Windows 7 Family Pack–gluma buna

Cum eu sunt mai in urma cu noutatile MS, nu am observat aparitia acestui pachet – Windows Family Pack si sincer oricum nu era de interes pentru mine. In schimb am observat recent ca e disponibil si in Romania. Si cica ar fi vreo 6-700RON.

Doar ca e o mare “pacaleala”, un mare FAS. E un packet de upgrade. Pe scurt, poti lua la banii astia 3 licente de Windows 7 Home Premium doar daca pe sistemele de acasa ai deja licente de XP sau Vista. Cum in Romania, pe zona de home user cred ca nici 1% din cei ce au XP nu il au licentiat … programul asta mi se pare total inutil pentru RO. O sa vanda fix 3 pachete.

Nu era mai simplu sa dea o singura licenta de upgrade la un pret rezonabil? Macar la pretul din US.

Anyway pentru cei interesati, aveti aici cateva detalii http://windowsteamblog.com/windows/b/windowsexperience/archive/2010/10/03/windows-7-family-pack-makes-a-comeback-today.aspx

Configurare Forefront Endpoint Protection 2010

In articolul precedent am scris doar pasii de instalare. Haideti sa vedem acum ce si cum se intampla in detaliu.

Eu am un DC si un server cu ConfigMgr 2007 SP2 R3 instalat, ambele pe Windows Server 2008 R2.

Rulam serversetup.exe din directorul x64.

Parcurgem wizard-ul.

Daca baza de date a ConfigMgr-ului este un server remote, alegem a doua optiune (Basic topology with remote reporting database). Eu voi folosi prima optiune pentru ca am SQLul instalat pe acelasi server.

Introducem service account-ul de SQL sau userul persoanei care ruleaza setup-ul. Nu este obligatoriu ca acest cont sa fie domain admin. Mai mutl, primiti o avertizare in cazul in care wizardul vede contul ca domain admin si va trebuie sa dati un OK ca sa continuati.

Implicit, pe serverul unde este instalat ConfigMgr si FEPul, se va instala si clientul de antivirus. Politica implicita pe care o va avea o gasiti mai jos marcata.

Consola FEPului dupa instalare.

In primul rand, cream politice necesare (pentru servere, statii de lucru sau chiar servere cu roluri bine definite: DC, Exchange, SQL, DHCP etc. Astea sunt ok pentru ca au setate deja exceptiile pentru fiecare rol in parte).

Daca pe o colectie sunt asignate mai multe politici, se aplica politica cu prioritate mai mare (coloana Precedence).

Asignezi politica pentru servere pe colectia cu calculatoarele de tip server pe care va fi instalat cu succes FEPul. Aceasta colectie se creaza la instalare, o sa vedeti mai jos o parte din colectiile create implicit.

(Toate subcolectiile din colectia FEP Collections au fost create la instalare).

Aplicam politica pe colectia Deployed Servers. Server cu FEP se vor pune automat in aceasta colectie, fara sa mai facem noi ceva manual.

Daca avem politici pentru servere cu roluri specifice (DC, Exchange etc.), va trebui sa cream o alta colectie, sa punem serverul in acea colectie si sa asignam politica pe ea. Inca nu am gasit o alta metoda de a face asta, in cazul in care exista o alta metoda…

La Advertisements – FEP Policies vedem toate politice, inclusiv cele doua default care se aplica cand se instaleaza clientul de antivirus pe statie.

Mai jos vedem toate pachetele create la instalare.

Pachetul Deployment contine programul de instalare si dezinstalare al antivirusului.

Vedeti la comentariu ca zice ceva de dezinstalarea antivirusului existent. Da, FEPul poate dezinstala – pana acum – urmatoarele programe antivirus: Symantec Endpoint Protection 11, Symantec Corporate Edition 10, McAfee VirusScan Enterprise 8.5 si 8.7, Trend Micro OfficeScan 8.0 si 10.0, Forefront Client Security inclusiv Operations Manager agent.

Copiem pachetul pe un Distribution Point.

Verificam daca s-a copiat cu succes.

Cream o colectie noua in care vom pune calculatoarele pe care vrem sa instalam FEPul. Putem sa punem si servere si desktopuri aici, stie FEP sa faca distinctia intre ele si sa le puna in colectia necesara peste care se va aplica politica.

Cream si advertisementul…

Dupa instalare, e nevoie de repornirea statie pentru ca inainte de instalarea clientului antivirus propriu-zis, se instaleaza un hotfix care necesita restart.

In scurt timp, vom vedea statiile in colectie. Nu mai ramane mult timp pana la aplicarea politicii.

Apasand pe sageata in jos de langa Help si selectand About Forefront Endpoint Protection, vedem starea definitiilor si politica aplicata pe statia respectiva.

Office Professional Plus 2010 nu are toate facilitatile?

