I paid for vista and never installed it.. They should qualify all people who never used their vista key or went back to XP after using the Visa key for a few months. How many Businesses are running Vista right now? Face it, XP still has the largest market share. Free upgrades would give it a large chuck of the market share out of the gate, increasing development support, and would give Businesses a huge incentive to upgrade.
Microsoft would make money when Businesses still running XP decide to upgrade to Windows 7. However, in order to work, they would have to offer the free upgrade only to people who purchased Vista before the announcement of free upgrade so you couldn't buy Vista as a cheaper method of getting 7.
TindytimHow many Businesses are running Vista right now? I'm not saying I necessarily disagree with you but from a business standpoint there is no legitimate argument for giving away the software.
They are either going to purchase Windows 7 licenses and upgrade their business or they are not. In the eyes of Microsoft every business currently running XP or Vista is a potential buyer. Join our site today to ask your question. This site is completely free -- paid for by advertisers and donations. If you're not already familiar with forums, watch our Welcome Guide to get started.
Join over , other people just like you! Forums New posts Search forums. What's new New posts Unanswered threads Latest activity. Members Current visitors. Log in Sign up. Search titles only. Search Advanced search…. New posts. Search forums. Log in. Sign up. Computer problem?
Tech Support Guy is completely free -- paid for by advertisers and donations. Click here to join today! JavaScript is disabled. For a better experience, please enable JavaScript in your browser before proceeding.
Help, i will like to upgrade my window vista 32 bits to window 7 HP laptop. Thread starter wakss3 Start date Nov 15, Fljande lista av projekt r vanligt frekommande vid infrande och eller migrering till MSKD. Observera att beroenden kan finnas mellan projekten, till exempel vill man antagligen genomfra AD-migrering, klientmigrering och servermigrering innan man genomfr Domain Isolation fr hela miljn. Under infrandet av en ny plattform som genomfrs med std av projekten ovan kan fljande lista utgra ngra av de centrala och viktiga aktiviteterna som man br hantera.
I linje med Microsofts IO-modell finns det kring gande av en IT-milj ett antal definierade steg att ta sikte p eller mellanlanda vid. Traditionellt har man talat kring att skapa ett ekosystem som inte bara rent tekniskt stdjer de infrda lsningarna, man har ven skapat strukturerade processer som verkat fr att upprtthlla lsningen under hela dess livslngd; processer och rutiner som beskriver vad som skall ske vid en given hndelse eller under ett givet hndelsefrlopp.
En standardiserad lsning r mnga gnger bra ur ett IT-tekniskt perspektiv. Rutiner kan, om de fljs och upprtthlls, ses som en garant fr att miljn ser likadan ut imorgon som den gjorde igr.
Genom att fortstta rra sig t hger i IO-modellen mot en rationaliserad milj kan IT inte bara upprtthlla funktionerna utan ven frbttra kvaliteten kring tjnsterna och samtidigt minska kostnaderna fr sina tjnsteleveranser. Tar man sikte p en dynamisk milj s blir uppgiften fr IT-organisationen, bde fr sin egen verksamhet och fr kundernas, att utforma IT-tjnster fr befintliga och framtida behov.
Verktyget r framtaget och upprtthlls av Microsoft och det har en god frstelse fr tekniken som anvnds. ITIL innehller beskrivningar av hur olika IT-relaterade uppgifter kan utfras och stter formatet fr vad som skall gras snarare n att ge svar p hur arbetet skall utfras. Information Technology Service Management ITSM , har som vergripande ml just att hjlpa till att utforma IT-tjnster efter de befintliga och framtida behoven i verksamheten och hos kunderna, att frbttra kvaliteten p de levererade IT-tjnsterna och att minska kostnaderna fr tjnsteleveranser.
Vanligtvis delas Service Management upp i Service Support som fokuserar p den dagliga driften och stdet fr IT-tjnsterna och Service Delivery som omfattar den lngsiktiga planeringen, uppfljningen och frbttringen av IT-tjnsterna. MOF och ITIL stlls mnga gnger felaktigt mot varandra som konkurrenter men de r egentligen tv begrepp eller funktioner som levererar mot samma sak. De bda ramverken baseras p ett processdrivet arbetsstt som r skalbart fr att passa svl stora som mindre organisationer.
Utkomsten av de bda synstten r att stadkomma och upprtthlla hgkvalitativa och innovativa IT-tjnster utformade efter verksamhetens behov. Tjnstelivscykeln vilar p en bas av IT-styrning, riskhantering, organisation och frndringsledning. Ur ett Service Delivery-perspektiv anvnds bland annat termer som Service Level Management, Capacity Management och Availability Management fr att reglera leveransniver.
Som std fr leveransen anvnds bland annat basprocesser fr Incident-, Problem- och Frndrings-hantering. Som std fr denna utveckling anvnds en gemensam basinfrastruktur tillsammans med definierade processer fr Service Support och Service Delivery.
