Archive for November 2007

Bulk opdatere Outlook kalender rettigheder med Setperm


Nedenstående link er en rigtig god guide til, hvordan du benytter Setperm til at give folk læse rettigheder til hinandens Outlook kalendere.
http://telnetport25.wordpress.com/2007/07/25/exchange-2003-change-mailbox-folders-permissions-in-bulk/

Du kan hente Setperm her:
http://www.slipstick.com/files/setperm.zip

Script Elevation PowerToys for Windows Vista


Når man kører med UAC aktiveret i Vista, har jeg flere gange oplevet at jeg mangler rettigheder til at afvikle forskellige opgaver.
Opgaverne kunne være som følger:

  • Run As Administrator på MSI-filer
  • Run As Administrator på VBScript
  • Run As Administrator på CMD
  • Run As Administrator på PowerShell Script

Med PowerToys for Vista, vil man kunne få adgang til ovenstående via explore på en dejlig simple måde.
Download og unzip PowerToys. Højre musetast på hver enkelt af de elevate script-filer du ønsker at aktivere i context menuen.
Resultet kan ses på nedenstående billeder.



For mere info se nedenstående link
http://www.microsoft.com/technet/technetmag/issues/2007/06/utilityspotlight/default.aspx

Nyttige kommandoer i Windows 2008 Server Core


Efter man har installeret Windows Server 2008 Core, er der en række konfigurationer man skal igennem.
Jeg vil her prøve at liste de ting jeg plejer at gøre, når jeg har fået en ny test boks i luften.

Enable Remote Desktop:
http://support.microsoft.com/kb/555964

Find network adapter:
netsh interface ipv4 show interfaces

Set Static IP address + DNS:
netsh interface ipv4 set address name=”2″ source=static address=192.168.38.11 mask=255.255.255.0 gateway=192.168.38.1
netsh interface ipv4 add dnsserver name=”2″ address=193.162.159.194 index=1
netsh interface ipv4 add dnsserver name=”2″ address=194.239.134.82 index=2

Disable firewall:
netsh firewall set opmode disable

Rename computer name:
netdom renamecomputer %computername% /newname:WIN-TEST-001

Reboot:
shutdown /r /t 0

Activate Windows Server Core:
cscript c:windowssystem32slmgr.vbs –ato

Install IIS 7.0:
start /w pkgmgr /iu:IIS-WebServerRole;WAS-WindowsActivationService;WAS-ProcessModel

For mere info omkring IIS 7.0 på Server Core se dette link
http://blogs.iis.net/metegokt/archive/2007/06/26/administering-iis7-on-server-core-installations-of-windows-server-2008.aspx

Logout:
logoff

Eksempel på et VBS logon script


Nedenstående script kan benyttes på workstation og i et Teminal/Citrix miljø.
Gruppe funktionen medtager også nested groups.

‘Globale Variabler
Dim objNetwork,strUser ,wShell,wshnetwork

‘Ingen fejlmeddelser
on error resume next

‘***************** Get Username + Nested Groups *********************

Set objNetwork=CreateObject(“Wscript.Network”)
strUser
=objNetwork.UserName

Function IsMember(sGroup)
If IsEmpty(oGroupList) Then
Set
oGroupList = CreateObject(“Scripting.Dictionary”)
Call LoadGroups(oADObject)
End If
IsMember = oGroupList.Exists(sGroup)
End Function

Sub LoadGroups(oADObject)
On Error Resume Next
Dim
colsGroups, oGroup, j
oGroupList.CompareMode
= vbTextCompare
colsGroups
= oADObject.memberOf
If IsEmpty(colsGroups) Then
Exit Sub
End If

If TypeName(colsGroups) = “String” Then
Set
oGroup = GetObject(“LDAP://” & colsGroups)
If Not oGroupList.Exists(oGroup.sAMAccountName) Then
oGroupList(oGroup.sAMAccountName) = True
Call
LoadGroups(oGroup)
End If
Set
oGroup = Nothing
Exit Sub
End If

For j = 0 To UBound(colsGroups)
Set oGroup = GetObject(“LDAP://” & colsGroups(j))
If Not oGroupList.Exists(oGroup.sAMAccountName) Then
oGroupList(oGroup.sAMAccountName) = True
Call
LoadGroups(oGroup)
End If
Next
Set
oGroup = Nothing
End Sub

‘********Tjek om brugeren skal afvikle Login script****************

If IsMember(“CtxAdmin”) Then
Wscript
.Quit
End If

‘*********** Map Network Drives ***********************************

set wshnetwork = wscript.createobject(“wscript.network”)
wshnetwork.mapnetworkdrive
“H:”,“\WIN-FIL-001Home$” & strUser & “”
wshnetwork.mapnetworkdrive “M:”,“\WIN-FIL-001Teknik”
wshnetwork.mapnetworkdrive “N:”,“\WIN-FIL-001IT”
wshnetwork.mapnetworkdrive “O:”,“\WIN-FIL-001Public”

‘*********** Map Clint Printers ***********************************

wshnetwork.addwindowsprinterconnection “\WIN-FIL-001HP4100”
wshnetwork.addwindowsprinterconnection “\WIN-FIL-001HP4700”

‘Sætter default printer
wshnetwork.setdefaultprinter “\WIN-FIL-001HP4100”

‘********************Redirect af diverse foldere***************************

Dim WSHShell
Set WSHShell = Wscript.CreateObject(“WScript.Shell”)

