PierGiorgio Malusardi
Evangelist IT Pro
http://blogs.technet.com/pgmalusardi
Introduzione
PowerShell v2
Tool di supporto
Novità nelle Group Policy
PowerShell e GPO
AppLocker
[email protected]
Aumento
dell’automazione per
ridurre i costi
Riduzione delle chiamate
all’help desk
Controllo amministrativo
flessibile
Motore di scripting di
livello enterprise
Ricchi tool di supporto
Scenari avanzati per le
Group Policy
Gestione delle
Group Policy via script
Troubleshooting
personalizzabile
Group Policy
Preferences
[email protected]
[email protected]
Prima di Windows 7
Windows Eventing integrato con Task Scheduler per dare automazione basata sugli
eventi
Non c’è automazione built-in basata su script
Gli amministratori devono distribuire PowerShell o usare altri linguaggi di scripting
per automatizzare operazioni comuni
Miglioramenti in Windows 7
Editor grafico e debugger
Facile da estendere
Scrittura di CMDLET in PowerShell oltre che in C#
Gestione enterprise facilitata
Remotizzazione 1:1 (interattiva) e 1:molti
PowerShell può rispondere all’accadere di specifici eventi di sistema
[email protected]
[email protected]
$j = start-job -scriptblock {get-process}
Ps-Command1
Ps-Command2
..
receive-job -job $j
Handles NPM(K) PM(K)
WS(K) VM(M) CPU(s) Id
ProcessName
------- ------ --------- ----- ------ -- ----------710
13 2204
4360 49 1,78 400 csrss
748
30 2912
18284 223 61,78 480 csrss
176
27 59064 173316 359 1.535,33 3228 dwm
1934 110 311240 160512 686 895,63 3852 explorer
[email protected]
Stato iniziale del sistema
Avvio della transazione
Comandi powershell
Rollback della transazione
Commit della transazione
Nuovo stato del sistema
[email protected]
Registry
WMI
service
Config WMI
plugin plugin
WSMan
client dll
EventLog
service
SEL
Event
plugin plugin
WSMan
prov dll
Client
App
Cmdline
tool
WSMan
Automation dll
WSMan
WSMan
client dll
prov dll
WSMan
WinHTTP
plugin
WSMan service
HTTP.sys
3° parte
Altri componenti di gestione
WinRM
Windows Platform
[email protected]
PowerShell v.2
[email protected]
[email protected]
Windows Vista ha introdotto il Troubleshooting per indirizzare problemi comuni
Connessioni di rete
Protezione dei dischi
Analisi della memoria
Windows 7 implementa una piattaforma di trobleshooting estensibile
Diagnostica in-box basata su script PowerShell
Tool per la creazione e impacchettamento di pacchetti di troubleshooting
Pacchetti di troubleshooting addizionali disponibili a domanda da Microsoft,
gestibili via Group Policy, distribuibili via web service
Esecuzione di azione di troubleshooting da remoto
[email protected]
Il troubleshooting è eseguito da Troubleshooting
Pack
I Troubleshooting Pack sono programmi che
Determinano se i corretti componenti sono
disponibili
Verificano che la configurazione sia corretta
Impostano la configurazione per lo stato desiderato
dall’utente
[email protected]
I Troubleshooting Pack predefiniti sono ricercabili
Dall’Action Center – Categorie, viste ordinate, search
Dall’help – Le voci dell’help indicano i troubleshooting pack
Un wizard con GUI standard e consistente e un definito insieme di
azioni
Il Troubleshooting può essere iniziato da utente o applicazione
Utenti individuano un problema -> avviano il troubleshooting
Un troubleshooting programmato rileva un problema e avvisa l’utente di
avviare le opportune azioni di ricerca e risoluzione dell’errore
Un’applicazione avverte un problema e avvisa l’utente di avviare il
troubleshooting
Un utente consultando l’help vede il link ad un troubleshooter e lo avvia
[email protected]
Gestibile
Firmati da certificati da cui si può risalire ad una trusted root
Via GP è possibile limitare quali pack sono usabili in base al produttore
Metodi di esecuzione multipli
Avviati in modo interattivo da command line
Eseguiti in modo silente con un answer file
Eseguiti localmente o remotamente
