Next>. In het wizardvenster Select Backup Configuration moet u instellen van welke volumes u een backup gemaakt wilt hebben. U bepaalt nu dus wat u in de backup meeneemt. U kunt kiezen uit Full Server (alle volumes) of Custom (instellen welke volumes) (afbeelding 6-6).

6 Backup en recovery

279

Backup Schecue

tip

Select Backup Configuration

Getting Stmted Select taekccp (eraf gurat..

Specify Backup Time

What type of configuration do you want to schedule? ® Full server (recommended) 1 want to back up all my server data, applications and system State. Backup time 1168 GB

Specify Destination Type Confirmation

0Custom t want to choose custom volumes, files for backup.

Summary

Afb. 6-6 Wat U kiest hier voor Full Server. Dat is de meest uitgebreide variant waarin onder andere ook de system state wordt meegenomen. Over de system state later meer. 7 Selecteer zo nodig Full Server (recommended). Klik op de knop Next>. Vervolgens verschijnt het wizardvenster Specfy Backup Time (afbeelding 6-7). U moet instellen wanneer de backup moet worden gemaakt.

Netwerkbeheer met Windows Server

280

2019

Deel 2

au Backup ScheduleWizard

Specify Backup Time

Getting Started Select Backup Configurat.. Specify Backup Time

Specify Deutination Type Confirmation

How often and when do you want to run backups? ® Oncea day Select time of day 21

0 More than once a day Click an available time and theo click Add to odd it to the backup schedule. Available tnne

Scheduled time

00:00 00.30 01:00 01:30 02:00 02:30 03:00 03:30 04:00 04:30

21:00

Summary

c Prrvious

Cancel

1

Afb. 6-7 Wanneer Ingesteld staat dat er één keer per dag om 21.00 uur een backup gemaakt zal worden. U wijzigt dit om effecten zo snel mogelijk te kunnen bekijken. 8 Selecteer More than once a day. Selecteer in de kolom Scheduled time de ingestelde 21.00. Klik op de knop Remove. Let wel. U heeft nu nog io tot 15 minuten nodig om deze wizard af te werken. Daarmee rekening houdend bepaalt u het voor u op dit moment dichtstbijzijnde komende hele of halve uur. Dat tijdstip wordt verder Y genoemd. De datum van vandaag wordt verder X genoemd. In de afbeeldingen van dit boek is X gelijk aan 24-04-2019 en Y gelijk aan 7.30 uur. 9

Noteer de voor u geldende datum X op het werkblad. Noteer het voor u geldende tijdstip Y op het werkblad. Selecteer vervolgens tijdstip Y in de kolom Available time. Klik op de knop Add. Selecteer ook het tijdstip Y+30 in de kolom Available time. Klik op de knop Add om ook dat tijdstip toe te voegen. Vergelijk met afbeelding 6-8 waarin u uw tijdstippen moet zien. Herstel als dat nodig is. Klik op de knop Next>.

6 Backup en recovery

te Backup

281

Schedule Wizard

Specify Backup Time

Getting Started Select Backup Coofigurat...

Howoften and when do you o,act to run backups?

0Oncea

day

Selecttimeofday.

Spec:fv Backup Tivro

® More than unce a day

Specify Destination Type

Click an available time and theo click Add to add It to the backup schedule.

Confirmation

Availabletime

Scheduled time

04:30 05-00 05:30 0000 0030 07:00 0&30 05-00 05-30 15-00

07:30

Summary

Addo 'cRemove

L

Cancel

-

Netwerkbeheer met Windows Server 2019 Deel 2

282

io Selecteer in het wizardvenster zo nodig de optie Back up to a hard disk that is dedicated for backups (recommended). Klik op de knop Next>. Klik in het volgende wizardvenster Select Destination Disk op de knop Show All Available Disks. De nog niet ingedeelde harde schijf in DC PFSVi moet nu zichtbaar zijn in het verschenen dialoogvenster Show All Available Disks (afbeelding 6-1o). Show All Available Disks

>(

On the svzaul page (by defauft). onbr the disk you ore most tkelylo uee is showe. Ii the lat below, at the disks that are attached to tIis server ore shown. bulk l,ternul oud e,dervul disks. The let erectudea ceticel drsks that conlaat systern Idee, and shdierslraerd volume disks. Seled the check box lor o disk to make t appear h the list of ovailable disks er the wicard page. Avahable dekt: Clek 2

Name

Size

Uved Space

1/BOX HASIODI.

500.00 GB

0 K

Volume„

Ok

Cancel

Afb. 6-10 De beschikbare schijven voor de geagendeerde backups ii Plaats in de lijst Available disks een vink voor de nog niet gebruikte en nog niet ingedeelde harde schijf. Klik op de knop OK. De geselecteerde schijf is toegevoegd in het wizardvenster Select Destination Disk van afbeelding 6-11.

6 Backup en recovery

283

>


Cancel

Afb. 6-58 Wijzigen of verwijderen Toelichting •Door Stop backup te selecteren, beëindigt u het maken van de geagendeerde backups. De schijf die voor het maken daarvan was gereserveerd, wordt daarna vrijgegeven. •Door Modify backup te selecteren, kunt u de bestaande set geagendeerde backups anders configureren. 2

Selecteer dus zo nodig Modify backup. Klik op de knop Next>. Nu de keuze maken tussen Full Server en Custom. Omdat het maken van een backup van een backup hier overdreven is, neemt u het volume Backup Once (K:) niet op. Ook het backups maken van de images op het volume PoliFormaWDS(1:) is niet nodig. Als u daarvan ergens een backup hebt liggen is dat voldoende.

3 Selecteer in het venster Select Backup Configuration dus de optie Custom. Klik op de knop Next>. Het wizardvenster Select Items for Backup verschijnt (afbeelding 6-59).

6 Backup en recovery

321

tg Backup Schedule Wizard

X

Select Items for Backup

ModifyScheduled Backu... Select Backup Configurat... Select lteroo for Sokop

Select the items that you want to back up. Selecting bare metal recovery will provide you witlt the mest options 1f you need to peaform a recovery. Name

Specify Backup Time System state

Specify Destination Type

PPSV1Appl (H:) Confirmation

PF5V1 Data (1f:) BPFSVlRepI (Dr)

Summary

BPFSVlSyst (C) BPoliFormaWDS (1:) System Resesved

ArM Items

1

Reinove Items

[ Advanced Settings

« Previous

Afb. 6-59 Opnieuw

Next>

Cancel

wat

4 Selecteer de optie Bare metal recovery. Kijk op de knop Remove Items. Verwijder ook het volume PoliFormaWDS (1:). Kijk op de knop Next>. Vervolgens de gewijzigde tijden instellen in het wizardvenster Specify Backup Time dat u ook al eerder zag. 5

Verwijder de tijdstippen Y en Y+30 uit de lijst Scheduled time. Voeg er uw tijdstippen aan toe. In dit boek zijn dat dus 2.00 en 5.00 uur. Kijk op de knop Next>. Het wizardvenster Specify Destination Type verschijnt (afbeelding 6-6o).

Netwerkbeheer met Windows Server 2019

322

Deel

2

j.p Backup Schedule Wizact

4 Specify Destination Type

Modify Scheduled Backu,..

Where do you want to store the backup,?

Select Backup Configurat...

® Back up to a hard disk that is dedicated for backups (recommended)

Select Items for Backup

Choose this option for the safest way to store backups. The hard disk that you use wil beformotted and then dedicated to only store backups.

Specify Backup Time Specify Deshvztion Type

Keep or Change Backup Conf'urmation

o Back up to a column Choose this option if you cannot dedicate an entire disk for backups. Note that the performance of the volume may be reduced by up to 200 percent while it is used to store backups. We recommend that you do not store other server data on the same volume.

Sommary o Backup to a shared network folder Choose this option if you do not want to store backups locally on the server. Note that you will only have one backup at a time becausewhen you create a new backup it overwrites the previous backup.

Pre.—

Next

Cancel

Afb. 6-60 De destination disk

U moet weer instellen waarheen de backups moeten worden geschreven. 6 Selecteer zo nodig Back up to a hard disk that is dedicated for backups (recommended). Klik op de knop Next>. U kunt dezelfde destination disk blijven gebruiken, schijven als destination disk toevoegen of helemaal opnieuw beginnen. Daarvoor dient het wizardvenster Keep or Change Backup Destinations (afbeelding 6-61).

6 Backup en recovery

323

Backup ScheduleWizard

X

Keep or Change Backup Destinatons

Modify Scheduled Backu...

Doyou want to change the backup destinations that are beieg ured?

Select Backup Configumt...

® Keep cureent backup destinations

Select Items for Backup

o Add more backup destinations

Specify Backup Time

0Renrove

current backup destinations

Specify Oestination Type Keep er Change Skep

Confirrnation Summary

« Previous

Nest>

Cancel

Afb. 6-61 Dezelfde schijf gebruiken of niet

U blijft dezelfde schijf gebruiken. 7 Selecteer zo nodig de optie Keep current backup destinations. Klik op de knop Next>. 8 Klik in het verschenen wizardvenster Confirmation nog op de knop Finish. In het slotvenster Surnmary van de wizard wordt gemeld dat de set geagendeerde backups succesvol is aangepast (afbeelding 6-62).

324

Netwerkbeheer met Windows Server 2019 Deel 2

Backup Schedule Wizard

IJAL Summary

ModrfyScheduled Backu...

Status: You have successtully modified the backup settings.

Select Backup Configurat...

Your first scheduled backup will happen at 25-4-2019 02:00.

Select Items for Backup

Make sure that the disks you are using to store scheduled backups are attached to this computer and are available.

Specify Backup Time Specify Destieution Type Keep or Change Backup Confirrnation

u Previo.,

Close

Afb. 6-62 Voortaan om 2.00 en 5.00 uur Kijk nog op de knop Close. Het automatisch maken van backups op DC PFSVi staat hiermee voor uw situatie ingesteld. Wellicht heeft u er tijdens deze cursus nog plezier van. 10

Sluit DC PFSVi af.

Het maken van backups bijhouden in de netwerkdocumentatie

Uw netwerkdocumentatie moet altijd up-to-date zijn. Daar hoort ook het registreren van gemaakte backups bij. In de volgende opdracht ontwerpt u daarvoor geschikte formulieren.

Opdracht 6.6.2: Documenteren 2o rnin.

In deze opdracht:

Maakt u formulieren waarmee u het maken van backups in uw netwerkdocumentatie kunt verwerken. Voor deze opdracht heeft u nodig:

•Tijd: ± 20 minuten. •Het werkblad bij practicum 6.6.2 waarop u uw werkzaamheden vastlegt.

6 Backup en recovery

Opd rachtinstructies

i Ontwerp een eenvoudig formulier waarop u de geagendeerde backups die u dagelijks maakt, kunt registreren. 2

Ontwerp een formulier voor uw netwerkdocumentatie waarop u eenmalige backups kunt registreren.

3 Noteer alle backups die u in dit hoofdstuk heeft gemaakt op de formulieren. 4 Bespreek de ontwerpen met uw docent. Tenslotte

Om sneller te kunnen werken heeft u in dit hoofdstuk alleen maar gewerkt op DC PFSVi. Dat bespaarde een boel start- en afsluitwerk. Het is verstandig de beide servers even te starten en met het werkstation te controleren of uw gehele netwerk nog steeds correct functioneert. F157 2-H6

325

327

7 Beveiliging tegen malware en software installation

7.0 In dit hoofdstuk 2_H7 In dit hoofdstuk komt de bescherming tegen malware aan de orde. Malware is een verzamelnaam voor allerlei onheil van buiten dat de machines en gebruikers van uw netwerk bedreigt. Malware wordt doorgaans opgedeeld in virussen en spyware. De beide begrippen, de soorten en de bedreigingen die zij inhouden en de schade die zij kunnen veroorzaken, worden bekend verondersteld. Ook de wijze waarop met een besmetting wordt omgegaan - zoals het repareren of in quarantaine plaatsen - wordt bekend verondersteld. Daarover gaat dit hoofdstuk dus niet. Om u tegen malware te beschermen heeft u antimalware-software nodig. Dat geldt voor uw standalone machine thuis maar ook voor de machines in een bedrijfsnetwerk. Dergelijke software herkent een virus of spyware aan de specifieke kenmerken daarvan. Ook de daarbij behorende begrippen - als bijvoorbeeld de handtekening van een virus - worden bekend verondersteld. Die software kan bestaan uit een totaalpakket dat uw netwerk tegen totale malware beschermt. Leveranciers als bijvoorbeeld McAfee, Symantec en Kaspersky leveren totaalproducten voor de bescherming van uw bedrijfsnetwerk. Van auto's weet u dat die er zijn met een automatische of handgeschakelde versnellingsbak. Automaten voorzien in gemak voor de bestuurder, maar zijn duurder en verbruiken meer brandstof. Vergelijkbaar daarmee zijn de totaalproducten voor de bescherming van uw netwerk. Ze voorzien in gebruiksgemak bij het installeren en onderhouden, ze zijn echter duurder en vergen meestal krachtige servers. Om u in staat te stellen de practica van dit hoofdstuk ook op virtuele machines in een lab-omgeving uit te voeren, is een totaalproduct dus niet geschikt. Daarom is in dit hoofdstuk gekozen voor een product waarmee u dit wel kunt. De andere kant van de medaille is dat u in dit hoofdstuk geen totaalpakket gebruikt maar alleen maar een virusscanner. De manier waarop u met een totaalpakket moet omgaan, is echter hetzelfde. Antivirusprogramma's werken met definitiebestanden om virussen te herkennen. Omdat er regelmatige nieuwe virussen de ronde doen, moeten die definitiebestanden regelmatig worden bijgewerkt. Thuis op uw standalone PC laat u die via het internet bijwerken, vaak gaat dat automatisch. Ook voor de werkstations in een netwerk moeten die definitiebestanden regelmatig worden bijgewerkt. Dat moet bij voorkeur niet door elk werkstation afzonderlijk gebeuren omdat dit een veel te

328

Netwerkbeheer met Windows Server 2019 Deel 2 grote aanslag is op de bandbreedte van de internetverbinding. Daarom richt u in een netwerk bij voorkeur een update-server in voor de verspreiding van die definitie-updates naar de werkstations. Die definitie-update-server haalt regelmatig de updates van het definitiebestand op vanaf het internet en stelt ze ter beschikking aan de werkstations. Het is die laatste omgeving die u in dit hoofdstuk realiseert. Als antivirus-software is in dit boek gekozen voor F-Prot Antivirus for Windows Corporate van oorspronkelijk FIUSK en nu onderdeel van CYREN. In uw leeromgeving biedt deze u de volgende voordelen: •U leert wat er voor nodig is om handmatig antivirus-software in een netwerkomgeving te installeren en te configureren. Het laatste betreft vooral het updaten van het definitiebestand. Dat geeft u inzicht in de wijze waarop dat werkt. •U leert om software te installeren die niet geïntegreerd is in het Windows-platform Windows Server 2019 / Windows lo. •U leert bovendien hoe u software in een netwerk naar werkstations kunt uitrollen in een Windows Server 2019-netwerk met Windows io-clients. •U kunt gratis gebruikmaken van een 30 dagen trial-versie. Als u dit hoofdstuk heeft bestudeerd en de practica heeft uitgevoerd, beschikt u over de volgende: A Kennis •U weet dat er voor de bescherming van uw netwerk tegen malware aparte versies bestaan voor update-servers en voor werkstations. U kent de functie die beide versies in het netwerk vervullen (paragraaf 7.1, 7.2, 7.3 en 7.4). •U weet wat real-time bescherming inhoudt (paragraaf 7.1). •U weet wat er in dit verband met scannen wordt bedoeld (paragraaf 7.1). •U kent de verschillende methodes om software uit te rollen in een netwerk (paragraaf 7.3). •U weet dat u centraal beheer in stand kunt houden door software voor werkstations op een bepaalde manier uit te rollen (paragraaf 7.3). B Vaardigheden •U kunt antimalware-software op een server installeren en configureren voor een acceptabele bescherming (practicum 7.1.1). •U kunt een server inrichten zodat deze als intranet-update-server kan dienen voor het ophalen van updates van definitiebestanden voor antimalware-software (practicum 7.2.1). •U kunt met behulp van Software Installation in een GPO software naar werkstations uitrollen (practicum 7.3.1). •U kunt op werkstations antimalware-software configureren voor het ophalen van updates van definitiebestanden op een intranet-update-server (practicum 7.4.1).

