Windows 8 … czas na zmiany
This presentation is the property of its rightful owner.
Sponsored Links
1 / 38

Windows 8 … czas na zmiany PowerPoint PPT Presentation


  • 90 Views
  • Uploaded on
  • Presentation posted in: General

Windows 8 … czas na zmiany. Tomasz Onyszko. Architekt. [email protected] Agenda. Zmiany. Wirtualizacja. Dynamic Access Control. Nowości i nowinki. Group Managed Services Accounts. Szybkie i łatwe wdrożenie. Recycle Bin UI. Wsparcie dla wirtualizacji. Powershell History.

Download Presentation

Windows 8 … czas na zmiany

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Windows 8 czas na zmiany

Windows 8 … czas na zmiany

Tomasz Onyszko

Architekt

[email protected]


Windows 8 czas na zmiany

Agenda

Zmiany

Wirtualizacja

Dynamic Access Control


Windows 8 czas na zmiany

Nowości i nowinki


Windows 8 czas na zmiany

GroupManaged Services Accounts

Szybkie i łatwe wdrożenie

Recycle Bin UI

Wsparcie dla wirtualizacji

Powershell

History

Fine grainedpassword policy UI

PowershelCmdlets – Active Directory Replication & Topology

Active Directory BasedActivation

Kerberos

Zmiany w platformie Active Directory

Dynamic Access Control


Windows 8 czas na zmiany

Zmiany w UI: Recycle Bi

  • Recycle Bin

    • Wprowadzony w Windows 2008 R2

    • Brak UI

  • No i jest

  • Brak odtwarzania subtree


Windows 8 czas na zmiany

Zmiany w UI: FGPP

  • FGPP

    • Tak jak i w przypadku Recycle Bin


Windows 8 czas na zmiany

GroupManaged Service Account (gMSA)

  • Managed Services Accounts

    • Wprowadzone w Windows 2008 R2

    • Możliwość użycia w ramach jednej maszyny

  • Nieobsługiwane usługi

    • Klastry

    • Usługi IIS pracujące w NLB


Windows 8 czas na zmiany

GroupManaged Service Account (gMSA)

  • gMSA

    • Nowy typ security principal w Windows 8

    • Jedno gMSA mogą używać usługi w ramach różnych maszyn

  • Wymagany Windows 8 DC

    • Hasła generowane i zarządzane są przez GroupKey Distribution Service (GKDS)

    • Uwierzytelnienie względem dowolnego DC


Windows 8 czas na zmiany

PowershellHistory

  • Active Directory Administrative Center

    • Nowa konsola zarządzająca AD

    • Pod UI wszystkie polecenia wykonywane są poprzez Powershell


Windows 8 czas na zmiany

Active Directory BasedActivation

  • KMS

    • Prosta usługa

    • Brak uwierzytelnienia i autoryzacji: Connect == Aktywacja

  • AD BA

    • Aktywacja w oparciu o usługę katalogu

      • Tylko dostęp do LDAP

      • Brak dodatkowych usług: Dane do aktywacji w partycji konfiguracji

    • Tylko Windows 8

      • KMS i AD BA mogą pracować równocześnie


Windows 8 czas na zmiany

Kerberos

  • KerberosConstrainedDelegation (KCD)

    • Pozwala na delegację uwierzytelnienia do wybranych usług

    • Od Windows 2003 działa w ramach jednego lasu

  • Windows 8 KCD

    • Działa pomiędzy usługami w różnych lasach

      • Odwrócenie sytuacji – to back-end podejmuje decyzję które konta mogą wykonywać delegację

    • Front-end i Back-end wymagają przynajmniej 1 DC Windows 8


Windows 8 czas na zmiany

Kerberos FAST

  • Kerberos

    • Problemy z error spoofing (klient obniża wymagania lub przełącza się na inny protokół)

    • Ochrona danych wysyłanych w ramach pre-authentication

  • FlexibleAuthenticationSecureTunneling

    • Dodatkowe uwierzytelnienie kanału Klient <-> DC

    • Kanał uwierzytelniony poprzez Logon SessionKey konta komputera

      • Uwierzytelnienie konta komputera nadal jest niezabezpieczone FAST


Windows 8 czas na zmiany

Active Directory

  • RID exthausion

    • RID: identyfikator przydzielana tworzonemu obiektowi w AD

    • Ogólna pula RID 2^30

      • Każdy z DC otrzymuje pulę RID odnawianą wg potrzeb.

