Windows 8 … czas na zmiany
Download
1 / 38

Windows 8 … czas na zmiany - PowerPoint PPT Presentation


  • 133 Views
  • Uploaded on

Windows 8 … czas na zmiany. Tomasz Onyszko. Architekt. [email protected] Agenda. Zmiany. Wirtualizacja. Dynamic Access Control. Nowości i nowinki. Group Managed Services Accounts. Szybkie i łatwe wdrożenie. Recycle Bin UI. Wsparcie dla wirtualizacji. Powershell History.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Windows 8 … czas na zmiany' - hamish


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

Windows 8 … czas na zmiany

Tomasz Onyszko

Architekt

[email protected]


Agenda

Zmiany

Wirtualizacja

Dynamic Access Control



GroupManaged Services Accounts

Szybkie i łatwe wdrożenie

Recycle Bin UI

Wsparcie dla wirtualizacji

Powershell

History

Fine grainedpassword policy UI

PowershelCmdlets – Active Directory Replication & Topology

Active Directory BasedActivation

Kerberos

Zmiany w platformie Active Directory

Dynamic Access Control


Zmiany w UI: Recycle Bi

  • Recycle Bin

    • Wprowadzony w Windows 2008 R2

    • Brak UI

  • No i jest

  • Brak odtwarzania subtree


Zmiany w UI: FGPP

  • FGPP

    • Tak jak i w przypadku Recycle Bin


GroupManaged Service Account (gMSA)

  • Managed Services Accounts

    • Wprowadzone w Windows 2008 R2

    • Możliwość użycia w ramach jednej maszyny

  • Nieobsługiwane usługi

    • Klastry

    • Usługi IIS pracujące w NLB


GroupManaged Service Account (gMSA)

  • gMSA

    • Nowy typ security principal w Windows 8

    • Jedno gMSA mogą używać usługi w ramach różnych maszyn

  • Wymagany Windows 8 DC

    • Hasła generowane i zarządzane są przez GroupKey Distribution Service (GKDS)

    • Uwierzytelnienie względem dowolnego DC


PowershellHistory

  • Active Directory Administrative Center

    • Nowa konsola zarządzająca AD

    • Pod UI wszystkie polecenia wykonywane są poprzez Powershell


Active Directory BasedActivation

  • KMS

    • Prosta usługa

    • Brak uwierzytelnienia i autoryzacji: Connect == Aktywacja

  • AD BA

    • Aktywacja w oparciu o usługę katalogu

      • Tylko dostęp do LDAP

      • Brak dodatkowych usług: Dane do aktywacji w partycji konfiguracji

    • Tylko Windows 8

      • KMS i AD BA mogą pracować równocześnie


Kerberos

  • KerberosConstrainedDelegation (KCD)

    • Pozwala na delegację uwierzytelnienia do wybranych usług

    • Od Windows 2003 działa w ramach jednego lasu

  • Windows 8 KCD

    • Działa pomiędzy usługami w różnych lasach

      • Odwrócenie sytuacji – to back-end podejmuje decyzję które konta mogą wykonywać delegację

    • Front-end i Back-end wymagają przynajmniej 1 DC Windows 8


Kerberos FAST

  • Kerberos

    • Problemy z error spoofing (klient obniża wymagania lub przełącza się na inny protokół)

    • Ochrona danych wysyłanych w ramach pre-authentication

  • FlexibleAuthenticationSecureTunneling

    • Dodatkowe uwierzytelnienie kanału Klient <-> DC

    • Kanał uwierzytelniony poprzez Logon SessionKey konta komputera

      • Uwierzytelnienie konta komputera nadal jest niezabezpieczone FAST


Active Directory

  • RID exthausion

    • RID: identyfikator przydzielana tworzonemu obiektowi w AD

    • Ogólna pula RID 2^30

      • Każdy z DC otrzymuje pulę RID odnawianą wg potrzeb.

  • Problem:

    • Błąd może powodować wyczerpanie puli dostępnych RID

  • Windows 8

    • Eliminacja błędów związanych z RID Exthausion

    • Zwiększona ogólna pula RID – 2^31 (włączana opcjonalnie - sidCompatibilityVersion:1)

    • Mechanizmy logowania i monitorowania zużycia RID (event log)


Dodatkowo

  • LDAP

    • Rozszerzenie dostępnych kontrolek LDAP

    • Nowe mechanizmy logowania LDAP

  • Off-linedomainjoin spoza sieci

    • Możliwość przekazania danych dostępu Direct Access

    • Dodanie do domeny poprzez Internet

  • Opóźnione przebudowanie indeksów AD

  • Nowe atrybuty rootDSE


Wirtualizacja to Rewelacja …


... Chyba że mówimy o DC

  • Active Directory jest w pełni wspierane na VM

  • Wspierane ale:

    • Nie wspieramy snapshot i odtwarzania VM z DC

    • Kopiowania VHD z DC

    • Export / Import maszyn z DC

  • Problem: Administratorzy infrastruktury VM i domen nie są świadomi ograniczeń


W czym tkwi problem (raz jeszcze)

DC2

DC1

USN: 100

Tworzymy snapshot

Czas: T1

Czas: T2

+100 dodanych kont

ID: A

RID Pool: 500 - 1000

DC1(A)@USN = 200

USN:200

Sekwencja zdarzeń

Czas: T3

DC2 pobiera zmiany: USNs >100

ID: A

RID Pool:600 - 1000

DC1(A) @USN = 250

+150 dodatkownych kont

Czas: T4

USN:100

T1Odtworzony snapshot!

