 Dla studentów, którzy posiadają dostęp do msdn AA dostępny jest Windows Server 2008 Elms.pjwstk.edu.pl

AD DS/LDS AD CS AD RMS AD FS

 Wdrożenie – prostota i bezpieczeństwo  AD DS: Read-Only Domain Controllers  AD DS: Restartable Active Directory Domain Services  AD DS: Fine-Grained Password Policies  AD DS: Auditing  AD DS: Database Mounting Tool  AD DS: User Interface Improvements

 W obecnej platformie oraz Windows Server 2003 R2 można było włączyć globalnie audit policy (Audit Directory Service Access), aby logować zdarzenia związane z bezpieczeństwem, wykonywanymi operacjami na obiektach przechowywanych w AD.  Włączenie logowania obiektów AD to proces dwu fazowy.

 1) otwarcie Default Domain Controller Policy w Group Policy Object Editor (GPOE) i włączenie Audit Service Access [Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy]  2)Wtedy konfigurujemy > system access control list (SACL) na obiekcie, który chcemy audytować

 Jeśli chcemy włączyć Success auditing dostępu przez Authenticated Users do obiektów User w danej OU > musimy:  1) otwieramy Active Directory Users and Computers, upewniamy się, że Advances Features jest zaznaczone w menu View  2) prawy klik na OU, które chcemy audytować i wybieramy Properties  3) Przechodzimy na zakładkę Security i klikamy Advanced aby otworzyć Advanced Security Settings dla konkretnej OU.  4) Wybieramy zakładkę Audit i klikamy Add, żeby otworzyć Select User, Computer or Group dialog

 5) Wpisujemy Authenticated Users, i klikamy OK. Otworzy się okno dialogowe Auditing Entry dla OU.  6) W Apply Onto list box, wybieramy Descendant User Objects.  7) Wybieramy check-box Write All Properties z listy. Klikamy OK  8) Powinna się pokazać nowa SACL na liście w Advanced Security Settings

 Teraz jeśli zmienimy właściwości jakiegoś konta użytkownika w OU, np.: zrobimy disabling an account – to... ?  To zdarzenie powinno być logowane w Security log z event ID 4662 i źródłem Directory Service Access, żeby zidentyfikować obiekt.  We wcześniejszej wersji 2003 R2 była tylko jedna Audit Policy – Audit Directory Service Access, która kontrolowała czy audyt zdarzeń directory service jest włączony czy wyłączony

 Directory Service Access  Directory Service Changes  Directory Service Replication  Detailed Directory Service Replication  Jedna z tych kategorii – Directory Service Changes – jest ulepszona żeby uwzględnić zmiany w obiektach AD DS { SACL jest skonfigurowany i pozwala na audyt obiektów }

 Obiekty w których zmodyfikwano atrybuty – logowane ze starą i nową wartością w Security Log  Nowo stworzone obiekty z wartościami atrybutów i czasem tworzenia w Security Log  Obiekty przenoszone z pomiędzy kontenerami, zapisywana stara i nowa lokalizacja – Security Log  Standardowo jeśli ustawimy Success Auditing w Audit Directory Service Access [globalnie] to włączene jest Success auditing dla pierwszej podkategorii (Directory Service Access)

 Jeśli chcemy włączyć Success auditing dla drugiej podkategorii (Directory Service Changes) – {old and new value} - możemy posłużyć się narzędziem Auditpol.exe  Auditpol /set /subcategory:”directory service changes” /success:enable  Security LOG: 5136 record the old value and new value

Event IDZnaczenie 5136An attribute of the object has been modified. 5137The object was created 5138The object has been undeleted. 5139The object has been moved within the domain.

 Teraz jest zgodne z best practices! DNS-Design – logowanie przez WAN; za mało serwerów Global Catalog;  Dwa tryby instalacji – quickly oraz advanced mode. Pozwala włączyć Global Catalog na nowym kontrolerze domeny. Sprawdza strukturę DNS, umożliwa automatyczne stworzenie przekierowań i delegacji.  Wspiera Read Only Domain Controller (RODC) na wiele sposobów.  Wspracie dla instalacji nienadzorowanej (unattended installation) z lini poleceń.  Dcpromo /?:unattend

 Zdolność do restartowania Active Directory directory services bez restartu kontrolera domeny w trybie Restore Mode.  Wcześniej żeby wykonać offline defragmentation directory database trzeba było restartować kontroler w trybie RM przez wciśnięcie F8 podczas startu i wybranie odpowiedniej opcji.  AD DS has been re-architected in W2k8  Services snap-in lub net stop ntds

 W2k3 > normal mode i DS Restore Mode  W2k38 > 3 tryby lub stany działania:  AD DS Started  Directory Services Restore Mode  AD DS Stopped

 Zapraszam na następne zajęcia  Zaległe spotkanie z IIS7 – zarządzanie, bezpieczeństwo  Read Only Domain Controller  AD LDS  AD Certificate Services  AD Federation Services  AD Rights Management Services  Terminal Services Enhancements  Server Core  Network Access Protection  Clustering Enhancements  WDS