Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Windows 8 … czas na zmiany

OpublikowałŚwiętosław Kulisz Został zmieniony 10 lat temu

Podobne prezentacje

Prezentacja na temat: "Windows 8 … czas na zmiany"— Zapis prezentacji:

1 Windows 8 … czas na zmiany
Tomasz Onyszko Architekt

2 Windows 8 … czas na zmiany
Enterprise Security Tomasz Onyszko Architekt

3

4 Agenda Zmiany Wirtualizacja Dynamic Access Control

5

6 Nowości i nowinki

7

8 Szybkie i łatwe wdrożenie
Recycle Bin UI Group Managed Services Accounts Wsparcie dla wirtualizacji Powershell History Fine grained password policy UI Powershel Cmdlets – Active Directory Replication & Topology Active Directory Based Activation Kerberos Zmiany w platformie Active Directory Dynamic Access Control

9 Zmiany w UI: Recycle Bi Recycle Bin No i jest Brak odtwarzania subtree
Wprowadzony w Windows 2008 R2 Brak UI No i jest Brak odtwarzania subtree

10 Zmiany w UI: FGPP FGPP Tak jak i w przypadku Recycle Bin

11 Group Managed Service Account (gMSA)
Managed Services Accounts Wprowadzone w Windows 2008 R2 Możliwość użycia w ramach jednej maszyny Nieobsługiwane usługi Klastry Usługi IIS pracujące w NLB

12 Group Managed Service Account (gMSA)
Nowy typ security principal w Windows 8 Jedno gMSA mogą używać usługi w ramach różnych maszyn Wymagany Windows 8 DC Hasła generowane i zarządzane są przez Group Key Distribution Service (GKDS) Uwierzytelnienie względem dowolnego DC

13 Powershell History Active Directory Administrative Center
Nowa konsola zarządzająca AD Pod UI wszystkie polecenia wykonywane są poprzez Powershell

14 Active Directory Based Activation
KMS Prosta usługa Brak uwierzytelnienia i autoryzacji: Connect == Aktywacja AD BA Aktywacja w oparciu o usługę katalogu Tylko dostęp do LDAP Brak dodatkowych usług: Dane do aktywacji w partycji konfiguracji Tylko Windows 8 KMS i AD BA mogą pracować równocześnie

15 Kerberos Kerberos Constrained Delegation (KCD) Windows 8 KCD
Pozwala na delegację uwierzytelnienia do wybranych usług Od Windows 2003 działa w ramach jednego lasu Windows 8 KCD Działa pomiędzy usługami w różnych lasach Odwrócenie sytuacji – to back-end podejmuje decyzję które konta mogą wykonywać delegację Front-end i Back-end wymagają przynajmniej 1 DC Windows 8

16 Kerberos FAST Kerberos Flexible Authentication Secure Tunneling
Problemy z error spoofing (klient obniża wymagania lub przełącza się na inny protokół) Ochrona danych wysyłanych w ramach pre-authentication Flexible Authentication Secure Tunneling Dodatkowe uwierzytelnienie kanału Klient <-> DC Kanał uwierzytelniony poprzez Logon Session Key konta komputera Uwierzytelnienie konta komputera nadal jest niezabezpieczone FAST

17 Active Directory RID exthausion Problem: Windows 8
RID: identyfikator przydzielana tworzonemu obiektowi w AD Ogólna pula RID 2^30 Każdy z DC otrzymuje pulę RID odnawianą wg potrzeb. Problem: Błąd może powodować wyczerpanie puli dostępnych RID Windows 8 Eliminacja błędów związanych z RID Exthausion Zwiększona ogólna pula RID – 2^31 (włączana opcjonalnie - sidCompatibilityVersion:1) Mechanizmy logowania i monitorowania zużycia RID (event log)

18 Dodatkowo LDAP Off-line domain join spoza sieci
Rozszerzenie dostępnych kontrolek LDAP Nowe mechanizmy logowania LDAP Off-line domain join spoza sieci Możliwość przekazania danych dostępu Direct Access Dodanie do domeny poprzez Internet Opóźnione przebudowanie indeksów AD Nowe atrybuty rootDSE