Facili da distribuire
Possono essere pubblicati su un sito web e scaricati per l’esecuzione
Possono essere conservati su uno share di rete
[email protected]
Troubleshooting
[email protected]
[email protected]
Già presenti in Windows Vista -> estese in Windows 7
Configurazione di opzioni di applicazioni e OS che non sono
“GP-enabled”
Forniscono flessibilità ad amministratori e utenti
Riducono il numero di logon script
Nuovi scenari
Power Management
Task programmati
Modificabili dall’utente
Sovrascritte dalle GPO in caso di conflitti
[email protected]
Gli utenti non possono
modificare le impostazioni
Gli utenti possono
modificarle
Precedenza più elevata
Non è necessario che le
impostazioni siano policyaware
Specifiche locazioni di
registry
Impostazioni rimosse alla
rimozione della GPO
[email protected]
Le impostazioni
permangono dopo la
rimozione della GP
Scripting delle GPO con PowerShell
Gestione automatizzata delle GP
Configurazione di impostazione GPO basate sul registry
Vantaggi
Gestione delle GP più ricca
Riduzione dei tempi e delle possibilità di errore
Consente di avere script di logon/startup più veloci ed efficienti
[email protected]
Le Software Restriction Policy in Windows 7 diventano:
AppLocker
AppLocker sostituisce SRP per Windows 7 e Windows
Server 2008 R2
SRP restano disponibili per versioni precedenti di OS
AppLocker
semplifica il controllo delle applicazioni
in esecuzione e riduce lo sforzo di gestione dei client
[email protected]
Microsoft
Confidential
Generazione automatica delle regole -> Wizard
Audit -> test delle policy
Cmdlets per PowerShell
Policy solo per utenti o gruppi
Messaggi personalizzabili
Regole
Publisher, Path, File hash
Eseguibili, Installer, script
Imposizione a livello di Kernel
I file non inclusi esplicitamente nelle regole non sono eseguiti
[email protected]
Esempio d’uso: dopo il deploy di una policy in modalità audit per un
periodo di test si vogliono analizzare i log e sistemare le policy di
conseguenza
Recupero
e analisi
dei log
Creazione
di una
nuova
policy
Analisi dei
file che
saranno
eseguiti
Impostazio
ne della
policy di
dominio
Get-AppLocker
FileInformation
NewAppLocker
Policy
TestAppLocker
Policy
SetAppLocker
Policy
[email protected]
Novità nelle Group Policy
[email protected]
TechNet: Windows 7 troubleshooting and support
http://technet.microsoft.com/en-us/library/dd349347.aspx
MSDN: Compatibility – Windows 7 troubleshooting
http://msdn.microsoft.com/en-us/library/dd371716(VS.85).aspx
Crash course on authoring Windows 7 troubleshooting pack
http://www.withinwindows.com/2009/01/12/crash-course-on-authoring-windows-7troubleshooting-packs/
TechNet: Group Policy Preferences
http://technet.microsoft.com/en-us/library/dd367850.aspx
GP Policy vs. GP Preferences
http://blogs.technet.com/grouppolicy/archive/2008/03/04/gp-policy-vs-preference-vs-gppreferences.aspx
Edge: Group Policy Preferences
http://edge.technet.com/Media/Group-Policy-Preferences/
http://edge.technet.com/Media/Group-Policy-Preferences-Screencast/
PowerShell e GPO
http://blogs.technet.com/grouppolicy/archive/2009/01/14/introduction-to-windowspowershell-cmdlets-in-windows-7.aspx
TechNet: Windows PowerShell cmdlets for Group Policy
http://technet.microsoft.com/en-us/library/dd367856.aspx
Lo script Start-Demo.ps1
http://blogs.msdn.com/powershell/archive/2007/03/06/improved-start-demo-script.aspx
[email protected]
© 2009 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only.
MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.
[email protected]
[email protected]
Microsoft Confidential
[email protected]
Microsoft Confidential
[email protected]
Microsoft Confidential
Deployment semplificato con la modalità audit-only
Eccezioni
Condizioni sull’utente nelle regole
Messaggi di errore personalizzabili
[email protected]
Microsoft Confidential