Administrace systemu Windows

MS Windows family

Win3.11 - 1. co umelo site;
NT 4.0 - uplne sit. sluzby, 1. poradny, i dnesni systemy s nimi spolupracuji
Win2000, Win2003 Server - ne moc prevratne zmeny, 2003 R2 - par pridanych blbustek
kazda verze ma nekolik edici podle reseni pro co jsou urcene, lisi se nastavenim / funkcnosti, dnes hl. nastavenim a schopnosti vyuzit HW
2003 Web Edition - orezana verze proti linuxu, aby na tom bezel WWW server - nedovoluje DC, DHCP server aj.
2003 Standard Edition - IIS - prostredi pro webserver, mail, ftp server atd. (dost narocne na HW a konfig. -> default). directory services (AD), application verification (vyplati se davat pozor), centralized app. deployment, file services, assisted support (wizardy - k nicemu), server event tracking (dulezite, da se zprac. centralne); wizardy pro konf. serveru - k nicemu; shadow copy wizard - zalohovani za behu, na pozadi; remote administration (vzdalena sprava, chova se jako lok. komp, staci GPRS); remote assistance (od M$ primo - lepsi vypnout); terminal server - spusteni apl. vzdalene (omezene na 2 lidi); sitovani - sdileni, konfg.; 4 CPU, 4 GB RAM
2003 Enterprise - dalsi sluzby: pridavani RAM za behu, sloz. pristup do pameti pro SMP, je i 64bit., sprava klicu a certifikatu, terminal server sesssions directory; 8 CPU, 32 GB RAM
2003 Datacenter - jeste vetsi, neumi byt gateway do vetsi site (nema smysl) 8 CPU min./32 max., 64 GB RAM, load balancing

Active Directory

protokol LDAP - zjednoduseny X.500, dnes volne vyuziti; komunikace primo na transportni vrstve.; predpoklad textovych dat -> text. zpracovani; kodovani: BasicEncodingRules (zjednod. X.500); AD je "LDAP compliant" - zamena toolu mozna
"adresar" pro ukladani inform. o sit. zdrojich & sluzby pro pristup, nastroje k ovladani (admin & user); ve Win- scalability, extensibility, integrace s DNS & Win-domenami (DNS jmena jsou s Win-domenami spojena), replication, security (ACL), authentication & authorization (SSL2, TLS3)
schema: definuje objekty ukladane v AD, samo je tam ulozeno (s vyhodou); optimalizovano na rychlost dotazu, zmeny jsou pomale; to co do nej pridam uz neodeberu -> temer nemenne
group policy object: def. bezp. politiku, zajisteni pristupnosti vseho uzivateli kdekoliv - "Zero Administration for Win"
struktura site: sit \> domeny (spol. pro skupiny uziv. & sluzeb) \> org. jednotky (domeny & OU mohou byt vnorene), tvori stromy, les. udrzuji info jen o vlastnich objektech (cele AD slozeno z domen), prava neprekracuji hranice domen (coz se nemusi tykat uz. uctu)
NT4 - plocha struktura site; dW2K3 - ruzna kriteria, hierarchie, rezimy - "domain functional level": 2000 mixed (vsechno vc. NT4 - neumi group nesting, SID history atp.), 2000 native (2K+), 2003 interim (pro prechod NT4->2003, vypnuta multi-master replikace), 2003 only (nejbezpecnejsi, jednodussi prejmenovani domen atp.); lze menit i zpatky
OU - nejmensi jednotka pro delegaci adm. autority; neni v DNS, jen LDAP (kontejner); jen pro zjednoduseni administrace - lze urcit admina OU; uziv. v OU mohou vyuzivat celou domenu; sdili DC; melo by mit strukturu vyhovujici adminum
stromy - struktura OU, domen, celeho AD; primocare; domeny jsou soucast DNS - lowest.lower.top; les - spojeni jinak nezavislych stromu, ktere ale sdileji urc. casti: schema, konfiguraci (popis lesa), glob. katalog (info o objektech lesa), "friends" - mohou sdilet uzivatele a prostredky; jina jmenna strutktura, nez. fungovani, prava; les musi existovat aby se stromy videly; Forest functional level: Win 2000 (vsechno), 2003 interim (prechod z NT4), 2003 only (zmeny mozne pokud DC jsou na W2K3 a domain fctional level je aspon 2000+, lepsi routing, zmeny struktury GC )
Domain Controller: infrastruktura - zprac. data o domene, je platny uzel AD, poskytuje sluzby ost. klientum (i "standalone" serverum). hl. fce - autentikace useru; nositel domain security policy; muze byt jen pro 1 domenu (v ni ale vic DC); replikace, sdileni "domain directory replica"; DC v 1 domene jsou az na master roles rovnocenne; detekce kolizi, kontrola chyb
global catalog: info o vsech objektech v celem lese; dostava 1.DC 1.domeny v lese, musi ∀ les existovat (da se presunout); pri nedostupnosti se lze pripojit jen k lok. siti (pokud to neni nacacheovano)
dotazovani: client -> DNS: kdo je GC; DNS -> client: IP(GC); client -> GC: dotaz; GC: lookup in GC, AD