  • Problem:

    • Błąd może powodować wyczerpanie puli dostępnych RID

  • Windows 8

    • Eliminacja błędów związanych z RID Exthausion

    • Zwiększona ogólna pula RID – 2^31 (włączana opcjonalnie - sidCompatibilityVersion:1)

    • Mechanizmy logowania i monitorowania zużycia RID (event log)


Windows 8 czas na zmiany

Dodatkowo

  • LDAP

    • Rozszerzenie dostępnych kontrolek LDAP

    • Nowe mechanizmy logowania LDAP

  • Off-linedomainjoin spoza sieci

    • Możliwość przekazania danych dostępu Direct Access

    • Dodanie do domeny poprzez Internet

  • Opóźnione przebudowanie indeksów AD

  • Nowe atrybuty rootDSE


Windows 8 czas na zmiany

Wirtualizacja to Rewelacja …


Windows 8 czas na zmiany

... Chyba że mówimy o DC

  • Active Directory jest w pełni wspierane na VM

  • Wspierane ale:

    • Nie wspieramy snapshot i odtwarzania VM z DC

    • Kopiowania VHD z DC

    • Export / Import maszyn z DC

  • Problem: Administratorzy infrastruktury VM i domen nie są świadomi ograniczeń


Windows 8 czas na zmiany

W czym tkwi problem (raz jeszcze)

DC2

DC1

USN: 100

Tworzymy snapshot

Czas: T1

Czas: T2

+100 dodanych kont

ID: A

RID Pool: 500 - 1000

DC1(A)@USN = 200

USN:200

Sekwencja zdarzeń

Czas: T3

DC2 pobiera zmiany: USNs >100

ID: A

RID Pool:600 - 1000

DC1(A) @USN = 250

+150 dodatkownych kont

Czas: T4

USN:100

T1Odtworzony snapshot!

ID: A

RID Pool:500 - 1000

USN:250

DC2 pobiera zmiany: USNs >200

ID: A

RID Pool:650 - 1000


Windows 8 czas na zmiany

My nameis Clone, DC Clone

  • Windows 8 DC rapiddeployment

    • Wdrożenie nowych kontrolerów domeny poprzez operację export\import na poziomie hypervisora

  • Windows 8 rozpoznaje następujące operacje

    • Odtworzenie snapshot

    • Skopiowanie VM (Uwaga: Nie podmianę VHD !)

  • Jak

    • Zmiana VM generation ID podczas operacji hypervisora

    • Nowy DC tworzony jako klon podstawowego na podstawie danych konfiguracji


Windows 8 czas na zmiany

Windows 8

DC2

DC1

USN: 100

Tworzymy snapshot

Czas: T1

Czas: T2

+100 dodanych kont

ID: A |savedVMGID: G1 | VMGID: G1

DC1(A) @USN = 200

USN:200

Sekwencja zdarzeń

Czas: T3

ID: A |savedVMGID: G1 | VMGID: G1

DC2 pobiera zmiany: USNs >100

+150 nowych kont: wykryto zmianę VM generation ID : DEPLOY SAFEGUARDS

Czas: T4

DC1(A) @USN = 200

DC1(B) @USN = 250

USN:100

T1Odtworzony snapshot

ID: A |savedVMGID: G1 | VMGID:G2

… poprzednie zmiany replikowane są doDC1

USN:250

ID:B|savedVMGID: G2| VMGID:G2

DC2 pobiera zmiany: USNs >101


Windows 8 czas na zmiany

Czas na pytanie?

