Post on 12-May-2015
Windows Server 2008 R2
Installatie en implementatie
1. AFDELINGEN EN WERKNEMERS
De Directie
Algemeen Directeur
Martin Coppens
Afdelingsdirecteuren
Jos De KoperWim De BruyneJurgen Smekens
Afdeling inkoop
Lieven De WitAnn De Smet
en afdelingsdirecteurJos De Koper
Afdeling verkoop
Marc StevensTimothy Verhelst
Frederique De GrotePhilippe Dullaers
Jan De Vroe
en afdelingsdirecteurWim De Bruyne
Afdeling boekhouding
Vera OselaerBart Meeganck
en afdelingsdirecteurJurgen Smekens
Afdeling herstellingen
Hubert DonderSally VerstraetenJimmy De Pelecijn
en afdelingsdirecteurWim De Bruyne
Op drukke momenten maakt het bedrijf gebruik van
interimwerkers
Bedrijfsstructuur
Algemeen Directeur
Afd. Verkoop
Afd. Boekh.
Afd. Herstel.
Afd. Inkoop
Directeur
Verkoop
Directeur Boekh.
Directeur
Herstel.
Directeur Inkoop
Verkoper
Boek-houder
Hersteller
Inkoper
interim
2. ORGANIZATIONAL UNITS
Afdeling, Gebruiker, Username, Password
Algemeen Directeur
Martin Coppens MartinC AlgD0001
Afdelings Directeur
Jos De Koper JosDK AfdD0001
Wim De Bruyne WimDB AfdD0002
Jurgen Smekens JurgenS AfdD0003
Inkoop Lieven De Wit LievenDW Im0001
Ann De Smet AnnDS Im0002
Verkoop Marc Stevens MarcS Vm0001
Timothy Verhelst TimothyV Vm0002
Frederique De Grote
FrederiqueDG
Vm0003
Philippe Dullaers PhilippeD Vm0004
Jan De Vroe JanDV Vm0005
Boekhouding Vera Oselaer VeraO Bm0001
Bart Meeganck BartM Bm0002
Herstellingen Hubert Donder HubertD Hm0001
Sally Verstraeten SallyV Hm0002
Jimmy De Pelecijn
JimmyDP Hm0003
Interim N/A N/A Im<username>
OU: Algemeen Directeur
Martin CoppensSjabloon Alg. Directeur
Sjabloon Afd. DirecteurJos De Koper
Wim De BruyneJurgen Smekens
Sjabloon InkoperLieven De WitAnn De Smet
OU: Afd. Inkoop OU: Afdelingen
OU: Afd. Verkoop Sjabloon VerkoperMarc Stevens
Timothy VerhelstFrederique De Grote
Philippe DullaersJan De Vroe
Sjabloon BoekhouderVera Oselaer
Bart Meeganck
Sjabloon HerstellerHubert Donker
Sally VerstraetenJimmy De Pelecijn
OU: Interim werkers
OU: Afd. Boekhouding
OU: Afd. Herstellingen
Sjabloon Interim
OU: Afd. Directeur
3. GROUP POLICIES
Eerst werden de policies aangepast voor het hele domein (Default Domain Policy), dit om niet met te veel verschillende GPO´s te werken, die het opstarten alleen maar vertragen.
1. Backgrounduser configuration/policies/administrative templates/desktop/desktop wallpaper
2. Shortcut voor Windows Verkenneruser configuration/preferences/windows settings/shortcutsnew – create
3. Numlockuser configuration/preferences/windows settings/registryHKEY-USERS default/control panel/keyboard/initialkeyboardindicators value=2
4. Greetingcomputer configuration/policies/windows settings/security settings/local policies/security optionsinteractive logon: message titleinteractive logon: message text
5. Proxyuser configuration/policies/windows settings/internet explorer maintenance/connection/proxy settings
6. Password settings (min. lengte, max. dagen, geen ww herhaling)computer configuration/policies/windows settings/security settings/ account policies/password policyenforce password historymaximum password ageminimum password length
7. Account lockoutcomputer configuration/policies/windows settings/security settings/account policies/account lockout policiesaccount lockout threshold
8. No “Run” in start menuuser configuration/policies/administrative templates/start menu and taskbarremove run: Enabled
9. Last user displaycomputer configuration/policies/windows settings/security settings/local policies/security optionsinteractive logon: do not display last user name
10.PC lock after 6 min.user configuration/policies/administrative templates/control panel /personalizationpassword protect the screensaverscreen saver time out
GPO in de verschillende OU’s
Omdat alleen voor de directie de netwerkomgeving zichtbaar mag zijn, werd in de OU Afdelingen en OU Interimwerkers een GPO geplaatst die de netwerkomgeving verbergt.user configuration/policies/administrative templates/windows componants/windows explorerNo computers near me in networklocationsNo entire network in network locations
Verder kan in de OU Afdelingen, OU Interimwerkers en OU Algemeen Directeur een GPO worden gemaakt om de administrative tools alleen voor administrator beschikbaar te laten zijn. Hiertoe worden inUser configuration/policies/administrative templates/windows components/microsoft management console/ restricted-permitted snap-ins de verschillende administratieve functies (zoals ADUC) op disabled gezet. Nu kan op de client de RSAT voor windows 7 update worden geïnstalleerd, zodat de tools voor de administrator aanwezig zijn en voor alle andere gebruikers.
