Cum delegi dreptul de a joina calculatoare la domeniu si nu numai

Pai sa o luam cu inceputul. Orice user dintr-un domeniu AD are dreptul de a joina sisteme la domeniu. Drepturile astea sunt specificate in Default Domain Controllers Security Policy:

Modul prin care pot fi joinate este cel remote in care te duci pe sistemul respectiv, computer properties, network identification si ii spui ca face parte din domeniul X.Y:

Eu de fiecare data am preferat sa spun ca asta e modul AdHoc de a joina sistemele (si pe care nu il recomand). Computer accounturile pentru sistemele nou joinate for fi create in containerul default Computers:

Si cum nu putea fi atat de simplu acum intervine smecheria. Exista un soi de quota, si fiecare user are dreptul de a joina maxim 10  sisteme. Limita asta o stiu de la Windows 2000 si nu cred ca s-a schimbat. Ce nustiu foarte multi e ca aceasta limita poate fi modificata prin editarea atributului ms-DS-MachineAccountQuota. Despre cum sa-l modifici gasesti aici:

http://support.microsoft.com/kb/243327

Acum de ce am zis ca nu recomand modul asta de a joina sistemele in AD? Pentru ca toate ajung in containerul Computers (by default; nu mai zic cum se modifica pentru ca nu are rost), nu le muta nimeni, GPO nu se aplica si iese o harababura acolo.

Modul pe care eu il recomand e sa delegi drepturile necesare pe un container, sa pre-creezi computer accountul si abia dupaia sa joinezi sistemul la domeniu.

Recomandat in cazul delegarilor e sa folositi grupuri nu useri cum am facut eu in exemplul de mai sus. In caz ca userul pleaca puteti foarte simplu modifica membrii grupului fara a pierde delegarea. Sau puteti revoca drepturi modificand doar grupul.

Tot la fel poti sa-I dai si dreptul de a sterge computer accounturi.

Pasul urmator e de a pre-crea computer accountul:

Deci admin-ul nou delegat trebuie sa foloseasca Active Directory Users and Computers pentru acest task de fiecare data cand o sa introduca un sistem nou in domeniu. Nu e nevoie de drepturi de domain admin sau de drept de logon pe domain controller. Consola se poate instala pe orice statie din domeniu.

Atentie la rubrica User or Group. Aici puteti specifica ce alti useri sau grupuri o sa mai aiba acces pe acest computer account. By default userul ce il creaza este Creator Owner si are drept de Join/Modify/Delete. Aici puteti de exemplu sa specificati un grup folosit de departamentul IT, dar nu e obligatoriu.

Pasul urmator e de a joina sistemul care are acelasi nume cu computer accountul, in domeniu. Iar aici nu e nimic special, e ce am descris in primele randuri ale acestui articol.

Acum insa hai sa luam in calcul inca un scenariu. Poate ca am delegat drepturi pentru un user/grup pe un container in care se mai aflau si alte conturi, sau poate ca mai sunt si alti useri care au drepturi aici si joineaza si ei sisteme. Bineinteles ca userul nostru nu o sa fie Creator Owner pe computer accounturile create de altii si nici nu o sa aiba drepturi (in caz ca nu s-a folosit optiunea User and Group descrisa mai sus). Si ce facem daca vrem sa re-joinam un sistem introdus in domeniu de altcineva (poate de un domain admin)?

Pai mai e nevoie sa delegam urmatoarele drepturi la nivel de OU:

Reset Password
Validated write to DNS host name
Read and write Account Restrictions
Validated write to service principal name

Acesta este minumul de permisiuni necesare pentru re-join:

Mai sus sunt ceva mai multe permisiuni, insa am folosit imaginea pentru a arata unde puteti vedea aceste drepturi. Wizard-ul de delegari ati vazut cum se foloseste, iar daca vreti sa va complicati putin puteti folosi chiar si tab-ul security pentru a modifica drepturile pe un OU.

In felul acesta userul o sa aiba drept sa rejoineze orice computer ce se afla in acest OU.

