Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community

Slides:



Advertisements
Liknende presentasjoner
Ny ordlyd på rapportene i avdelingen og nye rutiner for registrering av skyteaktiviteter For nye brukere: Du må først være registrert med en e-postadresse.
Advertisements

HVA ER ?.
Support, nye funksjoner og tjenester fra Uni Pluss
Hvordan bruke Lions medlemsregister?
Avhengigheter og installering
SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.
GoOnline publisering Hvordan komme i gang med GoOnline. Denne presentasjonen tar deg steg for steg gjennom oppsett av nettsted med bruk av GoOnline Proffesional.
BraWeb Bestilling.
EVurdering Et webbasert system for elektronisk vurdering av søknader om forskningsmidler Kort presentasjon av elektronisk system for vurdering av forskningssøknader.
Webprogrammering (LO113A) 1 Kom i gang med PHP. Webprogrammering (LO113A) 2 Mål  Installere Apache og PHP  Konfigurasjon av Apache og PHP  Forstå samspillet.
Inni BAAT og detaljer om komponentene…
Kapittel 6 Data Backup Service. Tradisjonell arkitektur •Mange klienter •En server (evt. et cluster) •Klientene tar backup m jevne mellomrom •Inkrementell.
Acronis True Image v I denne presentasjonen •Introduksjon av Acronis True Image 9.1 –Nye funksjoner –Hva disse innebærer.
Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?
Sikkerhet - bakgrunn og introduksjon til kryptosystemer
Gruppe 6 Gunnar Henrik Mathias Morten Ronny Svein Ivar.
Begrenset redigering “Klubbjournalister” For web ansvarlig klubb.
Microsoft Office2010 ved UiO Fellesmøte IT-ansvarlige januar 2011.
Monica Stamnes Identitetsforvaltning og brukeradministrasjon Introduksjon til identitetsforvaltning og brukeradministrasjon med Cerebrum Monica Stamnes.
23. januar 2004TDT4285 Planl&drift IT-syst1 Tjeneroppgraderinger TDT4285 Planlegging og drift av IT-systemer Anders Christensen, IDI.
1 Utfordringer knyttet til full utbredelse av samhandlingsløsningene Implementering og bruk av NHN adresseregister.
Hva er Fronter.
Windows Server 2008 Hovedprosjekt vår 2008 av: Mick Skjørten, 3BADR
IPSec og VPN.
Ny serverløsning for Systemrevisjon AS Fra Windows Server NT 4.0 Til Windows Server 2003.
8.4 Sikkerhetshåndtering Nøkkelhåndtering Gruppe av servere skal legge til et nytt medlem Autentisering/delegering (kapabiliteter, sertifikater)
Rune Log Senior Konsulent, Ergogroup
Administrasjon av SQL Server 2008 Av: Ole Kristian Bangås Fagansvarlig SQL Server.
Blogging med Google Blogger
In115 bruksrett brukeradm. problemstilling objekter/ressurser som skal beskyttes mot misbruk brukere som har behov for tilgang til disse ressurser, som.
PARLAY/OSA Referanser: Referanser Foredraget er i all hovedsak basert på to artikler. Disse kan finnes på:
Hvordan kan foreldre bruke de vangligste funksjonene i Itslearning.com
Konfigurasjonsstyring Configuration Management
Avdelings ingeniør ved HiB (AHS)
Funksjoner og Innstillinger i
The Peer-to-Peer Architecture Av Ingunn Lund og Anja Lønningen.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Installering av Windows XP med PXE (netboot) Del 1 – forhåndskonfigurering.
Marius Lia Nilsen Magnus Salomonsen Prosjektgruppe 048E.
Kontinuerlig kvalitetskontroll. Hvordan komme helt i mål.
Bachelorprosjekt - Oppgave 17E
Group Policy Objects Petter Haavin, KIA 10. desember 2014.
Oppgradering av AD til 2012 R2
Disaster Preparation/Recovery Solutions and Messaging Backup/Restore Exchange server 2003.
Windows – drift, rutiner og SCCM
FS i UHAD Anders Lefébure-Henriksen, TD/GAD Windows-forum,
Hovedprosjekt HKD Gruppe 54E Oppsett og konfigurering av VPN.
Hurtigreferanse for © 2013 Microsoft Corporation. Med enerett. Startskjermen i Lync Startskjermen i Lync inneholder fliser i huben til venstre, som du.
Freenet A Distributed Anonymous Information Storage and Retrieval System.
RBA ved System Center Configuration Manager 2012 Ernesto Gonzalez USIT - Gruppe for Windowsdrift.
Malvik Videregående Skole Overvåking av brukeraktivitet og fjerndistribuering av Windows 2003 Server.
Oppsett av Windows server 2008 domene, Exchange 2007, MSSQL 2008 og Microsoft Office Sharepoint server 2007 på virtuelle maskiner vha Hyper-V, samt migrering.
Jasmina Hodzic, Gruppe for grunntjenester, USIT POLS, Cerebrum og Ephorte synkronisering Registrering av brukere i Ephorte ved hjelp av automatiske oppdateringsrutiner.
Prosjekt 52E Installasjon, konfigurasjon og bruk av System Management Server 2003.
Klasse: 2HKI Student: Bertil Gjerstad Oppgnr: 25E
Hovedprosjekt 29E Distribuering og overvåking med Group Policy.
Bachelorprosjekt - Våren 2008 Office SharePoint Server 2007 Gruppe 36 Vegard Ofstad Ernestina Osei-Assibey.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Best Practice Noe av det som er lurt.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Daily maskinene rapporterer fra innsiden Loggdelen.
Et BAS: Cerebrum.
UiO Programkiosk: Ny portal og tilgang fra Mac og Linux
Android-Programmering Våren Oversikt Long-running operasjoner Introduksjon til Android services On-demand service Bruk av servicer på tvers av prosesser.
Trafikantens mobile sanntidssystem Presentasjon INF5261.
© UNIVERSITETETS SENTER FOR INFORMASJONSTEKNOLOGI UNIVERSITETET I OSLO USIT Side 1 Patching En patch er en fiks for en eller flere feil i et program/operativ.
Opplæring i «Nye DDV» Windows 10 OneDrive login.ddv.no
Opplæring i «Nye DDV» Windows 10 OneDrive login.ddv.no
Med en direkteservicekontofår din bedrift en unik webkonto for registrering av service på mobiltelefoner, nettbrett og tilbehør.   DS+ swap gir deg markedets.
Med en direkteservicekonto får din bedrift en unik webkonto for registrering av service på mobiltelefoner, nettbrett og tilbehør.   DS+ swap gir deg markedets.
Dynamisk DNS registrering for Windows 10
Prevas Connector og WHM versjon 4.0
Utskrift av presentasjonen:

Windows 2008 Active Directory Ragnar Harper Crayon as Senior konsulent & rådgiver Medlem av Microsoft Speaker Community

Agenda Oversikt over Active Directory Sikkerhetsmessige endringer Read-Only Domain Controllers Administrative endringer

Active Directory Nettverkskatalogtjeneste med markedets største bredde Bedre administrasjon Enklere utrulling Sikkerhet (spesiellt avdelingskontor) Bedre administrasjon Redusere kostnader

Fokus Sikkerhet Administrasjon Avdelinger

Sikkerhet 1.Logging 2.Passordpolicy

Logging Eventloggen forteller deg nå: –Hvem utførte endring –Når ble endringen utført –Hvilket objekt/attributt var endret –Verdier før og etter Loggingen kontrolleres av: –Global audit policy –SACL –Schema

Ulike nivåer av passord kreves av ulike brukergrupper i bedriften: –For eksempel Administrator brukere –Strenge krav (passordlengde 20 tegn, byttes hver 30 dag) Service accounts –Ulike krav (utestengt etter 2 feil,passordlengde 32 tegn) Vanlige brukere –Normale krav (Passordlengde 10 tegn, byttes hver 45 dag)

Kan nå kobles til: –Brukere –Globale sikkerhetsgrupper Kan IKKE kobles til: –Maskinobjekter –Brukere som IKKE er medlem i domenet –Organizational Units

Flere policyer kan kobles til samme bruker –Gir prioritet til den som skal benyttes Krav for bruk: –Alle domenekontrollere må kjøre Windows Server 2008 –Windows Server 2008 Domain Functional Mode –Ingen endringer på klient

Avdelinger Read Only Domain Controller

Read-Only Domain Controller Det handler om: Mindre sårbarhetsoverflate!

Read-Only Domain Controller 1.Redusere faren ved stjålet domenekontroller Standard er at ingen brukere/maskiners passord er lagret på en RODC “Read-only Partial Attribute Set” beskytter passord fra å replikeres til RODC 2.Mindre sårbarhetsoverflate for en kompromittert domenekontroller “Read-only” med enveis replikering for AD og FRS/DFSR Sletting av SYSVOL på RODC replikeres ikke videre Hver RODC har sin egen KDC KrbTGT konto som tilbyr separering av kryptografisk nøkkel Delegering av DCPROMO rettigheter reduserer behovet for domene administrator for installasjon/administrasjon Windows Server 2008 domenekontrollere registrerer SRV I DNS på vegne av RODC for å unngå DNS pollution RODCs tilsvarer vanlige maskiner fra et Active Directory perspektiv Er ikke medlemmer av Enterprise-DC eller Domain-DC gruppene Begrenset adgang til å skrive i AD

Read-Only Domain Controller Benyttes: Når sikkerhetskravene eller administrasjons behovet ikke tillatter skrivbare domene- kontrollere …mens det fortsatt er behov for selvstendighet hvis for eksempel WAN linken faller ned Benyttes IKKE : Som en erstatning for vanlige domenekontrollere