(Eenvoudiger, waar mogelijk, is: als administrator via Remote Desktop op de client de server benaderen, waardoor altijd alle tools ter beschikking van de beheerder staan.)
4. AGDLP-strategie
Aan de hand van de structuur van het bedrijf en de rechten die de werknemers en het management krijgen op gedeelde mappen en op gedeelde applicaties wordt het bedrijf onderverdeeld in globale groepen en (domein)lokale (security) groepen.
De gebruikers worden verdeeld in verschillende globale groepen (global groups). Want b.v. de Algemeen Directeur heeft nu eenmaal andere rechten dan Lieven De Wit, werknemer op de inkoopafdeling.
Daarna worden de mappen, applicaties, printers, … onderverdeeld in lokale groepen (domain local – security - groups). Een map b.v. wordt verdeeld op basis van de verschillende rechten (permissions) die op die map nodig zijn. Zo mag Lieven alleen een map lezen en mag de afdelings- directeur in diezelfde map lezen en schrijven. Om dit te bereiken maak je per verschillend recht een lokale groep. Zo bekomt men volgend schema:
EasyPay modify
Qubic read&write
Qubic read
Qubic modify
Prodate read
Prodate modify
Prodate read&write
COMBO read
COMBO modify
COMBO read&write
Printer
GemeenschappelijkeBestanden
VerkoopBestanden
InkoopBestanden
HerstellingenBestanden
DirectieBestanden
BoekhoudingBestanden
Alg. Directeur
X X X X X X X X
Dir. Inkoop X X X X X X X
Dir. Verkoop
X X X X X X X X
Dir. Boekh. X X X X X X X X X
Dir. Herstelling
X X X X X X X X
Inkoop X X X X X X
Verkoop X X X X X
Boekhouding
X X X X X X X X
Herstellingen
X X X X X X
Interims X X X X X
Dus wordt global group
• Alg. Directeur• Dir. Inkoop• Dir. Verkoop• Dir. Boekh.• Dir. Herstelling• Inkoop• Verkoop• Boekhouding• Herstellingen• Interims
• gg_Algemeen Directeur• gg_Directeur Inkoop• gg_Directeur Verkoop• gg_Directeur Boekhouding• gg_Directeur
Herstellingen• gg_Inkoop• gg_Verkoop• gg_Boekhouding• gg_Herstellingen• gg_Interims
En wordt domain local group
• EasyPay modify• Qubic read&write• Qubic read• Qubic modify• Prodate read• Prodate modify• Prodate read&write• COMBO read• COMBO modify• COMBO read&write• Printer• GemeenschappelijkeBestanden• VerkoopBestanden• InkoopBestanden• HerstellingenBestanden• DirectieBestanden• BoekhoudingBestanden• Email
• dl_EasyPay modify• dl_Qubic read&write• dl_Qubic read• dl_Qubic modify• dl_Prodate read• dl_Prodate modify• dl_Prodate read&write• dl_COMBO read• dl_COMBO modify• dl_COMBO read&write• dl_Printer• dl_GemeenschappelijkeBestand
en• dl_VerkoopBestanden• dl_InkoopBestanden• dl_HerstellingenBestanden• dl_DirectieBestanden• dl_BoekhoudingBestanden• dl_Email
Account (user)
Globale groep
Domain Lokale groep
Permissies op map of applicatie
Enkele voorbeelden over hoe de
verschillende groepen (globaal en lokaal) met verschillende
rechten toegepast zijn op een map of
applicatie:
map Easy Pay
dl_Easy Pay
gg_Algemeen Directeur
Martin Coppens
gg_Directeur Boekhouding
Jurgen Smekens
gg_Boekhouding
Vera OselaerBart Meeganck
mapQubic
dl_Qubic read&write
gg_Algemeen Directeur Martin Coppens
gg_Boekhouding
Vera OselaerBart meeganck
dl_Qubic read
gg_Directeur Inkoop Jos De Koper
gg_Directeur Verkoop Wim De Bruyne
gg_directeur Herstellingen Hubert Donder
dl_Qubic modify
gg_Directeur Boekhouding
Jurgen Smekens
De mappen Printer, Email en GemeenschappelijkeBestanden zijn voor iedereen beschikbaar
Printer dl_Printer
gg_Algemeen Directeur
gg_Directeur Inkoopgg_Directeur Verkoop
gg_Directeur Boekhoudinggg_Directeur Herstellngen
gg_Inkoopgg_Verkoop
gg_Boekhoudinggg_Herstellingen
gg_Interims
Met deze indeling is het makkelijk om rechten te geven, te veranderen of te ontnemen.Bij installatie van een nieuwe map of applicatie worden, afhankelijk van de verschillende rechten, nieuwe domein lokale groepen gemaakt, waarin dan bestaande globale groepen worden genest.
Einde van de presentatie