Role (Flexible Single Master Operation Roles)

"multimaster replikace" - vse je skoro vsude, az na vyjimky: Schema master, Domain Naming Master (1 v lese); RID master, PDC emulator, infrastructure master (1 v domene) - vse centralne potrebne sluzby; lze presouvat mezi DC
Schema master - dela zmeny na schematu (nebyva mnoho)
Domain Naming Master - pridavani & odebirani domen v lese
Relative-ID master - prideluje objektum lokalne v domene unikatni ID -> potrebny pro presouvani objektu mezi domenami (objekt: security-id = security id domeny & relativni id.)
PrimaryDC emulator (odp. PDC v NT4) - zodp. za zmenu hesel atp.; je nutny i v 2003 only functional level (vyzadana aktualizace pri chybe hesla)
Infrastructure Master - nemel by byt na temze DC jako global catalog (jinak se z nej informace nepropaguji!) - group-to-user references
planovani: default facha jen v singularnich pripadech (1 DC, maly les, malo DC, 1 site & dobra konektivita) - kvuli load balancing, maintenance, crash toleranci dobre prenaset jinam:
role pri vytvareni domeny: 1. vytvoreny DC ma vse! i z lesa i z domeny ("root domain" - 1. domena); 1. DC v child domain ziska 3 role; po pridani DC se nic nepresouva! pri odstranovani se role muzou i ztratit! -> pred odebranim DC presunout role
navod: vybrat 2 DC s primou replikaci & dobrym spojenim - master & backup pro RID, PDC, Infrastructure; 2 ruzne: Infrastructure M., GC; pro velkou domenu oddelit RID & PDC; schema master & domain naming master na stejnem DC (nedela se casto)
presun: "transfer" - kooperace (standard) / "seizing" - jen pokud nelze transfer; server kteremu roli vezmu NESMIM pustit bez reinstalace OS!!!
vypadky: pro Schema M. neni docasne problem (jen pri zmenach schematu); Domain M. - podobne (do zmeny struktury domen); RID - horsi, kdyz DC-u dojdou relative id (dostavaji rozsahy); PDC Emu - okamzite je videt!; Infrastructure - problem pri prenaseni veci mezi domenami; admin ma prubezne kontrolovat.

Site

mnozina subnetu, s rychlym vnitrnim spojenim; cile: autorizace uziv., replikace dat mezi nimi;
sprava: MMC -> Active directory sites & services; v ni objekty à 1 site (licensing site settings object, NTDirService site settings object - reprezentace active directory, servers container - ∀ DC v site objekt - info)
konfigurace: vytvoreni pomoci wizardu v MMC; pro fungovani priradit subnet, vlozit nejaky DC (presunout nebo novy s adresou spadajici do site (vytvorit pozdeji nebo manualne presunout vzdy - neudela se samo!))
po instalaci - 1 site "Default-First-Site-Name" (z hlediska systemu neznamena nic); pokud vytvorim DC s IP mimo sajty, hodi se do Default-First-Site-Name (ten se vytvori, pokud tam neni)
site container - v AD: site objects, inter site transport container, subnet container
duvody: pro LAN/skupinu LAN spojenych rychle; pro sit se spatnou vnejsi konektivitou (staci SMTP), pro nerovnomerne spojene site
1 site - ≥ 1 subnet; 1 subnet max. v 1 site (vytvareni subnetu - MMC: sites->subnets->new); na domenach nezavisle

Replikace

vsechny AD objekty - v "directory tree", ∀ DC neuchovava cele AD, ale jen cast co se tyka jeho domeny - "directory partition/naming context" (= 1 replica, R/W)
"partial replica" - cast AD ulozena v GC - ∀ objekty, ale jen nekt. atributy (isMemberOfPartialAtributeSet) R/O
replikovana data: schema partition (to co muze byt v lese), configuration partition (log. struktura lesa, replikacni topologie - zpusob provadeni replikaci mezi domenami), domain partition (info o objektech v dane domene - repl. jen v ramci domeny), application directory partition (od Win2003 - pro aplikace)
intra site - vyuziva dobrou konektivitu - DC se upozornuji na zmeny & zpetne si je stahuji (vědí kdy si rict), na urovni RPC
inter-site - pro > 50 KB komprese (limit natvrdo), nic se neupozornuje, polling podle rozvrhu (zjisteni zmeny -> naplanovani update, neprovadi se hned); RPC / SMTP (zabezpecene) over IP
intrasite: KnowledgeConsistencyChecker - na ∀ DC, sleduje intrasite zmeny & vytvari replikacni spojeni
intersite: BridgeheadServer - kontaktni bod (∀ site 1, nahrazovan jen pri automaticke volbe) - vybiran KCC, ale da se overridovat (preferred BS's - vybrat vic nez 1!)
intersite links: default: bridge all (tranzitivni), je-li vypnuto, da se delat "site-link-bridges". problem: cas. zony - rozvrh se dela podle LOKALNICH casu serveru!, firewally (nemusi byt videt); naplanovana replikace se v pripade problemu spojeni neopakuje nikdy!
da se volat rucne: MMC: "initiate replication" na nejaky objekt (znamena formalne jen naplanovani, ale v praxi obvykle i okamzite spusteni); repadmin, replmon - admin. tooly; da se i programove (napr. z VB)