Si cam atat imi amintesc acum. Sper sa nu-mi fi scapat foarte multe lucruri, dar daca am uitat ceva astept completari.

 

PS: Ar mai fi si varianta cu dat drept pe containerul Computers, dar nu recomand. De cele mai multe orice, ce ajunge pe acolo ramane orfan.

Setari internet pe mobil – Vodafone

Am tot incercat sa-mi trimit sms de pe site-ul Vodafone cu setarile de internet si nu am putut, asa ca am fost nevoit sa apelez la suportul lor ca sa-mi zica ce date introduc si unde. Spre surprinderea mea, am rezolvat repede. In caz ca mai are cineva nevoie vreodata, am listat mai jos setarile care trebuie facute pe un Nokia E72; pentru restul telefoanelor va descurcati, am incredere!

1. Menu – Ctrl. Panel – Settings – Connection – Destinations – Access point
   • Automatically check for available access point: No
   • Select access point: Packet data
   • Packet data access point name: Vodafone Mobile sau orice doriti
2. Menu – Ctrl. Panel – Settings – Connection – Destinations – Internet
   • Vodafone Mobile – Edit
     1. Connection name: Vodafone Mobile
     2. Data bearer: Packet data
     3. Access point name: live.vodafone.com
     4. User name: live
     5. Prompt password: No
     6. Password: vodafone
     7. Authentication: Normal
     8. Homepage: None
     9. Use access point: After confirmation
   • Options – Advanced setting
     1. Network type: IPv4
     2. Phone IP address: Automatic
     3. DNS addresses: Automatic
     4. Proxy server address: 193.230.161.231
     5. Proxy port number: 8080

Testam conexiunea intr-un browser web.

Curs valutar in excel

Ati avut vreodata nevoia sa aveti cursul valutar actualizat zilnic intr-un fisier Excel? Am patit-o si eu ieri si a trebuit sa caut solutia

1. deschidem Excelul (eu am versiunea 2010)
2. deschidem tab-ul Data
3. in grupul Get External Data selectam From Web

   

4. in campul Address introducem adresa de unde vrem sa luam cursul valutar si apasam Go. Site-ul BNRului pare a fi o idee buna

   

5. facem click pe sageata de stanga tabelului unde este afisat cursul valutar. Apasam butonul Import

   

6. selectam celula unde vrem sa punem datele importate

   

7. dureaza cateva secunde…

   
   si rezultatul este…

    

Valorile din coloana B sunt formatate automat ca Number, deci daca vrem sa obtinem ceva de genul: 4.1865, intr-o alta celula impartim B1 sau B2 la 10000 (=B1/10000).

Acum, toti stiu ca BNRul actualizeaza cursul in fiecare zi la ora 14.00 +/- cateva minute. Ca sa actualizam si noi “excelul”, tot din tab-ul Data, grupul Connections, apasam Refresh All.

Internet Explorer 9

Internet Explorer 9 e final. Il puteti downloada de aici:

http://microsoft.com/IE9

UAG Intro

UAG vine de la Unified Access Gateway si e urmasul IAG – Internet Access Gateway (astia de la MS chiar cred ca e interesant sa schimbi numele produselor de la o versiune la alta). Produsul a fost dezvoltat initial de Whale Communications care mai tarziu a fost achizitionata de Microsoft si se vindea sub forma de appliance iar asta cred ca il facea si destul de scump (nu mai scump decat ce oferea concurenta). Mai nou e disponibil si separat, adica il poti instala pe un server Windows si e suportat si in mediu virtual.

Nota: Whale Communications era de origine din Israel si si-a dezvoltat produsele pe baza cerintelor destul de stricte de acolo. Cauta pe net si Air-gap.

Dupa ce Whale Comm a fost inghitita de MS, solutia s-a schimbat si acum este o solutie software ce se instaleaza peste TMG (in mare e un filtru ISAPI).

