Upload
bern
View
67
Download
0
Embed Size (px)
DESCRIPTION
Active Directory Domain Services. Gál Tamás [email protected] rendszermérnök Microsoft Magyarország. Terminol ógia. Active Directory Domain Services Az „ Active Directory” helyett Active Directory Lightweight Directory Services Az „ A DAM ” helyett - PowerPoint PPT Presentation
Citation preview
Active Directory Domain ServicesActive Directory Domain ServicesAz „Az „Active Directory”Active Directory” helyett helyett
Active Directory Lightweight Directory ServicesActive Directory Lightweight Directory ServicesAz „Az „AADAMDAM”” helyett helyett
Active Directory Certificate ServicesActive Directory Certificate ServicesTanúsítványok kezelése a PKI infrastruktúra részekéntTanúsítványok kezelése a PKI infrastruktúra részeként
Active Directory Federation ServicesActive Directory Federation ServicesAzonosítás kezelő, tipikusan a http/s alapú kliensek Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhezextranetes erőforrás eléréséhez
Active Directory Rights Management ServicesActive Directory Rights Management ServicesKözponti szabályzású, információvédelmi megoldásKözponti szabályzású, információvédelmi megoldás
Telephelyes környezetTelephelyes környezetRODCRODC
Felügyelet és üzemeltetésFelügyelet és üzemeltetésAuditing, DCPromo, újraindítható DS, Auditing, DCPromo, újraindítható DS,
Snapshot BrowserSnapshot Browser
Kevésbé biztonságos helyen is használhatóKevésbé biztonságos helyen is használhatóAlapesetben a user/computer jelszó nincs tárolvaAlapesetben a user/computer jelszó nincs tárolva
Read-onlyRead-only Partial Attribute Set Partial Attribute Set:: az alkalmazások az alkalmazások jogosultságainak tárolása (így replikálása a RODC-re) jogosultságainak tárolása (így replikálása a RODC-re) tilthatótiltható
Kevesebb lehetőség a címtár távoli Kevesebb lehetőség a címtár távoli „megpiszkálására”„megpiszkálására”
„„UUnidirectionalnidirectional”” replikáció – replikáció – AD AD / / FRSFRS // DFSRDFSR
Minden Minden RODC RODC rendelkezik saját rendelkezik saját KDC KrbTGT KDC KrbTGT fiókkalfiókkalHelyben hitelesítés, ergo szeparálás a központtólHelyben hitelesítés, ergo szeparálás a központtól
Kevesebb lehetőség a címtár távoli Kevesebb lehetőség a címtár távoli „megpiszkálására”„megpiszkálására”
Delegálható Delegálható DCPROMO DCPROMO > nem kell Domain Adminként > nem kell Domain Adminként futtatni a telephelyenfuttatni a telephelyen
dcpromo /UseExistingAccount:Attachdcpromo /UseExistingAccount:Attach
Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t egy SRV rekordbaegy SRV rekordba
A A RODCRODC csak egy szimpla csak egy szimpla workstation workstation fiókkal rendelkezikfiókkal rendelkezikNem tagja az Nem tagja az Enterprise-DC Enterprise-DC vagy a vagy a Domain-DC Domain-DC csoportoknakcsoportoknak
További erős korlátok a címtárba íráskorTovábbi erős korlátok a címtárba íráskor
Ha van RODC:•Biztonságosabb és kevésbé költséges a DS infrastruktúra
•Nincs szükség nagytudású Domain Admin-ra a telephelyen
•„Bengedhető” a külső cég is a DC-re
•…és persze a hagyományos DC-k nélkül, az esetleges WAN hibák esetén is megy tovább az élet
Datacenter, vagy biztos
hely
Telephelyek és/vagy kevéssé biztosított
helyszínek
Read-Only
Read-Only
Read-Only
Read-Only
Read-Only
Írható DC(k)
Read-only DNSRead-only DNSElsődleges típus, névfeloldásra tökéletesen Elsődleges típus, névfeloldásra tökéletesen alkalmas alkalmas
Rekordszinten frissít „fentről”, ha kellRekordszinten frissít „fentről”, ha kell
Mindent replikál (alkalmazásparticiók, Mindent replikál (alkalmazásparticiók, domainDNSZones, ForestDNSZones, stb.)domainDNSZones, ForestDNSZones, stb.)
