Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community

PublisertAnsgar Madsen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community"— Utskrift av presentasjonen:

1

2 Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community ragnar@crayon.no

3 Agenda Oversikt over Active Directory Sikkerhetsmessige endringer Read-Only Domain Controllers Administrative endringer

4 Active Directory Nettverkskatalogtjeneste med markedets største bredde Bedre administrasjon Enklere utrulling Sikkerhet (spesiellt avdelingskontor) Bedre administrasjon Redusere kostnader

5 Fokus Sikkerhet Administrasjon Avdelinger

6 Sikkerhet 1.Logging 2.Passordpolicy

7 Logging Eventloggen forteller deg nå: –Hvem utførte endring –Når ble endringen utført –Hvilket objekt/attributt var endret –Verdier før og etter Loggingen kontrolleres av: –Global audit policy –SACL –Schema

8 Ulike nivåer av passord kreves av ulike brukergrupper i bedriften: –For eksempel Administrator brukere –Strenge krav (passordlengde 20 tegn, byttes hver 30 dag) Service accounts –Ulike krav (utestengt etter 2 feil,passordlengde 32 tegn) Vanlige brukere –Normale krav (Passordlengde 10 tegn, byttes hver 45 dag)

9 Kan nå kobles til: –Brukere –Globale sikkerhetsgrupper Kan IKKE kobles til: –Maskinobjekter –Brukere som IKKE er medlem i domenet –Organizational Units

10 Flere policyer kan kobles til samme bruker –Gir prioritet til den som skal benyttes Krav for bruk: –Alle domenekontrollere må kjøre Windows Server 2008 –Windows Server 2008 Domain Functional Mode –Ingen endringer på klient

11 Avdelinger Read Only Domain Controller

12 Read-Only Domain Controller Det handler om: Mindre sårbarhetsoverflate!

13 Read-Only Domain Controller 1.Redusere faren ved stjålet domenekontroller Standard er at ingen brukere/maskiners passord er lagret på en RODC “Read-only Partial Attribute Set” beskytter passord fra å replikeres til RODC 2.Mindre sårbarhetsoverflate for en kompromittert domenekontroller “Read-only” med enveis replikering for AD og FRS/DFSR Sletting av SYSVOL på RODC replikeres ikke videre Hver RODC har sin egen KDC KrbTGT konto som tilbyr separering av kryptografisk nøkkel Delegering av DCPROMO rettigheter reduserer behovet for domene administrator for installasjon/administrasjon Windows Server 2008 domenekontrollere registrerer SRV I DNS på vegne av RODC for å unngå DNS pollution RODCs tilsvarer vanlige maskiner fra et Active Directory perspektiv Er ikke medlemmer av Enterprise-DC eller Domain-DC gruppene Begrenset adgang til å skrive i AD

14 Read-Only Domain Controller Benyttes: Når sikkerhetskravene eller administrasjons behovet ikke tillatter skrivbare domene- kontrollere …mens det fortsatt er behov for selvstendighet hvis for eksempel WAN linken faller ned Benyttes IKKE : Som en erstatning for vanlige domenekontrollere

15 Read-Only Domain Controller Utrulling fra et Server 2003 miljø 1.ADPREP /ForestPrep 2.ADPREP /DomainPrep 3.Installer en Windows Server 2008 DC 4.Sjekk at “Forest Functional Mode” er Win2k03 5.ADPREP /RodcPrep 6.Verifiser at alle domenekontrollere er kompatible 7.Installer RODC Ikke RODC spesifikt RODC spesifikt Note: You can’t convert a Full DC to RODC or vice versa without a demotion\re-promotion

16 Read-Only Domain Controller Password replikering ved første pålogging 2.RODC: Sjekker i DB “Jeg har ikke denne brukerens hemmeligheter…" 3.Videresender til domenekontroller 4.Domenekontroller autentiserer forespørsel 5.Returnerer autentisering og TGT tilbake til RODC 6.RODC gir TGT til brukeren og køer en replikeringsforespørsel for denne brukerens informasjon 7.Domenekontrolleren sjekker “Password Replication Policy” for å verifisere at passordet kan replikeres til RODC 1.Forespørsel sendt til RODC (forespørsel for TGT) Merk: På dette tidspunktet har brukeren en domenekontroller signert TGT