Read-Only Domain Controller Utrulling fra et Server 2003 miljø 1.ADPREP /ForestPrep 2.ADPREP /DomainPrep 3.Installer en Windows Server 2008 DC 4.Sjekk at “Forest Functional Mode” er Win2k03 5.ADPREP /RodcPrep 6.Verifiser at alle domenekontrollere er kompatible 7.Installer RODC Ikke RODC spesifikt RODC spesifikt Note: You can’t convert a Full DC to RODC or vice versa without a demotion\re-promotion

Read-Only Domain Controller Password replikering ved første pålogging 2.RODC: Sjekker i DB “Jeg har ikke denne brukerens hemmeligheter…" 3.Videresender til domenekontroller 4.Domenekontroller autentiserer forespørsel 5.Returnerer autentisering og TGT tilbake til RODC 6.RODC gir TGT til brukeren og køer en replikeringsforespørsel for denne brukerens informasjon 7.Domenekontrolleren sjekker “Password Replication Policy” for å verifisere at passordet kan replikeres til RODC 1.Forespørsel sendt til RODC (forespørsel for TGT) Merk: På dette tidspunktet har brukeren en domenekontroller signert TGT

Passord som er replikert til RODC lagres til passordet endres Det er ingen mekanisme for å fjerne passordet uten å endre det Ved passordendring vil passordet replikeres på nytt ved første påloggingsforsøk av brukeren/maskinen Det er usynlig for brukeren om passordet er på RODC, (så fremt ikke linken til resten av domenekontrollerne feiler) Klienter prosesserer logon scripts og Group Policy fra en RODC uansett om passord blir cachet der eller ikke Outlook kan benytte RODC GC for adressebok oppslag LDAP søk benytter RODC Hvis linja til domenekontrollerne går ned er det kun brukerne med cachet passord på RODC som kan logge på, andre klienter utfører “cached logons” som om domenekontroller ikke er tilgjenglig.

Read-Only Domain Controllers Password Replication Policy – administrative modeller 1.Ingen passord cachet(default) +: Sikreste, tilbyr rask autentisering og lokal prosessering av group policy -: Linje til domenekontroller påkrevet for pålogging 2.Fleste passord cachet +: Enkel vedlikehold av passord. Beregnet på de som har behov for den administrative modellen med RODC,og ikke nødvendigvis sikkerheten -: Flere passord eksponert på RODC 3.Få passord (lokasjonsspesifikk) cachet +: Tilbyr adgang for de som krever det, og maks sikkerhet for de andre -: Administrasjon Krever at vi kobler maskinene til hver lokasjon Må benytte Auth2 attributt listen til å manuellt identifisere kontoer, eventuellt benytte ILM for automatisering En utvidet Repadmin er under utvikling som vil automatisere flytting fra Auth2 til Allow

Read-Only Domain Controller DNS Domene og forest DNS soner på en RODC er “read-only” Klientene mottar en DNS referral ved registrering RODC forsøker å replikere kun den oppdaterte recorden umiddelbart Kompabilitet Noen klienter kan kreve oppdateringer (KB artikkel planlagt)

Read-Only Domain Controller Partial attribute set Problem Applikasjoner lagrer sensitive data i Active Directory. Hvis en RODC blir stjålet kan dette medføre sikkerhetslekkasjer Løsning Sensitiv data replikeres ikke til RO-PAS Likedan som “Global Catalog Partial Attribute Set”, er RO-PAS et utvalg av attributter som replikeres til RODC Spesifiseres i Schema og er dynamisk(opprydding/legge til nye) Merk RO-PAS er ikke tenkt for administratorer men for applikasjonsutviklere. Applikasjonen må vite at attributten kan være filtrert bort

Read-Only Domain Controller Admin role separation Problem For mange behøver “Domain Admin” rettigheter Fleste av disse DA er egentlig server administratorer (patch management, osv) Løsning Tilbyr en ny “lokal admin” nivå adgang til RODC Inkluderer innebygde grupper (Backup Operators..osv) Beskytter mot tilfeldige endringer i AD av serveradministrator En ekte sikkerhetsegenskap ved Read-only DC

Delegert installasjon av RODC Forhåndsopprett RODC konto Parametre som maskinnavn og delegert administrator angis Knytter maskina opp som RODC

Administrasjon Domenekontroller som en tjeneste Snapshot

Domenekontroller som en tjeneste Domenekontroller kjøres nå som en tjeneste –Du kan utføre offline defagmentering uten restart! Tilsvarer member server når tjenesten er stoppet: –NTDS.dit er “offline” –Kan logge på lokalt med DSRM passordet

Snapshot Lar deg velge backupmetoden som passer deg: Best Practice: Automatiser jevnlig snapshot med NTDSUtil.exe (for eksempel hver natt) MERK: INGEN mulighet for restore Dagens løsning: Verktøy + tombstone reanimation + LDAP Senere(>WS08): Ser på muligheter for Undelete NTDSUTIL Ta VSS snapshot av DS/LDS DSAMAIN Start snapshot som LDAP egen tjeneste LDP Les “read-only” DS/LDS informasjon

Spørsmål?

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.