1 / 23

Active Directory w Windows Server 2008

Active Directory w Windows Server 2008. mgr inż. Łukasz Dylewski Katedra Informatyki i Badań Operacyjnych WMiI UWM askard@matman.uwm.edu.pl. Agenda. AD w wielkim skrócie Wizja Identity and Access w Windows 2008 Nowa twarz Active Directory Live: GPO

yestin
Download Presentation

Active Directory w Windows Server 2008

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Active Directoryw Windows Server 2008 mgr inż. Łukasz Dylewski Katedra Informatyki i Badań Operacyjnych WMiI UWM askard@matman.uwm.edu.pl

  2. Agenda AD w wielkim skrócie WizjaIdentity and Access w Windows 2008 Nowatwarz Active Directory Live: GPO Live: Granular Passwordand Account Lockout Policies Pytania

  3. AD w wielkim skrócie Pierwszy raz zaprezentowany w Windows 2000 Server Implementacja infrastruktury IDA (Identity and Access) Ustalenie kim jest użytkownik żądający dostępu do dokumentu Przydzielenie określonych uprawnień Ochrona poufnej treści wewnątrz dokumentu Zapis czynności wykonywanych z dokumentem

  4. Active Directory Rights Management Services (AD RMS) – ochronainformacjizawartej w dokumentach, e-mail, itp. Active Directory Federation Services (AD FS) – eliminacjapotrzebytworzeniawielutożsamości(mechanizm Single Sign-On) Identity and Access w Windows 2008

  5. Logowanie starej i nowej wartości atrybutu Logowanie wartości początkowej utworzonych obiektów Nowatwarz Active DirectoryNowości w Active Directory Domain Services (AD DS) Logowanie informacji o lokalizacji przywróconych obiektów Logowanie starej i nowej lokalizacji obiektu AD DS Auditing Enhancements Cztery polityki kontroli zdarzeń w AD Directory Service Access Directory Service Changes Directory Service Replication DetailedDirectory Service Replication Ustawienie flag w celu wybrania/eliminacji śledzenia zmian atrybutów obiektu

  6. Nowatwarz Active DirectoryNowości w Active Directory Domain Services (AD DS) Read-Only Domain Controllers (RODC) Nie jest kopią Read-Only kontrolera domeny Przechowuje tylko wybrane tożsamości użytkowników Delegowanie uprawnień do RODC dla użytkowników Replikacja tylko w kierunku RODC Zlokalizowany w miejsca o niskim bezpieczeństwie fizycznym

  7. Nowatwarz Active DirectoryNowości w Active Directory Domain Services (AD DS) Restartable AD DS Możliwość zatrzymania AD DS w celu przeprowadzenia konserwacji Nie wymaga restartu serwera Dwa tryby pracy AD: STARTED i STOPPED Directory Services Restore Mode ciągledostępny

  8. Nowatwarz Active DirectoryNowości w Active Directory Domain Services (AD DS) Granular Password and Account Lockout Policies Możliwość ustawienia wielu polityk haseł Przypisanie tylko dla grup lub użytkowników Przypisanie pośrednie do OU (przez Shadow Group) Ustawienie msDS-PasswordSettingsPrecendencedla domen z wieloma politykami (brana jest niższa wartość)

  9. Nowatwarz Active DirectoryNowości w Active Directory Domain Services (AD DS) Granular Password and Account Lockout Policies PSOAttributesConstrains 30 minut 30 * -600000000 = -18000000000

  10. Nowatwarz Active Directory Active Directory Lightweight Directory Services (AD LDS) Wcześniej ADAM - Active Directory Application Mode Wsparcie dla aplikacji opartych na usługach katalogowych (opartych na LDAP) Nie opiera się na domenie lub lasach Może współpracować z AD DC przy autentykacji zasad bezpieczeństwa Windows Możliwość synchronizacji pomiędzy AD DC i AD LDS