19 Wirtualizacja to Rewelacja …

20 ... Chyba że mówimy o DC Active Directory jest w pełni wspierane na VM
Wspierane ale: Nie wspieramy snapshot i odtwarzania VM z DC Kopiowania VHD z DC Export / Import maszyn z DC Problem: Administratorzy infrastruktury VM i domen nie są świadomi ograniczeń

21 W czym tkwi problem (raz jeszcze)
DC1 DC2 Czas: T1 Tworzymy snapshot USN: 100 ID: A RID Pool: = 200 +100 dodanych kont Czas: T2 USN: 200 Sekwencja zdarzeń ID: A RID Pool: DC2 pobiera zmiany: USNs >100 Czas: T3 T1 Odtworzony snapshot! USN: 100 ID: A RID Pool: = 250 +150 dodatkownych kont Czas: T4 USN: 250 DC2 pobiera zmiany: USNs >200 ID: A RID Pool:

22 My name is Clone, DC Clone
Windows 8 DC rapid deployment Wdrożenie nowych kontrolerów domeny poprzez operację export\import na poziomie hypervisora Windows 8 rozpoznaje następujące operacje Odtworzenie snapshot Skopiowanie VM (Uwaga: Nie podmianę VHD !) Jak Zmiana VM generation ID podczas operacji hypervisora Nowy DC tworzony jako klon podstawowego na podstawie danych konfiguracji

23 Windows 8 Sekwencja zdarzeń DC2 pobiera zmiany: USNs >100
Czas: T1 Tworzymy snapshot USN: 100 ID: A | savedVMGID: G1 | VMGID: G1 +100 dodanych kont = 200 Czas: T2 USN: 200 Sekwencja zdarzeń ID: A | savedVMGID: G1 | VMGID: G1 DC2 pobiera zmiany: USNs >100 Czas: T3 T1 Odtworzony snapshot USN: 100 ID: A | savedVMGID: G1 | VMGID: G2 … poprzednie zmiany replikowane są do DC1 +150 nowych kont: wykryto zmianę VM generation ID : DEPLOY SAFEGUARDS = 200 = 250 Czas: T4 USN: 250 ID: B | savedVMGID: G2 | VMGID: G2 DC2 pobiera zmiany: USNs >101

24 Kto ma gotowy plan odtworzenia lasu
Czas na pytanie? Kto ma gotowy plan odtworzenia lasu ?

25 Odtworzenie lasu – pre Windows 8
Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC predica.lab Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC sub.predica.lab

26 Odtworzenie lasu – pre Windows 8 Odtworzenie lasu – Windows 8
Odtwórz pierwszy DC w ramach domeny (DC1) Sklonuj DC1 Sklonuj DC1 predica.lab Odtwórz pierwszy DC w ramach domeny (SDC1) Sklonuj SDC1 Sklonuj SDC1 sub.predica.lab

27

28 Dynamic Access Control

29 Jak to drzewiej bywało (i bywa nadal)?
DC FS RW RW RO RO RW RO RW RO Praktykant Token Size

30 Jak to drzewiej bywało (i bywa nadal)?
DC FS RW RW RO RO RW RO RW RO Praktykant FTE

31 Dwa pytania … tylko szczerze
Czy wiecie do czego służą grupy w Waszym AD? Czy wiecie kto do czego ma przez nie dostęp?

32 Obecne podejście Problemy
Trudność w określeniu zestawu uprawnień w zależności od potrzeb biznesowych Brak centralnej administracji Trudne w utrzymaniu Liczba grup powoduje zwiększenie rozmiaru tokenu

33 Dynamic Access Control
Nie zastępuje obecnego modelu (DACL) Mogą istnieć równocześnie Model autoryzacji oparty o claims Pochodzące z Active Directory User claims Device claims Centralne zarządzanie polityką dostępu – Central Access Policy (CAP)

