Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Active Directory Domain Services
Gál Tamás rendszermérnök Microsoft Magyarország
2
Terminológia Active Directory Domain Services
Az „Active Directory” helyett Active Directory Lightweight Directory Services Az „ADAM” helyett Active Directory Certificate Services Tanúsítványok kezelése a PKI infrastruktúra részeként Active Directory Federation Services Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhez Active Directory Rights Management Services Központi szabályzású, információvédelmi megoldás
3
Tartalom Telephelyes környezet Felügyelet és üzemeltetés RODC
Auditing, DCPromo, újraindítható DS, Snapshot Browser
4
Read-Only Domain Controller Előnyök
Kevésbé biztonságos helyen is használható Alapesetben a user/computer jelszó nincs tárolva Read-only Partial Attribute Set: az alkalmazások jogosultságainak tárolása (így replikálása a RODC-re) tiltható Kevesebb lehetőség a címtár távoli „megpiszkálására” „Unidirectional” replikáció – AD / FRS / DFSR Minden RODC rendelkezik saját KDC KrbTGT fiókkal Helyben hitelesítés, ergo szeparálás a központtól
5
Read-Only Domain Controller Előnyök (folytatás)
Kevesebb lehetőség a címtár távoli „megpiszkálására” Delegálható DCPROMO > nem kell Domain Adminként futtatni a telephelyen dcpromo /UseExistingAccount:Attach Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t egy SRV rekordba A RODC csak egy szimpla workstation fiókkal rendelkezik Nem tagja az Enterprise-DC vagy a Domain-DC csoportoknak További erős korlátok a címtárba íráskor
6
Egy elképzelt DS infrastruktúra
Ha van RODC: Biztonságosabb és kevésbé költséges a DS infrastruktúra Nincs szükség nagytudású Domain Admin-ra a telephelyen „Bengedhető” a külső cég is a DC-re …és persze a hagyományos DC-k nélkül, az esetleges WAN hibák esetén is megy tovább az élet
7
Read-Only Domain Controller További következmények
Read-only DNS Elsődleges típus, névfeloldásra tökéletesen alkalmas Rekordszinten frissít „fentről”, ha kell Mindent replikál (alkalmazásparticiók, domainDNSZones, ForestDNSZones, stb.) De nem írható Különválasztott GC szerepkör A RODC csak speciális esetben lehet
8
Read-Only Domain Controller Alkalmazási szkenáriók
4/7/2017 8:20 AM Read-Only Domain Controller Alkalmazási szkenáriók RODC a telephelyen – elsődlegesen ajánlott Tipikusan a limitált fizikai biztonságú helyekre RODC a DMZ-ben (még nincs ajánlás) Az AD nagyon sok előnye elérhető lenne kívülre és belülre is – tűrhető biztonsági körülmények között RODC az Interneten (még nincs ajánlás) Egyszerűen elérhetővé válna – minimális munkával – bár… © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
9
RODC telepítés demó
10
Read-Only Domain Controller Hogyan működik az első belépés?
