Windows Server 2008 R2

Installatie en implementatie

1. AFDELINGEN EN WERKNEMERS

De Directie

Algemeen Directeur

Martin Coppens

Afdelingsdirecteuren

Jos De KoperWim De BruyneJurgen Smekens

Afdeling inkoop

Lieven De WitAnn De Smet

en afdelingsdirecteurJos De Koper

Afdeling verkoop

Marc StevensTimothy Verhelst

Frederique De GrotePhilippe Dullaers

Jan De Vroe

en afdelingsdirecteurWim De Bruyne

Afdeling boekhouding

Vera OselaerBart Meeganck

en afdelingsdirecteurJurgen Smekens

Afdeling herstellingen

Hubert DonderSally VerstraetenJimmy De Pelecijn

en afdelingsdirecteurWim De Bruyne

Op drukke momenten maakt het bedrijf gebruik van

interimwerkers

Bedrijfsstructuur

Algemeen Directeur

Afd. Verkoop

Afd. Boekh.

Afd. Herstel.

Afd. Inkoop

Directeur

Verkoop

Directeur Boekh.

Directeur

Herstel.

Directeur Inkoop

Verkoper

Boek-houder

Hersteller

Inkoper

interim

2. ORGANIZATIONAL UNITS

Afdeling, Gebruiker, Username, Password

Algemeen Directeur

Martin Coppens MartinC AlgD0001

Afdelings Directeur

Jos De Koper JosDK AfdD0001

Wim De Bruyne WimDB AfdD0002

Jurgen Smekens JurgenS AfdD0003

Inkoop Lieven De Wit LievenDW Im0001

Ann De Smet AnnDS Im0002

Verkoop Marc Stevens MarcS Vm0001

Timothy Verhelst TimothyV Vm0002

Frederique De Grote

FrederiqueDG

Vm0003

Philippe Dullaers PhilippeD Vm0004

Jan De Vroe JanDV Vm0005

Boekhouding Vera Oselaer VeraO Bm0001

Bart Meeganck BartM Bm0002

Herstellingen Hubert Donder HubertD Hm0001

Sally Verstraeten SallyV Hm0002

Jimmy De Pelecijn

JimmyDP Hm0003

Interim N/A N/A Im<username>

OU: Algemeen Directeur

Martin CoppensSjabloon Alg. Directeur

Sjabloon Afd. DirecteurJos De Koper

Wim De BruyneJurgen Smekens

Sjabloon InkoperLieven De WitAnn De Smet

OU: Afd. Inkoop OU: Afdelingen

OU: Afd. Verkoop Sjabloon VerkoperMarc Stevens

Timothy VerhelstFrederique De Grote

Philippe DullaersJan De Vroe

Sjabloon BoekhouderVera Oselaer

Bart Meeganck

Sjabloon HerstellerHubert Donker

Sally VerstraetenJimmy De Pelecijn

OU: Interim werkers

OU: Afd. Boekhouding

OU: Afd. Herstellingen

Sjabloon Interim

OU: Afd. Directeur

3. GROUP POLICIES

Eerst werden de policies aangepast voor het hele domein (Default Domain Policy), dit om niet met te veel verschillende GPO´s te werken, die het opstarten alleen maar vertragen.

1. Backgrounduser configuration/policies/administrative templates/desktop/desktop wallpaper

2. Shortcut voor Windows Verkenneruser configuration/preferences/windows settings/shortcutsnew – create

3. Numlockuser configuration/preferences/windows settings/registryHKEY-USERS default/control panel/keyboard/initialkeyboardindicators value=2

4. Greetingcomputer configuration/policies/windows settings/security settings/local policies/security optionsinteractive logon: message titleinteractive logon: message text

5. Proxyuser configuration/policies/windows settings/internet explorer maintenance/connection/proxy settings

6. Password settings (min. lengte, max. dagen, geen ww herhaling)computer configuration/policies/windows settings/security settings/ account policies/password policyenforce password historymaximum password ageminimum password length

7. Account lockoutcomputer configuration/policies/windows settings/security settings/account policies/account lockout policiesaccount lockout threshold

8. No “Run” in start menuuser configuration/policies/administrative templates/start menu and taskbarremove run: Enabled

9. Last user displaycomputer configuration/policies/windows settings/security settings/local policies/security optionsinteractive logon: do not display last user name

10.PC lock after 6 min.user configuration/policies/administrative templates/control panel /personalizationpassword protect the screensaverscreen saver time out

GPO in de verschillende OU’s

Omdat alleen voor de directie de netwerkomgeving zichtbaar mag zijn, werd in de OU Afdelingen en OU Interimwerkers een GPO geplaatst die de netwerkomgeving verbergt.user configuration/policies/administrative templates/windows componants/windows explorerNo computers near me in networklocationsNo entire network in network locations

Verder kan in de OU Afdelingen, OU Interimwerkers en OU Algemeen Directeur een GPO worden gemaakt om de administrative tools alleen voor administrator beschikbaar te laten zijn. Hiertoe worden inUser configuration/policies/administrative templates/windows components/microsoft management console/ restricted-permitted snap-ins de verschillende administratieve functies (zoals ADUC) op disabled gezet. Nu kan op de client de RSAT voor windows 7 update worden geïnstalleerd, zodat de tools voor de administrator aanwezig zijn en voor alle andere gebruikers.