17 Passord som er replikert til RODC lagres til passordet endres Det er ingen mekanisme for å fjerne passordet uten å endre det Ved passordendring vil passordet replikeres på nytt ved første påloggingsforsøk av brukeren/maskinen Det er usynlig for brukeren om passordet er på RODC, (så fremt ikke linken til resten av domenekontrollerne feiler) Klienter prosesserer logon scripts og Group Policy fra en RODC uansett om passord blir cachet der eller ikke Outlook kan benytte RODC GC for adressebok oppslag LDAP søk benytter RODC Hvis linja til domenekontrollerne går ned er det kun brukerne med cachet passord på RODC som kan logge på, andre klienter utfører “cached logons” som om domenekontroller ikke er tilgjenglig.

18 Read-Only Domain Controllers Password Replication Policy – administrative modeller 1.Ingen passord cachet(default) +: Sikreste, tilbyr rask autentisering og lokal prosessering av group policy -: Linje til domenekontroller påkrevet for pålogging 2.Fleste passord cachet +: Enkel vedlikehold av passord. Beregnet på de som har behov for den administrative modellen med RODC,og ikke nødvendigvis sikkerheten -: Flere passord eksponert på RODC 3.Få passord (lokasjonsspesifikk) cachet +: Tilbyr adgang for de som krever det, og maks sikkerhet for de andre -: Administrasjon Krever at vi kobler maskinene til hver lokasjon Må benytte Auth2 attributt listen til å manuellt identifisere kontoer, eventuellt benytte ILM for automatisering En utvidet Repadmin er under utvikling som vil automatisere flytting fra Auth2 til Allow

19 Read-Only Domain Controller DNS Domene og forest DNS soner på en RODC er “read-only” Klientene mottar en DNS referral ved registrering RODC forsøker å replikere kun den oppdaterte recorden umiddelbart Kompabilitet Noen klienter kan kreve oppdateringer (KB artikkel planlagt)

20 Read-Only Domain Controller Partial attribute set Problem Applikasjoner lagrer sensitive data i Active Directory. Hvis en RODC blir stjålet kan dette medføre sikkerhetslekkasjer Løsning Sensitiv data replikeres ikke til RO-PAS Likedan som “Global Catalog Partial Attribute Set”, er RO-PAS et utvalg av attributter som replikeres til RODC Spesifiseres i Schema og er dynamisk(opprydding/legge til nye) Merk RO-PAS er ikke tenkt for administratorer men for applikasjonsutviklere. Applikasjonen må vite at attributten kan være filtrert bort

21 Read-Only Domain Controller Admin role separation Problem For mange behøver “Domain Admin” rettigheter Fleste av disse DA er egentlig server administratorer (patch management, osv) Løsning Tilbyr en ny “lokal admin” nivå adgang til RODC Inkluderer innebygde grupper (Backup Operators..osv) Beskytter mot tilfeldige endringer i AD av serveradministrator En ekte sikkerhetsegenskap ved Read-only DC

22 Delegert installasjon av RODC Forhåndsopprett RODC konto Parametre som maskinnavn og delegert administrator angis Knytter maskina opp som RODC

23 Administrasjon Domenekontroller som en tjeneste Snapshot

24 Domenekontroller som en tjeneste Domenekontroller kjøres nå som en tjeneste –Du kan utføre offline defagmentering uten restart! Tilsvarer member server når tjenesten er stoppet: –NTDS.dit er “offline” –Kan logge på lokalt med DSRM passordet

25 Snapshot Lar deg velge backupmetoden som passer deg: Best Practice: Automatiser jevnlig snapshot med NTDSUtil.exe (for eksempel hver natt) MERK: INGEN mulighet for restore Dagens løsning: Verktøy + tombstone reanimation + LDAP Senere(>WS08): Ser på muligheter for Undelete NTDSUTIL Ta VSS snapshot av DS/LDS DSAMAIN Start snapshot som LDAP egen tjeneste LDP Les “read-only” DS/LDS informasjon

26 Spørsmål? www.microsoft.no/technet www.harper.no/blogs/ragnar

Laste ned ppt "Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community"

Liknende presentasjoner

Ny ordlyd på rapportene i avdelingen og nye rutiner for registrering av skyteaktiviteter For nye brukere: Du må først være registrert med en e-postadresse.