De nem írhatóDe nem írható
Különválasztott GC szerepkörKülönválasztott GC szerepkörA RODC csak speciális esetben lehetA RODC csak speciális esetben lehet
RODC RODC a telephelyen – elsődlegesen ajánlotta telephelyen – elsődlegesen ajánlottTipikusan a limitált fizikai biztonságú helyekreTipikusan a limitált fizikai biztonságú helyekre
RODC RODC aa DMZ DMZ-ben-ben((még nincs ajánlásmég nincs ajánlás))
Az AD nagyon sok előnye elérhető lenne kívülre és Az AD nagyon sok előnye elérhető lenne kívülre és belülre is – tűrhető biztonsági körülmények közöttbelülre is – tűrhető biztonsági körülmények között
RODC RODC az az InternetInternetenen((még nincs ajánlásmég nincs ajánlás))
Egyszerűen elérhetővé válna – minimális munkával – Egyszerűen elérhetővé válna – minimális munkával – bár…bár…
Hub
`
Read-Only DCHub W2K8 DC
Branch
2. RODC „észleli”, hogy e fiók hitelesítését nem tudja elvégezni
3. Hajrá tovább a központi W2K8 felé
4. A hub W2K8 hitelesít
5. Az eredmény (és a TGT) visszaküldése a RODC-nek
6. RODC átnyújtja a saját TGT-jét a fióknak és megjegyzi, hogy innentől saját maga kezeli majd
7. A központi DC megvizsgálja a Password Replication Policy-t, és a beállításnak megfelelően leküldi (vagy nem) a jelszót a RODC-re
1. A kliens TGT kérésének elküldése a RODC-nek
1
23
45
6
6
7
7
NNincs jelszó cachelésincs jelszó cachelés ( (alapértelmezettalapértelmezett))ppro: ro: magasan a legbiztonságosabbmagasan a legbiztonságosabb
kkonontratra:: viszont ha offline a központ > nincs hitelesítő DC > nincs viszont ha offline a központ > nincs hitelesítő DC > nincs belépésbelépés
Sok és fontos fiók kijelöléseSok és fontos fiók kijelöléseppro: ro: egyszerű megoldás, mindenki beléphet, minden esetbenegyszerű megoldás, mindenki beléphet, minden esetben
kkonontratra:: nem elég biztonságos, „ott vagyunk ahol a part szakad”nem elég biztonságos, „ott vagyunk ahol a part szakad”
Csak a kevésbé fontos (pl. csak a telephelyi) Csak a kevésbé fontos (pl. csak a telephelyi) fiókok kiválasztásafiókok kiválasztása
ppro: ro: nem esik csorba a biztonságon, a fontos fiókok védve maradnaknem esik csorba a biztonságon, a fontos fiókok védve maradnak
kkonontratra:: több munka van veletöbb munka van vele
A pA problrobléémmákák
Egy DC sem élhet a Domain Admins csoport Egy DC sem élhet a Domain Admins csoport nélkülnélkül
pedig a legtöbb feladathoz nem kell ez a jogosultság, pedig a legtöbb feladathoz nem kell ez a jogosultság, még egy DC-n semég egy DC-n se
A helyi Administrators csoport ismeretlen a DC-nA helyi Administrators csoport ismeretlen a DC-nEzért a külső partnereket is muszáj sokszor Domain Ezért a külső partnereket is muszáj sokszor Domain Admins csoportaggá tenniAdmins csoportaggá tenni
A RODC elveinek abszolút ellentmondA RODC elveinek abszolút ellentmondHiszen tisztán „belenyúlhatna” a címtárba isHiszen tisztán „belenyúlhatna” a címtárba is
A megoldásA megoldás
Egy újfajta „lokális Egy újfajta „lokális adminadmin” fiók” fiókAmi az összes beépített helyi csoport tagjai is Ami az összes beépített helyi csoport tagjai is egyúttal egyúttal (Backup(Backup, Print, Server, Print, Server Operators, Operators, stbstb))
A címtártól viszont teljes tiltás
Már a telepítés közben is megadhatjukMár a telepítés közben is megadhatjukKésőbb is bármikorKésőbb is bármikor
További korlátokTovábbi korlátokCsak egy már működő tartományi fiók lehetCsak egy már működő tartományi fiók lehet
De csak az adott RODC-n admin!De csak az adott RODC-n admin!
