Konfiguration von Windows-Hosts via Domänencontroller

Konfiguration von Windows-Hosts über einen Domänencontroller für den Windows-Host-Datacollector

Diese Anleitung beschreibt die Konfiguration von Windows-Hosts für den Ingram Micro COCKPIT-Datacollector für Windows-Hosts in einer Windows-Domäne. Die Hosts werden via GPO und Powershell-Script konfiguriert.

1. Ingram Micro COCKPIT-User in der Domäne anlegen

In „Active Directory Users and Computers“ wird ein Ingram Micro COCKPIT-User angelegt, z.B. cockpit_svc.

Anleitung: Active Directory Users and Computers > Domainname > Users > Rechtsklick > New > User

Abbildung: Ingram Micro COCKPIT-User anlegen

2. OrganizationalUnit (OU) in der Domäne anlegen

In „Active Directory Users and Computers“ wird eine OU für die Hosts angelegt, die ins Ingram Micro COCKPIT eingebunden werden sollen. Alternativ kann diese Anleitung auf bereits existierende OUs angewandt werden.

Hinweis: Die Standard-Starter-GPOs für die Firewall müssen aktiviert sein, bevor die OU angelegt wird. Das ist notwendig, um die GPOs, die in einem späteren Schritt erstellt werden, auf die Hosts anzuwenden. Dazu wird in „Group Policy Management“ in der entsprechenden Domain der Container „Starter GPOs“ geöffnet. Sollten im rechten Fenster unter „Content“ keine GPOs sichtbar sein und stattdessen eine Schaltfläche mit der Aufschrift „Create Starter GPOs Folder“, muss diese Schaltfläche angeklickt werden.
Anleitung: Anleitung: Active Directory Users and Computers > Domainname > Rechtsklick > New > Organizational Unit

Abbildung: Ingram Micro COCKPIT-OU anlegen

Nach dem Anlegen erscheint die OU unter der Domäne.

Abbildung: Ingram Micro COCKPIT-OU anlegen

3. Ingram Micro COCKPIT-Usergroup in der OU anlegen

In „Active Directory Users and Computers“ wird eine Ingram Micro COCKPIT-Usergroup angelegt.

Anleitung: Rechtsklick auf die in Schritt zwei angelegte OU (oder die stattdessen genutzte OU) > New > Group. Die Standardeinstellungen (Group scope: Global, Group type: Security) können beibehalten werden.

Abbildung: Ingram Micro COCKPIT-Usergroup anlegen

4. Ingram Micro COCKPIT-User der Ingram Micro COCKPIT-Usergroup hinzufügen

Der in Schritt 1 angelegte Ingram Micro COCKPIT-User wird der Ingram Micro COCKPIT-Usergroup hinzugefügt.

Anleitung: Rechtsklick auf Ingram Micro COCKPIT-Usergroup > Properties > Reiter Members > Add

Abbildung: Ingram Micro COCKPIT-User der Ingram Micro COCKPIT-Usergroup zuordnen

Ergebnis:

Abbildung: Ingram Micro COCKPIT-User der Ingram Micro COCKPIT-Usergroup zuordnen

5. Ingram Micro COCKPIT-Computergroup in der OU anlegen

Analog zu Schritt 3 wird in „Active Directory Users and Computers“ eine Ingram Micro COCKPIT-Computergroup angelegt.

Anleitung: Rechtsklick auf die in Schritt zwei angelegte OU (oder die stattdessen genutzte OU) > New > Group. Die Standardeinstellungen (Group scope: Global, Group type: Security) können beibehalten werden.

Abbildung: Ingram Micro COCKPIT-ComputerGroup anlegen

6. Hosts der Ingram Micro COCKPIT-Computergroup hinzufügen

Die ins Ingram Micro COCKPIT zu integrierenden Hosts werden der in Schritt 5 angelegten Computergroup hinzugefügt.

Anleitung: Rechtsklick auf Ingram Micro COCKPIT-Computergroup > Properties > Reiter Members > Add (Im Menü „Select Users, Contacts, Computers, Service Accounts or Groups“ kann es nötig sein, auf die Schaltfläche „Object Types“ zu klicken und einen Haken bei „Computers“ zu setzen.)

Abbildung: Hosts der Ingram Micro COCKPIT-ComputerGroup hinzufügen

Abbildung: Hosts der Ingram Micro COCKPIT-ComputerGroup hinzufügen

Abbildung: Hosts der Ingram Micro COCKPIT-ComputerGroup hinzufügen

7. Hosts zur OU hinzufügen

Die ins Ingram Micro COCKPIT zu integrierenden Hosts werden der Ingram Micro COCKPIT-OU (oder den stattdessen genutzten OUs) hinzugefügt.