Am dat peste un articol destul de interesant azi, cum ca Office Professional Plus 2010 si Visio Professional 2010 nu ar avea toate facilitatile daca s-a folosit un anume serial de pe subscritiile MSDN sau TechNet.

Mai multe detalii gasiti in KBul 983473 – http://support.microsoft.com/kb/983473

Windows on ARM processors

Nu mai e chiar asa o noutate insa pentru cei care nu urmaresc stirile IT:

http://www.microsoft.com/presspass/press/2011/jan11/01-05SOCsupport.mspx

Urmatoarele versiuni de Windows o sa ruleze si pe procesoare ARM. Probabil ca un rol important il are si NVIDIA care si-a anuntat intentia de a intra pe piata de CPU-uri.

PS: Multi vad intrarea NVIDIA pe acest segment ca inceputul sfarsitului pentru Intel. Multi nu. Time will tell.

TMG 2010–Install Options

Intr-un articol precedent am discutat despre o varianta de instalare a TMG. Cea mai simpla de fapt. Standalone server, fara domeniu.

Acum o sa recapitulam pe scurt si celelalte optiuni de instalare.

Prima optiune se refera la instalarea serviciilor TMG, fara ea nu se instaleaza TMG.

Forefront TMG Management – optiunea de instala doar consola de administrare, folosita bineinteles pentru a instala consola de administrare pe un alt sistem.

Enterprise Management Server (EMS) for centralized array management – EMS-ul reprezinta un server separat care stocheaza centralizat toate setarile serverelor din array-urile controlate de EMS. Folosind EMS puteti seta politici care se pot aplica peste toate firewall-urile (TMG) din enterprise (chiar si versiunea Standard). E de fapt fostul CSS din ISA 2006 EE.

Nota: EMS are nevoie de AD si foloseste o instanta de AD LDS pentru stocarea setarilor.

De mentionat ca EMS nu este necesar in majoritatea cazurilor – doar atunci cand aveti mai mult de un array si doriti sa le administrati centralizat.

Ok, si acum cam am tot pomenit de array, de ce nu vedem nici o optiune de instalara e pentru un simplu array. Lucrurile s-au schimbat mult in bine la TMG iar instalarea si configurarea este mult mai flexibila. Adaugarea la array si scoatearea din array se poate face foarte simplu fara a mai modifica intr-un fel configuratia serverului sau a reinstala TMG. Pur si simplu dupa ce ai instalat TMG, dai join sau unjoin.

 

Nota: Array se refera la un grup de sisteme care sunt administrate ca fiind unul singur si peste care se aplica acelasi set de reguli. Un soi de cluster.

Primul membru din array se instaleaza normal fara a specifica vreo optiune legata de array. Abia dupa ce instalam am doilea server, folosim optiunea join to array si specificam numele primului server. In acest fel obtinem un standalone array in care unul dintre noduri devine Array Manager.

Mai exista si optiunea de a seta un array fara ca serverele sa faca parte dintr-un domeniu. Optiunea e suportata insa necesita ceva mai multe setari manuale pentru a face array-ul functional.

 

TMG vine cu optiuni de instalare si configurare MULT mai flexibile decat versiunile precedente, facand ca toate operatiunile de instalare si reconfigurare sa fie extraordinar de usoare (atunci cand nu dai de bug-uri).

TMG 2010 Recap

Stateam in cumpana daca sa mai scriu de TMG sau nu si pana la urma m-am hotarat sa scriu, ca e totusi un produs foarte ok. Informatii as avea destule de ar trebui sa transform site-ul intr-unul dedicat de TMG, insa si informatiile astea trebuie structurate cumva altfel cei ce vor sa invete de la zero nu ar intelege nimic. O sa incerc sa o iau cat mai de jos insa ajuta daca te-ai lovit cat de cat de versiunile precendente.

TMG sau Trusted Management Gateway este urmasul ISA Server pe care multi dintre noi l-am folosit sau poate ca il mai folosim in continuare.

Diferenta majora intre TMG si versiunile precedente este ca ruleaza numai pe platforma pe 64 de biti si are inclus un engine antivirus care scaneaza traficul. Ar mai fi si SSL inspection, URL Filtering si NIS.

Anul trecut am postat un articol introductiv despre TMG http://www.winadmin.ro/2010/06/22/installing-tmg-2010-workgroup-mode/ si o sa continui.

Intre timp au aparut si cateva update-uri pentru TMG si anume SP1 si cateva rollup-uri.

SP1 il gasiti la download aici: http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c&displaylang=en

Iar rollup-urile aici:

http://support.microsoft.com/kb/2433623/

http://support.microsoft.com/kb/2475183

Rollup-urile sunt post SP1, deci aveti nevoie de SP1 sa le instalati. Puteti vedea lista (destul de scurta) cu problemele rezolvate pentru a decide daca aveti nevoie de ele sau nu.

SP1 vine si cu functionalitati noi nu numai cu hotfixuri, cum ar fi URL Override, colocare cu rolul de RODC si BranchCache si publicare de Sharepoint 2010.