Inter-Site Replikace

DEFAULTIPSITELINK vznikne pri instalaci AD & siteu, dalsi nutne rucne
protokoly: DirService-RPC (over IP) - synchronni, bez CA, live & fast & reliable spojeni, planovana spojeni; Inter-SiteMessaging - SMTP - pro nespolehlive, neni nacasovane, asynchronni, potrebna CA
uvnitr site vzdy DS-RPC, mezi DC z 1 domeny vzdy DS-RPC; mezi 2 domenami i ISM-SMTP.
vytv. linku - v MMC/AD Sites & Services - intersite transports (pro SMTP musim mit CA), pojmenovat vhodne (ozn. co spojuje)!
atributy: cena - cim vyssi, tim pomalejsi spojeni (default 100, rozprostrit rozsah!); frekvence - minuty (default 3h), neni-li v tu chvili spojeni, NEPROBEHNE VUBEC!; availability: definuje kdy se smi spojeni pro replikaci pouzit (nepouzivat pro SMTP, pokud nemam scheduled conn. objects, nebo je SMTP always-on & prime spojeni)
bridgehead servers - da se definovat rucne (seznam preferovanych -> vyradi vsechny ostatni pouzitelne -> nastavit vic nez 1!), pro kazdy protokol muze byt jiny (nastaveni: DC properties, general)
site link bridges - je-li zapnuta tranzitivita (default), nema smysl
connection object - reprezentuje spojeni DC pro replikaci, spravuje je KCC (pokud funguje, nezasahovat)

Backup & Restore AD

prerekvitizity: pripojenost & funkceschopnost, pripravenost zal. jednotky, pouziti medii z hardware compatibility listu (jinak to Winy zakazou!), backup operator musi mit dost prav (dulezite nastavit!)
co se zalohuje: registry, COM+ classes DB, boot files, Windows File Protection Files, certificate services database, AD (pro DC), Sysvol (pro DC) - std. nastaveni, melo by byt dost k oziveni domeny (nelze vybrat jen nekt. casti, jen vybrat pri restore) - backup restore wizard (volume shadow copy - on)
nutne iniciovat na masine kterou zalohuji manualne (jinak nebezpecne)!
neautoritativni restore - F8 pri bootu ("directory services restore mode"), login: SAM admin (heslo z instalace Win!), backup & restore wizard (normalne). muzu zmenit dest. folders pro nekt. casti (krom COM+, cert. services db, AD)
autoritativni - provest neautoritativni, pak bo rebootu v safe mode pomoci ntdsutil nastavit co se ma obnovit autoritativne (text. utilita) - lepsi nepouzivat; po rebootu - norm. replikace - to co je autoritativne aktualni - ven, zbytek - dovnitr
rady: zkopirovat sysvol az po publikaci nastaveni sdileni (jinak se prepise), autoritativni provadet jen na 1 serveru (jinak se zablokuji), timeouty platnosti zaloh - po 14 dnech k nicemu!, vyzkouset nanecisto (az to budu potrebovat, je pozde!)

Group policy

souhrn bezp. nastaveni na uzivatele, kompy, sitey, servery, aby se daly spravovat po skupinach - "groupings of policy settings"
pokud mozno nemenit default group policy (nevratne krom backupu!)
GPO - sada nejakych nastaveni, ve W2K3 ma ∀ server 1 lok. GPO (a k nemu se pridavaji dalsi z AD), aplikuji se na nej prava stejne jako ost. objekty v AD.
lok. GPO - pri startu systemu se nastavuje jako prvni, ost. z AD ho prepisuji; jsou ve WINDOWS\System32\GroupPolicy (lepsi nehrabat se)
"AD integrated" GPO - prirazene k site, domene nebo org. unit; 2 defaultni - default domain policy, default DC policy (pro DC OU); default domain plati i na DC!; ulozena v Sysvolu (v adresarich podle GPO GUID)
GPO Editor - prace s GPO, nastaveni pro PC (pred loginem) & users (pri loginu) - software settings (prirazovani, zverejneni aplikaci - vic rezimu), windows settings (startup skripty, povoleni uziv pro PC/ logon skripty, security - pro usery; folder redirection), user config (admin templates ~ 550 veci, nast. site, v registrech - upravy pres text. soubory system.adm, inetres.adm (IE), wmplayer.adm, conf.adm (NetMeeting), wuau.adm (Windows update), nastaveni - 2 kategorie: true policies, preferences)
logon skripty - pevny limit 10 min., pak se zabijou (neni vhodne delat tak backupy)!
GPO se muze vazat na site - jeho info se replikuje i na vic domen v 1 sajtu -> musi byt z nich odevsud citelny, proto rozvazit umisteni, pokud jsou domeny spojeny pomalym linkem/WAN