Som exempel kan nmnas OLA och SLAer dr bde leverantr och konsument av en tjnst kan se och mta kvalitn p de tjnster som levereras. System Center-verktygen r framtagna just fr att samla in information om miljn och ge std till IT fr att effektivt kunna ga den. Fr att kunna flytta sin organisation frn vnster till hger i IO-modellen nmns ofta de "tre P:na": Personer, Processer och Produkter.
Personer med rtt kunskap och frstelse, Processer som r framtagna och avpassade fr verksamheten och Produkter i form av verktyg och teknik som stdjer organisationens verksamhet. Kort kan man sga att om det rder ordning och reda genom frutsgbara processer och tydliga beslutsfattare kan en verksamhet sktas och fljas upp snabbt och effektivt. Allt detta gr att gandekostnaderna kan snkas samtidigt som tillgnglighet, stabilitet och skerheten teknisk s vl som leveransskerhet kan ka.
Framfr allt ger det att IT kan rra sig frn att ha varit en reaktiv och. Detta dokument mnar inte frdjupa sig i dessa standarder men vi rekommenderar vidarelsning inom omrdet.
I bda fallen adresseras anvndarnas frfrgningar och driftsstrningar av IT tjnster. De vergripande aktiviteterna bestr av:. Registrering och klassificering av inkommande frfrgningar Felskning och lsande av incidenter, via workarounds Skerstlla god kundservice. De tre frsta niver terfinns oftast inom organisationen om inte miljn r outsourcad. Till dessa niver och roller knyts administrativa behrigheter i systemet.
Dessa niver r ett antal utgngsfrslag som kan behva anpassas fr gllande organisation. Information om Microsoft utbildningar och certifieringar hittar ni hr. CompTIA r en oberoende industristandard fr certifieringar fr supporttekniker och lmpar sig vl fr driftspersonal. Modellen gr i korthet ut p att hjlpa fretag att utvrdera sin infrastruktur fr att bli mer dynamisk.
MSKD strvar i alla avseenden att hja vra kunders mognad frn en enkel niv dr mycket tid och kostnad lggs p att underhlla IT till att istllet skapa en effektiv IT milj med en hg grad av automatisering och hg kostnadseffektivitet. IO modellen definierar fyra niver av systemmognad i ett fretag, samt vad som krvs fr att ta steget frn nulget till ett snabbare och mer flexibelt IT-system.
Modellen r produktoberoende och har som vergripande syfte att frdla kundens IT milj med hnsyn till befintliga produkter och lsningar. Basic: Lg grad av automatisering, individuell desktop-anpassning.
Standardized: Styrd infrastruktur med visst mtt av automatisering. Rationalized: Styrd och befst infrastruktur. Dynamic: Fullt automatiserad systemvervakning, dynamiskt resursutnyttjande. En av de viktigaste principerna fr en IT-organisation br vara att strva efter standardisering inom plattformen. Detta r ett av de tre krnvrdena i denna version av MSKD och det gller ven fr processer och organisationen. En av huvudvinsterna med MSKD r att konsolidera eller reducera antalet produkter, kompetenser och leverantrer.
Strsta ekonomiska vinsten med denna konsolidering ligger inte ndvndigtvis i inkp av hrd- och mjukvara, utan vanligtvis i tgngen av resurser fr att utvrdera, designa, implementera, drifta och inte minst integrera de utvalda produkter och lsningarna. Detta gr hand i. Genom att centralisera tekniken blir det ocks enklare fr driftsorganisationen att samlas centralt och utva administration och drift frn en eller frn frre platser n tidigare. Mlet fr en Service Desk r att vara en central kontaktpunkt fr anvndarna d de vill ha hjlp att hantera Incidenter och Frfrgningar och samtidigt vara ett grnssnitt fr andra processer under IT Service Management organisationen exempelvis Change, Problem, Configuration med flera.
Namnndringen frn Helpdesk till Service Desk syftar p den utvidgade rollen ovan som denna funktion ftt, ofta blir den en Single Point of Contact SPOC fr organisationens basleveranser och med det stlls hga krav p frmga, upptrdande och instllning. En vl fungerande Service Desk r central fr att kunna etablera en effektiv Service Management. Fr att gra detta anvnds produkterna i System Center och data och statistik som finns i dessa system fr att kunna presentera faktisk statistik och mtetal.
IT-strategi r ett begrepp fr att skerstlla och utveckla verksamhet med IT eller som relaterar till IKT-frgor informations- och kommunikationsteknik. Omfattningen r informations- och informationsteknologi fr organisation som helhet eller avgrnsade delar med olika utvecklingsomrden. Vanligtvis omfattas vision, policy och handlingsplan samt konkreta eller mtbara ml. IT-strategier blev frst populr i affrsverksamheter och stora IT-organisationer och vxte fram p talet d den frn brjan tillmpades p IT-verksamhet och deras IT-projekt och IT-leveranser.