(Eenvoudiger, waar mogelijk, is: als administrator via Remote Desktop op de client de server benaderen, waardoor altijd alle tools ter beschikking van de beheerder staan.)

4. AGDLP-strategie

Aan de hand van de structuur van het bedrijf en de rechten die de werknemers en het management krijgen op gedeelde mappen en op gedeelde applicaties wordt het bedrijf onderverdeeld in globale groepen en (domein)lokale (security) groepen.

De gebruikers worden verdeeld in verschillende globale groepen (global groups). Want b.v. de Algemeen Directeur heeft nu eenmaal andere rechten dan Lieven De Wit, werknemer op de inkoopafdeling.

Daarna worden de mappen, applicaties, printers, … onderverdeeld in lokale groepen (domain local – security - groups). Een map b.v. wordt verdeeld op basis van de verschillende rechten (permissions) die op die map nodig zijn. Zo mag Lieven alleen een map lezen en mag de afdelings- directeur in diezelfde map lezen en schrijven. Om dit te bereiken maak je per verschillend recht een lokale groep. Zo bekomt men volgend schema:

EasyPay modify

Qubic read&write

Qubic read

Qubic modify

Prodate read

Prodate modify

Prodate read&write

COMBO read

COMBO modify

COMBO read&write

Printer

GemeenschappelijkeBestanden

VerkoopBestanden

InkoopBestanden

HerstellingenBestanden

DirectieBestanden

BoekhoudingBestanden

Email

Alg. Directeur

X X X X X X X X

Dir. Inkoop X X X X X X X

Dir. Verkoop

X X X X X X X X

Dir. Boekh. X X X X X X X X X

Dir. Herstelling

X X X X X X X X

Inkoop X X X X X X

Verkoop X X X X X

Boekhouding

X X X X X X X X

Herstellingen

X X X X X X

Interims X X X X X

Dus wordt global group

• Alg. Directeur• Dir. Inkoop• Dir. Verkoop• Dir. Boekh.• Dir. Herstelling• Inkoop• Verkoop• Boekhouding• Herstellingen• Interims

• gg_Algemeen Directeur• gg_Directeur Inkoop• gg_Directeur Verkoop• gg_Directeur Boekhouding• gg_Directeur

Herstellingen• gg_Inkoop• gg_Verkoop• gg_Boekhouding• gg_Herstellingen• gg_Interims

En wordt domain local group

• EasyPay modify• Qubic read&write• Qubic read• Qubic modify• Prodate read• Prodate modify• Prodate read&write• COMBO read• COMBO modify• COMBO read&write• Printer• GemeenschappelijkeBestanden• VerkoopBestanden• InkoopBestanden• HerstellingenBestanden• DirectieBestanden• BoekhoudingBestanden• Email

• dl_EasyPay modify• dl_Qubic read&write• dl_Qubic read• dl_Qubic modify• dl_Prodate read• dl_Prodate modify• dl_Prodate read&write• dl_COMBO read• dl_COMBO modify• dl_COMBO read&write• dl_Printer• dl_GemeenschappelijkeBestand

en• dl_VerkoopBestanden• dl_InkoopBestanden• dl_HerstellingenBestanden• dl_DirectieBestanden• dl_BoekhoudingBestanden• dl_Email

Account (user)

Globale groep

Domain Lokale groep

Permissies op map of applicatie

Enkele voorbeelden over hoe de

verschillende groepen (globaal en lokaal) met verschillende

rechten toegepast zijn op een map of

applicatie:

map Easy Pay

dl_Easy Pay

gg_Algemeen Directeur

Martin Coppens

gg_Directeur Boekhouding

Jurgen Smekens

gg_Boekhouding

Vera OselaerBart Meeganck

mapQubic

dl_Qubic read&write

gg_Algemeen Directeur Martin Coppens

gg_Boekhouding

Vera OselaerBart meeganck

dl_Qubic read

gg_Directeur Inkoop Jos De Koper

gg_Directeur Verkoop Wim De Bruyne

gg_directeur Herstellingen Hubert Donder

dl_Qubic modify

gg_Directeur Boekhouding

Jurgen Smekens

De mappen Printer, Email en GemeenschappelijkeBestanden zijn voor iedereen beschikbaar

Printer dl_Printer

gg_Algemeen Directeur

gg_Directeur Inkoopgg_Directeur Verkoop

gg_Directeur Boekhoudinggg_Directeur Herstellngen

gg_Inkoopgg_Verkoop

gg_Boekhoudinggg_Herstellingen

gg_Interims

Met deze indeling is het makkelijk om rechten te geven, te veranderen of te ontnemen.Bij installatie van een nieuwe map of applicatie worden, afhankelijk van de verschillende rechten, nieuwe domein lokale groepen gemaakt, waarin dan bestaande globale groepen worden genest.

Einde van de presentatie