Delegeerimine. Osa I

 

image

Delgeerimine on lahe!

Tänapäeval, kui moes on Self-Service kõikvõimalikes eluvaldkondades ja avaldustes – tankimine, pangatehingud, iseteeninduskassad, tarkvarapaigaldus, vabatahtlikud moderaatorid foorumis, firmwareuuendus/-hooldus saab enda adminni elu ka lihtsamaks teha ja osa igapäevaseid tööoperatsioone edasi delgeerida.

Väiksemas firmas on kõige lihtsam delgeerimine olukord, kus kõik teevad kõiki ja eeldame et kõik on firma heaolu eest väljas. Suuremas firmas seevastu tulevad mängu igasugused poliitilised, regulatoorsed ja korralduslikud takistused. No ja võimalik, et alati  pole täidesaatev isik ka teadmistelt kõige pädevam (või võtab täitmine ülemõistuse palju aega).

Nii et alustuseks, kui tahad midagi edasi delegeerida, mõtle enda jaoks selgeks:

  1. millist tööülesannet soovid volitada,
  2. kellele tahad volitada,
  3. kas tal on piisavad teadmised selleks täitmiseks,
  4. proovi talle võimaldada võimalikult lollikindel UI selle töö tegemiseks
      1. Süsteemiadministraatorite maailmas (Windowsi mäta otsast) on MS selle nimel nüüd aastaid vaeva näinud ja tasapisi hakkab asi mugavamaks minema. Kuigi palju on veel teha saab teatud tööülesandeid efektiivselt, lihtsalt ja turvaliselt edasi volitada.
          Allpool (ja järgnevalt) natuke näited, kuidas midagi töötab ja kuidas mitte.

          Active Directory ja objektid.

        AD objektide üle õiguste volitamine muutus saadavaks juba Windows 2000 ajal, kus toodi sisse Delegate Control Wizard.

        Delegate Control  viisard on “suhteliselt lollikindel” vahend lihtsamate operatsioonide edasivolitamiseks. Samas on Delegate Wizardil üks suur viga. Tehtud delegatsioone pole lihtne tagasi võtta – ehk – mõtle ennem hoolega kellele ja mida sa volitad.

        Siia näpunäide – loo endale AD’sse rolligrupp ja tee volitus grupile, siis on hiljem lihtne lisada või eemaldada reaalseid kasutaja kontosid, kes seda tegevust tegema peavad ning Sa ei pea uuesti delegeerimist tegema.

        Mida siis delgeerimisviisard teeb? Kogu tegevus seisneb tegelikult objekti (või omaduste) turbeomaduste muutmises. Ehk sedamasa saab teha ka Security saki kaudu, kui Sa tead mida Sa soovid teha. Security saki kaudu saab tegelikult ka vajadusel “unDelegate” teha, mis piiratud konteksti raames on isegi OK, kuid sealt kaudu terve metsa mingite objektide omaduste turbeomadusi näppida on väga kahtlane tegevus.

         

        Siia jutu juurde ka 1 praktiline näide.

        Olgu meil AD’s defineeritud mingi OU kuhu pannakse kõik tööjaamad, mis domeeni ühinevad. Iga harukontori jaoks on omaette OU, kus siis kohalikud administraatorid majandavad – lingivad GPO’sid, kustutavad kontosid jne. Selleks peaksid saidiadminid liigutama arvutid oma OU’sse.

        Delegeerimisviisardiga on lihtne anda saidiadminidele Create/Delete Computer objects õigusi, KUID selleks et tõsta (move) arvuti konto ühest OU’st teise sellest siiski ei piisa. Liigutamisel antakse üldine Access Denied veateade…

        WHAT!!

        Sügavamal uurimisel tuleb välja, et miinimum nõuded MOVE operatsiooniks on:

        1. lähte OU’s(konteineris) objekti kustamisõigus (tehtud);
        2. siht OU’s (konteineris) objekti loomisõigus (tehtud);
        3. WRITE PPROPERTY objekti kohta, mida liigutatakse ( ehk siis näiteks arvuti objekti liigutades, muutub tema  CN ja RDN. Ja seda Delegate Control ei teinud.