Mlet med IT-strategin r en effektiviserad verksamhetsstyrning, snabbare mjligheter eller tydligare frdelar fr organisationen. Exempel p resultat r kad effektivitet eller strkt verlevnads- och framgngsfaktor med std av IT. Ett annat exempel r IT-styrning. IT-chefen ger ansvar fr de dagliga IToperationerna och leveranserna. Varje kommun br definiera en IT-strategi som kar effektiviteten av IT inom kommunen. Det finns tv generella stt p vilken en kommun kan vlj att hantera sin IT drift, antingen ger man drift och personal sjlv eller ocks stller man krav p en intern eller extern leverantr.
AD medger ven single sign on fr vriga komponenter i referensdesignen svl som fr mnga tredjepartslsningar som implementeras p infrastrukturen. Fr att frenkla design- och migreringsprocessen fr en kommun har nedanstende referensdesign tagits fram. Fr en kommun kan en AD-design allts se ut som beskriv i nedanstende avsnitt.
Denna design leder till separerade infrastrukturer och i AD-fallet till varsin skog forest fr administration och skola. Man har helt enkelt ltit ntverksdesignen bli en designparameter fr vrig infrastruktur. MSKD har frn brjan fokuserat p att tillhandahlla en skerhetsdesign som tillmtesgr de funktionalitets- och tkomstbehov som finns.
Frn och med MSKD 2. Enligt Creating a Forest Design r det viktigaste designkriteriet om organisationen kan ha frtroende fr de som ger och administrerar AD-skogen.
En typisk svensk kommun har idag en IT-avdelning och en IT-chef fr hela kommunens verksamhet. Detta blir d ett tydligt bevis p att hela organisationen kan ha frtroende fr en gemensam administration och drmed ett gemensamt AD. Ett annat designkriterium r att man har fungerande ntverkskommunikation. Det finns dock ingen anledning att begrnsa mjligheten till fysisk ntverkskommunikation inom en kommun som anvnder MSKDs skerhetslsning. En MSKD 4. Eftersom en kommun av naturliga skl r geografiskt begrnsad och ingen kommun r strre n att den ryms i en domn, finns det heller ingen anledning att designa fler domner n skogar.
Det finns inte heller lngre ngon anledning att designa AD skogar med en empty root domain eftersom det numera gr att dpa om en domn. NetBIOS-namnet mste ven vara ledigt p hela ntverket. DNS-suffixet br skyddas genom att vara registrerat p Internet. Anvnd aldrig single-label, dvs DNSnamn utan suffix. Se nedanstende tabell fr exempel p domnnamn byt ut "kommun" i nedanstende exempel mot kommunens faktiska namn, men bara med bokstverna a-z.
DS i nedanstende exempel skall uttydas "Domain Services". DNS kommun-ds. Om man redan har en tidigare version av Active Directory installerat behver man uppgradera eller migrera. Uppgradering r enkelt, migrering r ett mer omfattande projekt. Har man flera skogar eller domner idag och vill konsolidera till en skog och en domn behver alla anvndare, datorer och resurser migreras in till en och samma domn.
Kostnaden fr detta migreringsprojekt fr d vgas mot vinsterna med en konsoliderad infrastruktur. Det gr naturligtvis att bygga samma lsning och funktionalitet med flera AD-skogar och -domner som sammankopplas med "trusts". Det blir dock mer komplext och dyrare att bygga, ga och drifta denna infrastruktur.
Det finns allts ingen anledning till att frska beskriva organisationen utver hur den administreras IT-mssigt med hjlp av OU-strukturen. Syftet hr r t ex att kunna begrnsa elevers rttigheter att gra uppslag om personal p administrationen och att kunna lgga upp separata adresslistor.
Under IT-administration hamnar objekt som inte lmpar sig att delegera rttigheter till fr annan personal n IT-personal. Till exempel, enheten kallad Rttighetsgrupper innehller grupper som delger rttigheter i AD:t.
Om denna enhet lg under, exempelvis, enheten fr Administration, skulle en delegerad rttighet att hantera gruppmedlemskap under Administration innebra att anvndaren kan ge sig sjlv mer delegerade rttigheter i AD:t. Detsamma gller Grupper fr ntverkstkomst, Administrationskonton, Tjnstekonton och Servrar. Rttigheter till objekt under dessa enheter skall inte delegeras till ngon annan del i organisationen n IT-personalen. Hr hamnar alltid Administration fr administrativ personal inom kommunen och Skola fr pedagogisk personal och elever inom kommunen.