34 Zarządzanie dostępem Reguły dostępu do plików wyrażone poprzez claims oraz klasyfikacje plików Claims wynikające z atrybutów użytkownika / urządzenie Obejmuje również reguły audytu Klasyfikacja plików Centralny sposób zarządzania właściwościami w ramach klasyfikacji poprzez GPO

35 Beyond File System Active Directory Federation Service 2.1 AD FS 2.1
Full class citizen: Dostępna jako rola w systemie AD FS 2.1 Pozwala na umieszczenie w tokenie SAML claims pobranych wprost z tokenu Kerbers Pozwala na umieszczeniu w tokenie user / device claim

36 Dynamic Access Control
DEMO

37 Podsumowanie

38 Windows 8 Server wprowadza duże zmiany w ramach usługi katalogowej
Wsparcie dla DC i wirtualizacji Dynamic Access Control - zmiana podejście do autoryzacji Wdrożenie usługi katalogowej Usprawnienia operacyjne i UI (ewolucja)

39 Dziękuję … Q&A tomasz.onyszko@predica.pl http://www.w2k.pl

Pobierz ppt "Windows 8 … czas na zmiany"

Podobne prezentacje

Procedura instalacji systemu Linux

Procedura instalacji systemu Linux
Longhorn Academy - AD Warszawa, 12 kwietnia 2007

Longhorn Academy - AD Warszawa, 12 kwietnia 2007
Polityki kontroli w Windows Server 2008

Polityki kontroli w Windows Server 2008
Podstawowe pojęcia związane z Active Directory

Podstawowe pojęcia związane z Active Directory
Jarosław Kurek WZIM SGGW

Jarosław Kurek WZIM SGGW
Sieci komputerowe Wstęp Piotr Górczyński 20/09/2003.

Sieci komputerowe Wstęp Piotr Górczyński 20/09/2003.
„Migracja środowisk Microsoft NT/Active Directory/Exchange oraz SharePoint do nowych wersji przy użyciu narzędzi Quest Software” Grzegorz Szafrański Product.

„Migracja środowisk Microsoft NT/Active Directory/Exchange oraz SharePoint do nowych wersji przy użyciu narzędzi Quest Software” Grzegorz Szafrański Product.
Rozwiązania Quest dla zarządzania Windows

Rozwiązania Quest dla zarządzania Windows
Microsoft Professional Developer Days 2004

Microsoft Professional Developer Days 2004
Microsoft Windows 2000 dla Administratora. Podstawowe możliwości Wielojęzyczność Wielojęzyczność Usprawnienia interfejsu użytkownika Usprawnienia interfejsu.

Microsoft Windows 2000 dla Administratora. Podstawowe możliwości Wielojęzyczność Wielojęzyczność Usprawnienia interfejsu użytkownika Usprawnienia interfejsu.
ADAM Active Directory w trybie aplikacyjnym

ADAM Active Directory w trybie aplikacyjnym
Środowisko Windows 2000.

Środowisko Windows 2000.
OLAP budowa aplikacji analitycznych w MS SQL 2000 i Yukon

OLAP budowa aplikacji analitycznych w MS SQL 2000 i Yukon
Administrator w środowisku Windows 2000. Agenda Wstęp Wstęp Active Directory – Administracja użytkownikami i zasobami Active Directory – Administracja.

Administrator w środowisku Windows Agenda Wstęp Wstęp Active Directory – Administracja użytkownikami i zasobami Active Directory – Administracja.
Platforma A2A PA2A.

Platforma A2A PA2A.
Uwierzytelnianie i autoryzacja dostępu do portali

Uwierzytelnianie i autoryzacja dostępu do portali
16-11-2004 1 SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.

SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE Zarządzanie.
16-11-2004 1 SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE PODSTAWOWE.

SIECI KOMPUTEROWE (SieKom) PIOTR MAJCHER WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU W SOCHACZEWIE PODSTAWOWE.
Microsoft Exchange Server 2003 Obieg dokumentów

Microsoft Exchange Server 2003 Obieg dokumentów
Systemy operacyjne Bibliografia:

Systemy operacyjne Bibliografia:

Podobne prezentacje

Reklamy Google