7 Beveiliging

tegen malware en software instaHation

•U kunt via Software Installation in een GPO software van werkstations deinstalleren (practicum 7.5.1). •U kunt op een correcte wijze software van een machine verwijderen (practicum 7.5.1).

7.1 Virusprotectie op DC PFSVi Op DC PFSVi installeert u F-Prot als een virusscanner die updates van het definitiebestand via het internet ophaalt bij een update server van CYREN. U gebruikt daarvoor de versie Internet Update van F-Prot Antivirus for Windows Corporate. De manier waarop die versie daarna op DC PFSVi werkt, is regelrecht vergelijkbaar met de werking van een virusscanner zoals u dat op standalone PC's gewend bent.

Practicum

6o min.

7.1.1: F-Prot op PFSVi

In dit practicum: •Downloadt u de trial van de Internet Update-versie van F-Prot Antivirus for Windows Corporate. •Installeert u de Internet Update-versie op DC PFSVi. •Configureert u de Internet Update-versie voor gebruik op DC PFSVi. Voor dit practicum heeft u nodig: •De DC's PFSVi en PFS V2 zoals geconfigureerd na het vorige hoofdstuk. •Het werkblad bij practicum 7.1.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 6o minuten. Korte practicuminstructies

a Maak op DC PFSVi de map H:\Fp rot aan. Download de trial van de Internet Update-versie van F-Prot Antivirus for Windows Corporate via: https://kb. cyren. com/av-support/index.php?/Knowledgebase/Article/View/4i8/o/ f-prot-download-links en sla deze op in de map H:\Fp rot. b Installeer de Internet Update-versie van F-Prot op DC PFSVi. c Voer een eerste scan uit. d Stel een dagelijkse quick scan in met de naam Dagelijkse scan die op een geschikt tijdstip wordt uitgevoerd. Alle volumes op DC PFSVi moeten daarbij gescand worden. e Sluit de beide DC'S af.

329

Netwerkbeheer met Windows Server 2019

330

Deel 2

Gedetailleerde uitwerking van het practicum

Dit practicum valt in drie onderdelen uiteen: •U begint met het downloaden van de 30 dagen trial van de versie Internet Update. •Vervolgens installeert u de Internet Update-versie op DC PFSVi en voert u een eerste volledige scan uit. •Tenslotte configureert u de belangrijkste instellingen van de Internet Update-versie voor normaal gebruik op DC PFSVi. 1

Zorg dat u als domain Administrator ingelogd bent op de DC's PFSVi en PFSV2. Map aanmaken

U begint met het aanmaken van een map waarin u het bestand opslaat dat u gaat downloaden. 2

Maak op DC PFS Vi met behulp van File Explorer op het volume PFSV1App1 (H:) de map H:\Fp rot aan. Sluit het venster van File Explorer. Downioaden en uitpakken

Eerst downloadt u de benodigde trial-versie van de Internet Update-versie. 3 Start op DC PFSVi Internet Explorer. Ga naar de webpagina (afbeelding 7-1): https://kb. cyren.com/av-support/index.php ?/Knowledgebase/Article/View/4 i8/o/ f-prot-down/oad-links

7 Beveiliging tegen malware en software instaltation

331 -

F-PROT DOWNLOAD Ul X a

fi

0

n

S

httpa://kb.qsen.ronVau-supporb3rdenphp?/KnowIedgebase/A ii-

..

.t

Kijk en Vergelijk slee,

o Remernber me

Lost pasrerord

F-PROT DOWNLOAD LINKS l.ng o

Posted by Finnbog, Finnbogacon os 29/0212016 11.),

KNOWLEDGEBASE CSAM Antivirus F-PROT Antivirus

Product

Platform

F-PROT

Windows

32-

Antivirus

2003/Vista/2000/8/8.1/201 2/10

bit

Version

Download

6.09.6

MSI

6.0.9.6

MSI

6.0.9.6

MSI

6.0.9.6

MSI

(261)

Computer Safety

(5

Useful tosls/utilitios

(6)

(Internet Update) F-PROT

Windows

64-

Antivirus

2003/Vista/2008/8/8.1/2012/10

bit

1

(Internet Update) F-PROT

Windows

32-

Antivirus

2003/Vista/2008/8/8.1/2012/10

bit

(LAN Update)

http'I/wmn.cyren.noe-a-.-f

P-ERot ndssss-corpnratahtrnl

Windows

64-

2003fr/ista/2008/8/8.1/2012/10

bit

LAN U.dat

Afb.7-1 De site van CYREN vanwaar de bedoelde trial-versie opgehaald kan worden 4 Download in de lijst via een geschikte link een Internet Update-versie (het bestand fpav-windows-x64-hc-en.msi) en sla dit op in de folder H:\Fp rot. Sluit daarna Internet Explorer. De Internet Update-versie installeren op DC PFSVi

U vervolgt met het installeren van de gedownloade Internet Update-versie op DC PFS Vi. 5 Dubbelklik in File Explorer in het detailvenster van de map H. \Fprot op het installatiebestandftav-windows-x64-hc-en. msi. De installatie gaat van start met het welkomstvenster (afbeelding 7-2).

Netwerkbeheer met Windows Server 2019 Deel 2

332

Welcome to the F-PROT Antivirus for Windows x64 Installation Wizard It is shoogly recominended that you eet al Windows programs beknre running this setup progrern. Click Caecol to gut the oetsg program, thee done any peogrmns you have rueoing. Ckk Noot to contoroe the iristaflation. WtiRNING lids program is protected by copyright taw and mntereatonal freaties. Uvaathorized reproduction or stistethohon of dus program, or arsy portion of t, may resolt h sevore dn and crirnmnnal penalbes, eind wi§ be peonecuted to the ma,desann eoteet possiote onder law.

Afb. 7-2 Alle toepassingen sluiten

6 Sluit op DC PFSVi eerst alle geopende vensters, inclusief dat van de Server Manager. Kijk vervolgens op de knop Next > in het welkomstvenster. Selecteer 1 accept the license agreement in het wizard-venster License Agreement (afbeelding 7-3). Kijk op de knop Next>. F-PROT Antivirus for Windows x64 Setup License Agreement You noot agree oeth the ficense agrement below to proceed. END-USER LICENSE AGREEMENT FOR F-PROT ANTIVIRUS This is a binding, legal agreement between you the end user (the "Licensee") and FRISK Software International. ("FRISI. Vervolgens gaat de installatie van start. Na de installatie verschijnt het slotvenster van de wizard (afbeelding 7-7). l@ F-PROT Antivirus for Windows x64 Setup

-

F.PROT Antivirus for Windows x64 bas been successfully

installed. Click the Finish button to erot dis instataborr.

Afb.7-7 Klaar '0 Kijk op de knop Finish.

Virusscanners draaien op computers altijd resident. Dat wil zeggen dat ze bij het starten van een machine na het besturingssysteem automatisch worden gestart en blijvend op de achtergrond real-time functioneren. De real-time bescherming houdt in dat altijd alle bestanden die gemanipuleerd worden op

7 Beveiliging tegen malware en software instaltation

335

virussen worden gecontroleerd. Om resident te kunnen gaan draaien moet DC PFSVi herstart worden (afbeelding 7-8). Installer Information

You must restart your system for the configuration changes made to F-PINOT Mtvirus for Windows 064 to take effect Ctick Yes to restart now or No 1f you plan to restartmaonajy later.

Yes

No

Afb. 7-8 Herstarten is nodig

ii Klik op de knop Yes en DC PFSVi herstart verder vanzelf. Log na het herstarten weer in als domain Administrator. Na het inloggen verschijnt eerst de Server Manager. Daarna wordt F-Prot gestart die met behulp van Internet Explorer een trial subscription key en updates ophaalt bij CYREN en installeert (afbeelding 7-9). Daarna verdwijnt F-Prot naar de achtergrond en functioneert real-time. E- PROT Antivirus for Windows

X

Update progrems 11

Checkinti lor updates

Downloaded update reply from server

V

Reading repty from server

Updates available

-

• Downloading updates Instelling updeten

Aborl

Afb. 7-9 Bij de eerste keer starten 12 Pin voor het gemak de app F-PROTAntivirus for Windows ook in de taskbar.

De installatie van de Internet Update-versie op DC PFSVi is hiermee afgerond. Een eerste volledige scan Met F-Prot voert u een eerste scan uit op DC PFSVi. Anders dan de real-time bescherming controleert een scan alle bestanden op de opgegeven locatie(s) op virusbesmetting. 13 Start F-Prot Antivirus for Windows via de gelijknamige knop in de taskbar.

Het tabblad System status voor het beheer van F-Prot op DC PFSVi verschijnt (afbeelding 7-10).

Netwerkbeheer met Windows Server 2019

336

Deel 2

F-PROT Antiviros for Windows

F.PROTIans f, Wind—

Versions Won ngoa0o 5e f'-

25-4-2019, 05r50

Lost update dreds

25-4-2019,05-52

Sobsopton vote rotS

24-5-2019

Automatic nnners

J Conrolote fin systern prot0000n

On

Osfook ernol p'otevboo

Ce

totenretloploron proteonon

0e

Important tanks Fofl tonrftsrter won Last perforrred

Nevon

Snpfy Sealre f'RiSKSoftve,n

Afb. 7-10 De systeemstatus direct na de installatie U ziet onder Important tasks dat er nog geen scan is uitgevoerd. 14

Haal het tabblad Virus scanners voor u (afbeelding 7-11). Klik op de knop Scan My Computer. F-PROT Antivirus for Windows

Virus snonners 4

Automatic senners

050rsrew Fin nystern

Complete fin nyntemn protecton

Ce

Cedooknnoiprotercnon

arm

Io5enntE,Iorer pmoteclion

con

nteovet,k-moi Morsol ason Scoo 5505-s

U

Quarantine Items

Starts

EE

FlwnnnsterwonNetpmnfnmmnnd

Nevon

50110mW Advanced Advoned won 5-adonons ettemgo LOOS ecan:t,Cornp,te

Afb. 7-11 Scannen starten De voortgang van het scannen kunt u volgen (afbeelding 7-12). Een volledige eerste scan(My Computer) duurt ongeveer 15 minuten.

7

Beveiliging tegen malware en software instaUation

337

F-PROTAntvir,storWindow, - Scan: My computer t001071

JW S

FPROTI antivirus 1

for Wwdowo

systern ,taSm.

Virus

Sowsed 8e,

nners

32

Scan

Overview

Infected object, ferted object, QuornoSod tIn,

My computer

Fin nyotnn,

nntIE-end Soobon

00:00:07

Morw s,n 4

Ssonotubw Quaranbne Ite-

Scanning C:Ç tkdveesd P641 ...V,e,232v.cab-*cdd2.b->teed,220.&.,->14094.hed Fooned

1 State.,

File

SetlirOn Advanced Advw,ced orur Exdat,ont Sutfingo LOQS

Afb. 7-12 De uitvoering 15 Onderbreek het scannen niet. Wacht tot het venster van afbeelding 7-13 verschijnt. Het totaal scannen kan tot ongeveer 15 minuten duren. Als er virussen worden gevonden, worden deze automatisch verwijderd. Als dat niet kan wordt het besmette bestand automatisch in quarantaine geplaatst. Na het ophalen van een nieuwe update van het definitiebestand wordt telkens geprobeerd de in quarantaine geplaatste bestanden te herstellen. F-PROT Antivi,uo to, Windows

• FPROTI antivirus

for Wad,.,,

100642

Scar,ned 8,,

VI°us smnnen

Scan My computer

Ovnvew

Infected object, Oiobfectnd object, Qoaoanboed tIn,

Fin nycte,, Intwne5F,sai

Dorabon 4

U

00,18:34

Scanning Scan s~ Scan coorpleted

Quarantine

te.,,,

Foond

1

Fde

State.,

Su0nrg Advanced Advw,ced ,cor Ewcteonn, Settings Log,

LI Afb. 7-13 Gevonden besmette bestanden ziet u in het onderste kader

—report

Netwerkbeheer met Windows Server 2019

338

Deel 2

Na de eerste scan is DC PFS Vi volledig gecontroleerd en is F-Prot volledig in bedrijf. 16

Haal het tabblad System Status voor u (afbeelding 7-14). F-PROT Antiviror for Windowo

F•PROTI antivirus mr Windowo

, j \.5J Syrtmn rtotus,

VOUS scanne

Versi009 Won sgnatnrn Ik fronr

25-42019,05:50

Lant50,datnsfmnsk

25-4-2019, 06:52

Sonorpbon vald

bi

24-5-2019

Automatic scanners C~te Ik 5yn06n Prot~

tin

Oodoots e-eal prote~

0fl

trrrOmnOt Eoplorw prote0900

0fl

Sbnply Secure FiSKSoftsvnnn

Afb. 7-14 Alles op groen U ziet onder Versions alles op groen staan behalve Subscription valid until. Dat komt omdat u de trial-versie gebruikt. Onder Automatic scanners ziet u dat de bescherming van het bestandssysteem, van Outlook e-mail en van Internet Explorer aan staan. De Important tasks zijn verdwenen. Vergelijk met afbeelding 7-10. Configureren voor PFSVi

U vervolgt met configureren van de Internet Update-versie van F-Prot voor DC PFSVi. Onder dat configureren moet u zaken verstaan als het ophalen van updates van het virusdefinitiebestand en het instellen van de regelmaat en de wijze waarop scans moeten worden uitgevoerd. 17

Haal het tabblad Updates voor u (afbeelding 7-15).