WinWindows dows 2003 2003 működési szintműködési szintErdő és tartomány isErdő és tartomány is
A A PDC FSMO PDC FSMO csak W2K8 lehetcsak W2K8 lehet
Legalább egy W2K8 DC szükségesLegalább egy W2K8 DC szükségesEz lesz majd kapcsolatban a RODC-velEz lesz majd kapcsolatban a RODC-vel
Nem baj, ha több van > rendelkezésre állásNem baj, ha több van > rendelkezésre állás
DNS alkalmazásparticiók frissítése DNS alkalmazásparticiók frissítése Adprep /RodcPrepAdprep /RodcPrep
Telephelyes környezetTelephelyes környezetRODCRODC
Felügyelet és üzemeltetésFelügyelet és üzemeltetésAuditing, DCPromo, újraindítható DS, Auditing, DCPromo, újraindítható DS,
Snapshot BrowserSnapshot Browser
Az új, DS-hez kapcsolódó Eseménynapló Az új, DS-hez kapcsolódó Eseménynapló bejegyzés (Ebejegyzés (Event vent ID: ID: 51365136) „megmondja”:) „megmondja”:
Ki Ki eszközölte a változást? eszközölte a változást? MikorMikor t történt?örtént?
Mely Mely objeobjekkttum um // jellemző jellemző változott?változott?
Mi volt / lett az Mi volt / lett az előző / jelenlegi előző / jelenlegi állapot?állapot?
Az aAz audituditálás engedélyezhető / tilthatóálás engedélyezhető / tilthatóA gA globlobálisális audit audit házirendbenházirendben
A A SACLSACL vagy akár a séma segítségével vagy akár a séma segítségével
Auditpol.exeAuditpol.exe
A A DCPromo DCPromo immár képesimmár képesA működési szint kiválasztására (erdő, A működési szint kiválasztására (erdő, tartomány)tartomány)
Választható DNS telepítésre, automatikus Választható DNS telepítésre, automatikus delegálással és beállítássaldelegálással és beállítással
A cél site kiválasztásáraA cél site kiválasztására
Delegált futtatásra (RODC)Delegált futtatásra (RODC)
Szükséges esetben az automatikus Infrastructure Szükséges esetben az automatikus Infrastructure Master <> GC szerep transzferreMaster <> GC szerep transzferre
Több új, unattended telepítés opció használatáraTöbb új, unattended telepítés opció használatára
StopStop // StartStart a gép a gép újraindítása nélkülújraindítása nélkül
Miért jó nekünk ez?Miért jó nekünk ez?Karbantartás, AD Karbantartás, AD patcheléspatchelés
A többi szolgáltatás A többi szolgáltatás működhet továbbműködhet tovább
Az NTDS.dit offlineAz NTDS.dit offlineBelépés > DSRMBelépés > DSRM
Hálózati belépés isHálózati belépés is
Minden ADUC Minden ADUC objektumon objektumon ADSIEADSIEdit dit tulajdonság fültulajdonság fül
DFSR for SYSVOL DFSR for SYSVOL (FRS V2) (FRS V2) – – SYSVOLSYSVOL replikáció – RDC isreplikáció – RDC is
AD MP SP1 AD MP SP1 a W2K8a W2K8 DCDC // RODCRODC-khez-khez
Külön menedzsment Külön menedzsment csomagok - csomagok - AD LDSAD LDS,, DNS ServerDNS Server, stb., stb.
Nagy segítség lesz a címtárból törölt objektumok Nagy segítség lesz a címtárból törölt objektumok visszaállításánálvisszaállításánál
Újraindítás és a DSRM nélkülÚjraindítás és a DSRM nélkül megszemlélhetjük megszemlélhetjük az AD lementett példányátaz AD lementett példányát
Visszaállításra nem használhatóVisszaállításra nem használható
DSAMAIN.EXE LDP.EXE
A pillanatfelvétel LDAP szerverré
alakítása
A read-only címtár példány
megtekintése
Pillanatfelvétel készítése a DS/LDS-ről