Active Directory Domain Services

Slides:



Advertisements
Hasonló előadás
2005 február 7Dr. Tánczos László BME EISZK1 Az oklevélmelléklet előállításának technikai és informatikai háttérbiztosítása. Tánczos László igazgatóhelyettes,
Advertisements

Teljesen új elképzelés Minimum környezet – „sallangok” nélkül, viszont kompromisszumokkal Kifejezetten bizonyos szerepkörök ellátására Nem külön verzió,
Windows OS Ambrus Attila 2010 Vay Ádám Gimnázium Szakközépiskola Szakiskola és Kollégium Rendszergazda.
Virtualizált Biztonságos BOINC Németh Dénes Deák Szabolcs Szeberényi Imre.
Hitelesítés és tanúsítványkezelés
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Mailbox Server szerepkör - alapozás
Windows hálózati infrastruktúra kialakítása
Active Directory.
Hálózati architektúrák
- Virtualizációt az asztalra!
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Active Directory Schema
E-NAPLÓ Szabó László.
Új név, új tudás (RDS+VDI+RemoteFX)
1 Hálózati Operációs Rendszerek Sun ONE Directory Server, Active Directory Előadó: Bilicki Vilmos
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
FSMO –Egyedi szerepkörök a címtárszolgáltatásban Ezeket a szerepköröket csak egy tartományvezérlő tudhatja magáénak; alapértelmezettként az első, de átadható.
Networkshop, április Gál Gyula, Szegedi Tudományegyetem, Egyetemi Könyvtár Szerver-kliens alapú online intranetes.
Kurucz György Terméktámogatási tanácsadó Hogyan készüljünk a Windows Server 2003 schema-ra?
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Áttérés Exchange 2003-ra Gazdasági előnyök Ferencz István konzulens.
Erős bástya – biztonsági újdonságok
Windows „Longhorn”Server kitekintés
SharePoint Adminisztráció
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Storage Virtualization Presentation Virtualization Server Virtualization Desktop Virtualization Application Virtualization SYSTEM CENTER.
Pandora felhasználók Active Directory migrációja.
Active Directory, a Windows 2000 új címtára
Module 1: A Microsoft Windows XP Professional telepítése
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
Active Directory alapozás. Kommunikáció Kommunikáció.
Biztonság és távelérés
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
RDS komplett átvilágítás VDI okosságok RemoteApp for Hyper-V.
- Active Directory - gyors áttekintés - Anno domini: Windows Server Anno domini: Windows Server 2008 R2.
Exchange Server 2007 Client Access Role
Magas Rendelkezésreállás I.
Felhasználók azonosítása és jogosultságai, személyre szabás Borsi Katalin és Fóti Marcell NetAcademia Oktatóközpont.
Központosított rendszerfelügyelet System Center Essentials 2007 Micskei Zoltán.
Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék Active Directory Micskei Zoltán
Operációs Rendszerek 1 Felhasználókezelés Windisch Gergely
ELTE WIFI Beállítási útmutató MS Windows XP-hez
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Windows R2, Windows-Linux
Alapozó eszközök Eseménynapló Eseményszámba megy… Analytic and Debug Logs Custom Views / Cross-log queries Event Forwarding > Subscriptions Feladatütemező.
- RDP RDS szerepkörök - VDI Word.rdp Excel.rdp Virtual Desktop.rdp RD Web Access.
Címtáradatbázis karbantartása. A címtáradatbázis állományai és tranzakciókezelése.
- S2S VPN - Server Core - DFS-R - BranchCache.
DNS Domain Name System. DNS - WINS WINSDNS Barátságos NetBIOS nevek LAN-okonBarátságos DNS nevek WAN-okonSík névtér, 15 karakteres névHierarchikus névtér,
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
SQL Server 7 installálása. A szükséges hardver és szoftver Processzor Memória Háttértár OS Hálózat Kliensek.
A Windows Server 2003 telepítése. Javasolt, minimális hardver CPU1 GHz RAM512 MB HDD2-2,5 GB + Exchange, SQL…
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
Irány a felhő Előnyök, tapasztalatok Sárdy Tibor
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Felhasználók, felhasználócsoportok, jogosultságok.
Alapszolgáltatások A fájlszerver – milyen tárolókon?
Microsoft TechDays eseménysorozat Informatikai szakember képzés.
Hálózati architektúrák
Hálózati Operációs Rendszerek
Előadás másolata:

Active Directory Domain Services Gál Tamás v-tagal@microsoft.com rendszermérnök Microsoft Magyarország

Terminológia Active Directory Domain Services Az „Active Directory” helyett Active Directory Lightweight Directory Services Az „ADAM” helyett Active Directory Certificate Services Tanúsítványok kezelése a PKI infrastruktúra részeként Active Directory Federation Services Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez Active Directory Rights Management Services Központi szabályzású, információvédelmi megoldás

Tartalom Telephelyes környezet Felügyelet és üzemeltetés RODC Auditing, DCPromo, újraindítható DS, Snapshot Browser

Read-Only Domain Controller Előnyök Kevésbé biztonságos helyen is használható Alapesetben a user/computer jelszó nincs tárolva Read-only Partial Attribute Set: az alkalmazások jogosultságainak tárolása (így replikálása a RODC-re) tiltható Kevesebb lehetőség a címtár távoli „megpiszkálására” „Unidirectional” replikáció – AD / FRS / DFSR Minden RODC rendelkezik saját KDC KrbTGT fiókkal Helyben hitelesítés, ergo szeparálás a központtól

Read-Only Domain Controller Előnyök (folytatás) Kevesebb lehetőség a címtár távoli „megpiszkálására” Delegálható DCPROMO > nem kell Domain Adminként futtatni a telephelyen dcpromo /UseExistingAccount:Attach Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t egy SRV rekordba A RODC csak egy szimpla workstation fiókkal rendelkezik Nem tagja az Enterprise-DC vagy a Domain-DC csoportoknak További erős korlátok a címtárba íráskor

Egy elképzelt DS infrastruktúra Ha van RODC: Biztonságosabb és kevésbé költséges a DS infrastruktúra Nincs szükség nagytudású Domain Admin-ra a telephelyen „Bengedhető” a külső cég is a DC-re …és persze a hagyományos DC-k nélkül, az esetleges WAN hibák esetén is megy tovább az élet

Read-Only Domain Controller További következmények Read-only DNS Elsődleges típus, névfeloldásra tökéletesen alkalmas Rekordszinten frissít „fentről”, ha kell Mindent replikál (alkalmazásparticiók, domainDNSZones, ForestDNSZones, stb.) De nem írható Különválasztott GC szerepkör A RODC csak speciális esetben lehet

Read-Only Domain Controller Alkalmazási szkenáriók 4/7/2017 8:20 AM Read-Only Domain Controller Alkalmazási szkenáriók RODC a telephelyen – elsődlegesen ajánlott Tipikusan a limitált fizikai biztonságú helyekre RODC a DMZ-ben (még nincs ajánlás) Az AD nagyon sok előnye elérhető lenne kívülre és belülre is – tűrhető biztonsági körülmények között RODC az Interneten (még nincs ajánlás) Egyszerűen elérhetővé válna – minimális munkával – bár… © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

RODC telepítés demó

Read-Only Domain Controller Hogyan működik az első belépés? A kliens TGT kérésének elküldése a RODC-nek RODC „észleli”, hogy e fiók hitelesítését nem tudja elvégezni Hajrá tovább a központi W2K8 felé A hub W2K8 hitelesít Az eredmény (és a TGT) visszaküldése a RODC-nek RODC átnyújtja a saját TGT-jét a fióknak és megjegyzi, hogy innentől saját maga kezeli majd A központi DC megvizsgálja a Password Replication Policy-t, és a beállításnak megfelelően leküldi (vagy nem) a jelszót a RODC-re

4/7/2017 8:20 AM Read-Only Domain Controller Password Replication Policy - Mikor, mit nyerünk? Nincs jelszó cachelés (alapértelmezett) pro: magasan a legbiztonságosabb kontra: viszont ha offline a központ > nincs hitelesítő DC > nincs belépés Sok és fontos fiók kijelölése pro: egyszerű megoldás, mindenki beléphet, minden esetben kontra: nem elég biztonságos, „ott vagyunk ahol a part szakad” Csak a kevésbé fontos (pl. csak a telephelyi) fiókok kiválasztása pro: nem esik csorba a biztonságon, a fontos fiókok védve maradnak kontra: több munka van vele © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Password Replication Policy demó