7 Beveiliging

tegen malware en software installation

Updates

Vers,ons

• Current v-

FPROTMti*us veenon r,.erCer

5~ Subsaiption

339

FPROTvBus Sousw*,g bnne version rnerber

'4

6.0.9,6 4.6.5

'erss5sub,eSefro,n

25-4-2019, 05t50

Lastsi,datedredv

25-4-2019,05-52

StOtus Buy si,so5-6on Uoerrse uent

4

y6cvsdutn(resinesided)

Chediforvpdutes

Afb. 7-15 Algemene informatie Met de knop Check for updates kunt u handmatig het zoeken naar en ophalen van een update van het definitiebestand forceren. 18

Kijk links in het venster in de categorie Updates op de link Settings. 4 4

Updates

• Current version, Settings

In het verschenen venster (afbeelding 7-16) ziet u in het kader Automatic Updates de optie Completely automatic update (recommended) geselecteerd staan. Met deze instelling kijkt F-Prot regelmatig bij een update-server of er een update van het definitiebestand aanwezig is. Is dat het geval dan wordt dit, geheel op de achtergrond, opgehaald en geïnstalleerd. Deze optie is aan te bevelen dat staat er dan ook achter. De overige opties spreken voor zich. De Proxy settings vult u in als dat bij u van toepassing is.

Netwerkbeheer met Windows Server 2019

340

Deel 2

F-PROT AntivirusforWrndows

1

.

1

1•

1 antivirus 1

tor Wo,dowO Stoten status

!Updates

4

Automatic updates

Crerontv000000

®Cnnrttlntdy m~ticWdatn (rncunsneodns

Setlings

Ooourload updates aut~bcdybutktnsn imtafi Oren ONonfyrno v.tnos updates we ready to be dowrtooded orerstalled

Subsaiption Status

Proxy settings Scy ueestefl Duw prent for HTTP coeoectt000 Lennon agreement HTTP pony

Port

L

Passoord

Save

Afb. 7-16 Zo laten Wat u wel moet instellen is het geagendeerd scannen. Naast de residente bescherming is het verstandig periodiek een volledige scan te laten uitvoeren. Standaard staat dat niet ingesteld. 19 Haal het tabblad Virus scanners voor u (afbeelding 7-17). F-PROT Antivirus for Windows

FPROT

antivirus tor Wind~

ECu,ton,Viewn Date and time

:Windowo Logs

Source

[vent ID

TarkCategory

AppE

Ojinforreation

26-4-201916:15:12 Windoncu Error Reporting

1001

Non,

] Seocrity

(BInformation

26-4-2019161610 Windowo Error Reporting

1191

Non,

Information

26-4-20191615:10 Windown Error Reporting

1001

Non,

5224

lce

J

[] Setup Syotam Fo,warded Event, Applicationo end Services Logo Subnoriptiont

26-4-2019 1613:24

VOS

Information

l::forv,etiov

03

26-4-201915:3621

ESENT

326 General

03 Information

26-4-201915:3621

ESENT

326 General

03Information

26-4-2019163621

BENT

105 General

Ojlnformatioe

26-4-2019163621

BENT

105 General

03 Information

26-4-201915:3621

ESENT

326 General

Ojlnfortnation

26-4-201915:3621

BENT

105 General

Ojlnfonnnation

26-4-201915:40,21

ESENT

102 Gene.(

cleformation

264-20191640121

ESENT

102 General

Ojlnformation

26-4-201915:3621

ESENT

O3lnfo,matioe

26-4-201915:3952 WDSSarver

256 WOSServer

Ojleformation

26-4-201915:3652 WDSSero,r

517 WDSSev,r

w

102 General

Afb. 9-7 De inhoud van een logboek gaat over geschiedenis Bovenin het detailvenster ziet u de inhoud van het logboek Application. Op elke regel is een gebeurtenis weergegeven. U kunt de regels sorteren en groeperen. Het sorteren gaat ook op de gebruikelijke manier door op de kolomkoppen te klikken. De belangrijkste kolommen worden standaard getoond. In de eerste kolom staat het Level dat het niveau van de gebeurtenis aangeeft. Om het Level snel te kunnen herkennen, wordt daarbij een pictogram gebruikt. De volgende pictogrammen kunnen voorkomen:

9 Controle over uw netwerk

De gebeurtenis in deze regel is een foutmelding. De gebeurtenis in deze regel levert informatie. w&rwg

De gebeurtenis in deze regel is een waarschuwing dat er waarschijnlijk een probleem aankomt. t.,Audt Success

De gebeurtenis in deze regel geeft aan dat een actie die u audit succesvol is verlopen. Deze gebeurtenis komt alleen in het logboek Security voor en daar heet deze kolom Keywords. Audit Faur

De gebeurtenis in deze regel geeft aan dat een actie die u audit niet succesvol is verlopen. Deze gebeurtenis komt alleen in het logboek Security voor en daar heet deze kolom Keywords. •De kolom Date and Time spreekt voor zich. Standaard staat de jongste gebeurtenis bovenaan. •In de kolom Source staat vermeld door welke applicatie of systeemcomponent de gebeurtenis is gegenereerd. •In de kolom Even t ID staat een nummer. Dat is het nummer dat aan de gebeurtenis is gekoppeld. Dit nummer refereert aan een tekst. Die tekst ziet u als u het tabblad Details van de gebeurtenis bekijkt in het onderste deel van het detailvenster in de weergave Preview Pane. Het nummer kan bovendien gebruikt worden om een gebeurtenis op te zoeken in bijvoorbeeld Microsoft TechNet. Ook via Google of Bing kunt u vaak de nodige informatie vinden. Het beste kunt u echter zoeken op www.eventid.net(afbeelding 9-8).

421

Netwerkbeheer met Windows Server 2019 Dee' 2

422

7 T,00blsshoottg fl500,, X -> 0 1 sooniotoot

w *

(-

Windows Event Log Analysis Spiunk App

Eventlo.Net Subocription

tvLog Event Analyzer Monitor

Direct

unlimited

accessto

number of

Microsoft

servers

articles

3

0

to

Customized keywords for

Filter log events Create email and web-based

major search engines

Build a great reporting

reports

Access to premium content

interface using Splunk, one of the leaders in the Security MES

Voeg cloudfunctionaliteit toe aanje bestaande Linux- en Windows-VMs

and Event (SIEM) (leid, Ilected Windows

events to www.eventid.net. Read more... Search Windows event id. Event source... (optional) ______________

Afb. 9-8 Erg handig •In de kolom Task Category ziet u of en zo ja bij welke activiteit de gebeurtenis door de source is genoteerd. Vooral van belang in het logboek Security. • Altijd kunt u de getoonde kolommen uitbreiden of beperken. Dat gaat op de gebruikelijke manier via het venster Add/Remove Columns(afbeelding 9-9). AddfRe000ve Columns

X

Available columns:

L'splayed columns:

ren User OpessEonal Code Eng Comp,de, Proonso ID Thread ID P,ocessor ID Se~ID Kemel 1'sne User Time Processor Time

Add -

J

t

Scoren Eoennt ID Task Catego,y

't

100

50

0 047:55 09425 09.48.55 09t49r25 0455 a( S...

f7 f7 f7

Afb.

09:541 1

C... S...

Counter

- %

Ins... Pa...

--0.01 Pages/sec --10... Avg. Disk... To... --1.0 Privileg... _To... ---

Object

lJ

Comp...

Memory \\PF5V1 PlrysicalDisk \\PF5V1 Processor \\PF5V1

De meetresultaten

U ziet in de Performance Monitor een grafische voorstelling van de meetgegevens. 13 Sluit de Performance Monitor af en sluit daarna de beide DC's correct af. Li 2-H9

469

10

10.0

Updates

In dit hoofdstuk 2_HiO

In de miljoenen programmaregels waaruit besturingssystemen als Windows Server 2019 en Windows io maar ook Microsoft-apps bestaan, komen onvermijdelijk fouten voor. Juist omdat op meer dan 90% van de PC'S in bedrijfsnetwerken Windows als besturingssysteem draait, vormen Windows en Windows-apps bij uitstek een doelwit voor hackers. Dat betekent dat er regelmatig beveiligingslekken worden ontdekt. Zulke beveiligingslekken worden door Microsoft gedicht via beveiligingsupdates. Daarnaast verschijnen er patches, fixes, driver updates, updates voor malwarescanners en nieuwe functionaliteit voor een verbeterde werking van het besturingssysteem, al of niet in samenwerking met nieuwe apps en hardware. Al deze zaken worden algemeen vaak aangeduid met de term updates. Updates worden traditioneel op de tweede dinsdag van elke maand (Patch Tuesday) door Microsoft beschikbaar gesteld. In speciale gevallen kan dat ook tussendoor gebeuren. In het verleden werden bovendien op gezette tijden dergelijke updates samengevoegd in een zogeheten service pack. Inmiddels is Microsoft van die strategie afgestapt. Alle Microsoft-wijzigingen op een draaiend Windows-machine ontvangt u alleen nog via updates. Als netwerkbeheerder is het uw taak ervoor te zorgen dat de besturingssystemen en de programmatuur op de machines in uw netwerk up-to-date zijn. Zoals u in dit hoofdstuk zult zien, doet u dat op servers op een andere manier dan op werkstations. In de afbeeldingen in-i en 10-2 ziet u zoals gebruikelijk uw netwerk voor(10-1) en na(10-2) uw werk in dit hoofdstuk.

Netwerkbeheer met Windows Server 2019 Deel 2

470

Internetrouter van uw Organisatie

Intemetrouter van uw Organisatie

FF5 VI Domain Controller DNS-server NAT-rnuter DHCP-server Disks Ingedeeld File server WOS-server Print server VPN server

Afb. io-i Met VPN

PFSV2 Domain Controller DNS-server DHCP-server Disks ingedeeld File server Print server PEPSI

Netwerkprinter

FF5 VI Oomain Controller DNS-server NAT-router DHCP-server Disks Ingedeeld File server WDS -server Print server VPN server

PFSV2

PFPRI Netwerkprinter

Domain Controller ONS-server DHCP-server Disks ingedeeld File server Print server WSUS-seroer

Afb. 10-2 Met WSUS-updates

Als u dit hoofdstuk heeft bestudeerd en de practica heeft uitgevoerd, beschikt u over de volgende: A Kennis •U kent het begrip update. U weet waaruit updates bestaan (paragraaf io.i). •U weet hoe u servers in een netwerk qua updates up-to-date moet houden. U kunt verklaren waarom u dat op die manier doet (paragraaf io.i). •U weet waarom u als netwerkbeheerder zelf moet zorgen voor up-to-date werkstations in uw netwerk (paragraaf 10.2). •U weet dat u voor het up-to-date houden van werkstations in een netwerk de Windows Server Update Services kunt gebruiken. U kent de systeemeisen daarvoor (paragraaf 10.2). •U weet hoe u de werkstations in een netwerk met behulp van de Windows Server Update Services gebruikersonafhankelijk en gebruikersvriendelijk kunt voorzien van de door uzelf goedgekeurde updates (paragraaf 10.2). •U bent op de hoogte van good practice ten aanzien van updates in een netwerk (paragraaf 10.2). B Vaardigheden

•U kunt een Windows Server 2019-server qua updates handmatig up-to-date brengen (practicum io.i.i). •U kunt de nodige voorbereidingen treffen op een Windows Server 2019-server voorafgaand aan de installatie van de Windows Server Update Services (practicum 10.2.1). •U kunt de Windows Server Update Services op een Windows Server 2o19-server installeren en configureren vanuit de Server Manager (practicum 10.2.2). •U kunt de Windows Server Update Services configureren voor gebruik in een netwerk (10.2.3).

Updates

10

471

•U kunt de MMC Update Services gebruiken als beheertool voor de Windows Server Update Services (practicum 10.2.4). •U kunt in Windows Server Update Services synchroniseren met een van de update servers van Microsoft (practicum 10.2.4). •U kunt in een daarvoor geschikt GPO via policies het gedrag van Windows Update op de werkstations in een netwerk regelen (practicum 10.2.5). •U kunt in de Windows Server Update Services updates goed- dan wel afkeuren voor het installeren op de werkstations in het netwerk. U kunt het gevolg daarvan op werkstations hanteren (practicum 10.2.6).

10.1 Updates voor Windows Server 2019

Als er een werkstation uitvalt, kan er één medewerker tijdelijk niet vooruit. Wat de gevolgen zijn als er een server uitvalt, hangt af van de functie(s) die deze server in uw netwerk vervult. De gevolgen kunnen dus variëren van bijvoorbeeld het tijdelijk niet kunnen printen tot het compleet uitvallen van het netwerk. Vandaar dat u bij het up-to-date houden van uw servers op een andere manier te werk gaat dan bij uw werkstations. In deze paragraaf bekijkt u de manier waarop u dat op Windows Server 2019-servers doet. Updates

Updates kunt u automatisch laten installeren. In deel i heeft u dit op server PFSVi uitgeschakeld. In afbeelding 10-3 kunt u dit zien. Windows Update Properhrs (Locat Corrrpater) Recovery Dependenctea Service name:

wuau,erv

Display nane:

Werdow, Update ,rable, the datedion. download. and .retalation ot pdates for Werden, and other progeams I'ttes

Path to execotable C:\Vthrdows\ayioen,32ravchost noch rrotsocs -p Startup type:

Servoe status

Stopped Pauze

Yoa cao speofy the stort parameters that app wherr yen stal the servroe frees hoes Start

OK

H

10

Afb. 10-3 Op DC PFSVI worden updates niet automatisch geïnstalleerd

Netwerkbeheer met Windows Server 2019

472

Deel 2

Updates voor Windows Server 2019 installeren U installeert updates op een Windows Server 2019-server door Windows Update te configureren op een voor servers verantwoorde manier. Daarover gaat het volgende practicum.