AD Tools

MMC: jednotne UI pro lib. nastaveni, "preconfigured" MC - preddef. balicky funkci. vetsina umoznuje remote admin.; instaluji se s komponentami systemu (snap-iny), "custom" MC - da se pridavat snap-iny v "author-mode" (neni ale dobre nacpat tam toho moc)
snap-in - ovladatko 1 funkce, extension snap-in - pridava dalsi funkce, daji se navrhovat nove
4 rezimy: author mode (pridavani snap-inu), user mode - full (pristup ke vsem fcim, levy rozbal. strom), user mode - limited, multiple window (pristup jen tam co bylo videt pri poslednim ulozeni konzole, moznost otvirat nova okna), user mode - limited, single window (bez otvirani novych oken)
vzdalena administrace: adminpak.msi, i jine verze Winu proti sobe, zabezpecena komunikace
default install: AD domains & trusts, AD sites & services, AD users & computers = "AD admin tools"
domains & trusts: navazani spojeni mezi domenama, zmena domain/forest functional level, zmena domain naming master, zmena UserPrincipalName suffix (koncovka pro uziv. pri logovani, default - domain name, cast se muze doplnovat automaticky)
users & computers: group accounts (reseni pristupu k prostredkum zarazenim do skupin), skupina "DCs" - spec.
sites & services: fyzicka struktura, nastavovani replikaci
AD schema (schmmgmt.dll): defaultni, ale nutne explicitne doinstalovat (kvuli prevenci nah. chyb)
Windows Support Tools - pridani dalsich ovladatek pro AD, z INSTALL:\Support\Tools\suptools.msi; pro hodne toolu potreba DistinguishedName - pojmenovavani veci z AD (rada carkou oddelenych Relative DN: DomainComponent, CommonName, OrgUnit name, UserID; UTF-8, backslashovani)
Security ID: cislo identifikujici uziv./skupinu atp.; Security descriptor: obs. info o vlastnikovi, pristupu (ACL).
acldiag: prohlizeni access control listu, efektivnich prav uziv. k nejakemu objektu, kontrolovat akt. pravo vuci hodnote z templatu, znovu nastavit default ACL na nejaky objekt (template reaplication); volani: acldiag <DN>
dcdiag: diagnostika DC - otestuje spojeni na DC, replikacni topologii, DNS zony, schema; postupne pousti testy, kdyz se zaseknou - chyba
adsiedit: MMC snap-in; low-level editor AD, ukazuje hierarchii objektu, neumoznuje komfortni operace, ale zmeny primo; problem s akcemi vyzadujicimi zmeny na vic mistech - tady se neprovedou; vhodny pristup: pres skript, vedet co hledam
dfsutil: prava distribuovaneho filesystemu, umoznuje skryt pred usery fyz. strukturu site - nadefinovat sdil. adresare tak ze se nevi kde se nachazeji fyzicky. param. pro vypis, definice, da se ovladat i pres snap-in ale jen castecne
dsacls: command-lineovy ekvivalent zalozky security v MMC
dsastat: porovnavani stromu v ruznych replikach AD, kvuli sjednocovani, diagnostice (nic nemeni)
ldifde: import-export objektu z AD, zachazi se s text. souborem - ten se teoreticky da editovat primo, generovat; format: LDIF (LDAP data interchange)
ldp: LDAP client - lib. prochazeni, vypsani vlastnosti (i kdyz trochu nesrozumitelne), umi i vyhledavani
movetree: presouvani celych stromu mezi domenami, pro objekty co nejdou presunout pomoci AD Migration Tool, nutne poustet na RID masteru zdroj. domeny
netdom: Domain Manager - zakl. sprava domen - slevani, presuny, mazani, trust relationship
nltest: test trust relationships a stavu replikaci na DC; forced synchronisation (s NT4), remote shutdown
ntfrsutl: dumpy z NT File Replication Service
repadmin: diagnostika replikaci, zobr. repl. topologie, manualni upravy, forced repl.
replmon: replication monitor, vlastnosti replikaci, historie, status, topologie, prehled nereplikovanych zmen
sdcheck: zobrazeni & popis security deskriptoru pro ∀ objekt AD
search.vbs: 20K skript, ma spoustu optionu, vyhledavani v AD; dobry priklad skriptovani; lze uvest uziv. z jehoz pohledu se ma hledat (nutne ale zadat heslo z command line!)
setpn: umi zadat/vypsat Service Principal Name (napr. print/prt1.ntdom.reskit.com:1234/cn=bldg26,dc=ntdom,dc=reskit,dc=com) - typicky pro reseni problemu pojmenovani PC, michani DNS & AD
sidwalk: meneni Security ID objektu podle definice v text. souboru (prochazi zaznamy v souboru, nahrazuje 1 SID jinymi) - merge siti
dalsi: bitsadmin - background intelligent transfer service, msciuu - cleanup po instalaci programu (v registrech), netdiag - diagnoza site, windiff - diff atd.
adprep: integrace W2K3 serveru do W2K domeny, jde ale neni uplne jednoduche (nutne pripravit les & domeny tim ze prida do struktur to co ve W2K nebylo)