Anleitung: Active Directory Users and Computers > Domainname > Computers: Die Einträge können entweder per Drag & Drop in die OU geschoben werden oder über Rechtsklick auf die Einträge: Move > OU auswählen > OK

Abbildung: Hosts zur Ingram Micro COCKPIT-OU hinzufügen

8. Ingram Micro COCKPIT-Group Policy Object (GPO) anlegen

Der Großteil der für den Betrieb des Windows-Datacollectors notwendigen Einstellungen wird über dieses GPO konfiguriert.

Anleitung: In „Group Policy Management“ ist bereits ein Eintrag für die Ingram Micro COCKPIT-OU vorhanden.

Abbildung:Ingram Micro COCKPIT-GPO anlegen

Rechtsklick auf diese OU > „Create a GPO in this domain and link it there“ und beliebigen Namen wählen.

Abbildung:Ingram Micro COCKPIT-GPO anlegen

Anschließend wird das GPO konfiguriert. Dazu Rechtsklick auf das GPO > Edit. Der Group Policy Management Editor öffnet sich.

9. WinRM-Service konfigurieren

Anleitung: Im Group Policy Management Editor: Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Remote Management (WinRM) > WinRM Service > Allow remote server management through WinRM > Rechtsklick > Edit: Enabled einstellen und unter Options (unten) die Felder „IPv4 filter“ und „IPv6 filter“ ausfüllen. Hier sollte mindestens die IP der VM eingetragen werden, auf der der das Windows-Datacollector Management läuft. Ein Stern schaltet alle IPs frei (nicht empfehlenswert). Außerdem können IP-Bereiche konfiguriert werden.

In der Powershell muss jetzt noch folgender Befehl mit Administratorenrechten ausgeführt werden, damit die Datencollectoren das Zielsystem erreichen:

Enable-PSRemoting
winrm set winrm/config/service/Auth '@{Basic="true"}'
winrm set winrm/config/service '@{AllowUnencrypted="true"}'

Hinweis: Sollen mehrere einzelne IPs konfiguriert werden, so müssen sie als IP-Bereiche eingetragen werden, z.B. 10.0.0.23-10.0.0.23,10.0.0.42-10.0.0.42. Eine kommaseparierte Konkatenierung einzelner IPs, z.B. 10.0.0.23,10.0.0.42, wird von Microsoft in diesem Dialog nicht unterstützt.

Abbildung: Konfiguration WinRM für Ingram Micro COCKPIT-GPO

10. WinRM-Service einschalten

Anleitung: Im Group Policy Management Editor: Computer Configuration > Policies > Windows Settings > Security Settings > System Services > Windows Remote Management (WS-Management): Policy aktivieren und Service Startup Mode auf Automatic stellen:

Abbildung: Aktivierung von WinRM für Ingram Micro COCKPIT-GPO

11. Firewall-Konfiguration für Windows Remote Management

Anleitung: Im Group Policy Management Editor: Computer Configuration > Policies > Windows Settings > Security Settings > Windows Firewall with Advanced Security > Inbound Rules: Hier wird die von Microsoft vordefinierte Regel für Windows Remote Management angewandt.

Abbildung: WinRM-Firewallkonfiguration für Ingram Micro COCKPIT-GPO

Abbildung: WinRM-Firewallkonfiguration Ingram Micro COCKPIT-GPO

12. Rechtevergabe für Ingram Micro COCKPIT-User

Anleitung: Damit der User ohne Administrationsrechten das Zielsystem über WinRM erreichen kann, müssen ihm noch dafür notwendige Rechte gegeben werden. Hierfür müssen in der Powershell folgende Befehle ausgeführt werden:

winrm configSDDL default

In dem neuen Fenster müssen dem User die Rechte „Lesen (Get, Enumerate, Subscribe)“ (Engl. „Read (Get, Enumerate, Subscribe)“) und „Ausführen (Invoke)“ (Engl. „Execute (Invoke)“) gegeben werden. Nach dem Schließen des Fensters über „OK“ werden die Rechte aktualisiert und der Benutzer hat Zugriff über WinRM.