Practicum io.i.i: Updates Windows Server 2019 installeren 30

min. In dit practicum:

•Configureert u Windows Update op de DC's PFSVi en PFSV2. •Brengt u uw beide DC's wat betreft updates up-to-date. Voor dit practicum heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na het vorige hoofdstuk. •Het werkblad bij practicum io.i.i waarop u uw werkzaamheden vastlegt. •Tijd: ± 30 minuten. Korte practicuminstructies a Configureer op DC PFSVi Windows Update zo, dat gedurende een door u gekozen tijdvak de server niet automatisch zal worden herstart als gevolg van een geïnstalleerde update.

b Installeer vervolgens op DC PFSVi alle beschikbare updates. c Verwijder op DC PFSVi een geïnstalleerde security update. d Breng de beide DC's PFSVi en PFSV2 tenslotte qua updates up-to-date. e Sluit de beide DC's af. Gedetailleerde uitwerking van het practicum Dit practicum valt in drie onderdelen uiteen: •Eerst schakelt u op DC PFSVi de service Windows Update in en configureert u Windows Update. •Vervolgens bekijkt u het handmatig downloaden, installeren en verwijderen van updates op die servers. •Tenslotte zorgt u er op dezelfde manier voor dat ook DC PFSV2 qua updates wordt bijgewerkt. 1

Start de beide DC's en log daarop in als domain Administrator.

2

Configureer op DC PFSVi de service Windows Update met het Startup type op Automatic en start vervolgens de service (afbeelding 10-4). Sluit alle vensters behalve de Server Manager.

Updates

10

473

Windows Update Properties (Local Computer)

X

General Leg 0e Recovery Oependencien Service name:

woauselv

Drnplay name.

Wrrdows Update Enabics the dotedion. dowrdood, and rutallahoe of updates for Windows and other pingams the 45W. ...,..a,...il ,.,.1

Path to execudable C:\Wrsdows\ayotem32\svdrost .exe k netsvcs p Startup type:

I°°

Serorce status

Rarererg Stop

Finse

Restene

You cars specify the start parameters that appty when you atast the ser~ roer hem.

OK

Afb. 10-4 De service wordt in het vervolg weer automatisch gestart Updates configureren en installeren doet u via de Settings van Windows Server 2019.

3 Klik op DC PFSVi achtereenvolgens Start en Settings. Klik in het venster Settings op het pictogram Updates & security.

Update & secunty Windows Update, recovery, bachup

Het tabblad Windows Update van het venster Settings staat nu voor u (afbeelding 10-5).

Netwerkbeheer met Windows Server

474

-

-

Settng

0

2019

X

Windows Update Some settings are nianaged by your organoation View configured update policies

Youre up to date Last checked: 5-2-2019, 18:02

Check for updates

WelI automatically download updates, except on metered connections (where charges may apply). In that case, well automatically download only those updates required to keep Windows running smoothly. Well ask you to instali updates after they've been downloaded.

Change active hours View update history Advanced options

Afb. 10-5 Windows Update in de Settings Nu dan het configureren. 4 Kijk op de link Change active hours. Daarop verschijnt het venster van afbeelding 10-6. -

0

X

Windows Udate Some setti

Active hours

View confis Set active hours to let us know when you typically use this device. We wont automatically restart it during active hours, and we wont restart without checking t you're using It.

N

L Start time Check fo

8

00

End time (max 18 hours)

WelI auto case, well• ask you to

17

Save Ci:wye act

Iply). In that lothly. Well

00

Cancel

L np(i3tE

hstory

mmd optons

Afb. io-6 Tijden waarop de machine niet mag worden herstart

Deel 2

Updates

10

475

Na de installatie van een of meer updates moet de machine vaak herstart worden. U kunt hier een tijdvak invoeren waarin dat herstarten niet mag gebeuren. Doorgaans stelt u hiervoor een tijdvak in waarop de medewerkers aanwezig zijn en de server dus volop in bedrijf is. 5 Stel met de Start time en de End time een tijdvak in waarin u niet wilt dat Windows Update een herstart veroorzaakt. Klik op de knop Save. Klik nog op de knop Check for updates. Via het internet wordt er vervolgens verbinding gemaakt met een van de update servers van Microsoft. Via een vergelijking van eventueel al geïnstalleerde updates en de beschikbare updates wordt er bepaald welke updates nodig zijn (afbeelding 10-7). Bij u zal dat ongetwijfeld anders zijn. -

Setting

-

0

X

Windows Update Some settings are managed by your organizatiori View con8gured update policies

Updates available Last checked: Today, 11:25 Definition Update for Windows Defender Antivirus - KB2267602 (Delnition 1293.301.0) Status:Installing - 0% Windows Malicious Software Removal Tooi x64 - April 2019 (1(8890830) Status: Pending download 2019-04 Security Update for Adobe Flash Player for Windows Server 2019 for x64-based Systems (KB4493478) Status:Pending download 2019-04 Cumulative Update for Windows Server 2019 (1809) for x64-based Systems (1(84493509) Status:Pending download 2019-02 Cumulative Update for .NET Framework 3.5 and 4.7.2 for Windows Server 2019 for x64 (KB4486553) Status: Pending download 2019-02 Cumulative Update for NET Framework 3.5 and 4.7.2 for Windows Server 2019 for x64

Afb. 10-7 De beschikbare updates die nog niet zijn geïnstalleerd (is altijd een momentopname) 6 De beschikbare updates worden vervolgens gedownload en geïnstalleerd. Afhankelijk van de hoeveelheid kan dit van enkele minuten tot wel een half uur duren. Na de installatie volgt in het dialoogvenster nog een melding en als de machine herstart moet worden is daarvoor de knop Restart now beschikbaar.

Netwerkbeheer met Windows Server 2019

476

DeeL

2

7 Laat als dat nodig is DC PFSVi herstarten en log weer in als domain Administrator. Als uw server qua updates up-to-date is, ziet u dat in het tabblad Windows Update van het dialoogvenster Settings (afbeelding io-8). -

tettgs

-

D

X

Windows Update Some settings are managed by your organization View configured update policies

,-i

Youre up to date Last checked: Today, 11:25

Check for updates

WelI automatically download updates. except on metered connections (where charges may apply). In that case, well automatically download only those updates required to keep Windows running smoothly. Wel] ask you to instali updates after theyve been downloaded.

Change active hours View update history Advanced options

Afb. io-8

Up-to-date

8 Sluit op DC PFSVi alle vensters behalve de Server Manager. 9 Gebruik de punten i t/m 8 hiervoor en zorg ervoor dat ook DC PFS V2 qua updates up-to-date is. Een geïnstalLeerde update de-installeren

Het kan voorkomen dat een geïnstalleerde update een ongewenst effect teweegbrengt. Niet alle nieuwe drivers zorgen bijvoorbeeld altijd voor het beter functioneren van het betreffende device. Via het tabblad Windows Update van het venster Settings kunt u, als u dit nodig vindt, geïnstalleerde updates de-installeren. '0

Haal op DC PFS Vi het tabblad Windows Update van het dialoogvenster Settings weer voor u. Klik op de link View update history. In het gelijknamige dialoogvenster ziet u de geïnstalleerde updates (afbeelding 10-9)

Updates

10

4-

477

Settings

-

0

X

View update history Uninstall updates Recovery options

Update history Quality Updates (5) 2019-04 Cumulative Update for Windows Server 2019 (1809) for x64-based Systems (KB4493509) Successfully installed on 27-4-2019 2019-04 Security Update for Adobe Flash Player for Windows Server 2019 for x64-based Systems (KB Successfully installed on 27-4-2019 2019-02 Cumulative Update for .NET Framework 3.5 and 4.7.2 for Windows Server 2019 for x64 (K84, Successfully installed 0fl 27-4-2019 2019-02 Cumulative Update for NET Framework 3.5 and 4.7.2 for Windows Server 2019 for x€4 (KB4 Successfully installed 0fl 27-4-2019 Update for Adobe Flash Player for Windows Server 2019 (1809) for x64-based Systems (f(B4462930) Successfully installed 0fl 27-4-2019

Afb. 10-9 Het kunnen er ook veel zijn ii 1(11k vervolgens op de link Uninstali updates. U krijgt vervolgens het dialoogvenster van afbeelding io-io voor u. Ift Installed Updates t

programs and Features s Installed Updates

Control Panel Home Uninstall t program

19

Tum Windows features on er off Instali a program from fIre network

Es

0

Search Installed Spdatns

X .0

Urtirstail art update To oninstall en update, select it from the list and thee click Uniristall or Change.

Organon -

(St Program

Name

Version

0

Publisher

Microsoft Windows (4) l8Sncority Update for Adobe Flash Player

Microsoft Windows

Microsoft Corporati

(B Update for Microsoft Windows (KB44t6553) Microsoft Windows

Microsoft Corporati

Microsoft Windows

Microsoft Corporatir

IB Update for Microsoft Wiednw, (KB44f4455) Microsoft Windows

Microsoft Corporatir

2 Update for Adobe Flash Player

Curreotly installed updates 4 updates installed

Afb. io-io Het de-installeren van updates

Netwerkbeheer met Windows Server 2019 Deel 2

478

Updates kennen afhankelijkheid. Dat wil zeggen dat een update alleen maar geïnstalleerd kan zijn als een nodige al eerder uitgebrachte update ook geïnstalleerd is. Bij het verwijderen betekent dit, dat u in de omgekeerde volgorde moet de-installeren. Is een update te de-installeren dan verschijnt er in de bovenste balk de knop Uninstali. 12

Laat alle updates geïnstalleerd en keer terug naar de Server Manager.

13 Sluit als beide servers qua updates zijn bijgewerkt en zijn herstart de servers

correct af.

10.2

WSUS: updates voor Windows io-werkstations De wijze waarop u updates installeert op servers heeft u in de vorige paragraaf bekeken. Deze manier van werken is voor de werkstations in uw netwerk onbruikbaar. U kunt het updaten niet op elk werkstation apart uitvoeren of dit aan de gebruikers overlaten. De volgende redenen veroorzaken dit: •Als al uw werkstations de lijn die uw netwerk met het internet verbindt gaan gebruiken voor het bijwerken van hun PC's met updates, is dat een veel te grote aanslag op de bandbreedte van die internetverbinding. •Er kunnen applicaties op de PC's van uw netwerk draaien die niet met alle updates overweg kunnen en daardoor problemen zullen veroorzaken. •U raakt het overzicht kwijt. De ene gebruiker zal zijn PC af en toe handmatig laten bijwerken. Andere gebruikers zullen dat nooit of slechts sporadisch doen. Weer andere gebruikers zullen het automatisch installeren van updates toepassen. U kunt al deze problemen voorkomen door WSUS (Windows Server Update Services) in te zetten op uw netwerk. In Windows Server 2019 is WSUS beschikbaar als een server role en deze is geschikt voor Windows io-werkstations. WSUS voorziet u van de mogelijkheid om updates op werkstations centraal en automatisch te beheren. Bij het gebruik van WSUS downloadt u zelf alle beschikbare en nodige updates voor apps en het besturingssysteem van de clients in uw netwerk op uw WSUS-server. Vervolgens test u deze op compatibiliteit met de gebruikte bedrijfsapplicaties. Ontstaan er bij dat testen geen problemen dan distribueert u precies de door u gewenste updates vanuit de WSUS-server automatisch en gebruikersonafhankelijk naar de werkstations. Die werkstations zijn natuurlijk de WSUS-clients. WSUS vergt een Windows Server 2019-machine met een x64-processor van 1,4 GHz, 2 GB aan RAM en een NIC van ioo Mbps voor een omgeving met ± 500 werkstations. Verder is een hoeveelheid schijfruimte nodig van ongeveer 15 GB. Als u niet over voldoende schijfruimte beschikt kunt u WSUS zo configure-

10

Updates

ren dat u op de WSUS-server bepaalt welke updates naar de werkstations moeten worden gedistribueerd, maar dat het ophalen van de updates door de werkstations zelf wordt gedaan. Dit laatste betekent dan uiteraard dat uw internetverbinding zwaarder wordt belast. U moet dit dan ook zien als een tijdelijke oplossing. Behalve ruimte voor het opbergen van de updates zelf is er ook ruimte nodig voor de administratie die WSUS moet bijhouden. Daarover direct meer. Voor die administratie moet u minimaal 3 GB aan schijfruimte beschikbaar hebben. In deze paragraaf leert u hoe u WSUS kunt installeren en gebruiken. Vooral het installeren - en daar komen allerlei zaken bij kijken - is een langdurig karwei dat u uiterst nauwkeurig moet uitvoeren. De wijzigingen die u op - dit keer - DC PFSV2 aanbrengt, zijn bovendien buitengewoon ingrijpend. Daarom is het geheel opgedeeld in een aantal practica. Voorbereidingen

U begint met enkele voorbereidende werkzaamheden.

Practicum

10.2.1: Voorbereidingen

/x\ s In dit practicum: 45 n.

. Treft u op DC PFS V2 voorbereidingen voor de installatie van WSUS. Voor dit practicum heeft u nodig: •De DC'S PFSVi en PFSV2 zoals geconfigureerd na de vorige paragraaf. •Werkstation PFWSi zoals geconfigureerd na het vorige hoofdstuk. •Het werkblad bij practicum 10.2.1 waarop u uw werkzaamheden vastlegt. •Tijd: ± 45 minuten. Korte practicuminstructies a Start alleen werkstation PFWSi en stel onder het account PCGebruikeri met wachtwoord iPCGebruiker de service Windows Update in op automatisch starten. Start de service handmatig. Noteer alle versiegegevens van Windows Defender op werkstation PFWSi zodat u die gegevens later kunt gebruiken voor een controle. Sluit daarna het werkstation af.

b Controleer of de beide DC's zelf qua updates up-to-date zijn. Maak een backup waarmee u DC PFSV2 kunt herstellen. c Schakel zo nodig op volume PFSV2App1 (H:) de ingestelde compressie volledig uit. d Maak op het volume PFSV2App1 (H:) de folder H:\ Wsus aan. e Sluit de beide DC's af.