Under respektive organisationsenhet finns en grundstruktur bestende av huvudenheter fr Klientdatorer, Grupper och Anvndare. Dessa huvudenheter mjliggr enkel delegation av rttigheter och GPOlnkning.
Under Klientdatorer placeras alla klienter fr gllande organisation. Vill man dela in datorerna i ytterligare organisationsenheter kan man gra s, men det r att fredra att kategorisera datorerna genom attribut eller gruppmedlemskap fr exempelvis GPO-filtrering. Under Grupper placeras gruppobjekt fr gllande organisation. Hr finns en enhet fr Distributionsgrupper och en fr Skerhetsgrupper. Tanken med denna indelning r att frenkla rttighetsdelegeringen d, exempelvis, en administratr som hanterar distributionslistor inte ndvndigtvis skall hantera Skerhetsgrupper.
Under Anvndare placeras anvndarkonton fr gllande organisation. Indelningen hr r valfri, men som frslag kan enheten under Skola delas in i enheterna Elev och Personal. Ytterligare enheter kan skapas under dessa, men det r att fredra att lta attribut eller gruppmedlemskap kategorisera anvndarkonton fr exempelvis GPO-filtrering. Site-topologin anvnds fr: ADDS domnkontrollantsreplikering.
Fr att klienter skall hitta nrmsta domnkontrollant. Fr att klienter skall hitta nrmsta DFS-replika. Fr att klienter skall hitta nrmsta tillhandahllare av olika slags tjnster som anvnder ADDS fr att publicera dessa tjnster.
Fr att hitta nrmsta skrivare. GPO-tilldelning kan ske styrt med site-tillhrighet. Applikationstilldelning kan i vissa lsningar ske site-styrt. Det r allts ovanstende behov som styr vilka siter som behvs. Normalt sett har man inom en kommun centraliserat alla servrar till en datahall och behver fr AD-replikering och klienters servernrhet bara definiera en site.
Behovet att definiera flera siter uppstr oftast nr de anvnds fr att styra skrivartilldelning. Men har vi bara en central serverhall s r ju detta enkelt. Best practice r dock att man alltid har minst tv domnkontrollanter av tillgnglighetsskl. Alla domnkontrollanter skall ocks vara "Global Catalog".
Det br ocks nmnas att det r kritiskt med fysisk skerhet fr domnkontrollanter. Kan ngon som vill attackera ntverket, f fysisk tkomst till en domnkontrollant har den personen mjlighet att f fullstndig tkomst till hela miljn.
Drfr skall alla domnkontrollanter placeras i en sker och skyddad datahall. Skulle behovet finnas att placera ut en domnkontrollant i en fysiskt mindre skyddad milj finns nu read-only domain controller RODC som alternativ. I MSKD version 3 fanns ett utfrligt avsnitt om namnstandard och responsen frn vra kunder och partners har varit tydligt att det r bra att ha denna med.
Drfr s medfljer en ngot uppdaterad namnstandard som bilaga till detta dokument, se Appendix 2 Namnstandard. Fr att standardisera men ocks gra det mjligt att maskinellt genomfra olika saker i sin milj som t. Det finns naturligtvis fler namn att standardisera p i en lsning fr att f verblickbarhet och enkelhet bl.
Frsk samla denna namnstandard i centralt underhllna dokument. Det r viktigare att man har central kontroll n att namnstandarden r helt perfekt. Det r synd d det r teknologi som r vldigt anvndbar bde fr att hja skerheten och fr mjliggra interoperabilitet. Till exempel kan certifikat bde begras och utfrdas helt automatiskt till bde maskiner och anvndare. Det enda som krvs r att rttigheter stts p det nskade viset.
Anledningen till att PKI ofta verdramatiseras r att i stora applikationer dr PKI r den brande identitets- och skerhetslsningen blir lsningen ofta bde komplex och dyr, med stora hierarkier och extrema skerhetsprocedurer. I lsningen anvnds certifikat inom mnga omrden fr att realisera funktionalitet ssom: 8. I mnga fall kan man vlja mellan PKI och andra metoder. Fr till exempel skra trdlsa ntverk kan man anvnda antingen certifikat med Bda r skra metoder som anvnder SSL fr att bevisa att man knner till en hemlighet som dock aldrig kommuniceras.
Sjlvfallet r dock kvaliteten p en privat nyckel PKI hgre n ett anvndarlsenord. Kerberos r i allmnhet att fredra eftersom allt som behvs redan finns p plats och anvnds i och med ADDS. PKI blir dock ofta ett krav om man har behov av att stdja och ta med heterogena miljer i lsningen. Fr externa kommunikationsbehov fredrar man oftast "kpta certifikat" frn en extern och allmnt betrodd certifikatutfrdare.
