1 / 18

Windows Server 2008 wstęp do active directory AD Directory Services

Piotr Pawlik. Windows Server 2008 wstęp do active directory AD Directory Services. Windows Server 2008 @ ELMS . Dla studentów, którzy posiadają dostęp do msdn AA dostępny jest Windows Server 2008 @ Elms.pjwstk.edu.pl. Identity and Access. Co nowego w AD?.

neka
Télécharger la présentation

Windows Server 2008 wstęp do active directory AD Directory Services

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Piotr Pawlik Windows Server 2008wstęp do active directoryAD Directory Services

  2. Windows Server 2008 @ ELMS • Dla studentów, którzy posiadają dostęp do msdn AA dostępny jest Windows Server 2008 • @ Elms.pjwstk.edu.pl

  3. Identity and Access

  4. Co nowego w AD? • Wdrożenie – prostota i bezpieczeństwo • AD DS: Read-Only Domain Controllers • AD DS: Restartable Active Directory Domain Services • AD DS: Fine-Grained Password Policies • AD DS: Auditing • AD DS: Database Mounting Tool • AD DS: User Interface Improvements

  5. AD DS Auditing Enhancements • W obecnej platformie oraz Windows Server 2003 R2 można było włączyć globalnie audit policy (Audit Directory Service Access), aby logować zdarzenia związane z bezpieczeństwem, wykonywanymi operacjami na obiektach przechowywanych w AD. • Włączenie logowania obiektów AD to proces dwu fazowy.

  6. 1) otwarcie Default Domain Controller Policy w Group Policy Object Editor (GPOE) i włączenie Audit Service Access [Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy] • 2)Wtedy konfigurujemy > system access control list (SACL) na obiekcie, który chcemy audytować

  7. Przykład • Jeśli chcemy włączyć Success auditing dostępu przez Authenticated Users do obiektów User w danej OU > musimy: • 1) otwieramy Active Directory Users and Computers, upewniamy się, że Advances Features jest zaznaczone w menu View • 2) prawy klik na OU, które chcemy audytować i wybieramy Properties • 3) Przechodzimy na zakładkę Security i klikamy Advanced aby otworzyć Advanced Security Settings dla konkretnej OU. • 4) Wybieramy zakładkę Audit i klikamy Add, żeby otworzyć Select User, Computer or Group dialog

  8. 5) Wpisujemy Authenticated Users, i klikamy OK. Otworzy się okno dialogowe Auditing Entry dla OU. • 6) W Apply Onto list box, wybieramy Descendant User Objects. • 7) Wybieramy check-box Write All Properties z listy. Klikamy OK • 8) Powinna się pokazać nowa SACL na liście w Advanced Security Settings

  9. Co nam daje taki przykład?Po co to jest? • Teraz jeśli zmienimy właściwości jakiegoś konta użytkownika w OU, np.: zrobimy disabling an account – to... ? • To zdarzenie powinno być logowane w Security log z event ID 4662 i źródłem Directory Service Access, żeby zidentyfikować obiekt. • We wcześniejszej wersji 2003 R2 była tylko jedna Audit Policy – Audit Directory Service Access, która kontrolowała czy audyt zdarzeń directory service jest włączony czy wyłączony

  10. Podział audit policy w 2008 • Directory Service Access • Directory Service Changes • Directory Service Replication • Detailed Directory Service Replication • Jedna z tych kategorii – Directory Service Changes – jest ulepszona żeby uwzględnić zmiany w obiektach AD DS { SACL jest skonfigurowany i pozwala na audyt obiektów }

  11. Obiekty w których zmodyfikwano atrybuty – logowane ze starą i nową wartością w Security Log • Nowo stworzone obiekty z wartościami atrybutów i czasem tworzenia w Security Log • Obiekty przenoszone z pomiędzy kontenerami, zapisywana stara i nowa lokalizacja – Security Log • Standardowo jeśli ustawimy Success Auditing w Audit Directory Service Access [globalnie] to włączene jest Success auditing dla pierwszej podkategorii (Directory Service Access)

  12. Inne podkategorie? • Jeśli chcemy włączyć Success auditing dla drugiej podkategorii (Directory Service Changes) – {old and new value} - możemy posłużyć się narzędziem Auditpol.exe • Auditpol /set /subcategory:”directory service changes” /success:enable • Security LOG: 5136 record the old value and new value

  13. Event ID’s Directory Service Changes Audit Events

  14. From the Experts: New AD Setup Wizard (dcpromo.exe) • Teraz jest zgodne z best practices! DNS-Design – logowanie przez WAN; za mało serwerów Global Catalog; • Dwa tryby instalacji – quickly oraz advanced mode. Pozwala włączyć Global Catalog na nowym kontrolerze domeny. Sprawdza strukturę DNS, umożliwa automatyczne stworzenie przekierowań i delegacji. • Wspiera Read Only Domain Controller (RODC) na wiele sposobów. • Wspracie dla instalacji nienadzorowanej (unattended installation) z lini poleceń. • Dcpromo /?:unattend

  15. Restartable AD DS • Zdolność do restartowania Active Directory directory services bez restartu kontrolera domeny w trybie Restore Mode. • Wcześniej żeby wykonać offline defragmentation directory database trzeba było restartować kontroler w trybie RM przez wciśnięcie F8 podczas startu i wybranie odpowiedniej opcji. • AD DS has been re-architected in W2k8 • Services snap-in lub net stop ntds

  16. AD directory service modes • W2k3 > normal mode i DS Restore Mode • W2k38 > 3 tryby lub stany działania: • AD DS Started • Directory Services Restore Mode • AD DS Stopped

  17. Granular Password and Account Lockout Policies • Zapraszam na następne zajęcia • Zaległe spotkanie z IIS7 – zarządzanie, bezpieczeństwo • Read Only Domain Controller • AD LDS • AD Certificate Services • AD Federation Services • AD Rights Management Services • Terminal Services Enhancements • Server Core • Network Access Protection • Clustering Enhancements • WDS

  18. Dziękuję za uwagęQ&A

More Related