479

Netwerkbeheer met Windows Server 2019

480

Deel 2

Gedetailleerde uitwerking van het practicum

De voorbereidingen bestaan uit een aantal op zichzelf staande stappen: •U begint met werkstation PFWSi op orde te brengen en er straks een controle op mogelijk te maken. •Daarna zorgt u er nogmaals voor dat de beide DC's qua updates up-to-date zijn. •Dan zorgt u dat u DC PFSV2 eventueel kunt herstellen door een daarvoor geschikte backup te maken. •Vervolgens maakt u een volume op DC PFSV2 geschikt voor WSUS. •Tenslotte maakt u op dat volume een map aan speciaal voor WSUS. Werkstation PFWSi voorbereiden U begint met de service Windows Update op werkstation PFWSi te laten draaien. i Start alleen werkstation PFWSi en log in met het local user account PFWSi \PCGebruikeri en password iPCGebruiker. Stel de service Windows Update in op automatisch starten en start die service. Start vervolgens - om straks te kunnen vergelijken - vanuit het Control Panel de app Windows Defender en noteer de gegevens van de versie van Windows Defender zelf en van de actuele versie van de antivirus- en anti-spyware-definitions (afbeelding io-ii). Schakel werkstation PFWSi weer uit.

'item nd spyware dnft.dtiorw Created 4 days ago Voer virus and spywore defleitione havent been opdated lateb'. You ehoold update thenr now to help proteut your PC.

Definrtions created nrc

26-4-2019 at 07:22

Definitions last update

26-4-2019 at 1 Q4

Virus definition version

1293226.0

Did yora know? Virus, spyware, and other malware definitions are files that are used to identrfy malicious or potentially unwanted software on your PC. These defindions are updated automatically, bul you van also clich Updote to 3d the alert versions whenever you want.

Afb. io-n Om straks te kunnen controleren 2

Start nu alleen de DC'S PFSVi en PFSV2 en log daarop in als domain Administrator.

10

Updates De DC's moeten up-to-date zijn

Als eerste bekijkt u of de beide DC qua updates zelf up-to-date zijn. 3 Bekijk op de DC's PFS Vi en PFSV2 via de Settings of er nieuwe updates beschikbaar zijn. Gebruik daarvoor eventueel de knop Check for updates. Als dat zo is, installeer dan alle updates op de beide DC's. Zie daarvoor zo nodig practicum 10.1.1. Bekijk vervolgens opnieuw of de DC's beide qua updates up-to-date zijn. Sluit als alle updates zijn geïnstalleerd op de beide DC's alle vensters behalve de Server Manager. DC PFSV2 herstelbaar maken

Vervolgens maakt u een backup waarmee u in staat bent het systeem op DC PFSV2 te herstellen. 4 Maak op DC PFSV2 handmatig een backup. Zie daarvoor zo nodig practicum 6.5.1. De opslag op de harde schijf

Tijdens de installatie van WSUS moet er een folder voor WSUS beschikbaar zijn. U maakt deze aan op server PFSV2 in het bestaande volume PFSV2App1 (H:). Dat is voldoende groot. De folder moet aangemaakt worden op een NTFS-volume waarop de compressie niet ingeschakeld mag zijn. Nu kan dat op het volume PFSV2App1 (H:) nog wel het geval zijn. 5

Schakel zo nodig op volume PFSV2App1 (H:) de compressie uit. Laat dat ook gelden voor subfolders en files. Vergelijk het tabblad General van het eigenschappenvenster van volume PFSV2App1 (H:) met dat van afbeelding 10-12. Herstel als dat nodig is. Sluit daarna alle vensters op de gebruikelijke manier behalve de Server Manager.

481

Netwerkbeheer met Windows Server

482

Deel 2

X

PFSV2AppI (1-t.) Properties Previous Versions Shadow Copies General Tools Hardware

2019

Quota

Customize

Sharorg

Seou,ity

wj Tspe:

Local Gok

Ria 51,510w:

NTFS 102043.648 bytes

97.3 MB

• Used space: • Freespace:

52.326.752.256 bytes

48.7GB

Capac6y

52.428.795.904 bytes

48.8G8

0 Drive H

Cjs

fl Compress this drive to save dok space PJtow files os this drive to have content, hdoxed Ir addtior to file properries

1

OK

Afb. 10-12 De compressie is uitgeschakeld De folder voor WSUS aanmaken

Nu nog de folder voor WSUS op het volume PFSV2App1 (H:). 6 Maak op het volume PFSV2AppI(H:) de folder H:\ Wsus aan. 7

Sluit de beide DC'S af.

De installatie van WSUS

Na het voorbereidende werk bent u zover dat WSUS geïnstalleerd kan worden. Dat kan rechtstreeks via de Server Manager op de gebruikelijke manier. Omdat er in dit geval extra zaken bij geïnstalleerd moeten worden, is het geheel een tijdrovende procedure.

Practicum 10.2.2: WSUS-instaLlatie

LA In dit practicum: 30 min.

Maakt u van DC PFS V2 een WSUS-server door WSUS te installeren. Voor dit practicum heeft u nodig: •De DC's PFS Vi en PFS V2 zoals geconfigureerd na het vorige practicum. •Het werkblad bij practicum 10.2.2 waarop u uw werkzaamheden vastlegt. •Tijd: ± 30 minuten.

Updates

10

483

Korte practicuminstructies

a Installeer WSUS op DC PFS V2 vanuit de Server Manager, rekening houdend met het volgende: •Gebruik de Windows Internal Database en sla die op in folder H:\Wsus. •Gebruik de folder H:\ Wsus ook voor het lokaal opslaan van de updates. b Controleer met DC PFSVi of DC PFSV2 correct als webserver werkt. c Sluit de beide DC's af. Gedetailleerde uitwerking van het practicum

U start de installatie dus vanuit de Server Manager. De installatie komt neer op het installeren en configureren van de server role Windows Server Update Services. In dit practicum voert u de installatie uit op server PFSV2. 1

Zorg dat u op de beide DC's ingelogd bent als domain Administrator. Start op DC PFS V2 vanuit de Server Manager de Add Roles and Features Wizard. Selecteer in het wizardvenster Select installation type de optie Role-based orfeature-based installation. Klik op de knop Next>. Selecteer in het wizardvenster Select destination server de server PFSV2.PoliForma.local. Klik op de knop Next>. Selecteer in het wizardvenster Select server roles de server role Windows Server Update Services. Klik op de knop Add Features om alle voorgestelde en bijbehorende features mee te installeren (afbeelding 10-13). Add Roles and Features Wizard

X

Add features that are required for Windows Server Update Services? You cannot instali Windows Server Update Services unless the following role services or features are also installed. 4

4

4

NET Fra,nework4.7 Features ASP.NET 4.7 4 WCFSnrvices HTTP Activabon Remote Server Administratmn Tools 4 Role Mministeation Toom 4 Windows Server Update Services Tools API and PowmShell crediets flools] User Interface Management Console Web Server (IS) 4 Management Tools 4 11S6 Management Compatibility Inctude management tools hit applicable) Acid Features

Cancel

Afb. 10-13 Er is een groot aantal features nodig

Netwerkbeheer met Windows Server 2019 Deel 2

484

2

Kijk op de knop Next> in het wizardvenster Select server roles. Kijk op de knop Next> in het wizardvenster Select features omdat u geen extra features hoeft te instaiieren. Kijk op de knop Next> in het wizardvenster Windows Server Update Services met informatie. Vervolgens verschijnt het wizardvenster Select role services (afbeelding 10-14). -

Add Rok, and Features W-aard

Before You Begin

Select the rok services to in,taII for Windows Server Update Services

Installagon Type

Role servi-

Server Roles Features

X

DESTINAS1ON SERVER PÇSV2000Fom,nloca!

Select role services

Server Selection

0

Dnsc,iptioo

21 __________ 21 WSUS Services

Instali, the database oned by WSUS intoWiD.

SQL Server Coonectivity

WSUS Ode Services

Content

vpaEvi005J

Instoli

Afb. 10-14 De role services van de server role Windows Server Update Services

WID Voor de administratie maakt WSUS gebruik van een database. In die database worden de configuratiegegevens van WSUS zelf, de gegevens van elke update en de gegevens van de werkstations in relatie tot de daarop geïnstalleerde updates opgeslagen. Speciaal hiervoor is in WSUS WID ingebouwd. WID is een afkorting van Windows Internal Database. WID is een kale versie van MS SQL Server. U kunt ook de volledige versie van MS SQL Server gebruiken. Voor u is dat wat overdreven. 3 Breng geen wijzigingen aan in het wizardvenster Select role services. Klik op de knop Next>. Vervolgens verschijnt het wizardvenster Content location selection (afbeelding 10-15). Allesbepalend daarin is de optie Store updates in the following location. Daarmee bepaalt u hoe WSUS in uw netwerk gaat functioneren. Als u Store updates in the following location voorziet van een vink, zal WSUS een update zelf pas downloaden vanaf een update server van Microsoft als

10

Updates

485

u heeft aangegeven dat die update op de werkstations geïnstalleerd moet worden. In het tekstvak onder de optie Store updates in the following location moet u een folder aangeven waarin u de zo gedownloade updates op de WSUS-server wilt opslaan. Bij de voorbereidingen heeft u daarvoor de folder H.\ Wsus aangemaakt. Vervolgens kunt u ervoor zorgen dat de werkstations die updates ophalen vanaf de WSUS-server. Het laatste komt straks aan de orde. Als u Store updates in the following location niet voorziet van een vink, worden updates zelf niet op de WSUS-server opgeslagen, wel de gegevens daarvan in de database. Als u aangeeft dat een update op de werkstations geïnstalleerd moet worden, halen de werkstations zelfde bedoelde update op vanaf een update server van Microsoft. De optie Store updates in the following location niet voorzien van een vink zorgt dus voor een grotere belasting van de internetverbinding. L Add kolen end Features Wi,o,d

-

Before You Begin

Server Selection Server koks Features WSUS kale Services fOn:ent

X

OESTINATION SERVER V5V2PoliFnrm.Iocal

Content location selection

InstullaSon Type

D

1f you have a drive fornnetted with NTFS and ut leest 6 G of free disk spooR, you von 05e it to stom updates for dient computers to download quivkly.

1f you neod to save disk upove, deur the check box to stom updates 0fl Microsoft Updute, downlouds will be slosner. 1f you shoose to stom updates locally, updates ure not downlnaded to your WSUS server until you oppmone Show. By default whnn updates are upproved, they ore downlooded for all lunguuges. JStore updates in the following leveRen (uhoose u veld local path on PFSV2.PoliForrno.bo,eI, ore ren,ote poth)

Noot'

Instail

1

Afb. 10-15 De plaats van WSUS op de serverschijf 4 Laat de vink voor Store updates in the following location staan. Vul het tekstvak daaronder met H:\Wsus. Klik op de knop Next>. Klik nogmaals op de knop Next> in het wizardvenster Web Server Role (IIS). Klik nogmaals op de knop Next> in het wizardvenster Select role services. Tenslotte verschijnt nog het wizardvenster Confirm installation selections (afbeelding 10-16).

Netwerkbeheer met Windows Server 2019 Deel 2

486

PQ Add Roles end Features Waard

-

DESneEunOrs SERVER

Confirm installation selections Before You Begin

X

0

PrvV2Pnctornra local

To instelt Ure foliowing roles, min se,viver, or features os neleded server. click Instelt

Installation Type

E

Server Selection

Optional features (noch en administrotion toets) nright be dinpiayed on this page beceone tlrey have been seleoted ostomativaliy. IS yoo do not went to instoli these optional features, click Presioos to dear their check booes.

Server Roles

Rontort the destination swveraotonraticeily if reqoired

Features WSuS

.NET Frornewo,k 4.7 Featomes ASP.NET 4,7

Role Services WCF Snrvicen Content

Trip Astimhon

Web Server Role (115) Renrote Server Adnrinistration Toom Role Services

Rein Adrninistmation Toom

Cc fl5 rmatjcn

Windows Server Update Services Toots API end Powe,Shnll cnrdints User Interface Management Console Web Server PIS) Export configoraiioo settings Specify an aBemote soorce path

c Prnvious

Instoli

Cencel

Afb. io-16 Klaar voor de installatie 5 Klik op de knop Instali. Op de gebruikelijke manier kunt u de installatie weer volgen. Als de installatie is afgewerkt, is er nog wat nawerk nodig. U ziet dat aan de link Launch Post-Installation tasks in het wizardvenster Installation progress op de derde regel in het kader (afbeelding 10-17). Add R.Ies nd Features W,—dl

-

0

X

DESTtNAVON SERVER

Installation progress

PFSV2.Pnororrrrajooal

View instailation progress

0Featorernstallation ConBgorotion reqoimd. Installation succeeded os PFSVîPoliFormna.ioval. Windows Seevee Update Seenices Additiont contgurotion must ho peefornred before oontivuing Launch Post-Installation tasks WSUS Servkren WID Connectivity NET Fromemo,b 4.7 Features ASP.NET4.7 WCF Sornioen HUP Avtmvation

ResS:s

Remote Server Admninistratjon Toom Bets Administ,otinn Tnnf

II

Voo con close this waardwithoot intereopting running tanks. Vtess tank progress or open this page agoie by clioldeg NotiBvations in the command bar, eed then Tank Details.

Export vonligoretion settings

v Prenioos

Afb. 10-17 Pas op! Niet op de knop Close klikken

NoorS

Updates

10

487

6 Kijk om dit nawerk van start te laten gaan op de link Launch Post-Installation tasks. Launch Post-Instaltatorn taslcs

7 Wacht totdat deze link veranderd is in de mededeling: Configuration successfully completed (afbeelding 10-18). Dat kan even duren. Add Roles nd Fentores Woord

-

0

X

OESTENATION SERVER PFs2PorEomoJox

Installation progress View intItSon progreos

0Feature installation Confgorotionrequired. InrtlIabon roucended on PF5V2.PotiFormn.l000l. Windown Server Updote Sommen Configumation successfully completed WSUS Semnioen WED Conneotivity NET Frantework 47 Feataren ASRNET 4.7 WCF Semnicer HUP Activotlon Remote Server Adnninintratioo TooN Role Adrniniotmotion TooN Wind~ Seevee Update Seenieen TooN 0

0

Voo con close tNo woord wittroot intewxPting running fanta. View tank progreno om open the page again by clinking Notiflcatronn in the cornn,and bar, and then Tank Detaitn.

Export configurabon settings

NoOR

Cancel

Afb. io-18 Het nawerk is voltooid 8

Klik nog op de knop Close om de wizard af te sluiten. U ziet de server role WSUS in de Server Manager van server PFSV2. Server PFSV2 is webserver geworden 1-let beheer van WSUS gebeurt web-based. Daarom is bij de installatie gelijk ook van server PFSV2 een webserver gemaakt. U controleert de werking van server PFSV2 als webserver met behulp van DC PFSVi.