Som CA Certificate Authority anvnds i denna lsning Windows Server R2 Enterprise Edition fr att fullt ut kunna anvnda inbyggd funktionalitet fr automatisk certifikatshantering. Windows Server Standard Edition har frvisso en ADCS-roll, men den r starkt begrnsad d den inte stder version 2 och 3 certifikat-mallar och drmed varken automatiskt utfrdande av anvndarcertifikat eller de senaste kryptoalgoritmerna. Observera att vi ven kan hantera Windows Phone.
Att kunna utfrda certifikat kan hjlpa till att hja skerhetsnivn p flera niver. Fr viss funktionalitet r den t o m ndvndig. Eftersom en certifikatserver med std fr automatisk utrullning av certifikat ingr i Windows Server R2 Enterprise Edition r detta dock inte speciellt komplicerat.
CA-strukturen br enligt best practice byggas i en 2-lagerslsning vilket innebr att en CA Root br installeras som lager samt ett lager 2 med AD-integrerade utgivande CA. Fr effektiv drift och underhll av lsningen rekommenderar vi en lsning med Forefront Identity Manager som kan hantera certifikatprocesserna. Det finns kommuner i Sverige. Varje kommun har tminstone ett tal olika verksamheter som var och en behver olika verksamhetsanpassade IT-system.
Dessa frutsttningar gr att dessa ITsystem r synnerligen lmpade att levereras som s k molntjnster. Som molntjnster istllet fr lokalt installerade system, kommer de att kunna utvecklas, driftas och gas betydligt effektivare, skrare och billigare. En nackdel med molntjnster har lnge varit att man frlorar mjligheten till single sign on. Med ADFS och de standardprotokoll som den implementerar fr vi nu mjlighet att anvnda det lokala AD:t ven fr inloggning till molntjnster.
Fr en anvndare som har ntverkskontakt med AD, anvnds dennes kerberosbiljett. Fr en anvndare som inte har kontakt med AD, kommer denne att f autentisera sig med sitt AD-konto och lsenord vid anslutningen till tjnsten. Fr att en molntjnst skall kunna anvnda sig av ADFS, behver den vara utvecklad med Windows Identity Framework eller stdja de protokoll som anvnds. Cloud Computing. Genom att utnyttja redan befintliga system inom kommunen kan flden fr att skapa, underhlla och avsluta konton och medlemskap i grupper.
Detta avsnitt handlar om hur man kan hantera klldata frn exempelvis personal- och elevsystem fr att skapa en automatiserad process inom omrdet.
I mnga kommuner hanteras fortfarande anvndarkonton och gruppmedlemskap i AD genom manuella eller halvmanuella flden och kommunen har inte satt upp en tydlig policy fr identitetshanteringen.
Nr det gller personal r det oftast upp till nrmast verordnad chef att bestlla anvndarkonton fr nyanstllda. Detta brukar inte vara ett stort problem d det r uppenbart att en nyanstlld mste f ett anvndarkonto fr att kunna anvnda datorer kopplade till kommunens IT-milj. Kvaliteten p de lmnade uppgifterna kan inte verifieras, t ex kan en anstlld ha ett smeknamn som anvnds och detta kommer sedan inte stmma verens uppgifter i andra system som t ex anvnder folkbokfringsuppgifter.
Vid underhll av konton, t ex att en anstlld byter av avdelning r det inte lika sjlvklart att ITavdelningen verhuvudtaget fr denna uppgift. Oftast blir det uppenbart d den anstllde inte kommer t gemensamma mappar p den nya avdelningen och IT-avdelningen mste i all hast flytta in den anstllde i AD-grupper utan att ha ngon bestllning frn ansvarig chef.
I mnga fall mste tillgngligheten prioriteras och det ndvndiga arbetet med att ta bort tkomsten fr den anstllde till den gamla avdelningens gemensamma mappar riskerar att glmmas bort. Nr den anstllde slutar finns det stor risk att anvndarkontot verhuvudtaget inte avslutas p grund av att nrmaste chef glmmer bort att meddela IT-avdelningen att detta sker och den fre detta anstllde kommer fortfarande ha access till den IT-milj.
Gemensamt i samtliga scenarior ovan r att de riktiga uppgifterna finns att hmta i kommunens personalsystem. Dr hanteras start p anstllning, frndringar i anstllning samt avslut av anstllning. Fr elever i kommunens skolor finns motsvarande uppgifter hanterade i ett elevsystem. Genom att skapa en automatiserad process mellan personalsystem och AD samt elevsystem och AD vinner man flera saker ssom: Rtt information om anvndarna Tydlig ansvarsfrdelning Mindre tid behver gnas t kontofrgor Rtt behrighet och tkomst fr anvndarna 8.
Nr man startar att anvnda automatiska processer fr identitetshanteringen startar man lmpligtvis med att utse ett klldatasystem fr personal och elever som r de stora anvndargrupperna i en kommun. ILM innehller bde fldesmotor och metadatabas. De frsta automatiska processerna fldar attribut frn kllsystem till metadatabas till AD, men kan i en fortsatt utveckling hantera fler klldatasystem som t ex telefonisystem fr attribut rrande telefonnummer och anknytningsnummer.