Pe scurt as putea spune ca e solutia de SSL VPN si/sau Reverse Proxy a Microsoft (stie si de SSTP si de DA insa personal tot SSL VPN-ul mi se pare cel mai util). Cu toate ca produsul este bazat pe TMG, nu este recomandat sa fie folosit in scenarii outbound. Adica sa te folosesti de TMG-ul din el sa dai access la net si in acelasi timp sa il folosesti si pentru a publica aplicatii sau a permite accesul prin VPN. De ce? Pentru ca regulile din TMG pot afecta funtionarea UAG-ului.

Nota: Nu zice nimeni ca nu se poate sa-l folosesti si pentru outbound. Doar ca nu este recomandat.

Instalarea este extraordinar de simpla, insa dureaza ceva. Poate dura de la 20min la o ora in functie de hardware-ul folosit. Daca esti familiar cu TMG nu o sa ai nici o problema in a parcurge wizard-ul de instalare.

Mai jos gasiti o serie de screenshot-uri cu instalarea si cateva exemple de publicare de aplicatii.

In captura de mai sus vedeti consola de administrare, care pare extraordinar de simpla. Doar pare, pentru ca in spate exista o multime de obiecte ce pot fi configurate.

Elementele de baza in configurarea UAG sunt TRUNK-urile si Aplicatiile.

Un trunk poate fi definit ca un listener daca ar fi sa comparam cu TMG sau ca un container care contine una sau mai multe aplicatii publicate. Trunk-ul poate fi asociat cu o pagina de acces customizata (un portal) si fiecare trunk poate fi configurat diferit pentru acces, autentificare, URL Inspection, etc.

Aplicatiile reprezinta orice se poate publica prin UAG (servere sau aplicatii). Exemple: Exchange, Sharepoint, Citrix, RDP, OCS, FIM, etc.

Mai jos am configurat accesul catre cateva aplicatii interne. Un server RDP si un Sharepoint.

Iata si cum arata portalul de access:

Un click pe RDP DC1 imi deschide o conexiune RDP catre serverul intern, tunelata prin HTTP/HTTPS:

Iar click pe Sharepoint imi deschide o pagina cu Sharepoint-ul intern:

Din URL puteti observa ca toata comunicatia clientului se face cu un host extern (sharepoint.winadmin.ro) care de fapt este UAG-ul.

UAG reprezinta o solutie de remote acces securizat foarte complexa, care se imbina foarte bine cu solutiile existente Microsoft (si nu numai) si este demna de luat in seama. A nu se pune pe acelasi plan cu TMG, RRAS, NAP, DA – UAG e ceva ce completeaza aceste produse/tehnologii.

Pentru cei interesati e posibil sa revin pe viitor si cu alte articole pe acest subiect.

Sper ca acum sa aveti macar o idee despre UAG.

No more Windows Steady State from MS

Windows Steady State (fostul Shared Computer Toolkit) nu va mai fi continuat de Microsoft. Versiunea existenta stiu ca merge pana la Vista inclusiv; de la Windows 7 au decis sa o suspende.

http://support.microsoft.com/kb/2390706

Pacat, era un instrument foarte util si important, chiar daca procentul celor care il foloseau era destul de mic.

Ca raspuns la cererea publicului au scos un fel de guidance , ceva sa poti sa-l inlocuiesti:

http://www.microsoft.com/downloads/en/confirmation.aspx?FamilyID=ef232619-7600-4768-b111-f60ba13862ea

Nu prea are nici o treaba. Ce vroiau cei ce l-au folosit, era Windows Disk Protection.

Bine ca totusi mai exista DeepFreeze.

Cum sa inveti VBScript

VBScript (Visual Basic Scripting Edition) inca se mai foloseste la greu, si poate rezolva inca multe probleme cu toate ca e cumva depasit (de Powershell).  Chiar daca in majoritatea timpului la job nu aveti nevoie sa faceti scripturi, sunt multe cazuri in care trebuie sa modifici/adaptezi un script existent, care fie vine cu vreo aplicatie, fie il descarcati de pe net.