'Is U kunt op een Windows Server 2019-server complete websites bouwen voor de meest complexe bedrijfssituaties die er te bedenken zijn. IIS (Internet Information Services) is het platform dat u hiervoor gebruikt. Dat platform bestaat uit verschillende componenten. U kunt bijvoorbeeld de World Wide Web-component installeren voor webservices, het ftp-protocol voor ftp-services of het SMTP-protocol voor de e-mail verzend-service, enzovoort.

Netwerkbeheer met Windows Server 2019 Deel 2

488

9

Start op DC PFSVi Internet Explorer. Voer in de adresbalk in: http://192.168.101.12. Het laatste is het vaste IPv4-adres van de NIC LanConnectie van server PFSV2. Als server PFSV2 correct als webserver functioneert verschijnt het scherm van afbeelding 10-19.

htp//192.6&1O1.1V liSWindow, Swvn,

-

- 0 X I{ P--]

X

mm Windows Server

Internet Information Services

Welcome

Bienvenue

TrvetuIo3

- Benvenuto

4

Bienvenido H01 geIdirz

Bern-vincio KcsÂciiç VÇre3te optoctr€

£1opc

UdvöZÉ1

Afb. 10-19 PFSV2 werkt als webserver Als het venster van afbeelding 10-19 niet correct verschijnt, heeft u tijdens de installatie een verkeerde keuze gemaakt. Gebruik dan de backup die u in punt 4 van practicum 10.2.1 heeft gemaakt om uw systeem te herstellen en voer vervolgens de installatie opnieuw uit. 10

Sluit de beide DC's correct af.

De configuratie van WSUS

Nu u WSUS correct heeft geïnstalleerd, volgt het configureren van WSUS. Configureren betekent in dit geval WSUS instellen voor de kenmerken van uw netwerk. Tot die kenmerken moet u bijvoorbeeld de versie van het Windows-besturingssysteem, de gebruikte taal en geïnstalleerde apps op uw werkstations rekenen.

10

Updates

Practicum 10.2.3: WSUS-configuratie 30 min.

In dit practicum: . Configureert u WSUS voor uw netwerk. Voor dit practicum heeft ii nodig: •De DC's PFS Vi en PFS V2 zoals geconfigureerd na het vorige practicum. •Het werkblad bij practicum 10.2.3 waarop u uw werkzaamheden vastlegt. •Tijd: ± 30 minuten. Korte practicuminstructies

a Configureer WSUS vanuit de Server Manager, rekening houdend met het volgende: •Laat de WSUS-server updates ophalen bij een van de update servers van Microsoft. •Vul, als dat voor u van toepassing is, de juiste gegevens van uw proxy server in. •Laat alleen Engelstalige updates ophalen voor alleen Windows Defender. •Neem alleen de Critical Updates, Definition Updates en de Security Updates mee. •Stel handmatig synchroniseren in maar voer dat nog niet uit. b Sluit de beide DC's af. Gedetailleerde uitwerking van het practicum

Het configureren van WSUS doet u vanuit de beheertool van WSUS. 1

Start de beide DC's en log daarop in als domain Administrator.

2

Start op DC PFSV2 de beheertool voor WSUS door in het menu Tools van de Server Manager op de optie Windows Server Update Services te klikken. Omdat u deze beheertool voor de eerste keer start, wordt direct aan de configuratie begonnen. De Windows Server Update Services Configuration Wizard:PFSV2 wordt daarvoor automatisch gestart.

3

Klik op de knop Next> in het wizardvenster Before You Begin met informatie. Het wizardvenster Join the Microsoft Update Improvement Program verschijnt (afbeelding 10-20). U kunt door uw bevindingen door te geven, meedoen aan de verbetering van WSUS.

489

Netwerkbeheer met Windows Server 2019 Deel 2

490

ib Wrvdovs

Sorver Update Ser'rerr Confrgrrra>oe Wreord.PFSV2

min the Microsoft Update lmprovement Program Voo have the option of joining the Microsoft Update bmprovement Program Bef ore You Begin

.,,

Microsoft Updote lnr.rovement Pro.ram

:

Help us design the nest version of Windows Server Update Sennces. lmprove the quatty. reliability, and performance of Microsoft Software.

Choose Upstream Server

When you opt into the Microsoft Update lmprovement Program,your WSUS server wi 11 send information to Microsoft about the quality of updates. This information includnsr

Specify Pror' Server Choose Langoages

How mony computers are in the orgonization. Hm many computers successf ully installnd noch update. How nrany computers failed to instali noch update.

Choose Product> Choose Classifications CorrfrgureSyno Schedule

This information is used to improve the quality and rel iability of the updates Microsoft provides.

Finished Whvts Noot

None of the information collected is used to identify or contact you oryoor organization. Privacy Statement

0Vos,

1 would like tojoin the Microsoft Update bmprovement Program

Nest>

Cancel -

Afb. io-zo Meedoen of niet 4 Als u niet mee wilt doen, klik dan de eventuele vink voor Yes, 1 would like to join the Microsoft Update Improvement Program weg. Klik op de knop Next>. In het wizardvenster Choose Upstream Server moet u aangeven waar u de updates vandaan wilt halen (afbeelding 10-21). Dat kan vanaf de update servers van Microsoft. In grote organisaties wordt er ook wel een eigen WSUS-server voor gebruikt. Het downloaden van updates vanaf de update servers van Microsoft hoeft dan voor de gehele Organisatie maar één keer te gebeuren.

10

Updates

491

Ib Windows Server Update Srrvices Configuration W,zard:PFSV2 --

X

Choose Upstream Server Provide the upstleam server from wh ich you want to synchronize content

Bef ore You Begin Microsoft Update Improvement Program

10

You can choose the upsteeam server from which your server synchronizm updates.

® Synchronize from Microsoft Update Specify Prosgi Server

0Synchronize from another Windows Server Update Services server

Choose Languages Choose Produrts Choose Classifications

Port eomber 8530

Configoee Sync Schedule Ftnished Whats Nest

-- Oct 551 when cynchrcnrziog update information 1f using SSL mooie that the opstrearn WSUS servee is also ronfigored to sopport 551. -- This is replica of the upstrearn server 4 replica server nrireors update approvals, settings, computers and groups from its parrot. Update,cm Le rpero.nd vnv vi the upstrenrn server.

[Back

Neoto

1

Firi

Cancel

Afb. 10-21 Waar updates ophalen U haalt updates op vanaf de update servers van Microsoft. 5

Selecteer zo nodig Synchronize from Microsoft Update. Kijk op de knop Next>. Als u een proxy server gebruikt voor de benadering van de update servers van Microsoft moet u de gegevens daarvan instellen in het wizardvenster Specfy Proxy Server van afbeelding 10-22.

Netwerkbeheer met Windows Server 2019 Deel 2

492

b '.'rdo •

>


Cancel

Afb. 10-22 Eventueel een proxy server instellen 6 Als de internetverbinding van uw opleidingsinstituut via een proxy server loopt, vul dan het wizardvenster met de gevraagde gegevens. Die bestaan uit de naam van de proxy server en eventueel de voor u geldende credentials. Als uw internetverbinding niet via een proxy server loopt, vink dan niets af. Klik op de knop Next>. In het wizardvenster Connect to Upstream Server moet u vervolgens de verbinding met de ingestelde update server initialiseren en de nodige gegevens ophalen (afbeelding 10-23). Die gegevens zijn nodig voor de verdere configuratie van WSUS.

Updates

10

493

Vindo r Server Update Ser Ice, ivnfI5u rarJcn.;:ard;PF5V2 Connect to Upstream Server Download update jet oernation from Microsoft Update Bef ore You Begin Microsoft Update Improvemeot Program

To configure Windows Server Update Services on the following screens, we need to apply your upstream server and proxy server settings and synchronize information about available updates.

Choose Upstream Server Information to be downloaded inciudesi Cheese Languages Choose Products Choose Classifications Coofigurn Sync Schadule Finished

Types of updates available Products that cao be updatad Anailable languages Click Start Connecting to save and download upstream server and proxy server iof ormation. This process might take several minutes er longer, depending on your connection speed.

Whats Nest -

Start Connecting

Back

Cancel

Afb. 10-23 De verbinding initialiseren en gegevens ophalen, kan even duren Kijk op de knop Start Connecting. Het ophalen van de gegevens duurt even, afhankelijk van uw internetsnelheid. Klik, nadat de gegevens zijn opgehaald, op de knop Next>. Er wordt vervolgd met het wizardvenster Choose Languages (afbeelding 10-24). Windows Server Update Servive> Coofrgvrrtivv Wierd-PFS Cheese Languages Select the languages far which this server wilt download updates firf ore You Begin Microsoft Update Impravement Program

1f you are storing update files locally, you can filter the updates downloaded to your servarby langaage. Choosing indmvidaal languages will affect which computers carr be updated on this server and anydownstream servers.

Choose Upsteeam Server Specify Proxy Server o Choose Products Choose Classifications Configure Sync Suhedule

Download updates in all languages, including new langaages

® Download updates anly in these langraagee

D Arabic D Bulgarian Chinese (Hong Kong

Finished Whats Nest

[]Chinese (Simplified) o Chinese (Traditional)

fl Croatian 0Czects

o

D Dutch English Estonian

D Finnish

E] Norwagian

D French 0German SAR.)0Drank

fl Polish

Hehrew

o Pnttugaese o Portugaese

Hindi

0Romanian

O Hungarian fl Itahan D lapanese o Japanese (NEC)

fl Korean oLatvian

fl Litlruanian

o

o Serbian (Lati

0Slovak O Slovenian O Spanish o Swedish Thai

>

-

Cancel

Netwerkbeheer met Windows Server 2019 Deel 2

494

Windows io draait in uw netwerk alleen in een Engelstalige uitvoering. 8 Stel het wizardvenster zo nodig in zoals in afbeelding 10-24. Klik op de knop Next>. Vervolgens moet u de producten kiezen waarvoor u updates wilt verspreiden. Daarvoor dient het wizardvenster Choose Products van afbeelding 10-25. t Windows

s

X

Srvvr Updoto Serv ren Conkgsration VAzard:PF5V2

Choose Products Select the Microsoft products to be updated Bef om You Begin

You cao specify the products for which yoo want updates.

Microsoft Update lmprovement Program Choose Upstream Server Specify Proxy Server Choose Languages

Productat Alt Products .DMicrosuft -DAntroe Directory LDActive Directory Rights Management Services Client 2.0

Choose Classifications

..DAntigen

Configore Sync Schedule

LOAntigen for ExchangefSMTP .DASP.NE1 Web and Data Fran,ewnrks .DASP.NET Web Frameworks Dure File Sync JAaure File Sync agent updates for Windows Server 2012 fl2 [I]Azure File Sync agent updates for Windows Server 2016 LIJAzorr File Sync agent updates for Windows Server 2019

Finished Whats Nest

Eting

All products, incioding products that are added in the fstsre,

CanceJ

Afb. 10-25 Waarvoor Om enig tempo in dit practicum te houden, gaat u in het vervolg alleen maar updates voor de app Windows Defender verspreiden. Het bijwerken van het besturingssysteem Windows io op het werkstation met updates doet u in de slotopdracht van dit hoofdstuk. 9 Haal alle vinken uit de lijst Products weg door eerst All Products te voorzien van een vink en diezelfde vink daarna weer weg te klikken. Plaats in de categorie Windows alleen een vink voor Windows Defender. Klik op de knop Next>. Vervolgens moet u de classificatie aangeven. Daarvoor verschijnt het wizardvenster Choose Classijications van afbeelding 10-26.

Updates

10

495

Wind. Servcr Update Srrce, CoefiguraSon \VicardPP5V2 —

Choose Classifications Select the update classifications you want to download

Before You Begin

You can specify what classification of updates you want to synchronize.

Microsoft Update lmprovement Program Choose Upstream Server Specify Prouy Server

Classificationv

DAII Classif kat' om; Critical Updaten

Choose Languages

Definition Updates Choose Product, Eoriver Sets EDriver, Configure Sync Schedok

E Feature Packs

Finished Whats Nest

Security Updates -tService Packs -Tools -DUpdateRollups OUpdates OUpgrades

All classification,, incloding classificatioos thet ere rddrd in the future.

Back

Afb. 10-26 Classificaties In afbeelding 10-27 ziet u in welke klassen de updates zijn ingedeeld. In de praktijk kiest u voor All Classijications. U krijgt dan te zien welke updates van alle klassen beschikbaar zijn. U belast daarmee noch de ruimte op de harde schijf noch de bandbreedte van uw internetverbinding. Dat komt omdat het downbaden van een update pas plaatsvindt als u die update zo instelt dat deze op de werkstations moet worden geïnstalleerd. io Zorg voor vinken als in afbeelding 10-26. Klik op de knop Next>. Dan moet u het synchroniseren instellen (afbeelding 10-27). Met het synchroniseren wordt bedoeld het bijwerken van de update-gegevens in de database van WSUS met eventueel nieuw verschenen updates. Dat synchroniseren gebeurt via een update server van Microsoft omdat u in het voorgaande daarvoor heeft gekozen (afbeelding 10-21). Let wel, alleen de update-gegevens worden bijgewerkt. De updates zelf worden bij het synchroniseren niet opgehaald.

Netwerkbeheer met Windows Server 2019 Deel 2

496

X

ot \Vrndovs Server Update Services Configuration \znrdPF5V2

ca

Set Syrro Schedote Conf gure whrrn this server synchrorrrues with Microsoft Update

Before You Begin Microsoft Update Improvement Program

0.

You con synchronize updates manually oe set a schedule for daily automatic synchronization.

Choose Upstream Server Specify Prony Server

® Synchronize manualbr

Choose Languages

0Synchronize autonsaticalty

Choose Productu Choose Ctassifications

First synchroniuntion:

05r52r45

Synchrnnrzations prr da Finished Whats Noot

Note that when schedrsfing a daily synchronivation from Microsoft Update, the synchronization start timewili have a random offset up to 30 minutes after the specitird

Nextv

1

fancd

Afb. 10-27 Hoe de update-gegevens bijwerken Synchroniseren kunt u handmatig doen of geagendeerd. Het laatste stelt u in door de optie Synchronize automatically te selecteren en daaronder in te stellen wanneer en hoe vaak. Om voorlopig alles in de hand te houden, kiest u op dit moment voor handmatig. ii Zorg zo nodig dat Synchronize manually is geselecteerd. Klik op de knop Next>. In het laatste venster van deze wizard wordt voorgesteld om de eerste synchronisatie onmiddellijk plaats te laten vinden (afbeelding 10-28).