De automatiska processerna kan vara envgseller tvvgs-riktade och t ex flda attributinformation mellan kllsystem. Kommunen br stta upp en policy fr identitetshanteringen dr exempelvis standarder fr namnsttning, e-postadresser, lsenord faststlls. Denna policy anvnds vid uppsttning av de automatiska processerna. Vilka attribut i anvndarkontot i AD som ska fldas med automatik frn klldatasystemet faststlls. Detta innebr ocks att ansvaret fr innehll och kvalitet p dessa attribut flyttas frn IT-avdelning till frvaltare av personal- och skolsystem.
Attribut som fldas med automatik mellan kllsystem och AD hanteras alltid i kllsystemet. En kompetent produkt med Microsoft ILM som bas ska kunna i ett startskede kunna: Skapa, underhlla och avsluta anvndarkonton i AD Skapa, underhlla och avsluta e-postkonto i Exchange eller Live edu Skapa, underhlla och avsluta grupper i AD Skapa, underhlla och avsluta medlemskap i grupper i AD 8.
Forefront Identity Manager mjliggr fr IT-organisationer att minska kostnader fr att administrera och hantera identiteter och rttighetsprocesser genom att ur en vy presentera anvndarnas identitet i kommunen samt att automatisera vanligt frekommande rutinuppgifter. Forefront Identity Manager stdjer bl. Mjligheterna till utveckling av ett system fr identitets- och accesshantering r stora.
Ett exempel p utveckling fr en kommun kan vara att flda in folkbokfringsuppgifter frn Skatteverket via tjnsten Navet. Dessa uppgifter kan sedan sttas upp som fldesprocesser mot kommunens samtliga system som har behov av detta.
I denna roll har tekniken revolutionerat samarbetet bde internt och externt fr svl fretag som individer. I den tidiga IT-utvecklingen sgs ntverkstkomst som den grundlggande skerhetsmekanismen fysisk skerhetsmodell. Idag tack vare Internet, bredband och trdlsa ntverk frvntar sig alla full ntverkstkomst verallt och alltid. Vi behver inte fysiskt ka till en arbetsplats med ett lokalt ntverk fr att kunna kommunicera och anvnda de IT-tjnster vi behver i vr verksamhet.
Samtidigt som tkomsten har expanderat, har naturligtvis exponeringen och skerhetsbehovet kat. Vi behver allts en ny skerhetsmodell som stder dagens kommunikationsbehov. Vi kallar denna fr en logisk skerhetsmodell.
I den logiska skerhetsmodellen r den grundlggande skerhetsmekanismen autentisering av maskiner, tjnster och anvndare. I princip spelar det ingen roll var eller p vilket ntverk du r inkopplad. Observera dock att den logiska skerhetsmodellens eventuella risker hanteras med skerhet p djupet.
Ntverksskerhet och inte minst klientens hygien med mera kan spela in och vara en faktor i auktoriseringen av tkomst till system och tjnster. Verksamheterna har setts som s tskilda att inget kommunikationsbehov har funnits.
Tvrtom har riskerna med att exponera knsliga verksamhetssystem p samma ntverk som nyfikna och djupt datakunniga elever vervgt vid ntverksdesignen.
Klienter mste sorteras upp i olika virtuella ntverk VLAN. Med flera fysiska ntverk adm, edu , trdlst och fjrrtkomst med mera blir ntverks- och skerhetsdesignen komplex och kostsam att bygga och underhlla. Tekniken r nu mogen fr att konsolidera de tv fysiska ntverken till ett och istllet applicera en logisk skerhetsmodell p ntverksdesignen. Med SDI kan en anvndares autentisering och auktorisering styra brandvggsreglerna fr varje enskild inblandad dator.
Istllet fr en central brandvgg blir varje enskild dator del av en logisk distribuerad brandvgg. Denna logiska distribuerade brandvgg konfigureras dock nd centralt med hjlp av Active Directory Domain Services och Group Policy. Lgger vi sedan till DirectAccess har vi frlngt skerhetslsningen hela vgen ut till Internet. Det spelar allts ingen roll om anvndaren r lokal administratr eller inte, det avgrande r om klienten r medlem i AD.
Om anvndaren r lokal administratr eller inte har dock andra konsekvenser ssom applikationshantering mm som vi terkommer till i avsnittet om klienthantering. Typiskt r alla PC:s som organisationen ger hanterade klienter, medan privata klienter r ohanterade.
Fr att f kommunicera med isolerade resurser krvs autentisering. Autentisering sker normalt med Kerberos vilket d frutstter AD-medlemsskap, men kan ocks stadkommas med PKI vilket r flexiblare och mjliggr att en mer heterogen milj kan delta i SDI.
