1 / 25

Active Directory Domain Services

Active Directory Domain Services. Gál Tamás v-tagal@microsoft.com rendszermérnök Microsoft Magyarország. Terminol ógia. Active Directory Domain Services Az „ Active Directory” helyett Active Directory Lightweight Directory Services Az „ A DAM ” helyett

Download Presentation

Active Directory Domain Services

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Active Directory Domain Services Gál Tamásv-tagal@microsoft.com rendszermérnökMicrosoft Magyarország

  2. Terminológia • Active Directory Domain Services • Az „Active Directory” helyett • Active Directory Lightweight Directory Services • Az „ADAM” helyett • Active Directory Certificate Services • Tanúsítványok kezelése a PKI infrastruktúra részeként • Active Directory Federation Services • Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez • Active Directory Rights Management Services • Központi szabályzású, információvédelmi megoldás

  3. Tartalom • Telephelyes környezet • RODC • Felügyelet és üzemeltetés • Auditing, DCPromo, újraindítható DS, • Snapshot Browser

  4. Read-OnlyDomain ControllerElőnyök • Kevésbé biztonságos helyen is használható • Alapesetben a user/computer jelszó nincs tárolva • Read-only Partial Attribute Set:az alkalmazások jogosultságainak tárolása (így replikálása a RODC-re) tiltható • Kevesebb lehetőség a címtár távoli „megpiszkálására” • „Unidirectional”replikáció – AD / FRS/DFSR • Minden RODC rendelkezik saját KDC KrbTGT fiókkal • Helyben hitelesítés, ergo szeparálás a központtól

  5. Read-OnlyDomain ControllerElőnyök (folytatás) • Kevesebb lehetőség a címtár távoli „megpiszkálására” • Delegálható DCPROMO > nem kell Domain Adminként futtatni a telephelyen • dcpromo /UseExistingAccount:Attach • Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t egy SRV rekordba • A RODC csak egy szimpla workstation fiókkal rendelkezik • Nem tagja az Enterprise-DC vagy a Domain-DC csoportoknak • További erős korlátok a címtárba íráskor

  6. Egy elképzelt DS infrastruktúra • Ha van RODC: • Biztonságosabb és kevésbé költséges a DS infrastruktúra • Nincs szükség nagytudású Domain Admin-ra a telephelyen • „Bengedhető” a külső cég is a DC-re • …és persze a hagyományos DC-k nélkül, az esetleges WAN hibák esetén is megy tovább az élet

  7. Read-OnlyDomain ControllerTovábbi következmények • Read-only DNS • Elsődleges típus, névfeloldásra tökéletesen alkalmas • Rekordszinten frissít „fentről”, ha kell • Mindent replikál (alkalmazásparticiók, domainDNSZones, ForestDNSZones, stb.) • De nem írható • Különválasztott GC szerepkör • A RODC csak speciális esetben lehet

  8. Read-Only Domain ControllerAlkalmazási szkenáriók • RODC a telephelyen – elsődlegesen ajánlott • Tipikusan a limitált fizikai biztonságú helyekre • RODC a DMZ-ben(még nincs ajánlás) • Az AD nagyon sok előnye elérhető lenne kívülre és belülre is – tűrhető biztonsági körülmények között • RODC az Interneten(még nincs ajánlás) • Egyszerűen elérhetővé válna – minimális munkával – bár…

  9. RODC telepítés demó

  10. Read-Only Domain ControllerHogyan működik az első belépés? A kliens TGT kérésének elküldése a RODC-nek • RODC „észleli”, hogy e fiók hitelesítését nem tudja elvégezni Hajrá tovább a központi W2K8 felé A hub W2K8 hitelesít Az eredmény (és a TGT) visszaküldése a RODC-nek RODC átnyújtja a saját TGT-jét a fióknak és megjegyzi, hogy innentől saját maga kezeli majd A központi DC megvizsgálja a Password Replication Policy-t, és a beállításnak megfelelően leküldi (vagy nem) a jelszót a RODC-re