Ny ordlyd på rapportene i avdelingen og nye rutiner for registrering av skyteaktiviteter For nye brukere: Du må først være registrert med en e-postadresse.
HVA ER ?.

HVA ER ?.
Support, nye funksjoner og tjenester fra Uni Pluss

Support, nye funksjoner og tjenester fra Uni Pluss
Hvordan bruke Lions medlemsregister?

Hvordan bruke Lions medlemsregister?
Avhengigheter og installering

Avhengigheter og installering
SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.

SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.
GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.

GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.
BraWeb Bestilling.

BraWeb Bestilling.
EVurdering Et webbasert system for elektronisk vurdering av søknader om forskningsmidler Kort presentasjon av elektronisk system for vurdering av forskningssøknader.

EVurdering Et webbasert system for elektronisk vurdering av søknader om forskningsmidler Kort presentasjon av elektronisk system for vurdering av forskningssøknader.
Webprogrammering (LO113A) 1 Kom i gang med PHP. Webprogrammering (LO113A) 2 Mål  Installere Apache og PHP  Konfigurasjon av Apache og PHP  Forstå samspillet.

Webprogrammering (LO113A) 1 Kom i gang med PHP. Webprogrammering (LO113A) 2 Mål  Installere Apache og PHP  Konfigurasjon av Apache og PHP  Forstå samspillet.
Inni BAAT og detaljer om komponentene…

Inni BAAT og detaljer om komponentene…
Kapittel 6 Data Backup Service. Tradisjonell arkitektur •Mange klienter •En server (evt. et cluster) •Klientene tar backup m jevne mellomrom •Inkrementell.

Kapittel 6 Data Backup Service. Tradisjonell arkitektur •Mange klienter •En server (evt. et cluster) •Klientene tar backup m jevne mellomrom •Inkrementell.
Www.acronis.no Acronis True Image v9.1. www.acronis.no I denne presentasjonen •Introduksjon av Acronis True Image 9.1 –Nye funksjoner –Hva disse innebærer.

Acronis True Image v I denne presentasjonen •Introduksjon av Acronis True Image 9.1 –Nye funksjoner –Hva disse innebærer.
Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?

Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?
Sikkerhet - bakgrunn og introduksjon til kryptosystemer

Sikkerhet - bakgrunn og introduksjon til kryptosystemer
Gruppe 6 Gunnar Henrik Mathias Morten Ronny Svein Ivar.

Gruppe 6 Gunnar Henrik Mathias Morten Ronny Svein Ivar.
Begrenset redigering “Klubbjournalister” For web ansvarlig klubb.

Begrenset redigering “Klubbjournalister” For web ansvarlig klubb.
Microsoft Office2010 ved UiO Fellesmøte IT-ansvarlige januar 2011.

Microsoft Office2010 ved UiO Fellesmøte IT-ansvarlige januar 2011.
Monica Stamnes Identitetsforvaltning og brukeradministrasjon Introduksjon til identitetsforvaltning og brukeradministrasjon med Cerebrum Monica Stamnes.

Monica Stamnes Identitetsforvaltning og brukeradministrasjon Introduksjon til identitetsforvaltning og brukeradministrasjon med Cerebrum Monica Stamnes.
23. januar 2004TDT4285 Planl&drift IT-syst1 Tjeneroppgraderinger TDT4285 Planlegging og drift av IT-systemer Anders Christensen, IDI.

23. januar 2004TDT4285 Planl&drift IT-syst1 Tjeneroppgraderinger TDT4285 Planlegging og drift av IT-systemer Anders Christensen, IDI.

Liknende presentasjoner

Annonser fra Google