Acum sper doar sa-mi fac timp sa termin seria de TMG pana nu apare SP2 (programat anul acesta) care o sa vina si el cu elemente noi.

AD Attributes Mapping

Am mai scris mai demult aici http://www.winadmin.ro/2009/12/15/reference-tables-on-active-directory/ si am dat un link util http://www.kouti.com/tables.htm

Totusi zilele astea scormonind prin MSDN am gasit ceva si acolo:

http://msdn.microsoft.com/en-us/library/ms677980(v=VS.85).aspx

User Object User interface Mapping e organizat pe tab-urile din ADUC si e foarte simplu de gasit atributul corespunzator unui anumit camp.

Util atunci cand vrei sa faci rapid un script pe genunchi.

Volume Activation Management Tool 2.0

VAMT 2.0 il gasiti la download aici. Este un tool destul de util si poti sa faci destul de multe lucruri cu el.

Un lucru care mi se pare foarte util si chiar cautam asa ceva zilele astea, e posibilitatea de a afla informatii despre un anume product key de Windows (sau cred ca merge si pentru Office).

In captura de ma jos se poate vedea tipul product key-ului verificat (key-ul am avut grija sa-l sterg din captura): Windows 7 Ultimate Retail.

VAMT poate scana sistemele din retea si poate oferi un raport despre starea lor si cum au fost licentiate.

Se mai poate afla si starea unei key de tip MAK – de exemplu cate activari mai sunt posibile.

Softul mai merge folosit si pentru a activa remote sistemele din retea, cele din DMZ (cu proxy activation), KMS-urile si pentru a gestiona product key-urile din companie.

Functioneaza doar cu sisteme de la Vista in sus. La Xp se conecteaza dar ca parte a suportului pentru 2010 din cate am inteles.

Si are chiar si command line.

Create AD users from CSV–VBScript edition

Cu toate ca toata lumea acum se da in vant dupa Powershell si nu mai accepta altceva, eu sunt de parere ca e bine sa folosesti ce stii mai bine. Iar eu de exemplu stiu vbscript mai bine decat Powershell.

O sa revin si cu varianta Powershell, insa azi o sa postez un exemplu de script care citeste o lista de useri dintr-un fisier formatat CSV si ii adauga in Active Directory.

Scriptul seteaza si parola pe userii respectivi si ii si activeaza.

on error resume next

Const ForReading = 1

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objTextFile = objFSO.OpenTextFile("d:\lista_useri.csv", ForReading)

Do While objTextFile.AtEndOfStream <> True
strLine = objtextFile.ReadLine
If inStr(strLine, ",") Then
    arrUserRecord = split(strLine, ",")
    cnUser = "cn=" & arruserRecord(0)
    SAM = arrUserRecord(1)
    GivenName = arrUserRecord(2)
    surname = arrUserRecord(3)

    Set objOU = GetObject("LDAP://ou=Useri,OU=Test,dc=winadmin,dc=local")
    Set objUser = objOU.Create("User", cnUser)
    objUser.Put "sAMAccountName", SAM
    objUser.Put "givenName", GivenName
    objUser.Put "sn", surname
    objUser.Put "userPrincipalName", SAM
    objUser.SetInfo

    objuser.SetPassword "P@ssw0rd"
    objUser.Put "userAccountControl", 512
    objUser.SetInfo

    Wscript.echo cnUser & "    user account created."

End If
Loop

Dupa cum se vede, merge modificat foarte usor si pot fi adaugate mai multe atribute (prin metoda Put) iar scriptul merge modificat ca sa citeasca parola tot din CSV. Atentie ca e nevoie de doua ori de metoda SetInfo altfel nu o sa reusiti sa activati userul.

PS: Scriptul nu face error handling si are activat si on error resume next, asa ca mare atentie atunci cand importati cantitati mari de date.

MS Security Bulletin for January 2011

Saptamana asta s-au publicat updateurile de Windows pe Ianuarie. Nimic “greu” de data asta, chiar as spune ca puteti sa luati o pauza si sa amanati procesul de update – pe servere! Statiile de lucru ar fi bine sa le updatati.

http://www.microsoft.com/technet/security/bulletin/ms11-jan.mspx

Sunt doar doua updateuri. Unul care se aplica doar pentru Vista (cu ce sa-l mai afecteze un virus, ca si asa e varza ) si doar pacalind userul sa deschida un fisier Windows Backup dintr-o locatie remote si altul care se aplica pe toate OS-urile dar trebuie sa vizitezi o pagina web cu exploit-ul (si mai sunt si alte conditii dar doar asta e important acum).

Avand in vedere ca nu intram pe net de pe servere si nici nu avem servere care sa ruleze Vista, pot spune ca e safe sa facem skip aceasta luna.

PS: Atentie! Serverele TS sau Citrix trebuie tratate ca si statii de lucru.