  11. Read-Only Domain Controller Password Replication Policy - Mikor, mit nyerünk? • Nincs jelszó cachelés (alapértelmezett) • pro: magasan a legbiztonságosabb • kontra:viszont ha offline a központ > nincs hitelesítő DC > nincs belépés • Sok és fontos fiók kijelölése • pro: egyszerű megoldás, mindenki beléphet, minden esetben • kontra:nem elég biztonságos, „ott vagyunk ahol a part szakad” • Csak a kevésbé fontos (pl. csak a telephelyi) fiókok kiválasztása • pro: nem esik csorba a biztonságon, a fontos fiókok védve maradnak • kontra:több munka van vele

  12. Password Replication Policy demó

  13. Read-Only Domain ControllerAz adminjogok szétválasztása • A problémák • Egy DC sem élhet a Domain Admins csoport nélkül • pedig a legtöbb feladathoz nem kell ez a jogosultság, még egy DC-n se • A helyi Administrators csoport ismeretlen a DC-n • Ezért a külső partnereket is muszáj sokszor Domain Admins csoportaggá tenni • A RODC elveinek abszolút ellentmond • Hiszen tisztán „belenyúlhatna” a címtárba is

  14. Read-Only Domain ControllerAdmin jogok elválasztása • A megoldás • Egy újfajta „lokális admin” fiók • Ami az összes beépített helyi csoport tagjai is egyúttal (Backup, Print, ServerOperators, stb) • A címtártól viszont teljes tiltás • Már a telepítés közben is megadhatjuk • Később is bármikor • További korlátok • Csak egy már működő tartományi fiók lehet • De csak az adott RODC-n admin!

  15. Helyi admin a RODC-n demó

  16. Read-OnlyDomainControllerTelepítési kritériumok • Windows 2003 működési szint • Erdő és tartomány is • A PDC FSMO csak W2K8 lehet • Legalább egy W2K8 DC szükséges • Ez lesz majd kapcsolatban a RODC-vel • Nem baj, ha több van > rendelkezésre állás • DNS alkalmazásparticiók frissítése • Adprep /RodcPrep

  17. RODC eltávolítás demó

  18. Tartalom • Telephelyes környezet • RODC • Felügyelet és üzemeltetés • Auditing, DCPromo, újraindítható DS, • Snapshot Browser

  19. Auditing • Az új, DS-hez kapcsolódó Eseménynapló bejegyzés (Event ID: 5136) „megmondja”: • Ki eszközölte a változást? Mikor történt? • Mely objektum / jellemző változott? • Mi volt / lett az előző / jelenlegi állapot? • Az auditálás engedélyezhető / tiltható • A globális audit házirendben • A SACL vagy akár a séma segítségével • Auditpol.exe

  20. DS telepítés • A DCPromoimmár képes • A működési szint kiválasztására (erdő, tartomány) • Választható DNS telepítésre, automatikus delegálással és beállítással • A cél site kiválasztására • Delegált futtatásra (RODC) • Szükséges esetben az automatikus Infrastructure Master <> GC szerep transzferre • Több új, unattended telepítés opció használatára

  21. Újraindítható Active Directory • Stop/Start a gép újraindítása nélkül • Miért jó nekünk ez? • Karbantartás, AD patchelés • A többi szolgáltatás működhet tovább • Az NTDS.dit offline • Belépés > DSRM • Hálózati belépés is

  22. Felügyelet • Minden ADUC objektumon ADSIEdit tulajdonság fül • DFSR for SYSVOL (FRS V2) – SYSVOL replikáció – RDC is • AD MP SP1 a W2K8 DC/RODC-khez • Külön menedzsment csomagok - AD LDS, DNS Server, stb.

  23. Snapshot browser (viewer / exposure / stb.) NTDSUTIL.EXE DSAMAIN.EXE LDP.EXE • Nagy segítség lesz a címtárból törölt objektumok visszaállításánál • Újraindítás és a DSRM nélkül megszemlélhetjük az AD lementett példányát • Visszaállításra nem használható • A read-only címtár példány • megtekintése • Pillanatfelvétel készítése a DS/LDS-ről • A pillanatfelvétel LDAP szerverré alakítása

  24. Snaphot Browser demó

  25. Kérdések és válaszok Budai Péter Áttekintés Gál Tamás Active Directory Domain Services

More Related