10

Updates

497

92 Windows Server Updat Service> Cvnfigvrotiorr \SizardPFSV2 Finished Fieished initial cent iguration of your server Before You Begin Microsoft Update lmprevement Program

You have new finished cenfiguring your WSUS server. You een geen to launch the WSUS Admini5tration Console er start the initial synchronization.

Choose Upstream Server

Launch the Windows Server Update Services Administration Console

Specify Prosy Server Set started udmirristering your organivutien by storting the Windows Server Update Services Administralion Console.

Cheese Languages Cheese Products Cheese Classificotions

D Begin initial synchronization

Cenfigure Sync Schedule Whats Neef

The initial synchronization with Microsoft Update oryour upstream server can take some time. The length of the initial synchronization depends en the number of products. update classifications, and languages you have selected, as well as the speed of your Internet connectien.

v Back

Noot>

Finish

Cancel

Afb. 10-28 De eerste synchronisatie Om te zien hoe u handmatig synchroniseert als u WSUS in gebruik heeft, laat u dat nu niet doen. 12

Klik zo nodig de vink voor Begin initial synchronization weg. Klik op de knop Next>. In het wizardvenster What's Next krijgt u een overzicht van wat u nog allemaal kunt doen om WSUS geïntegreerd in uw netwerk te laten functioneren (afbeelding 10-29). U ziet dat alles in het vervolg van deze paragraaf.

Netwerkbeheer met Windows Server 2019

498

92 Windows

r

Server Update Snrwcm Configuration Wzrr

Deel 2

X

-

What's Next Neot steps to get your WSUS Server integrated into your environment

Before You Begin

NeutSteps: To hUlp configure your systen you should euplore the foilowing topicu

Microsoft Update Improvement Program

1.lising SSL with WSUS

Choose Upstream Server

2.Create computer umupy

Specify Prooy Server

3.Assign computers to gr000s using Group Policy

Choose Languages 4.Configoreauto-aer,ronal ruim

Choose Products Choose Ctassification5 Configure SyncScheduie Finisised

IBuck

Finish

Cancel

Afb. 10-29 Na deze wizard nog niet klaar 13

Kijk op de knop Finish. Het configureren van WSUS is hiermee klaar. De beheertool Update verschijnt voor u (afbeelding 10-30). ig Update Servioet

it File Astion View 4-4ILF u ME Updetetarvioes

Window

HUp

UpdateSosvket

> b PFSV2 Windows Server Update Services Ure this snap-in to quiokly end reliably deploy the latest updeter to your computers. toe remote serves on th. Âotien menu dick Connect to Server.

connact

Servers Adminirtared trom This Console

PFSV2 Computer Status •Computers with erroru Coroputnrrneeding opdrten Computers inrtalledfnot applicabln

Afb. 10-30 De beheertool Update

PF5V2 Update Status 0 • Updoteu with erruro Updetes needed by somputern S Updates inttalledlnot applicrble S

Services

14 Sluit op beide servers alle vensters behalve de Server Manager. Sluit de beide DC's af.

Services

10

Updates

De beheertool voor WSUS gebruiken

Nu WSUS is geïnstalleerd en geconfigureerd, gebruikt u de beheertool voor de eerste synchronisatie. U bekijkt verder hoe u deze beheertool kunt gebruiken.

Practicum 10.2.4: WSUS beheren 20 min.

In dit practicum: •Maakt u kennis met de beheertool voor WSUS. •Voert u handmatig een synchronisatie uit en bekijkt u het resultaat daarvan. Voor dit practicum heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na het vorige practicum. •Het werkblad bij practicum 10.2.4 waarop u uw werkzaamheden vastiegt. •Tijd: ± 20 minuten. Korte practicuminstructies

a Voer op DC PFSV2 in WSUS een eerste handmatige synchronisatie uit. b Noteer het aantal beschikbare updates op uw werkblad. Toon alle beschikbare updates in het detailvenster van de MMC Update Services. c Sluit de beide DC's af. Gedetailleerde uitwerking van het practicum

De verdere werkzaamheden aan WSUS voert u op DC PFSV2 uit met behulp van de beheertool voor WSUS. Daarmee: •synchroniseert u een keer handmatig; •bekijkt u in de database de gegevens van de beschikbare updates. 1

Zorg dat u als domain Administrator ingelogd bent op de beide DC's. Klik op DC PFSV2 op de optie Windows Server Update Services in het menu Tools van de Server Manager. De MMC Update Services wordt gestart zoals in afbeelding 10-30.

2

Vouw in de tree zoveel mogelijk uit zoals in afbeelding 10-31. Selecteer in de tree de container Synchronizations zoals in afbeelding 10-31De in het detailvenster getoonde synchronisatie is het gevolg van het initialiseren van de verbinding met een van de update servers van Microsoft (afbeelding 10-23). U ziet dat er geen update-gegevens zijn opgehaald.

499

Netwerkbeheer met Windows Server 2019 Deel 2

500

Handmatig synchroniseren

Nu dan de eerste handmatige synchronisatie. 3 Zorg dat de container Synchronizations in de tree is geselecteerd.

Klik in het menu Action op de optie Synchronize Now. De eerste keer kan het synchroniseren behoorlijk lang duren. Na afloop ziet u de synchronisatiegegevens in het detailvenster (afbeelding 10-31). ib Updete

-

Uk AcUon View Windws

4..

X

rt 't

ii

jb Update Seruires

Vpnuhronwutions

PFSV2 >

0

1-.

Help

Do

2'» Finitleed

2 Stested

Updetee u4 Computers Ir

f)

5-201912r25 1:33

Sersers

Type

Result

7.5.201913:07 Mensel

Socreeded

7-5-2313 12:13

S uuur odod

NewU... Rente.., Eopiee... 12

0

278

Synchronoations Reports Options

-

Synotreonewtion Oetnilt Stwtedr 7-5- 1911:58 Finithedr 7-5-201912:20

Afb. 10-31 De informatie na een geslaagde synchronisatie In het detailvenster ziet u, naast de gegevens over de synchronisatie zelf, hoeveel nieuwe(New), herziene(Revised) en verlopen (Expired) updates er zijn aangetroffen van de door u gekozen Products (afbeelding 10-25). De

update-gegevens in de database

De gegevens van de updates die zijn aangetroffen, zijn in de database van WSUS opgeslagen. De updates zelf echter niet. 4 Selecteer in de tree de container Updates. In het detailvenster ziet u de aantallen in de containers All Updates, Critical Updates, Security Updates en WSUS Updates(afbeelding 10-32).

Updates

10

it Update Servi— kl File Astion View

Window

501

HAp

4.01nktifirm jb Updt. Seevioes jb PFSV2 )0 Coropsteen l

This view shonsst sonnnrery of the stetos of yov, opdetes byopdstevinw.

Downstream se-

4# Syrrvhroniotions Reports

OveMew

Options

All Upd.tev • Updstoswith-om Updstes needed by oo,npote.w

t

Cntivsl Updsten Upderenw.thenow 0 Updetes needed by 000spvdeee 0

Updetes instolled/not sppliosblo 12

Updotes in,ttiled/not sppliooblw 0

—u

Updeteswithnost.ton

R

C.

Senvrity Updates 0 -. • Updstes wdJn er,o,s Updates needed by oornpvterv S Updetes instelled/not epphoebln 0 UpdVie,wrthnn,totvs t

Updoteswtihnostotus

0

WSUS Updotee • Updeten woU e,,orn Updates neoded by vonrpvtew 0 i t.

! Updaten instoll,dfnot spplioeblrv 0

- ! Updeteswthnostetvn

t

Afb. 10-32 In verschillende containers 5 Vouw in de tree zo nodig de container Updates uit. Selecteer in de tree vervolgens de container All Updates. In eerste instantie ziet u niets in het detailvenster. Dat komt omdat de inhoud van het detailvenster wordt bepaald door de instellingen in de uitschuiflijsten Approval en Status. 6 Selecteer zo nodig in het detailvenster met de uitschuiflijst Approval de optie Unapproved. Selecteer met de uitschuiflijst Status de optie Any. Klik op de knop Refresh rechts naast de uitschuiflijst Status. U ziet nu de gegevens van alle updates zoals die in de database van WSUS zijn opgeslagen (afbeelding 10-33). Let wel, dit zijn alleen de gegevens van de updates en niet de updates zelf. Onderin het detailvenster ziet u verder de specificaties van de update die u bovenin het detailvenster heeft geselecteerd.

Netwerkbeheer met Windows Server 2019 Deel 2

502

ik UpduteSendoes it File Attion View

Vlindow 9

b UpdsteSoroioes

E

All Upd.rtcs

12

ltvvf:ih

PPSV2 Upduter

Appronab Unopproved

Al] Updates Crilinol Updatos

Statssr Any

Retsmh Clossifloolion

Title

lrrstoli.. Approval

Update for Wrndoess DefeodoeMliuirus antirnutware platform Definirion Updrr,.

0% Not approned

056initionUpdate for WindowsooferrderAotndrus- 1(8915597... DehnilionUpdet...

0% Notappr000d

Computers

Dofinition Update for Windows Oefende, AnVi rus- K8226760... Definition Updot...

0% Not appioved

Oownurream Servers

Defrnition Update for Wirrdnws Oefende, Asrtruieos- 1~60... Definition Updat_

0% Not approned

Detinirion Update to, Windows Oefende, Antivirrw- 1(8226700... Dofinition Updat...

0% Not approved

Definition Update to, Windonns Oefende,Antiisos -1(0915597... Dofinition Updor...

0% Not approved

Definition Update tot Windows OofenderAntivirus - 1(8915597 ... Definition Updut...

0% Not appioved

Update for Windows DofenderAnrivinss antimalware platfoen ... Definition Opdat..

0% Not approved

Definnion Updote for Windows DofeodesAntruinw- 1(8915597... Oefinition Opdat..

0% Not tpprOved

Definition Update tot Windows DefenderAotivirrsu - 1(8915597... Delinition Opdat...

0% Nut opproved

Seourity Updates WSUSUpdates

4. Synuhronivations Reports irOptions

Update for Windows Oefende, Antisiwo ,ntion,lwaoa platform - 1(84052823 (lroosion4.1S1804.1) (j) This updote supersodes another update. timbre you decrrne any superseded update. we recommerrd that you verify 6 1, n. longor needed by anp oomputers. To do to. approve th, superseding update first Stamt. • Computers sith errnru Computers neoding this updener Computers installedlnnt applioahln 0 Cornpurertwh no OtoruO 2

MSRC onnnriyr MSRC nurnber Releosedater KB ertinle nuwbew

Unspooified Onno woensdag 10 april 2018 4052623

Afb. 10-33 All Updates 7 Klik in de tree op de container All Computers. Stel met de uitschuiflijst Status weer de optie Any in. Klik op de knop Refresh. In de container All Computers ziet u de computers uit uw netwerk die staan ingesteld om hun updates via deze WSUS-server te verkrijgen. U ziet dat dit er nog geen zijn (afbeelding 10-34). ib Update Sesnioes File Astion View Wind~

Help

0

X Ex

4.41 nti Update Services

All Cowpvtrrs .2crrrpnters ofûshoovn, Ototol)

ib PFSV2 Updetes All Updates

Otatsio 11) Name

11 Q Reftesh IP Addmss

Operating Up... lnstalled/N...

Last Status

Critinal Updates Senvrity Updates WSUS Updatos Computers o

All Computers Oowrotrnarn Servers

4. Synohronioarions Reports

9

Optiors

flreee are to items sofeoted

Afb. 10-34 Nog geen werkstations die hun updates ophalen bij de WSUS-server Tijd dus om de werkstations in te stellen. Dat doet u in het volgende practicum. 8 Sluit de beide DC's af.

10

Updates

Windows Update voor de werkstations configureren

Instellingen voor werkstations regelt u bij voorkeur via policies die u instelt in een geschikt GPO. Dat dit ook in local policies kan, is vermeldenswaardig maar ook niet meer dan dat. Uw netwerk centraal beheren betekent immers dat u niet elk werkstation apart hoeft in te stellen. In het volgende practicum stelt u enkele policies in voor Windows Update op de werkstations. U gebruikt werkstation PFWSi natuurlijk om te testen.

Practicum 10.2.5: Windows Update op de werkstations

& 30 min.

In dit practicum: •Kiest u een geschikt GPO dat op werkstation PFWSi van toepassing is. •Regelt u door het instellen van policies de werking van Windows Update op de werkstations.

Voor dit practicum heeft u nodig: •De DC's PFSVi en PFSV2 zoals geconfigureerd na het vorige practicum. •Werkstation PFWSi zoals geconfigureerd in de vorige practica. •Het werkblad bij practicum 10.2.5 waarop u uw werkzaamheden vastlegt. •Tijd: ± 30 minuten. Korte practicuminstructies

a Verplaats in AD het computer account van testwerkstation PFWSi naar de OU PFAfdelingen. b Kies een GPO dat op alle gebruikers - behalve de domain Administrator - en alle werkstations van PoliForma BV van toepassing is. Zorg er in dat GPO met een policy voor dat de werkstations voor Windows Update de standaard webserver op DC PFS Vi gebruiken voor het zoeken naar nieuwe updates en het registreren en ophalen daarvan. Gebruik daarbij poort 8530. Zorg er in datzelfde GPO voor dat de werkstations niet langer nog updates op zullen halen via het internet. Zoek op werkstation PFWSi eenmalig en handmatig naar updates. Controleer of werkstation PFWSi daarna in WSUS als client bekend is. c Stel vervolgens in hetzelfde GPO in dat er door werkstations automatisch naar updates moet worden gezocht. Zorg dat op het werkstation een melding verschijnt bij het beschikbaar zijn van nieuwe updates. Zorg er in hetzelfde GPO voor dat de werkstations elk uur kijken of er nieuwe updates beschikbaar zijn.