Dynamisk IT. Elever, lrare och administrativ personal kommer t de system och tjnster de har behrighet till, oberoende av fysisk ntverksanslutning. Det spelar ingen roll om man ansluter till ntverket frn kommunhuset, skolan, trdlst eller utifrn Internet man kommer fortfarande t just de lsningar man borde.
Isolering och hygien. Alla klienter r medlemmar i domnen och hanterade skerhetsmssigt av IT-avdelningen. Lokala brandvggen, skyddet mot skadlig kod och uppdateringar mm r styrt av IT-avdelningen och kommunens skerhetspolicy.
Vi kan anvnda en gemensam infrastruktur fr skola och administration. Vi kan dessutom distribuera ntverksskerhet frn centrala brandvggar till enskilda servrar och klienter. Antalet ingende komponenter och komplexiteten minskar. Vissa resurser skall vara nnu mer skyddade och server-isoleras. Detta innebr att det inte rcker med framgngsrik autentisering, det krvs ven auktorisering klienten eller anvndaren r med i speciell grupp NAG.
Ett exempel kan vara administrationens servrar som skall skyddas frn elever. Dessa versioner tillter ocks att ntverkstkomst kan styras p anvndarniv och inte bara klientniv. Det blir d naturligt att designa ntverket med en klientzon. Dremot r det bde rimligt och frdelaktigt att designa flera serverntverkszoner. Att gruppera servrar i zoner efter tkomstklass frenklar konfigurationen av SDI. TMG TS. Speciella zoner kan anvndas bde fr extra isolering, men ven fr undantagshantering dr SDI inte kan anvndas.
Det finns ven mjlighet att anvnda IPsec fr kryptering. Kryptering drar extra processorkraft och br bara anvndas dr det r motiverat. DirectAccess fungerar som ett konstant automatiskt VPN. Finns behov av kommunikation med IPv4-baserade servrar t ex Windows Server och tidigare mste bryggningsteknik anvndas.
En icke hanterad klient r inte medlem i AD:t. IT-avdelningen har ingen kontroll p denna klient. Skerhetsmssigt behver en sdan klient hanteras med strre frsiktighet. Detta gller oberoende av om klienten ansluter utifrn Internet eller lokalt p kommunens ntverk.
I skolan talas om bring your own PC som r ett typexempel p en icke hanterad klient. Mnga skolor infr ocks koncept dr varje elev fr en egen brbar dator. Dessa br vara hanterade klienter, men kan i en del fall ven vara icke hanterade klienter.
Nr en icke hanterad klient ansluts till det lokala ntverk ges den endast tkomst till grundlggande ntverksinfrastruktur som medger anslutning till AD fr att bli hanterad klient om man s nskar samt tkomst till Internet. En icke hanterad klient fr drefter tkomst till lmpliga system och tjnster via de mekanismer som anvnds fr Internetpublicering av interna system och tjnster. UAG har en mycket rikare funktionalitet och kan publicera i princip vilken applikation som helst medan TMG r begrnsad till i huvudsak webbapplikationer.
UAG har dessutom en tkomstportal och klientdetektering fr att avgra klientens skerhetsniv och ven ta tkomstbeslut baserat p detta. Fr hanterade klienter kan man anvnda DirectAccess istllet fr Internetpublicering. Det skraste sttet att tillhandahlla trdls ntverksfunktionalitet r att koppla de trdlsa accesspunkterna till Active Directory via Radius-protokollet som implementeras av "Network Policy and Access Services" NPS. Detta tillter d anvndare och klienter som r med i AD att anvnda det trdlsa ntverket.
Andra skerhetsmetoder som bygger p accesspunktens egna skerhetsmetoder ssom delat lsenord, anvndarlistor med lsenord eller MAC-adresser r inte att rekommendera bde p grund av smre skerhet, men lika mycket p grund av stora utmaningar i hanteringen av dessa skerhetsmetoder. Ett mjligt alternativ r att ha ett oskyddat trdlst ntverk som inte krver ngon autentisering fr trdls ntverkstkomst utan istllet krver autentisering p nsta tkomstniv.
En anvndare eller klient som inte har ett AD-konto, kommer d varken t lokala maskiner eller Internet. En standardklient r en frutsttning fr att effektivt kunna leverera en konsekvent anvndarupplevelse. Men en standardklient r framfrallt en frutsttning fr att lpande driva ned kostnaden fr att supporta anvndarna genom att styra investeringarna i klientinstallationen mot just en kontinuerligt frbttrad standardklient. I Windows 7-projektet har utvecklarna fokuserat p krnvrdena fr ett operativsystem ssom: stabilitet, prestanda, skerhet och kompatibilitet.
