Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Active Directory Domain Services Az „Active Directory” helyett Active Directory Lightweight Directory Services Az „ADAM” helyett Active Directory Certificate.

Hasonló előadás


Az előadások a következő témára: "Active Directory Domain Services Az „Active Directory” helyett Active Directory Lightweight Directory Services Az „ADAM” helyett Active Directory Certificate."— Előadás másolata:

1

2 Active Directory Domain Services Az „Active Directory” helyett Active Directory Lightweight Directory Services Az „ADAM” helyett Active Directory Certificate Services Tanúsítványok kezelése a PKI infrastruktúra részeként Active Directory Federation Services Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez Active Directory Rights Management Services Központi szabályzású, információvédelmi megoldás

3 Telephelyes környezet RODC Felügyelet és üzemeltetés Auditing, DCPromo, újraindítható DS, Snapshot Browser

4 Kevésbé biztonságos helyen is használható Alapesetben a user/computer jelszó nincs tárolva Read-only Partial Attribute Set: az alkalmazások jogosultságainak tárolása (így replikálása a RODC-re) tiltható Kevesebb lehetőség a címtár távoli „megpiszkálására” „Unidirectional” replikáció – AD / FRS / DFSR Minden RODC rendelkezik saját KDC KrbTGT fiókkal Helyben hitelesítés, ergo szeparálás a központtól

5 Kevesebb lehetőség a címtár távoli „megpiszkálására” Delegálható DCPROMO > nem kell Domain Adminként futtatni a telephelyen dcpromo /UseExistingAccount:Attach Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t egy SRV rekordba A RODC csak egy szimpla workstation fiókkal rendelkezik Nem tagja az Enterprise-DC vagy a Domain-DC csoportoknak További erős korlátok a címtárba íráskor

6 Ha van RODC: Biztonságosabb és kevésbé költséges a DS infrastruktúra Nincs szükség nagytudású Domain Admin-ra a telephelyen „Bengedhető” a külső cég is a DC-re …és persze a hagyományos DC-k nélkül, az esetleges WAN hibák esetén is megy tovább az élet

7 Read-only DNS Elsődleges típus, névfeloldásra tökéletesen alkalmas Rekordszinten frissít „fentről”, ha kell Mindent replikál (alkalmazásparticiók, domainDNSZones, ForestDNSZones, stb.) De nem írható Különválasztott GC szerepkör A RODC csak speciális esetben lehet

8 RODC a telephelyen – elsődlegesen ajánlott Tipikusan a limitált fizikai biztonságú helyekre RODC a DMZ-ben (még nincs ajánlás) Az AD nagyon sok előnye elérhető lenne kívülre és belülre is – tűrhető biztonsági körülmények között RODC az Interneten (még nincs ajánlás) Egyszerűen elérhetővé válna – minimális munkával – bár…

9

10 2.RODC „észleli”, hogy e fiók hitelesítését nem tudja elvégezni 3.Hajrá tovább a központi W2K8 felé 4.A hub W2K8 hitelesít 5.Az eredmény (és a TGT) visszaküldése a RODC-nek 6.RODC átnyújtja a saját TGT-jét a fióknak és megjegyzi, hogy innentől saját maga kezeli majd 7.A központi DC megvizsgálja a Password Replication Policy-t, és a beállításnak megfelelően leküldi (vagy nem) a jelszót a RODC-re 1.A kliens TGT kérésének elküldése a RODC-nek

11 Nincs jelszó cachelés (alapértelmezett) pro: magasan a legbiztonságosabb kontra: viszont ha offline a központ > nincs hitelesítő DC > nincs belépés Sok és fontos fiók kijelölése pro: egyszerű megoldás, mindenki beléphet, minden esetben kontra: nem elég biztonságos, „ott vagyunk ahol a part szakad” Csak a kevésbé fontos (pl. csak a telephelyi) fiókok kiválasztása pro: nem esik csorba a biztonságon, a fontos fiókok védve maradnak kontra: több munka van vele

12

13 A problémák Egy DC sem élhet a Domain Admins csoport nélkül pedig a legtöbb feladathoz nem kell ez a jogosultság, még egy DC-n se A helyi Administrators csoport ismeretlen a DC-n Ezért a külső partnereket is muszáj sokszor Domain Admins csoportaggá tenni A RODC elveinek abszolút ellentmond Hiszen tisztán „belenyúlhatna” a címtárba is

14 A megoldás Egy újfajta „lokális admin” fiók Ami az összes beépített helyi csoport tagjai is egyúttal (Backup, Print, Server Operators, stb) A címtártól viszont teljes tiltás Már a telepítés közben is megadhatjuk Később is bármikor További korlátok Csak egy már működő tartományi fiók lehet De csak az adott RODC-n admin!

15

16 Windows 2003 működési szint Erdő és tartomány is A PDC FSMO csak W2K8 lehet Legalább egy W2K8 DC szükséges Ez lesz majd kapcsolatban a RODC-vel Nem baj, ha több van > rendelkezésre állás DNS alkalmazásparticiók frissítése Adprep /RodcPrep

17

18 Telephelyes környezet RODC Felügyelet és üzemeltetés Auditing, DCPromo, újraindítható DS, Snapshot Browser

19 Az új, DS-hez kapcsolódó Eseménynapló bejegyzés (Event ID: 5136) „megmondja”: Ki eszközölte a változást? Mikor történt? Mely objektum / jellemző változott? Mi volt / lett az előző / jelenlegi állapot? Az auditálás engedélyezhető / tiltható A globális audit házirendben A SACL vagy akár a séma segítségével Auditpol.exe

20 A DCPromo immár képes A működési szint kiválasztására (erdő, tartomány) Választható DNS telepítésre, automatikus delegálással és beállítással A cél site kiválasztására Delegált futtatásra (RODC) Szükséges esetben az automatikus Infrastructure Master <> GC szerep transzferre Több új, unattended telepítés opció használatára

21 Stop / Start a gép újraindítása nélkül Miért jó nekünk ez? Karbantartás, AD patchelés A többi szolgáltatás működhet tovább Az NTDS.dit offline Belépés > DSRM Hálózati belépés is

22 Minden ADUC objektumon ADSIEdit tulajdonság fül DFSR for SYSVOL (FRS V2) – SYSVOL replikáció – RDC is AD MP SP1 a W2K8 DC / RODC-khez Külön menedzsment csomagok - AD LDS, DNS Server, stb.

23 Nagy segítség lesz a címtárból törölt objektumok visszaállításánál Újraindítás és a DSRM nélkül megszemlélhetjük az AD lementett példányát Visszaállításra nem használható NTDSUTIL.EXE DSAMAIN.EXELDP.EXE A pillanatfelvétel LDAP szerverré alakítása A read-only címtár példány megtekintése Pillanatfelvétel készítése a DS/LDS-ről

24

25


Letölteni ppt "Active Directory Domain Services Az „Active Directory” helyett Active Directory Lightweight Directory Services Az „ADAM” helyett Active Directory Certificate."

Hasonló előadás


Google Hirdetések