        Võimalik, et ühel ilusal päeval on ka move operatsiooni lihtne delgeerimisviisardiga paika sättida.

         

        Keywords: active directory, move object, access denied.

        Advertisements

        Application error DC logis.

        Mingi hetk hakkas üks domeenkontroller väga tihedalt kirjutama Application logisse veateateid numbriga 1000 – Application Error.

        image

        Kõikide vigade puhul tekitatakse ka Windows Error Reporting andmekogum ja saadetakse see kenasti kogumisserverisse ära.

        Sündmuste sisu  sama ja pikemalt valgust põhjusele ei anna.

        image

        Käsitisi käivitatud vbs’id töötavad nagu peab. Midagi teadlikult muudetud süsteemis pole ja teistes DC’des mis on täpselt sama konfiga  viga ei esine.

        Sellise sagedusega kutsub cscripti seal masinas välja SCOM Agent ja täidetakse erinevaid monitooringu ülesandeid.

        Kaevates natuke WER tõmmisfailides võis näha milliste vbs skriptide jooksutamisel viga tekib. Samad skriptid jällegi käsitsi käivitades töötavad kenasti.

        Ühe võimalusena kahtlustasin agendi Healt State kaustade riknemist – seda võib mõnikord ette tulla. Lahendus on lihtne – seiska System Center Management teenus, kustuta (või nimeta ümber ) C:\Program Files\System Center Operations Manager 2007\Health Service State ja stardi teenus uuesti. Vajalikud kaustad tekitatakse, uuesti laetakse  halduspaketid ja alustatakse tühja baasiga.

        Paraku see ei aidanud.

        Edasine tuulamine debugeriga  tõmmisfailides midagi peale teadmise, et toimub STACK_OVERFLOW Scripting hostis targemaks ei teinud.

        PIkapeale tekis tunne et agendi endaga on midagi laht, kuigi andmed tulid ja kõik nagu töötas.  Agendile uninstall. Install ja voilaa- ei mingeid vigu enam. Nüüd tuleks veel silmapeal hoida et korduma ei hakkaks.

        Case unexplained- resolved, but not explained.

         

        Igasuguste DMP failide lugemiseks on väga hea vahend Debuging Tool’ komplekti kuuluv WinDbg. Selle kasutamisest on nii Technetis ( a la http://support.microsoft.com/kb/315263)  kui mujal päris palju häid juhendeid. Väga põhjalikult , kuid arusaadavalt ja mõnusate näidetega tutvustab igasuguseid debugimisvahendeid ja abiriistu oma blogis Mark – http://blogs.technet.com/b/markrussinovich/

         

        Keywords: Appcrash, SCOM 2007,  Windows 2008 DC, Event 1000, cscript.exe, ntdll.dll

        SCOM 2007 R2 CU 4

        On tegelikult juba jupp aega olemas (2011 jaanuari lõpust), kuid teatud probleemide tõttu pole ma sellest siiani pikemalt kirjutanud.

        Kuigi CU parandab mitu olulist viga (Agentide seiskumine, Diagram View jõudlus, Alert view poolik töötamine) on seal suuremat sorti häda agendi käitumisel. Nimelt Windows 2008 ja 2008 R2 puhul võib tekkida olukord, kus agendi uuendamisel tehakse restarte ka mitte Scom teenustele. Selle tagajärjel võib mõni teenus ootamatult maha käia  ja see pole kindlasti oodatud käitumine.

        Teadmusbaasi artiklis 2449679 on sellest ja teistest probleemidest räägitud.

        CU 4 on tegelikult vajalik siis, kui see ravib mõne sinu keskkonnas eksisteeriva probleemi või kui soovid SCOM’I andmebaasi kolida SQL 2008 R2 peale (see on nüüd toetatud). Sel juhul peaksid keelama agentide uuendamise või sättima agentide uuenduse  serverite hooldusaegadele.

        Kui vähegi võimalik – oota hoopis CU 5  saabumist, kuid hetkel pole selle ilmumisaega avalikustatud.

        Väga põhjalikult kirjutab sellest probleemist ja üldse kogu uuenduse käigust  Kevin Holman oma blogis.

