|
Adminstrativa uppdrag
Förenkling av uppläggandet av en users gör man genom en mall som man
kopierar och fyller i de värden som man
önskar kallas för User Template's.
Denna mall är optimerad för NTFS filsystem.
- Skapa en användare med namnet : _Mall_Personal.
- Sätt de gemensamma egenskaperna jag vill ha på min mall user.
- Sökvägar till specifika kataloger ges med: \\servernamn\sharenamn\%username%.
- Lägg in eventuella loginscripts.
- Spara mallen, den kommer nu att ligga högst upp i User manager.
|
Att använda en Usermall.
- Markera, kopiera den med (F8 Tangenten).
- Fyll nu i namnen och lösenord.
- Klicka på add. Klart.
|
Policys
Genomförandet av en kontohanteringsprincip för ett nätverk.
För att styrningen skall bli korrekt skall man ta följande saker till
övervägande.
- Password minimum max ålder
- Password minimum längd
- Password unikhet
- Kontolåsninges möjlighet
- Skall användaren tvingas att logga på för att kunna ändra lösenord.
Under Account policy i usermanager for domain hittar ni
följande menyval.
- Max tid för password sätts i dagar men skulle jag ha satt never expires
i Usern så är det userkortet som gäller.
- Min tid för password innans ändring få utföras är också i dagar.
- Minimilängd för password 1 - 14 tecken.
- Password uniques = Kommer ihåg dina lösenord bakåt i tiden.
- User most logon to change password.
- Max tid för password = Expires in 90 dagar.
- Min tid för password = 30 dagar.
- Minimilängd för password = 8 tecken.
- Password uiques = minnas 8 password.
- Account lockout = Ja.
- Lock out after = 3 st login fel.
- Reset Count after = 30 min.
- Lockout duriation = 300 min skulle jag välja.
- User most logon to change password . Använd inte denna om du har nya
användare, jag måste som admin ändra password ifall du har angett att usern skall
ändra password vid nästa inloggning.
- Tvingad utkastning av en användare om logon hours har överskridits.
Audit
Kontrollunktion för Domain eller Workstationen Här
sätter jag de funktioner som skall loggas i Event Viewer Tex: Logon, Logoff; lyckade
eller misslyckade. Omstart av system som ovan.
Policys för Auditing:
| Loggningsalternativ |
Vad man ser |
| Logon och Logoff |
Spårar lyckade och misslyckade påloggningar. |
| Fil och Objektsaccess |
Spårar tillång till kataloger, filer, skrivare och andra NTFS objekt. |
| Use of user rights |
Spårar när en user använder sina anvädarrättigheter. |
| User and Group managment |
Spårar ändringar på user eller gruppper typ lösenord borttagning av
konton, namnändring. |
| Security and policy changes |
Spårar förändringar av Auditing, användarrättigheter. |
| Restart System and Shutdown |
Spårning av omstart av servern samt logghändelser som påverkar
systemsäkerheten. |
| Process tracking |
Spårar start av program, programavstängning och annan projektåtkomst. |
Tänk på att om du granskar mycket kostar det också en hel del
resurser för övervakningen.
Säkerställandet av Domänkontrollanter.
I Server Manager styr man vilken maskin som skall vara PDC respektive BDC i en domain,
man har här också ett verktyg för att kunna utföra systemunderhåll samt en ren krashhantering för min PDC.
Om jag vill ta ner min PDC och vill att min BDC skall vara "PDC" då måste jag
välja följande Servermanager Menyval:
- Vid ett planerat stopp på min PDC.Syncronize with primary domain
controller.
- När det är klar skall jag låta men BDC vara PDC detta gör jag genom att markera min
BDC
som nu är en PDC, välj Promote Primary Domain Controller.
- Vid en systemkrach på PDC'n. Uppgradera BDC till en PDC. Promote
min BDC till en PDC.
- När min PDC är reparerad välj demote "degradera" it to BDC på den
reparerade PDC 'n. Nu kommer min Repade maskin" PDC " att bli en BDC.
- Nu ska man Promote "uppgradera" min repade PDC till en PDC .
Detta måste genomföras så att min kontodatabas hålls intakt, skulle en PDC rasa
så kan man inte förändra i kontodatabasen - lägga till eller ta bort, men man kan
validera sig mot BDC´erna så att man kan få åtkomst till nätverksresurserna.
En tvingad synkronisering av kontodatabasen göres genom Servermanager i ett menyval eller
via kommandot net accounts /sync.
| 