Kto ma gotowy plan odtworzenia lasu

?


Windows 8 czas na zmiany

Odtworzenie lasu – pre Windows 8

Odtwórz pierwszy DC w ramach domeny

Przygotuj kolejny obraz, wypromuj go na DC

Przygotuj kolejny obraz, wypromuj go na DC

predica.lab

Odtwórz pierwszy DC w ramach domeny

Przygotuj kolejny obraz, wypromuj go na DC

Przygotuj kolejny obraz, wypromuj go na DC

sub.predica.lab


Windows 8 czas na zmiany

Odtworzenie lasu – Windows 8

Odtworzenie lasu – pre Windows 8

Odtwórz pierwszy DC w ramach domeny (DC1)

Sklonuj DC1

Sklonuj DC1

predica.lab

Odtwórz pierwszy DC w ramach domeny (SDC1)

Sklonuj SDC1

Sklonuj SDC1

sub.predica.lab


Windows 8 czas na zmiany

Dynamic Access Control


Windows 8 czas na zmiany

Jak to drzewiej bywało (i bywa nadal)?

DC

FS

RO

RW

RW

RO

RO

RW

RO

RW

RW

RO

RO

RW

RW

RO

RW

RO

RW

RW

RO

Praktykant

RO

TokenSize


Windows 8 czas na zmiany

Jak to drzewiej bywało (i bywa nadal)?

DC

FS

RO

RW

RW

RO

RO

RW

RO

RW

RW

RO

RO

RW

RW

RO

RW

RO

RW

RW

RO

Praktykant

FTE

RO


Windows 8 czas na zmiany

Dwa pytania … tylko szczerze

Czy wiecie do czego służą grupy w Waszym AD?

Czy wiecie kto do czego ma przez nie dostęp?


Windows 8 czas na zmiany

Obecne podejście

  • Problemy

    • Trudność w określeniu zestawu uprawnień w zależności od potrzeb biznesowych

    • Brak centralnej administracji

    • Trudne w utrzymaniu

  • Liczba grup powoduje zwiększenie rozmiaru tokenu


Windows 8 czas na zmiany

Dynamic Access Control

  • Nie zastępuje obecnego modelu (DACL)

    • Mogą istnieć równocześnie

  • Model autoryzacji oparty o claims

    • Pochodzące z Active Directory

    • User claims

    • Device claims

  • Centralne zarządzanie polityką dostępu – Central Access Policy (CAP)


Windows 8 czas na zmiany

Zarządzanie dostępem

  • Reguły dostępu do plików wyrażone poprzez claimsoraz klasyfikacje plików

    • Claims wynikające z atrybutów użytkownika / urządzenie

  • Obejmuje również reguły audytu

  • Klasyfikacja plików

    • Centralny sposób zarządzania właściwościami w ramach klasyfikacji poprzez GPO


Windows 8 czas na zmiany

Beyond File System

  • Active Directory Federation Service 2.1

    • Full classcitizen: Dostępna jako rola w systemie

  • AD FS 2.1

    • Pozwala na umieszczenie w tokenie SAML claims pobranych wprost z tokenuKerbers

    • Pozwala na umieszczeniu w tokenieuser / deviceclaim


Windows 8 czas na zmiany

Dynamic Access Control

DEMO


Windows 8 czas na zmiany

Podsumowanie


Windows 8 czas na zmiany

Windows 8 Server wprowadza duże zmiany w ramach usługi katalogowej

Wsparcie dla DC i wirtualizacji

Dynamic Access Control - zmiana podejście do autoryzacji

Wdrożenie usługi katalogowej

Usprawnienia operacyjne i UI (ewolucja)


Windows 8 czas na zmiany

Dziękuję … Q&A

[email protected]

http://www.w2k.pl

http://www.predica.pl


  • Login