Schema

AD partition - podstrom AD, jednotka replikace (replika = kopie AD partition(s)), DC ma vzdy min. 3 (schema, configuration, domain), prip. dalsi, application partition
schema partition: objekty classSchema & attributeSchema ("class & attribute mappings") - kazdy objekt z AD je instanci tridy ze schematu, atributy definuji data ktera se daji ukladat ve tride; default: veci zalozene na standardech a nutne pro fungovani microsoftich veci, rozsiritelne
configuration partition: cast AD s topologii replikaci, ma byt na vsech DC v lese.
domain partition: vse co se tyka dane domeny
application partition: W2K3 only, neni povinna, pro ulozeni aplikacnich dat (aby si aplikace mohly vymenovat data na DC), muze tam byt cokoliv krom security principals, replikuje se na "vybranou mnozinu" DC (ne nutne v ramci 1 domeny); objekty muzou odkazovat na jine jen v ramci 1 app. partition, nejsou v GC, nedaji se presouvat mezi 2 app. partitions
DC: obs. schema partition (pro les), configuration partition (pro ∀ domeny lesa), domain partition data (pro svoji domenu) - ta je cast. replikovana do GC
Global Catalog: schema partition (pro les), configuration partition (pro ∀ domeny), castecna replika pro vse v lese (obs. "common attributes"), plna replika domain partition data (pro svoji domenu)
struktura schematu: v kontejneru "Schema", v configuration container (cn=schema,cn=configuration,dc=domena,dc=cz) - obs. objekty typu classSchema, attributeSchema
pojmenovavaci konvence: 2 moznosti - CN - "easy to read", LDAP-Display-Name - pro dotazy nad ADSI/LDAP - X.500 - object identifier (OID)
atributy: instance attributeSchema; maji taky atributy: jmeno, typ, vlastnosti: attributeSyntax (typ - def. konstanty napevno - neni v AD; text. zamerene, identifikace = OID & attributeSyntax); isSingleValued; systemFlags - definuji replikace (i do GC - nemenit primo!, "kategorie 1" - zakl. atributy systemu, "neprejmenovatelnost" - pro systemove atributy); searchFlags - zpusob indexace (container index ~ index pro ∀ kontejner zvlast, ANR - je souc. ANR, tombstone - nemaze se hned (dangling refs), copy when object is copied, tuple index - pro wildcard search, subtree index - indexace v ramci celeho podstromu, confidential - proti inheritanci prav)
Ambiguous Name Resolution: tohle definuje mnozinu atributu, dotazem na anr=jmeno se ptam jestli "jmeno" v nich neni pouzite; default - jen par atributu, ale daji se pridavani dalsi (zvysuje slozitost hledani!!!), vsechny ANR atributy by mely byt indexovane; vyhl. - jako podrezetec - narocnejsi.
classes: instance tridy classSchema, atributy jako kazda jina trida, ma nejake povinne & dalsi svoje; 4 kategorie: structural (normal), abstract, auxiliary (nedulezite, pomocne), 88-Class (podle std. X.500 z '88 - vse co nevyhovuje jinde); dedeni omezene.
dulezite tridy: user, computer; dedeni: top \> person \> organizationalPerson \> user, computer; ma atributy securityPrincipal, mailRecipient; maji stejnou strukturu -> dobre hledani

AD & DNS

AD: "SRV aware" - pouziva Service Record (SRV) zaznamy z DNS pro zjistovani DC (pri instalaci pridavany zaznamy automaticky, lze i manualne)
mohou mit stejny namespace s tim ze existuji servery co jsou jen v DNS a ne v AD (potom je tezsi prace pokud nemam DNS server od M$)
overeni spravnosti - ∃-li v AD kontejner _ldap._tcp.dc._msdcs.domena (pro DC, .gc. pro GC), je vse v poradku
v DNS nutne zaznamy o nove pridanych serverech, dokud tam nejsou, "neexistujou"
vhodne integrovat DNS do AD (s vyjimkou serveru co nejsou DC)
zmeny DNS: Secure Dynamic Updates - zarizuje (zabezpecene) vlastnik zaznamu, pro ty co to neumi dela (jen M$!) DHCP server; DnsUpdateProxy - skupina, jejiz clenove se nestavaji vlastniky zaznamu; Dynamic Updates - DHCP klient pri zmene na kteremkoliv rozhrani (zmena IP, zapnuti PC ...) broadcastuje vsude -> spousta chyb. hlasek (na Unixech spojenych s nimi), pokud se nepodari zaznamenat info na DNS server, problemy
AD v DNS - podstatne - ∀ hodinu se updatuje (nekde ∀ den, da se vynutit rucne, zmenit interval), aby klienti znali sve AD servery, zaznamy ktere AD registruje pri startu site jsou v netlogon.dns - text. soubor