Nota: Daca esti incepator si nu stii pe ce drum sa o apuci, iti recomand Powershell. Poate parea putin mai complicat decat VBScript insa este de viitor. Poti sa incepi de aici.

Acum daca stii ca inca mai ai de lucru cu VBS-uri si o sa te lovesti de ele, e bine sa stii si putin VBScript. Ca sa-ti faci o idee aici ai o privire din avion asupra VBScript:

http://technet.microsoft.com/en-us/scriptcenter/dd940112

Si daca te decizi sa continui, iti recomand Windows 2000 Scripting Guide (in continuare cea mai buna cale de a invata VBScript pentru administrare):

http://technet.microsoft.com/en-us/library/ee221103.aspx

Gasesti aici o gramada de exemple mapate pe diverse task-uri de administrare. Ghidul e util cateodata si doar pentru a gasi exemple de scripturi.

HBGary vs Anonymous

Cum eu am aflat de povestea asta abia la inceputul saptamanii am banuit ca multi dintre voi nu au auzit deloc.

HBGary e o cunoscuta firma de securitate in US, unul din cofondatori (Greg Hoglands) fiind ownerul-ul rootkit.com.

Anonymous – sunt cei ce au lansat atacurile asupra Visa & Mastercard incercand sa “sustina” Wikileaks.

Aaron Barr de la HBGary a zis ca reusit sa se infiltreze in Anonymous si ca o sa vanda lista cu numele real al membrilor catre FBI. Ce a iesit … nici nu are rost sa povestesc eu aici. Trebuie doar sa cautati pe net dupa HBGary si alte cuvinte cheie din ce am scris mai sus.

Pe scurt: http://nakedsecurity.sophos.com/2011/02/07/hbgary-federal-hacked-and-exposed-by-anonymous/

http://blogs.villagevoice.com/runninscared/2011/02/anonymous_hacke_1.php

http://blogs.villagevoice.com/runninscared/2011/02/anonymous_hacke_2.php

http://blogs.villagevoice.com/runninscared/2011/03/aaron_barr_of_h.php

Aici e si arhiva de mail HBGary http://thepiratebay.org/torrent/6156166/HBGary_leaked_emails  🙂

Iar aici povestea atacului: http://arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack.ars/3 – trebuie citita cap coada de orice administrator.

Bonus: http://arstechnica.com/tech-policy/news/2011/02/black-ops-how-hbgary-wrote-backdoors-and-rootkits-for-the-government.ars/

LE: http://www.dailykos.com/story/2011/02/16/945768/-UPDATED:-The-HB-Gary-Email-That-Should-Concern-Us-All

Enhanced Mitigation Experience Toolkit 2.0

EMET este la versiunea 2.0, de data asta si cu o interfata grafica. Asta e si motivul pentru care cere .Net Framework la instalare.

O noutate nu mai este, ca a aparut de anul trecut, insa merita amintit pentru ca poate fi foarte util in a bloca atacuri de tip Zero-Day sau de a proteja aplicatii vechi si fara suport.

Merge instalat de la Windows XP/2003 in sus insa nu toate functionalitatile sunt disponible pe aceste platforme.

Cu o analiza buna a aplicatiilor care pot beneficia de EMET si o testare riguroasa (la fel cum poate bloca exploiturile poate incurca si funtionarea unor aplicatii legitime si chiar crash-ui sistemul) pe OS-urile ce vor fi protejate, EMET poate proteja impotriva multor exploit-uri si poate prelungi durata de viata a unor aplicatii necesare business-ului dar care nu mai au support si nici update-uri de securitate.

User Guide-ul il gasiti aici.

Cate ceva despre Bare Metal Client-Side Hypervisor–NxTop Engine

Sau puteti sa mai spuneti si Desktop Hypervisor Type 1. Cred ca stim cu totii ce inseamna Type 1 Hypervisor si Type 2 cand vine vorba de virtualizare. Daca nu, o sa dau cateva exemple scurte:

– Hyper-V, VMware ESX sunt exemple de Bare Metal Hypervisors sau Type 1.