Abbildung: WinRM-Userrechte Ingram Micro COCKPIT-GPO

Damit der User die Informationen ohne Administratorrechte abrufen kann, müssen zusätzlich noch folgende Schritte ausgeführt werden: PS Command auf dem Target ausführen (benötigt Administratorrechte):

wmimgmt.msc

Im neuen Fenster "Properties" von "WMI Control" öffnen und Tab "Security" auswählen. Hier "Root" auswählen und den Button "Security" klicken. Den User hinzufügen und über Advanced folgende Einstellungen für den User (User auswählen und Button Edit klicken) vornehmen: - Applies to: This namespace and subnamespaces - Execute Methods - Enable Account - Remote Enable

Abbildung: Userrechte 1 Ingram Micro COCKPIT-GPO Abbildung: Userrechte 2 Ingram Micro COCKPIT-GPO Abbildung: Userrechte 3 Ingram Micro COCKPIT-GPO Abbildung: Userrechte 4 Ingram Micro COCKPIT-GPO

13. Zielsysteme der Ingram Micro COCKPIT-GPO definieren

Anleitung: In „Group Policy Management“ die Ingram Micro COCKPIT-GPO auswählen > Reiter „Scope“ > „Add“ unter „Security Filtering“ (unten) > Die in Schritt 5 angelegte Ingram Micro COCKPIT-Computergroup eintragen:

Abbildung: GPO-Konfiguration für Ingram Micro COCKPIT-Computergroup

14. Anwendung der Group Policy auf alle ins Ingram Micro COCKPIT einzubindenden Hosts

Anleitung: In „Group Policy Management“ Rechtsklick auf die Ingram Micro COCKPIT-OU > Group Policy Update

Abbildung: GPO-Konfiguration für Ingram Micro COCKPIT-Computergroup

15. WMI-Konfiguration für alle ins Ingram Micro COCKPIT einzubindenden Hosts

WMI muss auf den Zielsystemen für lesende Remotezugriffe (Berechtigungen Account Enable und Remote enable) konfiguriert werden. Diese Berechtigung wird per Powershell-Script gesetzt. Das Script muss auf dem Domänencontroller mit Domänenadmin-Rechten ausgeführt werden.

Anleitung::

  1. Powershell-Script hier downloaden und entpacken. Es sind zwei Scripte enthalten.
  2. In einem Powershell-Terminal in den Ordner mit den Scripten navigieren
  3. ad.ps1 ausführen (Beispiel: .\ad.ps1 CockpitUserGroup CockpitComputerGroup MYDOMAIN)
    Parameter (in dieser Reihenfolge):
    1. Die in Schritt 3 erstellte Ingram Micro COCKPIT-Usergroup
    2. Die in Schritt 5 erstellte Ingram Micro COCKPIT-Computergroup
    3. Die Domain

Host nachträglich hinzufügen

Die folgenden Schritte finden ausnahmslos auf dem ActiveDirectory-Domänencontroller statt.

Voraussetzung:

Der neue Host ist in der Domäne

1. Active Directory Users and Computers

Zustand

  • Der neue Host befindet sich nach dem Hinzufügen in die Domäne in „Active Directory Users and Computers“ -> -> „Computers“
  • Ingram Micro COCKPIT-Computergroup-ComputerGroup und Ingram Micro COCKPIT-Computergroup-UserGroup sind eingerichtet

Schritte

  1. Verschieben (Drag & Drop) des Computers in die bestehende Ingram Micro COCKPIT-OU (alternativ: Hinzufügen in der OU über „new“ -> „Computer“)

Abbildung: Neuer Host

Abbildung: Verschieben des neuen Hosts in die Ingram Micro COCKPIT-Computergroup

  1. In der Ingram Micro COCKPIT-OU die Ingram Micro COCKPIT-ComputerGroup auswählen -> Properties -> Members -> Add: Den neuen Computer hinzufügen. Möglicherweise muss unter „Object Types“ der Typ „Computer“ markiert werden, damit der Computer gefunden wird.

Abbildung: Properties der Ingram Micro COCKPIT-Computergroup auswählen

Abbildung: Host zu Ingram Micro COCKPIT-Computergroup hinzufügen

Abbildung: ObjectType auswählen

Abbildung: Neuen Host für Ingram Micro COCKPIT-Computergroup auswählen

Abbildung: Neuen Host der Ingram Micro COCKPIT-Computergroup hinzugefügt

2. GPO auf neuen Host anwenden

Anleitung: Group Policy Management Kontextmenü auf „Group Policy Management“ -> „Forest: Domäne“ -> „Domains“ -> Domäne -> Ingram Micro COCKPIT-Unit: „Group Policy Update“

Abbildung: GPO-update auf allen Hosts durchführen

Abbildung: GPO-update auf allen Hosts durchgeführt

3. WMI-Konfiguration des neuen Hosts

Anleitung: Ad-wmi-Script aus dem Tutorial unter Powershell mit den im Tutorial beschriebenen Argumenten ausführen.

Hinweis

Es kann dauern, bis die alle GPO-Einstellungen auf den Hosts aktiv werden. Erzwingen kann man die Aktualisierung dadurch, dass man "gpupdate /force" auf den Hosts durchführt.

Nach oben