Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
1
Active Directory w Windows Server 2008
mgr inż. Łukasz Dylewski Katedra Informatyki i Badań Operacyjnych WMiI UWM
2
Agenda AD w wielkim skrócie Wizja Identity and Access w Windows 2008 Nowa twarz Active Directory Live: GPO Live: Granular Password and Account Lockout Policies Pytania
3
AD w wielkim skrócie Pierwszy raz zaprezentowany w Windows 2000 Server
Implementacja infrastruktury IDA (Identity and Access) Ustalenie kim jest użytkownik żądający dostępu do dokumentu Przydzielenie określonych uprawnień Ochrona poufnej treści wewnątrz dokumentu Zapis czynności wykonywanych z dokumentem
4
Identity and Access w Windows 2008
AD CS AD RMS AD DS/LDS AD FS Active Directory Domain Services (AD DS) Active Directory Lightweight Directory Services (AD LDS) – fundament usługi katalogowej dla środowiska domenowego czy grup roboczych Active Directory Certificate Services (AD CS) – uwierzytelnianie z wykorzystaniem podpisu cyfrowego (infrastruktura PKI) Active Directory Rights Management Services (AD RMS) – ochrona informacji zawartej w dokumentach, , itp. Active Directory Federation Services (AD FS) – eliminacja potrzeby tworzenia wielu tożsamości (mechanizm Single Sign-On)
5
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS)
AD DS Auditing Enhancements Cztery polityki kontroli zdarzeń w AD Directory Service Access Directory Service Changes Directory Service Replication Detailed Directory Service Replication Ustawienie flag w celu wybrania/eliminacji śledzenia zmian atrybutów obiektu Logowanie starej i nowej wartości atrybutu Logowanie wartości początkowej utworzonych obiektów Logowanie informacji o lokalizacji przywróconych obiektów Logowanie starej i nowej lokalizacji obiektu
6
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS)
Read-Only Domain Controllers (RODC) Nie jest kopią Read-Only kontrolera domeny Przechowuje tylko wybrane tożsamości użytkowników Delegowanie uprawnień do RODC dla użytkowników Replikacja tylko w kierunku RODC Zlokalizowany w miejsca o niskim bezpieczeństwie fizycznym
7
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS)
Restartable AD DS Możliwość zatrzymania AD DS w celu przeprowadzenia konserwacji Nie wymaga restartu serwera Dwa tryby pracy AD: STARTED i STOPPED Directory Services Restore Mode ciągle dostępny
8
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS)
Granular Password and Account Lockout Policies Możliwość ustawienia wielu polityk haseł Przypisanie tylko dla grup lub użytkowników Przypisanie pośrednie do OU (przez Shadow Group) Ustawienie msDS-PasswordSettingsPrecendence dla domen z wieloma politykami (brana jest niższa wartość)
9
Nowa twarz Active Directory Nowości w Active Directory Domain Services (AD DS)
Granular Password and Account Lockout Policies PSO Attributes Constrains 30 minut 30 * = Time unit Multiplication factor m minutes -60*(10^7) = h hours -60*60* (10^7) = d days -24*60*60*(10^7) =
10
Nowa twarz Active Directory
Active Directory Lightweight Directory Services (AD LDS) Wcześniej ADAM - Active Directory Application Mode Wsparcie dla aplikacji opartych na usługach katalogowych (opartych na LDAP) Nie opiera się na domenie lub lasach Może współpracować z AD DC przy autentykacji zasad bezpieczeństwa Windows Możliwość synchronizacji pomiędzy AD DC i AD LDS
11
Nowa twarz Active Directory
Active Directory Certificate Services (AD CS) W Windows Server 2003 – Certificate Services Nowe elementy: Certificate Web Enrollment Improvements Network Device Enrollment Service Support (NDES) Online Certificate Status Protocol Support Enterprise PKI and CAPI2 Diagnostics Inne ulepszenia AD CS
12
Nowa twarz Active Directory Active Directory Certificate Services
Certificate Web Enrollment Improvements Możliwość żądania i odnawiania certyfikatu przez WWW – od Windows 2000 Server Stara kontrolka (XEnroll.dll) dla Windows 2000, Windows XP i Windows Server 2003 Nowa kontrolka (CertEnroll.dll) dla Windows Vista i Windows Server 2008
13
Nowa twarz Active Directory Active Directory Certificate Services
Network Device Enrollment Service Support (NDES) Wcześniej jako Add-On Microsoft® SCEP (MSCEP) Dla urządzeń niemogących się certyfikować przy użyciu X.509 (SWITCH i ROUTER) Proste certyfikowanie przy użyciu Simple Certificate Enrollment Protocol (SCEP) – Cisco Systems, Inc.
14
Nowa twarz Active Directory Active Directory Certificate Services
Online Certificate Status Protocol Support Szybszy i wydajniejszy niż certificate revocation lists (CRLs) Przekazuje status pojedynczego certyfikatu (ważny/nieważny) – CRLs wszystkie Sprawdzenie statusu certyfikatu na żądanie klienta – CRLs okresowo
15
Nowa twarz Active Directory Active Directory Certificate Services
Enterprise PKI and CAPI2 Diagnostics Wcześniej PKI Health w Windows Server 2003 Resource Kit Analizowanie “stanu zdrowia “ CAs Sprawdzanie ważności i dostępności: authority information access (AIA) locations CRL distribution points (CDPs)
16
Nowa twarz Active Directory Active Directory Certificate Services
Inne ulepszenia AD CS AD CS: Restricted Enrollment Agent – przypisanie roli “Enrollment agent” dla wybranych osób AD CS: Policy Settings – dodatkowe ustawienia w GPO dotyczące PKI
17
Nowa twarz Active Directory
Active Directory Federation Services (AD FS) Windows Server 2003 R2 – dodatkowy komponent Udostępnia mechanizm Single Sign-On do autentykacji użytkownika dla wielu aplikacji Webowych Umożliwia dostęp do zasobów zaufanych partnerów Lepsza integracja z SharePoint Services 2007 i AD RMS Można uniemożliwić instalacje nieautoryzowanej usługi federacyjnej poprzez GPO (DisallowFederationService) Wymaga AD DC lub AD LDS
18
Nowa twarz Active Directory
Active Directory Rights Management Services (AD RMS) Windows Server 2003 R2 - dostępny jako usługa Ochrona informacji przed nieuprawnionym dostępem/zmianą/użyciem, np. s, dokumenty pakietu Office, strony internetowe Działa w architekturze klient-serwer Możliwość kontroli dostępu dla partnerów zewnętrznych (wymaga AD FS)
19
LIVE
20
Podsumowanie Bardziej rozbudowana infrastruktura IDA Więcej mechanizmów monitorowania stanu pracy komponentów AD Dokładniejsza kontrola poczynań użytkowników (GPO + Granular Password) Lepsza współpraca z partnerami
21
Zasoby Free e-book: Introducing Windows Server 2008
TechNet: Windows Server 2008 Technical Library bab0f1a1-54aa-4cef e8bcc mspx MSDN: Przegląd technologii “directory, identity, and access services” Step-by-Step Guide for Fine-Grained Password and Account Lockout Policy Configuration 2199dcf7-68fd cc-ade35f8978ea1033.mspx?mfr=true
22
PYTANIA
23
KONIEC
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.