Read-Only Domain Controller Az admin jogok szétválasztása 4/7/2017 8:20 AM Read-Only Domain Controller Az admin jogok szétválasztása A problémák Egy DC sem élhet a Domain Admins csoport nélkül pedig a legtöbb feladathoz nem kell ez a jogosultság, még egy DC-n se A helyi Administrators csoport ismeretlen a DC-n Ezért a külső partnereket is muszáj sokszor Domain Admins csoportaggá tenni A RODC elveinek abszolút ellentmond Hiszen tisztán „belenyúlhatna” a címtárba is © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Read-Only Domain Controller Admin jogok elválasztása 4/7/2017 8:20 AM Read-Only Domain Controller Admin jogok elválasztása A megoldás Egy újfajta „lokális admin” fiók Ami az összes beépített helyi csoport tagjai is egyúttal (Backup, Print, Server Operators, stb) A címtártól viszont teljes tiltás Már a telepítés közben is megadhatjuk Később is bármikor További korlátok Csak egy már működő tartományi fiók lehet De csak az adott RODC-n admin! © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Helyi admin a RODC-n demó

Read-Only Domain Controller Telepítési kritériumok 4/7/2017 8:20 AM Read-Only Domain Controller Telepítési kritériumok Windows 2003 működési szint Erdő és tartomány is A PDC FSMO csak W2K8 lehet Legalább egy W2K8 DC szükséges Ez lesz majd kapcsolatban a RODC-vel Nem baj, ha több van > rendelkezésre állás DNS alkalmazásparticiók frissítése Adprep /RodcPrep © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

RODC eltávolítás demó

Tartalom Telephelyes környezet Felügyelet és üzemeltetés RODC Auditing, DCPromo, újraindítható DS, Snapshot Browser

4/7/2017 8:20 AM Auditing Az új, DS-hez kapcsolódó Eseménynapló bejegyzés (Event ID: 5136) „megmondja”: Ki eszközölte a változást? Mikor történt? Mely objektum / jellemző változott? Mi volt / lett az előző / jelenlegi állapot? Az auditálás engedélyezhető / tiltható A globális audit házirendben A SACL vagy akár a séma segítségével Auditpol.exe © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

DS telepítés A DCPromo immár képes 4/7/2017 8:20 AM DS telepítés A DCPromo immár képes A működési szint kiválasztására (erdő, tartomány) Választható DNS telepítésre, automatikus delegálással és beállítással A cél site kiválasztására Delegált futtatásra (RODC) Szükséges esetben az automatikus Infrastructure Master <> GC szerep transzferre Több új, unattended telepítés opció használatára © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Újraindítható Active Directory Stop / Start a gép újraindítása nélkül Miért jó nekünk ez? Karbantartás, AD patchelés A többi szolgáltatás működhet tovább Az NTDS.dit offline Belépés > DSRM Hálózati belépés is

Felügyelet Minden ADUC objektumon ADSIEdit tulajdonság fül 4/7/2017 8:20 AM Felügyelet Minden ADUC objektumon ADSIEdit tulajdonság fül DFSR for SYSVOL (FRS V2) – SYSVOL replikáció – RDC is AD MP SP1 a W2K8 DC / RODC-khez Külön menedzsment csomagok - AD LDS, DNS Server, stb. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Snapshot browser (viewer / exposure / stb.) 4/7/2017 8:20 AM Snapshot browser (viewer / exposure / stb.) Nagy segítség lesz a címtárból törölt objektumok visszaállításánál Újraindítás és a DSRM nélkül megszemlélhetjük az AD lementett példányát Visszaállításra nem használható NTDSUTIL.EXE DSAMAIN.EXE LDP.EXE Pillanatfelvétel készítése a DS/LDS-ről A pillanatfelvétel LDAP szerverré alakítása A read-only címtár példány megtekintése © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Snaphot Browser demó

Budai Péter Áttekintés Gál Tamás Active Directory Domain Services Kérdések és válaszok Budai Péter Áttekintés Gál Tamás Active Directory Domain Services

Visszajelzés: Adatvédelmi irányelvek Visszajelzés
Projectumról: SlidePlayer Felhasználási feltételek

© 2024 SlidePlayer.hu Inc. All rights reserved.