ID: A

RID Pool:500 - 1000

USN:250

DC2 pobiera zmiany: USNs >200

ID: A

RID Pool:650 - 1000


My nameis Clone, DC Clone

  • Windows 8 DC rapiddeployment

    • Wdrożenie nowych kontrolerów domeny poprzez operację export\import na poziomie hypervisora

  • Windows 8 rozpoznaje następujące operacje

    • Odtworzenie snapshot

    • Skopiowanie VM (Uwaga: Nie podmianę VHD !)

  • Jak

    • Zmiana VM generation ID podczas operacji hypervisora

    • Nowy DC tworzony jako klon podstawowego na podstawie danych konfiguracji


Windows 8

DC2

DC1

USN: 100

Tworzymy snapshot

Czas: T1

Czas: T2

+100 dodanych kont

ID: A |savedVMGID: G1 | VMGID: G1

DC1(A) @USN = 200

USN:200

Sekwencja zdarzeń

Czas: T3

ID: A |savedVMGID: G1 | VMGID: G1

DC2 pobiera zmiany: USNs >100

+150 nowych kont: wykryto zmianę VM generation ID : DEPLOY SAFEGUARDS

Czas: T4

DC1(A) @USN = 200

DC1(B) @USN = 250

USN:100

T1Odtworzony snapshot

ID: A |savedVMGID: G1 | VMGID:G2

… poprzednie zmiany replikowane są doDC1

USN:250

ID:B|savedVMGID: G2| VMGID:G2

DC2 pobiera zmiany: USNs >101


Czas na pytanie?

Kto ma gotowy plan odtworzenia lasu

?


Odtworzenie lasu – pre Windows 8

Odtwórz pierwszy DC w ramach domeny

Przygotuj kolejny obraz, wypromuj go na DC

Przygotuj kolejny obraz, wypromuj go na DC

predica.lab

Odtwórz pierwszy DC w ramach domeny

Przygotuj kolejny obraz, wypromuj go na DC

Przygotuj kolejny obraz, wypromuj go na DC

sub.predica.lab


Odtworzenie lasu – Windows 8

Odtworzenie lasu – pre Windows 8

Odtwórz pierwszy DC w ramach domeny (DC1)

Sklonuj DC1

Sklonuj DC1

predica.lab

Odtwórz pierwszy DC w ramach domeny (SDC1)

Sklonuj SDC1

Sklonuj SDC1

sub.predica.lab


Dynamic Access Control


Jak to drzewiej bywało (i bywa nadal)?

DC

FS

RO

RW

RW

RO

RO

RW

RO

RW

RW

RO

RO

RW

RW

RO

RW

RO

RW

RW

RO

Praktykant

RO

TokenSize


Jak to drzewiej bywało (i bywa nadal)?

DC

FS

RO

RW

RW

RO

RO

RW

RO

RW

RW

RO

RO

RW

RW

RO

RW

RO

RW

RW

RO

Praktykant

FTE

RO


Dwa pytania … tylko szczerze

Czy wiecie do czego służą grupy w Waszym AD?

Czy wiecie kto do czego ma przez nie dostęp?


Obecne podejście

  • Problemy

    • Trudność w określeniu zestawu uprawnień w zależności od potrzeb biznesowych

    • Brak centralnej administracji

    • Trudne w utrzymaniu

  • Liczba grup powoduje zwiększenie rozmiaru tokenu


Dynamic Access Control

  • Nie zastępuje obecnego modelu (DACL)

    • Mogą istnieć równocześnie

  • Model autoryzacji oparty o claims

    • Pochodzące z Active Directory

    • User claims

    • Device claims

  • Centralne zarządzanie polityką dostępu – Central Access Policy (CAP)


Zarządzanie dostępem

  • Reguły dostępu do plików wyrażone poprzez claimsoraz klasyfikacje plików

    • Claims wynikające z atrybutów użytkownika / urządzenie

  • Obejmuje również reguły audytu

  • Klasyfikacja plików

    • Centralny sposób zarządzania właściwościami w ramach klasyfikacji poprzez GPO


Beyond File System

  • Active Directory Federation Service 2.1

    • Full classcitizen: Dostępna jako rola w systemie

  • AD FS 2.1

    • Pozwala na umieszczenie w tokenie SAML claims pobranych wprost z tokenuKerbers

    • Pozwala na umieszczeniu w tokenieuser / deviceclaim


Dynamic Access Control

DEMO



Windows 8 Server wprowadza duże zmiany w ramach usługi katalogowej

Wsparcie dla DC i wirtualizacji

Dynamic Access Control - zmiana podejście do autoryzacji

Wdrożenie usługi katalogowej

Usprawnienia operacyjne i UI (ewolucja)


Dziękuję … Q&A katalogowej

[email protected]

http://www.w2k.pl

http://www.predica.pl


ad