Windows 7 r precis som Windows XP en evolutionr version som bygger p de revolutionra framstegen i den frra versionen. Windows 7 r ett primrt tema i MSKD 4. Software Assurance vilket bl. Med denna teknik kan virtuella applikationer som skyddas av en egen bubbla distribueras via streaming till klienten och konflikter med andra applikationer kan undvikas.
Tekniken gr det mjligt att distribuera virtuella klienter Virtual PC till datorer som kan hanterad och konfigureras central. Anvnds framfrallt fr att ge tillgng till applikationer som inte r kompatibla med Windows 7. Mjlighet till granulr kontroll genom change management, rollbasering och rollback. Verktyg fr att reparera PCs, terstllning och felskning ven om de inte gr att starta. Agentls rapportering av problem och systemkrascher frn PC:s fr analys och uppfljning med centrala verktyg.
Verktyg fr att samla in information om applikationer som finns installerade i miljn. Solution Accelerator som innehller verktyg och riktlinjer fr hur man skter distribution av Windows-servrar och -klienter. Traditionellt s r mnga bra p att hantera distribution av anvndardatorer men serverar brukar hanteras manuellt och vi vill ppeka att det finns stora vinster i att ocks automatisera distribution av servrar.
Nr det gller distribution av operativsystem, nya som befintliga, med MDT finns tv olika lsningar: 1. Lite Touch. Zero Touch. Lite touch kan anvndas utan System Center Configuration Manager. Vi kan rekommendera Lite touch-lsningen fr organisationer med upp till datorer, drefter rekommenderar vi att man implementerar Zero touch fr bsta effektivitet och smidighet.
Zero touch krver System Center Configuration Manager och r den lsning vi rekommenderar fr strre organisationer. Fr programdistribution anvnder vi Microsoft System Center Configuration Manager fr alla typer av applikationer och paket, enda undantaget r MED-V packet som idag har en egen mekanism fr distribution av virtuella PC:s.
Med System Center kontrollerar vi anvndargrupper, datorer och enheter samt tillfr sekvenser och flden hur installation ska g till. Applikationer kan idag paketeras p olika stt och i olika kombinationer som gr att man kan f en flexibel och effektiv applikationsmilj.
Som alternativ till traditionell paketering av applikationer i form av installationsfiler s r virtuell paketering det nya sttet att gra denna process bde effektivera, stabilare och mer ekonomisk. Vi rekommenderar fr vra kommuner som bygger sin plattform p Microsofts servrar och klienter att man anvnder och utgr frn System Center Configuration Manager som motor fr distribution.
Detta resulterar i minskade konflikter och minskat behov av testning som i sin tur gr det mjligt att snabbare f skaffa och distribuera applikationer till kommunens anstllda och personal. Fljande bild visar hur arkitekturen fr App-V kan se ut. Fr Microsoft Best Practices kring virtuell applikationspaketering se fljande lnk. Information om hur man importerar virtuella applikationer till Configuration Manager finns hr.
Fljande bild visar en MED-V arkitektur. Paketbibliotek Innehller alla VPC:er p en IIS-server med versions- och rttighetshantering och effektiva styrmekanismer fr att hantera distribution av nya paket och uppdateringar fr att minimera bandbreddsutnyttjandet och ge bra anvndarupplevelser via Trim Transfer teknik.
Management console Adminstratrens verktyg fr att hantera management-server och paketbibliotek. Sessionshantering Start, stop och lsning av VPC.
D vi underskt vilka typer av datorer som finns ute i kommunerna s varierar detta stort. Drfr vill vi hr ta upp ett antal scenarion. Detta kan bero p flera saker som t. Rekommendationen r att alla anvndare ska ha rollen User och. Fr att hantera applikationer som krver ngot annat br man drfr vervga alternativa stt att distribuera dem: Skriva om applikationen eller skaffa en version med korrekt std Paketera applikationen virtuellt eller via Remote Desktop Service.
Stationra och gda av skolan r kanske den enklaste typen medan brbara blir svrare att underhlla d dessa inte alltid finns i ntet fr t. Hr kan funktioner som DirectAccess gra det mjligt att ven frn IT n en dator som befinner sig utanfr ntverket fr skerhetsuppdateringar och konfiguration.
Vilka krav kan vi stlla p dessa olika typer? Datorer krver ett kontinuerligt underhll och med tiden kommer frndringar att behva genomfras, kanske ominstalleras eller uppdateras vilket frndrar dess utseende och beteende. Det finns frsts flera stt att se p denna frga. Det bsta vore frsts att alla datorer vore hanterade av kommunens IT och stdjer de instllningar och skerhet som man enats om; uppdateringar, antivirus, brandvggar etc. Det finns dock ett behov av att ven erbjuda s.
Hr kan man frsts vlja olika lsning men tv alternativ skulle kunna vara: 1.
0コメント