         

         

        Keywords: SCOM 2007 R2 CU4 , Update

        BitLocker VM’is Windows 2008 R2 ja Hyper-V näitel.

        Tjah, aeg ajalt on vaja ehitada igasuguseid põnevaid asju. Nagu näiteks installeerida Windows 2008 R2 server, mis on BitLockeriga kaitstud. Asja teeb keerukamas asjaolu, et SEE server peab olema virtuaalserver ja töötama MS Windows Hyper-V peal.

        Mure 1

        Hyper-V ei toeta TPM’i VM’ide  jaoks. Hyper-V saab küll ise TPM’iga suhelda ja seega on võimalik krüptida nii Hyper-V masina süsteemiketas kui andmekettad, kuid TPM ei paista kuidagi välja VM sees ja seega paneb BitLockeri sisselülitamine (peale vastava omaduse installeerimist) süüdimatult tala.

        Lahendus. Muuda kohaliku poliitika (local policy) või grupipoliitika (group policy) abil nõue TPM kiibi järgi. See protsess on kenasti kirjeldatud Technetis ja ei hakka siin teooriat pikalt üle kordama. Lühidalt – Computer Configuration> Administrative Templates>Windows Components>BitLocker Drive Encryption> Operating System Drives> Require additional authentication on startup.

        image

         

        Sellega oled Sa poolel teel, sest mängu astub järgmine faktor.

        Mure 2

        Puudulik USB tugi. BitLocker salvestab oma käivitusvõtme (startup key) (Kui TPM’i pole siis on seda vaja) USB-pulgale. MS Hyper-V USB tugi jätab paraku selle koha pealt soovida. Ehk, BitLockeri sisselülitamisel kuvatakse küll esmalt julgustav teade,

        image

        kuid käivitusvõtme salvestuskohtade valikus haigutab suur tühjus.

         

        Lahendus: Esmalt tuleb VM’i külge haakida virtuaalne flopi  ja see vormindada (format). Kas siis Hyper-V manageri või SC Virtual Machine manageri abil. Hoolitse et su VM ei prooviks sealt buutida. BitLocker tuleb sisse lülitada käsurealt.

        manage-bde –on c: –rp –sk A:

        kus C: on süsteemiketta tähis. –rp genereerib numbrilise “parooli” ise ja –sk (käivitusvõti, ehk startup key) salvestatakse flopile a:

        Voilaa. Väljastatakse natuke infot, mida on kaval kuskil TURVALISES kohas hoida ja soovitatakse restartida.

        Peale restarti algabki C: krüptimine, mille kohta saad infot  süsteemisalvest või käsurealt

        manage-bde –status

        käsuga. Protection status muutub ON’iks  100% juures.

        image

         

        NB! Siin juures on üks asjaolu, millele KINDLASTI tuleb tähelepanu pöörata!.

        Kui Sa kasutad oma Hyper-V serveris vhd’de juures dünaamilist suurust (ehk vhd võtab ruumi nii palju kui seal reaalselt andmeid on, mitte kogu eraldatud ruum), siis krüptimise käigus suurendatakse vhd eraldatud ruumi lõpuni. Ehk 20 GB Dynamic Disk , mis ennem võis olla umbes 8 GB suurusega suurendatakse 20 GB’ni välja.

         

        Testiks võid vastva flopi oma VM’ilt küljest võtta ja VM’i restartimisel avaneb julgustva pilt.

        image

         

        Kokkuvõte

         

        Jah, antud lahendus POLE sama kindel kui riistvaralise TPM kiibiga BitLocker. Erilist tähelepanu peab ilmutama flopiketta tõmmisfaili käsitlemisel (säilitamine, kopeerimine). Ühe  variandina tuleks kõne alla vfd hoidmine mingil optilisel meedial ja sealt selle lugemine, sest teatavasti saab kustutatud faile imekergesti taastada. Kui VM’i buutida vaja pole, võib selle optilise ketta šeifi panna ja välja otsida buutimis hetkeks.

        Teatud erinevused (BL partitsiooni käsitsi tegemise vajadus, manage-bde käivitamine) esinevad Windows 2008/Vista puhul.

         

        Keywords: Hyper-V BitLocker VM USB