  11. Nowatwarz Active Directory Active Directory Certificate Services (AD CS) W Windows Server 2003 – Certificate Services Nowe elementy: Certificate Web Enrollment Improvements Network Device Enrollment Service Support (NDES) Online Certificate Status Protocol Support EnterprisePKI and CAPI2 Diagnostics Inne ulepszenia AD CS

  12. Nowatwarz Active DirectoryActive Directory Certificate Services Certificate Web Enrollment Improvements Możliwość żądania i odnawiania certyfikatu przez WWW – od Windows 2000 Server Starakontrolka (XEnroll.dll) dla Windows 2000, Windows XP i Windows Server 2003 Nowakontrolka (CertEnroll.dll) dla Windows Vista i Windows Server 2008

  13. Nowatwarz Active DirectoryActive Directory Certificate Services Network Device Enrollment Service Support (NDES) Wcześniej jako Add-On Microsoft® SCEP (MSCEP) Dla urządzeń niemogących się certyfikować przy użyciu X.509 (SWITCH i ROUTER) Prostecertyfikowanieprzyużyciu Simple Certificate Enrollment Protocol (SCEP) – Cisco Systems, Inc.

  14. Nowatwarz Active DirectoryActive Directory Certificate Services Online Certificate Status Protocol Support Szybszy i wydajniejszy niż certificaterevocationlists (CRLs) Przekazuje status pojedynczego certyfikatu (ważny/nieważny)– CRLs wszystkie Sprawdzenie statusu certyfikatu na żądanie klienta – CRLs okresowo

  15. Nowatwarz Active DirectoryActive Directory Certificate Services EnterprisePKI and CAPI2 Diagnostics WcześniejPKI Health w Windows Server 2003 Resource Kit Analizowanie “stanu zdrowia “ CAs Sprawdzanieważnościidostępności: authority information access (AIA) locations CRL distribution points (CDPs)

  16. Nowatwarz Active DirectoryActive Directory Certificate Services Inne ulepszenia AD CS AD CS: RestrictedEnrollment Agent – przypisanie roli “Enrollment agent” dla wybranych osób AD CS: Policy Settings – dodatkowe ustawienia w GPO dotyczące PKI

  17. Nowatwarz Active Directory Active Directory Federation Services (AD FS) Windows Server 2003 R2 –dodatkowy komponent Udostępnia mechanizm Single Sign-On do autentykacji użytkownika dla wielu aplikacji Webowych Umożliwia dostęp do zasobów zaufanych partnerów Lepsza integracja z SharePoint Services 2007 i AD RMS Można uniemożliwić instalacje nieautoryzowanej usługi federacyjnej poprzez GPO (DisallowFederationService) Wymaga AD DC lub AD LDS

  18. Nowatwarz Active Directory Active Directory Rights Management Services (AD RMS) Windows Server 2003 R2 - dostępny jako usługa Ochrona informacji przed nieuprawnionym dostępem/zmianą/użyciem, np. e-mails, dokumenty pakietu Office, strony internetowe Działa w architekturze klient-serwer Możliwość kontroli dostępu dla partnerów zewnętrznych (wymaga AD FS)

  19. LIVE

  20. Podsumowanie Bardziej rozbudowana infrastruktura IDA Więcej mechanizmów monitorowania stanu pracy komponentów AD Dokładniejsza kontrola poczynań użytkowników (GPO + Granular Password) Lepsza współpraca z partnerami

  21. Zasoby Free e-book: Introducing Windows Server 2008 http://www.microsoft.com/learning/windowsserver2008/default.mspx TechNet: Windows Server 2008 Technical Library http://technet2.microsoft.com/windowsserver2008/en/library/ bab0f1a1-54aa-4cef-9164-139e8bcc44751033.mspx MSDN: Przegląd technologii “directory, identity, and access services” http://msdn2.microsoft.com/en-us/library/aa139675.aspx Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration http://technet2.microsoft.com/windowsserver2008/en/library/ 2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true

  22. PYTANIA

  23. KONIEC

More Related