Hopp til hovedinnhold
NHN
Gå tilbake til Medlemsherding

Herding med GPO

Viktig! Les denne delen før du gjør noen endringer!

Alle endringer med GPOer forutsetter at man har kunnskap om GPOer og erfaring med GPOer. Dersom man ikke føler seg trygg på å arbeide med GPOer bør man søke råd og ikke prøve seg fram på egenhånd.

Vi anbefaler en spesifikk fremgangsmåte for sikker innføring av herding med GPOer.
Forklaringer står på slutten av denne artikkelen og vi anbefaler å lese dem før man starter.

Teknisk beskrivelse må følges nøyaktig!

Sett opp herdingsGPOer:

Åpne GPMC (Group Policy Management) og gå til Forest FQDN > Domains > FQDN > Group Policy Objects

Opprett følgende 6 nye GPOer:

Herding DC
Herding DC Pilot
Herding Server
Herding Server Pilot
Herding Klient
Herding Klient Pilot

Åpne ADUC (Active Directory Users and Computers) og gå til OU for administrative sikkerhetsgrupper.

Opprett følgende 2 nye AD grupper av typen Global Security:

Herding Server Pilot Servere
Herding Klient Pilot Klienter

Åpne GPMC (Group Policy Management) og gå til Forest FQDN > Domains > FQDN > Group Policy Objects

Velg Pilot GPO på venste side og Scope på høyre.

Nå skal Security Filtering endres på Pilot GPOene

Herding Server Pilot:

Verifiser at du er på Security Filtering
Slett Authenticated Users
Trykk OK på advarsel om "Group Policy requires each computer account to have permisions to read...."
Add gruppe: Herding Server Pilot Servere
Gå til Delegation tab. Add Authenticated Users og sett Permissions til Read

Herding Klient Pilot:

Verifiser at du er på Security Filtering
Slett Authenticated Users
Trykk OK på advarsel om "Group Policy requires each computer account to have permisions to read...."
Add gruppe: Herding Klient Pilot Klienter
Gå til Delegation tab. Add Authenticated Users og sett Permissions til Read

Åpne GPMC (Group Policy Management) og gå til Forest FQDN > Domains > FQDN > Domain Controllers

Høyreklikk på Domain Controllers og velg: Link an Existing GPO
Velg GPO "Herding DC" og "Herding DC Pilot"

Gå til OU hvor dere har Servere

Høyreklikk på OUen og velg: Link an Existing GPO
Velg GPO "Herding Servere" og "Herding Servere Pilot"
Dersom det er flere GPOer med servere, gjenta for alle.

Gå til OU hvor dere har Klienter

Høyreklikk på OUen og velg: Link an Existing GPO
Velg GPO "Herding Klienter" og "Herding Klienter Pilot"
Dersom det er flere GPOer med klienter, gjenta for alle.

Innføring av ny herding for Klienter

Man legger hver ny herding inn i Pilot GPOen og innfører den på stadig flere klienter ved å legge dem inn i Pilot gruppen. Når man er trygg på herdingen, så setter man innstillingene i den endelige GPOen som har alle herdingene. Etterpå må man fjerne innstillingene i Pilot GPO og fjerne medlemmene i Pilot gruppen, slik at de er klare til neste runde.

Rull ut herding

Legg inn herdingen som beskrevet i Basisherding artikkelen i GPOen: Herding Klient Pilot
Legg inn 1 PC i gruppen Herding Klient Pilot Klienter
Vent ca 10 timer til innstillingen blir aktivert, eller restart PCen.
Hvis alt er ok, legg inn flere PCer i gruppen. (Vent eller restart)
Fortsett til alle klienter er lagt inn i gruppen
Legg nå inn herdingsinnstillingen i GPOen: Herding Klient

Rydd opp pilot og gjør klar til neste

Fjern alle PCer fra gruppen Herding Klient Pilot Klienter
Fjern herding innstillingen i GPOen: Herding Klient Pilot
Alt er nå klart til å innføre neste Basisherding for Klientene

Innføring av ny herding for Servere

Man legger hver ny herding inn i Pilot GPOen og innfører den på stadig flere servere ved å legge dem inn i Pilot gruppen. Når man er trygg på herdingen, så setter man innstillingene i den endelige GPOen som har alle herdingene. Etterpå må man rydde i Pilot GPO og Pilot gruppen, slik at de er klare til neste runde.

Rull ut herding

Legg inn herdingen som beskrevet i Basisherding artikkelen i GPOen: Herding Server Pilot
Legg inn 1 server i gruppen Herding Server Pilot Servere
Vent ca 10 timer til innstillingen blir aktivert, restart serveren eller kjør følgende kommando på serveren: klist -li 0x3e7 purge
Hvis alt er ok, legg inn flere servere i gruppen. (Vent, restart eller klist)
Fortsett til alle servere er lagt inn i gruppen
Legg nå inn herdingsinnstillingen i GPOen: Herding Server

Rydd opp pilot og gjør klar til neste

Fjern alle servere fra gruppenHerding Server Pilot Servere
Fjern herding innstillingen fra GPOen: Herding Server Pilot
Alt er nå klart til å innføre neste Basisherding for Servere

Innføring av ny herding for DCer

Rull ut herding

Legg inn herdingen som beskrevet i Basisherding artikkelen i GPOen:Herding DC Pilot
Vent ca 10 timer til innstillingen blir aktivert eller restart DCene etter tur.
Hvis alt er ok, legg inn herdingsinnstillingen i GPOen:Herding DC

Rydd opp pilot og gjør klar til neste

Fjern herdingsinnstillingen fra GPOen:Herding DC Pilot
Alt er nå klart til å innføre neste Basisherding for DCer

Forklaring

Dersom man allerede har en god måte å innføre GPOer på, så benytter man den som vanlig. Vi har laget denne metoden for de som ikke har noe fra før.