– Virtual PC, Vmware Workstations sunt Type 2 (ruleaza peste un OS deja existent).

Pana recent, Type 1 Hypervisors erau folosite si optimizate pentru server side, locul lor fiind in datacenter. Recent insa mai multe companii si-au arata intentia de a dezvola o platforma de virtualizare bare metal optimizata pentru client.

Si a existat Neocleus care incepuse asa ceva insa a fost achizitionata de Intel si urmele i s-au sters rapid de pe internet. Acum stau si ma gandesc, oare o sa scoata Intel platforme cu softul de virtualizare direct in firmware? Ar fi cool, nu?

Vmware si-a anuntat intentia insa a ramas in faza de intentie (vClient?).

Citrix – a trecut de faza de intentie si a scos XenClient. E o solutie care se integreaza cu XenDesktop si face ca VDI-ul sa fie mai mult de cat e. Daca voi avea vreodata ocazia sa aprofundez subiectul o sa mai scriu despre XenClient.

VirtualComputer – sa nu confundati cu Virtual PC de la MS. VirtualComputer este o companie de dezvolta NxTop, o solutie de VDI foarte performanta care se poate integra usor cu Hyper-V.

Zilele astea am avut ceva timp liber si m-am apucat sa testez solutia celor de la VirtualComputer NxTop Engine. Nu imi trebuia sincronizare cu o solutie server based ci doar un Hypervisor Type 1 facut pentru client.

System requirements gasiti aici: http://laptopvirtualization.com/nxtop/requirements iar compatibilitatea sistemului  o puteti face cu NXTop Ready.

Atentie ca in faza de instalare se ofera sa va “curete” harddisk-ul in caz ca nu gaseste suficient spatiu pentru a-si face o partitie primara.

Instalarea merge destul de usor, nefiind nevoie de foarte multe actiuni din partea utilizatorului.

Dupa instalare gasiti un VM numit NxTop Connect care contine browser-ul Google Chrome, Skype, clientul de RDP. Asta e un lucru foarte bun, imediat dupa instalare puteti surfa pe net fara a fi nevoie sa instalati un alt system de operare.

Crearea noilor masini virtuale se face foarte simplu si nici nu sunt foarte multe optiuni referitoare la customizarea acestora. Cu CTRL + tastele directionale se poate schimba foarte rapid intre masinile virtuale ce ruleaza.

Interactionarea cu celelalte volume sau harddisk-uri din sistem e limitata, sau mai bine zis inexistenta. E un lucru bun dpdvd al securitatii insa pe mine sincer m-a cam incurcat. Si interfata cam saraca in optiuni de customizare. De fapt daca stau sa le compar ar fi cam ca Hyper-V pe langa ESX.

Performanta e decenta. In timp ce instalam Windows 7, ma uitam la cateva tutoriale pe net (in Silverlight, din Chrome pe Linux – cu Mono bineinteles).

Pacat ca nu am reusit sa testez performantele 3D pentru ca placa mea grafica Nvidia GTX 460 nu este suportata in versiunea curenta. pentru lista placilor suportate verificati aici:

http://www.virtualcomputer.com/nxtop/nxtop-documentation/docs/nvidia

Si cam asta fost testul meu cu NxTop Engine. Poate cand voi reusi sa obtin un beta de 3.1 voi testa si performanta grafica.

 

Tehnologia nu e noua, insa ideea este foarte buna, reusind sa separe hardware-ul de OS pe partea de client. Sa vedem acum si daca o sa prinda, pentru ca la evolutia sistemelor actuale si un Type 2 hypervisor ca Vmware Workstation se comporta decent pe un I7 si nu toata lumea se gandeste la securitatea masinilor virtuale sau performanta apropiata de bare metal.

Time will tell, insa sunt zvonuri ar fi ca pana si Microsoft o sa o ia pe acest drum in scurt timp.