Active Directory w Windows Server 2008 mgr inż. Łukasz Dylewski Katedra Informatyki i Badań Operacyjnych WMiI UWM askard@matman.uwm.edu.pl
Agenda AD w wielkim skrócie Wizja Identity and Access w Windows 2008 Nowa twarz Active Directory Live: GPO Live: Granular Password and Account Lockout Policies Pytania
AD w wielkim skrócie Pierwszy raz zaprezentowany w Windows 2000 Server Implementacja infrastruktury IDA (Identity and Access) Ustalenie kim jest użytkownik żądający dostępu do dokumentu Przydzielenie określonych uprawnień Ochrona poufnej treści wewnątrz dokumentu Zapis czynności wykonywanych z dokumentem
Identity and Access w Windows 2008 AD CS AD RMS AD DS/LDS AD FS Active Directory Domain Services (AD DS) Active Directory Lightweight Directory Services (AD LDS) – fundament usługi katalogowej dla środowiska domenowego czy grup roboczych Active Directory Certificate Services (AD CS) – uwierzytelnianie z wykorzystaniem podpisu cyfrowego (infrastruktura PKI) Active Directory Rights Management Services (AD RMS) – ochrona informacji zawartej w dokumentach, e-mail, itp. Active Directory Federation Services (AD FS) – eliminacja potrzeby tworzenia wielu tożsamości (mechanizm Single Sign-On)
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS) AD DS Auditing Enhancements Cztery polityki kontroli zdarzeń w AD Directory Service Access Directory Service Changes Directory Service Replication Detailed Directory Service Replication Ustawienie flag w celu wybrania/eliminacji śledzenia zmian atrybutów obiektu Logowanie starej i nowej wartości atrybutu Logowanie wartości początkowej utworzonych obiektów Logowanie informacji o lokalizacji przywróconych obiektów Logowanie starej i nowej lokalizacji obiektu
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS) Read-Only Domain Controllers (RODC) Nie jest kopią Read-Only kontrolera domeny Przechowuje tylko wybrane tożsamości użytkowników Delegowanie uprawnień do RODC dla użytkowników Replikacja tylko w kierunku RODC Zlokalizowany w miejsca o niskim bezpieczeństwie fizycznym
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS) Restartable AD DS Możliwość zatrzymania AD DS w celu przeprowadzenia konserwacji Nie wymaga restartu serwera Dwa tryby pracy AD: STARTED i STOPPED Directory Services Restore Mode ciągle dostępny
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS) Granular Password and Account Lockout Policies Możliwość ustawienia wielu polityk haseł Przypisanie tylko dla grup lub użytkowników Przypisanie pośrednie do OU (przez Shadow Group) Ustawienie msDS-PasswordSettingsPrecendence dla domen z wieloma politykami (brana jest niższa wartość)
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS) Granular Password and Account Lockout Policies PSO Attributes Constrains 30 minut 30 * -600000000 = -18000000000 Time unit Multiplication factor m minutes -60*(10^7) = - 600000000 h hours -60*60* (10^7) = -36000000000 d days -24*60*60*(10^7) = -864000000000
Nowa twarz Active Directory Active Directory Lightweight Directory Services (AD LDS) Wcześniej ADAM - Active Directory Application Mode Wsparcie dla aplikacji opartych na usługach katalogowych (opartych na LDAP) Nie opiera się na domenie lub lasach Może współpracować z AD DC przy autentykacji zasad bezpieczeństwa Windows Możliwość synchronizacji pomiędzy AD DC i AD LDS
Nowa twarz Active Directory Active Directory Certificate Services (AD CS) W Windows Server 2003 – Certificate Services Nowe elementy: Certificate Web Enrollment Improvements Network Device Enrollment Service Support (NDES) Online Certificate Status Protocol Support Enterprise PKI and CAPI2 Diagnostics Inne ulepszenia AD CS
Nowa twarz Active Directory Active Directory Certificate Services Certificate Web Enrollment Improvements Możliwość żądania i odnawiania certyfikatu przez WWW – od Windows 2000 Server Stara kontrolka (XEnroll.dll) dla Windows 2000, Windows XP i Windows Server 2003 Nowa kontrolka (CertEnroll.dll) dla Windows Vista i Windows Server 2008
Nowa twarz Active Directory Active Directory Certificate Services Network Device Enrollment Service Support (NDES) Wcześniej jako Add-On Microsoft® SCEP (MSCEP) Dla urządzeń niemogących się certyfikować przy użyciu X.509 (SWITCH i ROUTER) Proste certyfikowanie przy użyciu Simple Certificate Enrollment Protocol (SCEP) – Cisco Systems, Inc.
Nowa twarz Active Directory Active Directory Certificate Services Online Certificate Status Protocol Support Szybszy i wydajniejszy niż certificate revocation lists (CRLs) Przekazuje status pojedynczego certyfikatu (ważny/nieważny) – CRLs wszystkie Sprawdzenie statusu certyfikatu na żądanie klienta – CRLs okresowo
Nowa twarz Active Directory Active Directory Certificate Services Enterprise PKI and CAPI2 Diagnostics Wcześniej PKI Health w Windows Server 2003 Resource Kit Analizowanie “stanu zdrowia “ CAs Sprawdzanie ważności i dostępności: authority information access (AIA) locations CRL distribution points (CDPs)
Nowa twarz Active Directory Active Directory Certificate Services Inne ulepszenia AD CS AD CS: Restricted Enrollment Agent – przypisanie roli “Enrollment agent” dla wybranych osób AD CS: Policy Settings – dodatkowe ustawienia w GPO dotyczące PKI
Nowa twarz Active Directory Active Directory Federation Services (AD FS) Windows Server 2003 R2 – dodatkowy komponent Udostępnia mechanizm Single Sign-On do autentykacji użytkownika dla wielu aplikacji Webowych Umożliwia dostęp do zasobów zaufanych partnerów Lepsza integracja z SharePoint Services 2007 i AD RMS Można uniemożliwić instalacje nieautoryzowanej usługi federacyjnej poprzez GPO (DisallowFederationService) Wymaga AD DC lub AD LDS
Nowa twarz Active Directory Active Directory Rights Management Services (AD RMS) Windows Server 2003 R2 - dostępny jako usługa Ochrona informacji przed nieuprawnionym dostępem/zmianą/użyciem, np. e-mails, dokumenty pakietu Office, strony internetowe Działa w architekturze klient-serwer Możliwość kontroli dostępu dla partnerów zewnętrznych (wymaga AD FS)
LIVE
Podsumowanie Bardziej rozbudowana infrastruktura IDA Więcej mechanizmów monitorowania stanu pracy komponentów AD Dokładniejsza kontrola poczynań użytkowników (GPO + Granular Password) Lepsza współpraca z partnerami
Zasoby Free e-book: Introducing Windows Server 2008 http://www.microsoft.com/learning/windowsserver2008/default.mspx TechNet: Windows Server 2008 Technical Library http://technet2.microsoft.com/windowsserver2008/en/library/ bab0f1a1-54aa-4cef-9164-139e8bcc44751033.mspx MSDN: Przegląd technologii “directory, identity, and access services” http://msdn2.microsoft.com/en-us/library/aa139675.aspx Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration 2199dcf7-68fd-4315-87cc-ade35f8978ea1033.mspx?mfr=true
PYTANIA
KONIEC