Scripting

ActiveX - interakce programu bez ohledu na jazyk, manipulace: IIS, IE, Windows Scripting Host
WSH - souc. Win, 2 interpretery: wscript (okenni), cscript (konzole), funkcnost stejna; pristup k PC na kterem bezi ale i k AD pomoci AD Service Interface (ADSI)
ADSI - obecne rozhrani, nativni podpora LDAP, rozsiritelne; objektove orientovane, COM objekty, s nimi se zachazi pomoci metod Get, Put, GetEx, PutEx (Ex pro vicehodnotove atributy).
ADSI objekt - ma vzdy aspon atributy Name, GUID, Class, Schema, Parent
ADSI namespaces - zpusob pristupu k objektum: LDAP://, WinNT://, NDS://, IIS://, potom hierarchicka struktura (k 1 objektu muzu pristoupit vic zpusoby)
LDAP namespace - zakl. zpusob pristupu k AD, nekolik ruznych formatu pristupu k hierarchii: LDAP://cn=admin,cn=users,dc=domain,dc=com ale i LDAP://moose.domain.com/cn=admin,cn=users,dc=domain,dc=com , LDAP://DC=com/DC=domain/CN=users/CN=admin apod.
typy - "dobrovolne" - ozn. je jen konvence; jazyky: VBScript, (≠) VisualBasic, JScript, JavaScript atd.
ziskani objektu z ADSI: GetObject( "LDAP:// ..." ).
zmena credentials pro pristup: IADsOpenDSObject::OpenDSObject - zadam path, user, passw a dalsi bezp. nastaveni (pro zachazeni s credentials!). Pouziti: GetObject( ... ).OpenDSObject ... . Aditional security: 0, ADS_SECURE_AUTHENTICATION, ADS_USE_ENCRYPTION, ADS_USE_SSL (a dalsi flagy, ne vsechny funguji vsude)
predani hesla: v plaintextu skriptu :(, InputBox( ... ) - nejsou hvezdicky pri psani, ActiveX komponenta - musi byt custom, jiny jazyk nez VBScript; problem ale s nacasovanymi skripty -> heslo v environmentu (taky ne uplne bezpecne)
manipulace s objekty: metody objektu Get, Put, GetEx (for each in), PutEx (ADS_PROPERTY_CLEAR ...); k nekt. properties se da pristupovat primo; ve VBScriptu je Get fce, Put podprogram (zavorky/bez nich!); ADSI pracuje s cacheovanymi vlastnostmi -> SetInfo ~ commit (nutne). GetInfo - nacteni z cache - vola se implicitne, ale lze i vynutit (napr. znovunacteni)
chyby - i prace s neex. vlastnostmi; objekt Err - On Error Resume Next (ignorace chyb), Err.Number, Err.Clear
neznam-li jmena atributu: IADsPropertyList -> seznam, IADsPropertyValue/Entry -> pristup - taky v property cache.
nutne rozlisovat zprac. na serveru x local - na serveru nelze pouzivat promenne VBScriptu - predavani hodnotou; v LDAP dotazech nejsou bin. operatory - divne konstanty
pokr. prikazu na dalsim radku - "_"!
pridavani uzivatele: nutne povinne nastavit atribut SAMAccountName

Overeni instalace AD

je popsano jako postup v KB
ukoly: test domeny (kontrola sajtu!), konfigurace DNS, integrace do AD, instalace shared system volume, funkcnost directory service recovery mode (nutne overit explicite, driv nez bude pozde)!!!
overeni existence AD - existence C:\NTDS\Ntds.dit
konfigurace DNS - nutne, jinak je vsechno pomale - podle rychlosti nslookup-u (napr. mohou chybet reverzni zaznamy)
DNS v AD - musi byt, tahat se z AD pri bootu
AD restore mode - heslo pouzite pri instalaci (nutne mit nekde)

Windows Firewall

stavovy, pamatuje si spojeni, defaultne blokuje vse, nutne povolovat aplikace, pripraveny na IPv6; omezuje jen prichozi spojeni!
konfigurace: manualni (klikatka), security configuration wizard
nastaveni na ktera nemam prava: Access denied (bez prav na FW vubec), bez erroru a nic se neudela (GP neumoznuje)
pro spravu 2 profily se stejnymi moznostmi nastaveni: standard (bezne PC, restriktivnejsi), domain (PC v domene), editace profilu: pres vlastnosti fw - jen aktualni, oba: pres GPO editor (gui), netsh.exe (cmd)
povoleni (exceptions) - pro programy, sit. sluzby (vlastne oddily sluzeb) (dynamic port opening - lepsi nez porty), porty; mit co nejmin!! (moc vyjimek = neco je blbe), odebirat ty vyjimky co uz nepotrebuju; scope - povoleni pristupu z danych pocitacu (opatrne!)
WFW ma API - programy se mohou pridavat samy!
preddefinovane (zname porty) - dobre vedet, jinak muzu nechat neco nezabezpecene; pro File & printer sharing potrebuju TCP 135, 445 a UDP 137, 138; Remote desktop - TCP 3389; UPnP - TCP 2869, UDP 1900; Remote Administration otevira hodne portu (-> opatrne!, nedaji se poradne odlisovat)
per connection exception - definovane na urovni sit. karet, aditivni ke globalnimu (nezavru tim glob.), bez ohledu na profily WFW
monitoring: WFW log, security event log; default: disabled (nedovim se co zablokoval), dobre zapnout ale hlidat preplneni. - nejlepe logovani zapinat jen pri ladeni; auditing - po prvnim spusteni, po konfiguraci zas vypnout
optimalizace: checksum offloading - CRC link frames necht pocita sitovka (jen u serveru ma efekt)
security: nenechat uzivatele nastavovat sami, nenechat jim ho vypnout, nedavat admin-prava pro lok. PC (programy by si mohly delat co chteji)
diky stavovosti vets. nema vliv na vykon site (krome vetsi zateze UDP)
pri aplikovani security patchu se mohou zmenit nastaveni WFW!! (zapina se remote assistance atp.), nutne vratit zpatky