RegRedirect = “HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders”
WSHShell.RegWrite RegRedirect & “Personal”, “H:My Documents”,“REG_EXPAND_SZ”
WSHShell.RegWrite RegRedirect & “Desktop”, “H:CitrixDesktop”,“REG_EXPAND_SZ”
WSHShell.RegWrite RegRedirect & “Favorites”, “H:CitrixFavorites”,“REG_EXPAND_SZ”
WSHShell.RegWrite RegRedirect & “Cookies”, “H:CitrixCookies”,“REG_EXPAND_SZ”

‘********************Opretter Genveje på deskop*****************************

Dim oShell
Set oShell = Wscript.CreateObject(“WScript.Shell”)

Const OverwriteExisting = True
Set
objFSO = CreateObject(“Scripting.FileSystemObject”)

If IsMember(“MSvisio”) Then
objFSO.CopyFile “\WIN-FIL-001GenvejMS Visio.lnk” , “H:CitrixDesktop” , OverwriteExisting
End If

If IsMember(“SAP”) Then
objFSO.CopyFile “\WIN-FIL-001GenvejSAPlogon.lnk” , “H:CitrixDesktop” , OverwriteExisting
Set oShell = Wscript.CreateObject(“WScript.Shell”)
CmdResult
= oShell.run (“\WII-FIL-001GenvejSAP.cmd”)
CmdResult
= oShell.run (“regedit /S \WIN-FIL-001GenvejSAP.reg,0,True”)
End If

Vista og Bitlocker

Bitlocker drevkryptering er en ny sikkerheds feature som er integreret i Vista Enterprise og Ultimate.
Den laver en fuld datakryptering af hele disken via en såkaldt TPM hardware Chip, som sidder på bundkortet af alle nye laptops i dag.
Bitlocker kan benyttes i “Transparent operation mode”, hvor brugeren logger normalt på maskinen uden at bemærke noget om selve drevkrypteringen.
Bitlocker beskytter mod såkaldte offline angreb i form af bruteforce angreb og ændring af hardware. Et eksempel kunne være som følger:
En bruger har en bitlocker enabled laptop med fortrolige oplysninger på. Han skal til møde og tager sin laptop med ud i bilen. Undervejs bliver den stjålet.
Tyven kommer hjem og vil prøve at hacke sig vej ind til de fortrolige oplysninger.
Han booter op på en linux CD og vil således prøve at kopiere hele diskindholdet ud på et andet medie.
Men Det vil ikke lykkes idet at bitlocker har krypteret disken og tyven ikke kender recovery passwordet.
Tyven prøver så at tage harddisken over i en anden maskine, men igen vil resultatet være det samme.
Bitlocker vil afkræve et recovery password hvis der sker system ændringer i henhold til nedenstående punkter:

  • Moving the BitLocker-protected drive into a new computer.
  • Installing a new motherboard with a new TPM.
  • Turning off, disabling, or clearing the TPM.
  • Changing the BIOS, master boot record (MBR), boot sector, boot manager, or other early boot components or boot configuration data.

 

Bitlocker og Active Directory:

I et enterprise miljø kan man gemme Bitlocker recovery informationer i Active Directory for de enkelte laptops.
Det betyder også at brugeren ikke behøver at kende Recovery Password for lige netop hans maskine.
Hvis han skulle få brug for det, kan han ringe til helpdesk, som via AD kan frembringe det.
Dette kræver at man min. kører med Windows 2003 SP1, idet man skal lave en Schema udvidelse.
For Windows 2008 er det ikke nødvendigt med denne Schema update.
For mere info se nedenstående link.
http://technet2.microsoft.com/windowsserver2008/en/library/3dbad515-5a32-4330-ad6f-d1fb6dfcdd411033.mspx?mfr=true

Bitlocker integrationen i AD kan styres via Group Policy som vist på nedenstående billeder.


Opsætning af Bitlocker:

Efter jeg har forberedt AD, er jeg nu klar til at aktivere Bitlocker på min laptop. Jeg sikrer mig forinden at min maskine er meldt ind i domænet.
Bitlocker kræver 2 partitioner, i form af et ikke krypteret boot volume. For mere info se nedenstående link.
http://support.microsoft.com/default.aspx/kb/930063

Jeg har kun en partition på min laptop, så jeg må køre nedenstående kommando.
BdeHdCfg.exe -target c: shrink -newdriveletter x: -size 1500 -quiet -restart

Start herefter “BitLocker Drive Encryption” fra Control Panel. Vælg “Turn On BitLocker”.

Jeg gemmer her mit Recovery Password på et netværks-drev (min home folder).



Jeg vælger her ikke at kører et system check. Tryk på knappen Encrypt.

Encryption processen aktivers og man vil stadigvæk kunne arbejde på sin laptop.

 

Efter 1.5 til 2 timer er den færdig.

Nedenstående billede viser den Bitlocker enabled data partition.

 

Hvis en bruger får brug for sit Bitlocker Recovery Password, kan helpdesken frembringe det via “BitLocker Recovery Password Viewer for Active Directory”.
http://support.microsoft.com/default.aspx/kb/928202

Gode links til Bitlocker:

Wikipedia – BitLocker Drive Encryption
http://en.wikipedia.org/wiki/BitLocker_Drive_Encryption

Windows BitLocker Drive Encryption Frequently Asked Questions
http://technet2.microsoft.com/WindowsVista/en/library/58358421-a7f5-4c97-ab41-2bcc61a58a701033.mspx?mfr=true

Windows BitLocker Drive Encryption Design and Deployment Guides
http://www.microsoft.com/downloads/details.aspx?familyid=41ba0cf0-57d6-4c38-9743-b7f4ddbe25cd&displaylang=en&tm