A kliens TGT kérésének elküldése a RODC-nek RODC „észleli”, hogy e fiók hitelesítését nem tudja elvégezni Hajrá tovább a központi W2K8 felé A hub W2K8 hitelesít Az eredmény (és a TGT) visszaküldése a RODC-nek RODC átnyújtja a saját TGT-jét a fióknak és megjegyzi, hogy innentől saját maga kezeli majd A központi DC megvizsgálja a Password Replication Policy-t, és a beállításnak megfelelően leküldi (vagy nem) a jelszót a RODC-re
11
4/7/2017 8:20 AM Read-Only Domain Controller Password Replication Policy - Mikor, mit nyerünk? Nincs jelszó cachelés (alapértelmezett) pro: magasan a legbiztonságosabb kontra: viszont ha offline a központ > nincs hitelesítő DC > nincs belépés Sok és fontos fiók kijelölése pro: egyszerű megoldás, mindenki beléphet, minden esetben kontra: nem elég biztonságos, „ott vagyunk ahol a part szakad” Csak a kevésbé fontos (pl. csak a telephelyi) fiókok kiválasztása pro: nem esik csorba a biztonságon, a fontos fiókok védve maradnak kontra: több munka van vele © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
12
Password Replication Policy
demó
13
Read-Only Domain Controller Az admin jogok szétválasztása
4/7/2017 8:20 AM Read-Only Domain Controller Az admin jogok szétválasztása A problémák Egy DC sem élhet a Domain Admins csoport nélkül pedig a legtöbb feladathoz nem kell ez a jogosultság, még egy DC-n se A helyi Administrators csoport ismeretlen a DC-n Ezért a külső partnereket is muszáj sokszor Domain Admins csoportaggá tenni A RODC elveinek abszolút ellentmond Hiszen tisztán „belenyúlhatna” a címtárba is © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
14
Read-Only Domain Controller Admin jogok elválasztása
4/7/2017 8:20 AM Read-Only Domain Controller Admin jogok elválasztása A megoldás Egy újfajta „lokális admin” fiók Ami az összes beépített helyi csoport tagjai is egyúttal (Backup, Print, Server Operators, stb) A címtártól viszont teljes tiltás Már a telepítés közben is megadhatjuk Később is bármikor További korlátok Csak egy már működő tartományi fiók lehet De csak az adott RODC-n admin! © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
15
Helyi admin a RODC-n demó
16
Read-Only Domain Controller Telepítési kritériumok
4/7/2017 8:20 AM Read-Only Domain Controller Telepítési kritériumok Windows 2003 működési szint Erdő és tartomány is A PDC FSMO csak W2K8 lehet Legalább egy W2K8 DC szükséges Ez lesz majd kapcsolatban a RODC-vel Nem baj, ha több van > rendelkezésre állás DNS alkalmazásparticiók frissítése Adprep /RodcPrep © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
17
RODC eltávolítás demó
18
Tartalom Telephelyes környezet Felügyelet és üzemeltetés RODC
Auditing, DCPromo, újraindítható DS, Snapshot Browser
19
4/7/2017 8:20 AM Auditing Az új, DS-hez kapcsolódó Eseménynapló bejegyzés (Event ID: 5136) „megmondja”: Ki eszközölte a változást? Mikor történt? Mely objektum / jellemző változott? Mi volt / lett az előző / jelenlegi állapot? Az auditálás engedélyezhető / tiltható A globális audit házirendben A SACL vagy akár a séma segítségével Auditpol.exe © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
20
DS telepítés A DCPromo immár képes
4/7/2017 8:20 AM DS telepítés A DCPromo immár képes A működési szint kiválasztására (erdő, tartomány) Választható DNS telepítésre, automatikus delegálással és beállítással A cél site kiválasztására Delegált futtatásra (RODC) Szükséges esetben az automatikus Infrastructure Master <> GC szerep transzferre Több új, unattended telepítés opció használatára © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
21
Újraindítható Active Directory
Stop / Start a gép újraindítása nélkül Miért jó nekünk ez? Karbantartás, AD patchelés A többi szolgáltatás működhet tovább Az NTDS.dit offline Belépés > DSRM Hálózati belépés is
22
Felügyelet Minden ADUC objektumon ADSIEdit tulajdonság fül
4/7/2017 8:20 AM Felügyelet Minden ADUC objektumon ADSIEdit tulajdonság fül DFSR for SYSVOL (FRS V2) – SYSVOL replikáció – RDC is AD MP SP1 a W2K8 DC / RODC-khez Külön menedzsment csomagok - AD LDS, DNS Server, stb. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
23
Snapshot browser (viewer / exposure / stb.)
4/7/2017 8:20 AM Snapshot browser (viewer / exposure / stb.) Nagy segítség lesz a címtárból törölt objektumok visszaállításánál Újraindítás és a DSRM nélkül megszemlélhetjük az AD lementett példányát Visszaállításra nem használható NTDSUTIL.EXE DSAMAIN.EXE LDP.EXE Pillanatfelvétel készítése a DS/LDS-ről A pillanatfelvétel LDAP szerverré alakítása A read-only címtár példány megtekintése © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
24
Snaphot Browser demó
25
Budai Péter Áttekintés Gál Tamás Active Directory Domain Services
Kérdések és válaszok Budai Péter Áttekintés Gál Tamás Active Directory Domain Services
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.