GPO a Software Deployment

GPO: moznosti: registry, spousteni skriptu, publikovani/nucena instalace SW. System Management Server - "big brother" na uzivatele; moznosti nastaveni v GPO: default, enable, require, disable, disable entirely
design GPO: nutne predem otestovat ve virt. prostredi (muze delat problemy), nemenit defaultni GPO (nelze vratit)!!!
M$ doporucuje male GPO, hodne zabezpecene - aby na ne mohla hrabat jen mala skupina lidi (≠ admini !!); male: mensi prenos dat, min chyb (replikace/logickych)
design questions: ptat se primo na detaily firmy, delat na miru; mensi GPO -> maly prenos dat; GPO lepsi k OU nez k domene (jinak moc velky vliv); rozdil GP x security groups; jmenne konvence (pro velke site) nutne; instalace pomoci GPO - jen "male" veci; presun PC mezi domenami - vedet PREDEM co se zhruba stane s GPO (nekdy nutne nektere vyradit, nekompatibilni); admin by nemel mit pravo hrabat na GPO
deployment: neinstalovat veci co potrebujou feedback/trvaji dlouho; nastaveni: container properties -> group policy -> software installation -> new package (msi/zap); GPO properties -> security -> odstranit authenticated users & pridat skupinu na kterou chci aplikovat
cesta k package v deploymentu: vcetne domeny\\server\share - nutna prist. prava pro vsechny, nelze pouzit namapovane disky (ty se mapuji az po tom)
rezimy: assigned to users- cestuje mezi klient. stanicemi, kde se user naloguje, tam ma program/ assigned to computer - instaluje se vetsinou pri vypinani kompu; published (to users) - pridano do add/remove programs - muze si to vybrat
chybove hlasky jsou nespolehlive (nekdy chyba a nic, jindy bez chyb a problem) - vets. kvuli prist. pravum
share name - pri '$' na konci se neukazuje v seznamech
propagace zmen neni okamzita! -> vynuceni: gpupdate.exe (nebo hrubou silou secedit.exe /REFRESHPOLICY)

Pridani kompu do domeny

by default maji pravo clenove skupiny "Authenticated users", po 10 PC se jim ale zrusi
reseni: da se vytvorit v domene objekt PC se spravnym jmenem predem (AD users & computers -> "New..") -> pak uz se jen edituje (coz na limit nema vliv), pridat pravo pridavat neomezene (AD users & computers: computers -> properties -> security -> advanced (nutne povolit zobrazeni) -> create & delete computer objects), da se i zmenit limit (nedelat/jen dolu!!)
pro tohle lze zalozit spec. usera ktery nebude smet nic jinyho (ani login) & rict opravnenym jeho heslo

Security Monitoring

prinos: schopnost detekce utoku, schopnost forenzni analyzy udalosti, snizeni dopadu utoku, zjisteni podezreleho chovani, informace pro audity
postup: identifikace potreby chranit informace, definice urovni opravneni pro usery I ADMINY (jen podle jejich typickeho chovani, nutne menit prubezne), zavedeni sledovaci metodiky, prubezna uprava metodiky
security log: system32\config\secEvent.evt - pristup jen pro adminy; nastaveni: group policy - audit policy (v GPO)
correlate security audit events - sbirani logu na 1 PC, analyza, detekce poruseni
Event Comb MT - M$ nastroj, ukladani logu do M$ SQL, hledani; M$ Operations Manager - sbira informace, odesila MOM serveru, ten uklada, notifikace
M$ neposkytuje: end-to-end solution, realtime alarm, zabezpecene logy
poruseni politik: vytvareni uzivatelu nelegalnim zpusobem, pouzivani admin-prav bez autentikace, pouzivain systemovych kont pro interaktivni logon, pristup k souborum bez prav, spousteni neschvalenych programu/OS, zarazeni uziv. do skupiny ...
- admini: problem - potrebuji k praci velka prava, ale formalne nemaji mit pristup -> proverky, oddelene ukoly kontroloru!
- "technical issues": moc logu, centralni uloziste, attack patterns/signatures (autom. detekce) -> rychly zasah, omezeni prav adminum
- "security issues": detekce poruseni politik (viz vyse a dalsi)
- reseni: detekce poruseni politik, identifikace chyb konfigurace (change management, overovani na skladisti logu)
vnejsi utoky: 2 kateg. - pachane lidmi, pachane aplikacemi; kazda ma specifika (lide - prizpusobeni, aplikace - back doors, pozor na spec. HW - keyloggery atp.);
- technical: zvysujici se mnozstvi, DDoS - jen generovanim logu, spoluprace utocniku; sledovani procesu: zakl. technika identifikace, ale generuje moc logu (WWW/CGI, developeri)
- security issues: utocnik "voli zbrane" - prolomeni hesel, reset hesel, security holes, primet uzivatele aby spustil malware, island hopping (pomale postupovani po kouscich prav), rootkity, trojany, neschvaleny PC, phishing
- reseni: detekce utocniku (stejne jako vnitrni), detekce aplikaci (trochu stejne)
forenzni analyza: sledovani casovani, zavaznosti, nasledku utoku, napadenych systemu
business issues: vysetrovani incidentu po jejich vzniku!, vhodne spravne nastaveni doby ulozeni dat (3 tydny - 7 let)
technical: hlavne ulozeni obrovskeho mnozstvi logu (vic zapisu nez cteni)
security: nemel by mit pravo nikdo menit, cist jenom par lidi (ani ne admini)
reseni: definice prerekvizit, definice "normalniho provozu", definice zakl. pravidel, definice zabezpeceni PC; identifikace zranitelnosti, vlastnosti firmy
priorita: detekce & predchazeni - potencialni skoda = vyuzitelna dira (admin muze zodpovidat!); penetracni testy - nepravidelnost (aby se za ne neschovali skutecni utocnici)!
zmeny konfigurace: poctive overovani, neohlasena zmena = utok!

Disky

zakl. fyz. koncepce: platter (plotna) - track - sector; cylinder (imaginarni - stejna kruznice na vsech plotnach) - CHS = identifikace
log. koncepce: cluster - partition (begin & end sector, sector count, file system); files
Win2003: basic disk - max. 4 partitions (MBR: 4 primary / 3 primary + 1 extended), nebo 128 primary (GPT) primary: 1 drive, extended: vic logical drives; dynamic disk - 1 partition rozdeli na dynamic volumes (neomezeny pocet), fault-tolerant volumes, RAID.
Basic disk: MBR (x86), GUID Partition Table (GPT) - Itanium.
MBR: systemova oblast (udaje o disku), oblast partitions (max. 4 primary / 3 + 1); systemova obl. - "MBR" - lezi mimo partitions, bezny user se na to nepodiva, ma pevny format -> proto max. 4 (konec - 0x55AA). obs. i master boot code - ma urcit aktivni partition & natahnout ji aby se z ni bootovalo; disc signature; partition table. "removable" media nemaji MBR -> prvni sektor je boot sektor; ∀ HDD ma MBR, master boot code se pouzije jen ma-li aktivni partition.;
- extended partition - ma vlastni hlavicku (v sobe)
- partition table format: bootovatelnost, zac. & konec (CHS), typ partition, start (sectors), size (sectors) (vse little endian)
GPT: 64-bit only (jen ve W2K3 Enterprise, Datacenter) - tam pro boot nutne; ma legacy-MBR - urcuje ze na to nema stary system smatat; max. velikost prakticky ~ 18 EB; LBA 34 - 1. pouzitelna partition; taky little endian.
- GUID primary header & 128 partition entries (to je max.)
- ∀ platna partition jeji data
- na konci kopie primary header & partition entries
FAT (16,32) - disk popsany mapou volnych & plnych bloku; na zac. - reserved area: boot sector (partition table + bootstrap) - 1. sektor; FAT, FAT backup; root directory table (hned za FAT) - pro systemy ktere neumi adresare staci; soubory
- omezena velikost; FAT12 -> DOS4.0 - FAT16 (4GB) -> FAT32 - 2TB, realne 32GB pro soubor?
- 1-128 sektoru na cluster, FAT32 - 8-64 (cluster: zakl. jednotka se kterou se zachazi, jak je popsany ve FAT)
- 0 (free), BAD, Reserved, EOF, cislo dalsiho sektoru (v zazn. adresare je pointer na prvni)
NTFS - spousta novych fci: oziveni po havarii, pristupova prava pro soubory, monitoring; velikost max. 2TB, 1-128 sektoru v clusteru
- na zac. boot sector: BiosParameterBlock, bootstrap (az 16 sektoru); kopie na konci
- Master File Table: zaznamy o souborech, info o ni samotne je v ni taky, relacni databaze -- ∀ vec jmeno, security descriptor & dalsi atributy, velikost zaznamu pro 1 polozku 1-4K max. (dana pri formatu)
- zac. MFT - info o MFT (da se cist napevno - 14 bloku): $Mft, $MftMirror, $LogFile (zurnal), $Volume (label, version), $.(root dir), $Bitmap (free)
- male soubory mohou byt soucasti zaznamu, pokud se vejdou; atributy - bud vsechny v MFT nebo nektere "non-resident" (velke)
- VirtualClusterNumber - v ramci 1 souboru; LogicalClusterNumber - v ramci celeho volume; fragmentace: base file record & "runs" - v atributech, k tomu prevody VCN -> LCN.
- disc quotas - omezeni prostoru pro ucty -> deny/warning (per volume, user, group, folder (mounts))
- reparse points - NTFS objekty, ktere drzi spec. atributy, umoznuji dalsi funkcnosti (encrypt, volume mount points, dir junctions)