De tre GPOene som heter Herding DC/Server/Klient er de tre permanente GPOene for Herding som vil inneholde alle Herdinger. Vi benytter ikke Default GPOene, men oppretter egne for Herding slik at man enkelt kan få oversikt over Herdinger. Vi trenger alle tre siden det er forskjellige innstillinger på DC, Server og Klienter. Vi anbefaler å først innføre herdinger for klienter, deretter for servere og til slutt for DCer - såfremt ikke noe annet er spesifisert for herdingen.

Forklaring på de tre GPOene for herding:

Herding DC: Denne GPOen inneholder alle herdinger for domenekontrollerne.
Herding Server: Denne GPOen inneholder alle herdinger for serverne.
Herding Klient: Denne GPOen inneholder alle herdinger for klientene.

Forklaring på de tre Pilot GPOene:

Herding DC Pilot: Denne inneholder alltid kun den ene nye innstillingen man holder på å innføre.
Herding Server Pilot: Denne inneholder alltid kun den ene nye innstillingen man holder på å innføre.
Herding Klient Pilot: Denne inneholder alltid kun den ene nye innstillingen man holder på å innføre.

Forklaring på de 2 Pilot gruppene:

Herding Server Pilot Servere: Denne gruppen inneholder de serverne som får den innstillingen man holder på å innføre.

Herding Klient Pilot Klienter: Denne gruppen inneholder de klientene som får den innstillingen man holder på å innføre.

Poenget med modellen er å ha full kontroll under innføringen av hver enkelt endring. For hver enkelt ny herding man ønsker innført, så innførerer man den først for noen få PCer/Servere og utvider så til stadig flere. Først når alle har fått herdingen legger man herdingen inn i GPOen som for alle herdinger.

Faser

Legg den nye herdingen inn i Pilot GPOen
Legg 1 PC/Server inn i gruppen for Pilot GPOen
Fortsett å legge til PCer/servere til alle er lagt inn
Flytt herdingen fra Pilot GPO til Herdings GPOen.
Rydd opp i Pilot GPO og Pilot gruppe og start på neste herding.

Feilscenario for klienter:

En bruker tar kontakt og sier at noe ikke virker. Man tar PCen til denne brukeren ut av Pilot gruppen. Bruker restarter så PCen og alt virker for bruker. Man kan så feilsøke hvorfor bruker feilet.

Feilscenario for server:

Mange brukere tar kontakt og sier en applikasjon ikke virker. Man tar serveren til denne applikasjonen ut av Pilot gruppen. Etter restart av serveren fungerer applikasjonen igjen, og man kan feilsøke hvorfor akkurat denne applikasjonen ikke fungerte med akkurat denne herdingen.

Rollback GPO (Optional)

Ved å innføre egne RollBack GPOer er det mulig å ytterligere redusere konsekvensene dersom en herding gir feil. Dere kan ta en egen vurdering på om dere ønsker å innføre Rollback GPOer.

Dersom en ny herding gir problemer, så vil det fra brukerens synspunkt være kritisk å komme raskt tilbake igjen. Man kan på forhånd lage en Rollback GPOesom setter innstillingen tilbake, f.eks "Herding Klient Pilot Rollback", som har Security Filtering for en ny gruppe ved navn "Herding Klient Pilot Klienter Rollback".

Dersom det oppdages at det er problemer kan man da bare flytte alle klientene fra gruppen "Herding Klient Pilot Klienter" til gruppen "Herding Klient Pilot Klienter Rollback". Å ha en Rollback klar vil være nyttig for innstillinger som tatoveres i Windows, siden det ikke vil hjelpe å bare deaktivere slike GPOer.

Teknisk beskrivelse av Rollback

Opprett følgende 3 GPOer

Herding DC Pilot Rollback: Denne inneholder alltid kun den opprinnelige innstillingen for den ene nye settingen man holder på å innføre.
Herding Server Pilot Rollback: Denne inneholder alltid kun den opprinnelige innstillingen for den ene nye settingen man holder på å innføre.
Herding Klient Pilot Rollback: Denne inneholder alltid kun den opprinnelige innstillingen for den ene nye settingen man holder på å innføre.

Opprett følgende 2 grupper:

Herding Server Pilot Rollback: Denne inneholder alltid kun den opprinnelige innstillingen for den ene nye settingen man holder på å innføre.
Herding Klient Pilot Rollback: Denne inneholder alltid kun den opprinnelige innstillingen for den ene nye settingen man holder på å innføre.

Eksempel på ferdig oppsett

Fant du det du lette etter?
Ja Nei