503

Netwerkbeheer met Windows Server 2019 Deel 2

504

d Kijk op werkstation PFWSi of er nieuwe updates voor Windows Defender zijn geïnstalleerd. e Sluit werkstation PFWSi af. Sluit de beide DC'S af. Gedetailleerde uitwerking van het practicum

Dit practicum valt in enkele onderdelen uiteen: •Eerst verplaatst u in AD het computer account van werkstation PFWSi zodat er de GPO's PFBeheerdersGPO en PFGebruikersGPO op van toepassing zijn. •Vervolgens stelt u policies in zodat werkstation PFWSi weet waar Windows Update naar updates moet zoeken en gevonden updates moet ophalen. Ook verbiedt u werkstation PFWSi nog updates op te halen via het internet. •Dan laat u werkstation PFWSi naar updates zoeken en controleert u of het werkstation daarna in WSUS bekend is. •U vervolgt dan met het instellen van nog enkele policies voor Windows Update op het werkstation. •Tenslotte controleert u de instellingen door op het werkstation Windows Defender updates op te laten halen. i Start de beide DC's en log daarop in als domain Administrator. Het computer account PFWSi verplaatsen

Omdat het computer account PFWSi in AD opgenomen is in de container Computers is daarop alleen het GPO Default Domain Policy van toepassing. In het algemeen geldt dat u computer accounts - analoog aan user accounts en group accounts - onder wilt brengen in de bijpassende OU'S. Een testwerkstation als PFWSi brengt u het beste onder in een zo algemeen mogelijke OU. In uw OU-structuur is dat de OU PFAfdelingen. Door het computer account daarin op te nemen, zijn daarop de GPO's PFBeheerdersGPO en PFGebruikersGPO van toepassing. Op het GPO PFBeheerdersGPO staat Enforced ingesteld. De toepassing van de policies wordt dus afgedwongen en de policies zijn van toepassing op de OU PFAfdelingen en alle OU's die daarin zijn genest. Het GPO PFBeheerdersGPO is dus het meest geschikt. 2

Verplaats op DC PFSVi of PFSV2 in AD het computer account PFWSi uit de container Computers naar de OU PFAfdelingen. Controleer de verplaatsing. Vergelijk met afbeelding 10-35. Herstel als dat nodig is. Sluit daarna alle vensters behalve de Server Manager.

Updates

10

505

jActive Dieectory Usees and Computers Fik

Action

View

11

-

0

X

Help

El

Actjvr Directory Usees and Computers (PFSV2.PoliF0rma.IocaII : > SavedQoeom PoliFonna.local Builtin

Name

Type

Deovription

jAdministratie

OrgenoationalUnit

OU voor de afdeling Ad

Autootioenog

Cornpoters uT Domein Conteollern ForeigmSovnrityPrincipals Manogrd Service Accounts PFitfmlolingen umorc

Oegenoational Smit

OU voor de afdeling Au

Directie

Oegonoational Unit

OU voor de Directie

PF5V1-PFPR1

Printer

Bedient de HP losodet

Computer

Werkstation voor algen

Orgeniaati000l Unit

OU voor de afdeling Po

OrganiaatinoalUnit

Octvoorde afdeling St,

8PFW51

W Productie Eg Staf

-

TPFPR1

Svnoty Droop- Domein Local Toegangsgroep tot prom

Verkoop

Orgrnmcativnal Unit

OU voor de afdeling Vem

Afb. 10-35 Het computer account PFWSI in de OU PFAfdelingen Windows Update op werkstation PFWSi verwijzen naar enkel WSUS

U stelt vervolgens via een policy in dat Windows Update op de werkstations op WSUS-server PFSV2 naar updates moet zoeken en ook alleen maar daar. Ook het ophalen vanaf die server stelt u in. 3 Open op DC PFS V2 het venster Group Policy Management Editor van het GPO PFBeheerdersGPO. Selecteer in de tree de container Computer Configuration\Policies\ Administrative Templates\ Windows Components\ Windows Update (afbeelding 10-36). -

Droop Policy Management Editor File

Attion

View

V'ndows Defendor Exploit Guard -- Windows Defender SmnortScreen J Windows Error Reporting

2-1

Windows Dame Recording and Broadco Windows Hello for Business

w

Update for Busi-

2All~ Aotomatic Updates immediate installation [2 Allow non-administrators to recnive update notifications

Wind—Instellen Windows Logen Options Windows Media Digital Rights Manager

Not confic Not confic

Allow signed updates from en internet Microsoft update oer...

Not confic

]Allo- updates to be dowoloaded eatomotioolhj over met000...

Not confic

Almays aatomatically restart at the scheduled time

Not vanfrc

Aotomatic Updates detection frequency

Not confis

.m/ind000 Media Pleycr

2 1 Configure Antomatic Updates

Not confir

,/indows Messenger

( Configure auto-restart reminder notifications for updates Du Configure auto-restart reqoired ootification for updates

Not confia

,'indowt PowerShell

j

Configure auto-restart ~ming notifications schedule for u,..

Not confis

.Vindows ReliabilityAnalysiu

j

Delay Restart for scheduled installations

Net confir

..'mndows Remote Management (WinRf

[ Display opti005 for update notifications j Do not adjost default optioo to 'Instelt Updates and Shut Do...

Vind~ Mobility Center

.,indvwo Remote Shell Vindows Security Windows Update Werk Folders All Settings Peeferences g

X

State 0

Setting

Ei Windows

Windows Ink Workspace

1

0

Help

UserConfiguration Policies

Do not allow update deferval policiesto cauSe 00000 against

Not confic

Not confis Not confic Not confic

2Do not coenect to any Windows Update Internet lovations 2Do not dioplay lostoll Updates and SUst Down optioo in Sh... 2Do not inclode drioers with Windows tlpdotes ) Enable client-sidetargetiog

Not confir

toabling Windows Update Power Management to autowati...

Not coofic

Not confic Not coofin Not confin

[nNv auto-restart sm.Uh Ivoord vn ucems for scheduled automat... Not cootic °

Preferences

33 setting(s)

Afb. 10-36 Policies voor Windows Update Nu het verwijzen van de werkstations naar de WSUS-server. Dat stelt u in met behulp van de policy Specfy intranet Microsoft update service location.

Netwerkbeheer met Windows Server 2019

506

Deel 2

4 Dubbelklik in het detailvenster op de policy Specijj'y intranet Microsoft update service location. Het eigenschappenvenster van deze policy verschijnt (afbeelding 10-37). Daarin moet u locaties opgeven: •voor de plaats waar moet worden gekeken of er updates beschikbaar zijn en van waar deze moeten worden gedownload; •voor de plaats waar alles in een database wordt bijgehouden. Beide locaties zijn in uw geval opgeslagen op WSUS-server PFS V2. Voor het benaderen kan de default webserver worden gebruikt met poort 8530. Die poort verwijst naar de HTTP-WSUS-applicatie (afbeelding 10-21). Specify intranet Microsoft update service location

0

Specify intrariet Microsoft update seivice location

®

Not Conflgwed

Prwious Setting

X

Next Setting]

Corewent:

o Enabled o Disabled SUppOrted

At least Windows XP professional Service Pack 1 or Windows 2000 Service Pack 3, excluding Windows R1

Optionu

Help:

Set the intranet update service for detecting updates:

.

Specifies an intranet server to host updates from Microsoft Update. You can then use this update service to automatically update computers on your network. This setting Iets you specify a server on your network to function as an intemal update service. The Automatic Updates client will search this service for updates that apply to the computers on your network.

Set the intranet statistics server.

Set the altemate download server -

(example http://lntranetUpdol) 1 Download files with no Url In the rrnetadata if -

altemate download server is set.

To uw this setting. you must set two server name values the server from which the Automatic Updates client detects and download5 updates, and the server to which updated workstations upload statistics. You can set both values to be the same server. An optional server namevalun cao be specified to configure Windows Update Agent to download updates from an ahernate download server instead of the intranet update service. 1f the status is set to Enabled, the Automatic Updates client connects to the specified intranet Microsoft update service (or alternate download server), instead of Windows Update, to

OK

Cancel

-

Afb. 10-37 Waar ophalen s Schakel de policy in door de optie Enabled te selecteren.

Vul het tekstvak Set the intranet update service for detecting updates met: http://192. 168. 101.12:8530.

Vul het tekstvak Set the intranet statistics server ook met: http://192. 168.101.12:8530.

Klik op de knop Apply. Klik op de knop OK.

Updates

10

507

Nu nog instellen dat er niet naar andere update-locaties op het internet mag worden gekeken. 6 Dubbelklik in de lijst met policies op de policy Do not connect to any Windows Update Internet locations (afbeelding 10-38). SW Do not con riect to any Windows Update Internet locatioris Do not connect to any Windows Update Internet locatloirs

® Not Configared

0

Previous Setting

X

Next Sftfl9

Comment

o Enabled o Disabled Supported 0w

At least Windows Server 2012 R2, Windows 8.1 oe Windows ItT 8.1

Optionsi

Help:

Even when Windows Update is configured to recerve updates froes an intranet update service, it will periodically retrieve information from the public Windows Update service to enable future connections to Windows Update, and other services like Microsoft Update or the Windows Store. Enablirrg this policy will disable that functionality, and may cause connectinn to public services such as the Windows Store to stop working. Note: This policy applies orrly when this PC is configured to connect to an intranet update service using the 'Specify intranet Microsoft update service location' policy.

OK

Cancel

-

Afb. 10-38 En nergens anders

Schakel de policy in en klik nog op de knoppen Apply en OK. Opnieuw testen

Natuurlijk test u of de ingestelde policy ook werkt. Omdat u de policy ingesteld heeft onder Computer Configuration moet deze werken voor werkstation PFWSi ongeacht wie er via dat werkstation inlogt. 8 Sluit op DC PFS V2 het venster Group Policy Management Editor. Actualiseer de policies op DC PFSV2 met het commando gpupdate. Sluit daarna het venster Command Prompt of Windows PowerSheil. Start werkstation PFWSi en log in met het user account van Uzelf. Bij het starten van het werkstation zijn de policies op computerniveau toegepast. In dit geval is er echter meer. Op het werkstation moet Windows Update

Netwerkbeheer met Windows Server 2019 Deel 2

508

zichzelf instellen op het gebruik van WSUS-server PFS V2 voor het ophalen van updates. Dat instellen kan tot wel 30 minuten duren. Via een commando kunt u dat instellen forceren. 9 Open op werkstation PFWSi de Run-box.

Voer het commando c:1 windowslsystem32 1 usoclient. exestartscan uit. U ziet geen reactie. Dat is normaal. 10

Sluit op werkstation PFWSi het venster Corn mand Prompt. Herstart werkstation PFWSi en log weer in met uw eigen account. Start vervolgens op werkstation PFWSi de app Windows Defender via het Control Panel. Het venster van Windows Defender op werkstation PFWSi verschijnt.

ii Haal het tabblad Update voor u (afbeelding 10-39). 12

Kijk om handmatig eenmaal naar updates te zoeken op de knop Update definitions.

13 Vergelijk het venster van afbeelding 10-39 met dat van afbeelding io-ii. Hooguit

zijn de definitiebestanden nog een keer aangepast.

Vinas and spywurs definitions: Up to date Your virus and spywaro definitions art automaticaby updated to help protest your PC.

Definitions created os:

7-5-2019 ot 10:35

Definitions last updated:

7-5-2019 at 15:55

Virus definition version

1.293.1048.0

Spyware definition version: 1.293.1040.0

Did you know' Virus, spywa re. and other malware definitions are files that are used to identify malicious os potentrally unwanted software on your PC. These definitions are updated autornaticoll4 bot you cao also click Update to get the lamst versions whnnever you want.

Afb. 10-39 Waarschijnlijk zijn er enkele versienummers aangepast 14 Sluit op werkstation PFWSi alle vensters.

Sluit werkstation PFWSi af.

Updates

10

509

Open op DC PFSV2 de MMC Windows Deployment Services. Vouw in de tree uit en selecteer de container All Computers. Selecteer in het detailvenster met de uitschuiflijst Status de optie Any. Ververs het venster door op de knop Refresh te klikken. U ziet dat werkstation PFWSi met al zijn gegevens bekend is op de WSUS-server (afbeelding 10-40). Het werkstation is daar opgenomen nadat het zich conform de ingestelde policy voor de eerste keer heeft gemeld om te zien of er updates beschikbaar waren. Updato Seroroes

ib

File Aotion Olrno Window

Update Sersiono

Help

All Computers 11 computers cllrhcwn 1 total)

jb PFSV2 Updatno

Staten

All Updates Critioal Updates

1F Addrent . pfo.ol.polrfcrmo.lcsal

Operating Syttent 09rrdoos 10 Pro

lnotalledlNottip... Laat States Report 67.

-1-201915.02

Saoonty Updttoo WSUS Updates r Conrpotero All Con,potero Synohrornootiono

u

Roporto opti—

pAoal.pohfotm..l000l

W

2 • Updatno -11neem 4 Updatet neededi Updaten inotalledloot applioablrn 8 Updatoo with no otatuso 0

F

Uroupweorbrnohipr All Corrmpaders,UnasrignedCompsrterr Windosot 10 Pro OS OSlengruagso —US Sarvioepaulo Noren 1F addtetsr 192.168.101.33

Additional DettiA

Afb. 10-40 Het werkstation is in WSUS verder bekend 15

Sluit op DC PFSV2 de MMC Update Services. Opnieuw policies

Het handmatig naar updates zoeken op werkstation PFWSi werkt dus correct. U wilt dit alleen niet handmatig maar automatisch en voor alle werkstations. U moet inmiddels aanvoelen dat dit wijst op het instellen van een of meer policies. 16 Open op DC PFSV2 opnieuw het venster Group Policy Management Editor bij het GPO PFBeheerdersGPO. Haal via de tree het venster van afbeelding 10-36 met de policies voor Windows Update voor u. Dubbelklik in het detailvenster op de policy Configure Automatic Updates. Het eigenschappenvenster van die policy staat voor u (afbeelding 10-41).

Netwerkbeheer met Windows Server

510

0

ConfigureAatomatic Updates ConfigureAutomatic Updates

® Not Configured

2019

Deel 2

>(

Next Sevg

Praviou5Sing

Comment

o Enabled

o Supported

Window5 XP Professional Service Pack 1 or At mast Windows 2000 Service Pack 3

Help

Options: is

Configure automatic updating:

The following settings are only reqaired and applicable if 4 is selected.

fl Instali

dunng automatic maintenance

Specifies whether this computer will receive security apdates and .' other important dowoloads through the Windows automatic updating service. Note This policy does not apply to Windows RT. This setting Iets you specify whether automatic updates are enabled on this computer. It the service is enabled, you must select one of the fout options in the Group Policy Setting:

Scheduled instail day: 2 = Notify before downloading and installing any updates. Scheduled wstall time,

----

1f you have selected 4 - Auto download and schedule the install for your scheduled instak day and specified a schedule. you also have the option to limit updating to a weekly, bi-weekly or nronthly occurrence, using the options below: