Active Directory Domain Services

Active Directory Domain ServicesActive Directory Domain ServicesAz „Az „Active Directory”Active Directory” helyett helyett

Active Directory Lightweight Directory ServicesActive Directory Lightweight Directory ServicesAz „Az „AADAMDAM”” helyett helyett

Active Directory Certificate ServicesActive Directory Certificate ServicesTanúsítványok kezelése a PKI infrastruktúra részekéntTanúsítványok kezelése a PKI infrastruktúra részeként

Active Directory Federation ServicesActive Directory Federation ServicesAzonosítás kezelő, tipikusan a http/s alapú kliensek Azonosítás kezelő, tipikusan a http/s alapú kliensek extranetes erőforrás eléréséhezextranetes erőforrás eléréséhez

Active Directory Rights Management ServicesActive Directory Rights Management ServicesKözponti szabályzású, információvédelmi megoldásKözponti szabályzású, információvédelmi megoldás

Telephelyes környezetTelephelyes környezetRODCRODC

Felügyelet és üzemeltetésFelügyelet és üzemeltetésAuditing, DCPromo, újraindítható DS, Auditing, DCPromo, újraindítható DS,

Snapshot BrowserSnapshot Browser

Kevésbé biztonságos helyen is használhatóKevésbé biztonságos helyen is használhatóAlapesetben a user/computer jelszó nincs tárolvaAlapesetben a user/computer jelszó nincs tárolva

Read-onlyRead-only Partial Attribute Set Partial Attribute Set:: az alkalmazások az alkalmazások jogosultságainak tárolása (így replikálása a RODC-re) jogosultságainak tárolása (így replikálása a RODC-re) tilthatótiltható

Kevesebb lehetőség a címtár távoli Kevesebb lehetőség a címtár távoli „megpiszkálására”„megpiszkálására”

„„UUnidirectionalnidirectional”” replikáció – replikáció – AD AD / / FRSFRS // DFSRDFSR

Minden Minden RODC RODC rendelkezik saját rendelkezik saját KDC KrbTGT KDC KrbTGT fiókkalfiókkalHelyben hitelesítés, ergo szeparálás a központtólHelyben hitelesítés, ergo szeparálás a központtól

Kevesebb lehetőség a címtár távoli Kevesebb lehetőség a címtár távoli „megpiszkálására”„megpiszkálására”

Delegálható Delegálható DCPROMO DCPROMO > nem kell Domain Adminként > nem kell Domain Adminként futtatni a telephelyenfuttatni a telephelyen

dcpromo /UseExistingAccount:Attachdcpromo /UseExistingAccount:Attach

Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t Csak a W2K8 írható DC-k regisztrálhatják be a RODC-t egy SRV rekordbaegy SRV rekordba

A A RODCRODC csak egy szimpla csak egy szimpla workstation workstation fiókkal rendelkezikfiókkal rendelkezikNem tagja az Nem tagja az Enterprise-DC Enterprise-DC vagy a vagy a Domain-DC Domain-DC csoportoknakcsoportoknak

További erős korlátok a címtárba íráskorTovábbi erős korlátok a címtárba íráskor

Ha van RODC:•Biztonságosabb és kevésbé költséges a DS infrastruktúra

•Nincs szükség nagytudású Domain Admin-ra a telephelyen

•„Bengedhető” a külső cég is a DC-re

•…és persze a hagyományos DC-k nélkül, az esetleges WAN hibák esetén is megy tovább az élet

Datacenter, vagy biztos

hely

Telephelyek és/vagy kevéssé biztosított

helyszínek

Read-Only

Read-Only

Read-Only

Read-Only

Read-Only

Írható DC(k)

Read-only DNSRead-only DNSElsődleges típus, névfeloldásra tökéletesen Elsődleges típus, névfeloldásra tökéletesen alkalmas alkalmas

Rekordszinten frissít „fentről”, ha kellRekordszinten frissít „fentről”, ha kell

Mindent replikál (alkalmazásparticiók, Mindent replikál (alkalmazásparticiók, domainDNSZones, ForestDNSZones, stb.)domainDNSZones, ForestDNSZones, stb.)

De nem írhatóDe nem írható

Különválasztott GC szerepkörKülönválasztott GC szerepkörA RODC csak speciális esetben lehetA RODC csak speciális esetben lehet

RODC RODC a telephelyen – elsődlegesen ajánlotta telephelyen – elsődlegesen ajánlottTipikusan a limitált fizikai biztonságú helyekreTipikusan a limitált fizikai biztonságú helyekre

RODC RODC aa DMZ DMZ-ben-ben((még nincs ajánlásmég nincs ajánlás))

Az AD nagyon sok előnye elérhető lenne kívülre és Az AD nagyon sok előnye elérhető lenne kívülre és belülre is – tűrhető biztonsági körülmények közöttbelülre is – tűrhető biztonsági körülmények között

RODC RODC az az InternetInternetenen((még nincs ajánlásmég nincs ajánlás))

Egyszerűen elérhetővé válna – minimális munkával – Egyszerűen elérhetővé válna – minimális munkával – bár…bár…

Hub

`

Read-Only DCHub W2K8 DC

Branch

2. RODC „észleli”, hogy e fiók hitelesítését nem tudja elvégezni

3. Hajrá tovább a központi W2K8 felé

4. A hub W2K8 hitelesít

5. Az eredmény (és a TGT) visszaküldése a RODC-nek

6. RODC átnyújtja a saját TGT-jét a fióknak és megjegyzi, hogy innentől saját maga kezeli majd

7. A központi DC megvizsgálja a Password Replication Policy-t, és a beállításnak megfelelően leküldi (vagy nem) a jelszót a RODC-re

1. A kliens TGT kérésének elküldése a RODC-nek

1

23

45

6

6

7

7

NNincs jelszó cachelésincs jelszó cachelés ( (alapértelmezettalapértelmezett))ppro: ro: magasan a legbiztonságosabbmagasan a legbiztonságosabb

kkonontratra:: viszont ha offline a központ > nincs hitelesítő DC > nincs viszont ha offline a központ > nincs hitelesítő DC > nincs belépésbelépés

Sok és fontos fiók kijelöléseSok és fontos fiók kijelöléseppro: ro: egyszerű megoldás, mindenki beléphet, minden esetbenegyszerű megoldás, mindenki beléphet, minden esetben

kkonontratra:: nem elég biztonságos, „ott vagyunk ahol a part szakad”nem elég biztonságos, „ott vagyunk ahol a part szakad”

Csak a kevésbé fontos (pl. csak a telephelyi) Csak a kevésbé fontos (pl. csak a telephelyi) fiókok kiválasztásafiókok kiválasztása

ppro: ro: nem esik csorba a biztonságon, a fontos fiókok védve maradnaknem esik csorba a biztonságon, a fontos fiókok védve maradnak

kkonontratra:: több munka van veletöbb munka van vele

A pA problrobléémmákák

Egy DC sem élhet a Domain Admins csoport Egy DC sem élhet a Domain Admins csoport nélkülnélkül

pedig a legtöbb feladathoz nem kell ez a jogosultság, pedig a legtöbb feladathoz nem kell ez a jogosultság, még egy DC-n semég egy DC-n se

A helyi Administrators csoport ismeretlen a DC-nA helyi Administrators csoport ismeretlen a DC-nEzért a külső partnereket is muszáj sokszor Domain Ezért a külső partnereket is muszáj sokszor Domain Admins csoportaggá tenniAdmins csoportaggá tenni

A RODC elveinek abszolút ellentmondA RODC elveinek abszolút ellentmondHiszen tisztán „belenyúlhatna” a címtárba isHiszen tisztán „belenyúlhatna” a címtárba is

A megoldásA megoldás

Egy újfajta „lokális Egy újfajta „lokális adminadmin” fiók” fiókAmi az összes beépített helyi csoport tagjai is Ami az összes beépített helyi csoport tagjai is egyúttal egyúttal (Backup(Backup, Print, Server, Print, Server Operators, Operators, stbstb))

A címtártól viszont teljes tiltás

Már a telepítés közben is megadhatjukMár a telepítés közben is megadhatjukKésőbb is bármikorKésőbb is bármikor

További korlátokTovábbi korlátokCsak egy már működő tartományi fiók lehetCsak egy már működő tartományi fiók lehet

De csak az adott RODC-n admin!De csak az adott RODC-n admin!

WinWindows dows 2003 2003 működési szintműködési szintErdő és tartomány isErdő és tartomány is

A A PDC FSMO PDC FSMO csak W2K8 lehetcsak W2K8 lehet

Legalább egy W2K8 DC szükségesLegalább egy W2K8 DC szükségesEz lesz majd kapcsolatban a RODC-velEz lesz majd kapcsolatban a RODC-vel

Nem baj, ha több van > rendelkezésre állásNem baj, ha több van > rendelkezésre állás

DNS alkalmazásparticiók frissítése DNS alkalmazásparticiók frissítése Adprep /RodcPrepAdprep /RodcPrep

Telephelyes környezetTelephelyes környezetRODCRODC

Felügyelet és üzemeltetésFelügyelet és üzemeltetésAuditing, DCPromo, újraindítható DS, Auditing, DCPromo, újraindítható DS,

Snapshot BrowserSnapshot Browser

Az új, DS-hez kapcsolódó Eseménynapló Az új, DS-hez kapcsolódó Eseménynapló bejegyzés (Ebejegyzés (Event vent ID: ID: 51365136) „megmondja”:) „megmondja”:

Ki Ki eszközölte a változást? eszközölte a változást? MikorMikor t történt?örtént?

Mely Mely objeobjekkttum um // jellemző jellemző változott?változott?

Mi volt / lett az Mi volt / lett az előző / jelenlegi előző / jelenlegi állapot?állapot?

Az aAz audituditálás engedélyezhető / tilthatóálás engedélyezhető / tilthatóA gA globlobálisális audit audit házirendbenházirendben

A A SACLSACL vagy akár a séma segítségével vagy akár a séma segítségével

Auditpol.exeAuditpol.exe

A A DCPromo DCPromo immár képesimmár képesA működési szint kiválasztására (erdő, A működési szint kiválasztására (erdő, tartomány)tartomány)

Választható DNS telepítésre, automatikus Választható DNS telepítésre, automatikus delegálással és beállítássaldelegálással és beállítással

A cél site kiválasztásáraA cél site kiválasztására

Delegált futtatásra (RODC)Delegált futtatásra (RODC)

Szükséges esetben az automatikus Infrastructure Szükséges esetben az automatikus Infrastructure Master <> GC szerep transzferreMaster <> GC szerep transzferre

Több új, unattended telepítés opció használatáraTöbb új, unattended telepítés opció használatára

StopStop // StartStart a gép a gép újraindítása nélkülújraindítása nélkül

Miért jó nekünk ez?Miért jó nekünk ez?Karbantartás, AD Karbantartás, AD patcheléspatchelés

A többi szolgáltatás A többi szolgáltatás működhet továbbműködhet tovább

Az NTDS.dit offlineAz NTDS.dit offlineBelépés > DSRMBelépés > DSRM

Hálózati belépés isHálózati belépés is

Minden ADUC Minden ADUC objektumon objektumon ADSIEADSIEdit dit tulajdonság fültulajdonság fül

DFSR for SYSVOL DFSR for SYSVOL (FRS V2) (FRS V2) – – SYSVOLSYSVOL replikáció – RDC isreplikáció – RDC is

AD MP SP1 AD MP SP1 a W2K8a W2K8 DCDC // RODCRODC-khez-khez

Külön menedzsment Külön menedzsment csomagok - csomagok - AD LDSAD LDS,, DNS ServerDNS Server, stb., stb.

Nagy segítség lesz a címtárból törölt objektumok Nagy segítség lesz a címtárból törölt objektumok visszaállításánálvisszaállításánál

Újraindítás és a DSRM nélkülÚjraindítás és a DSRM nélkül megszemlélhetjük megszemlélhetjük az AD lementett példányátaz AD lementett példányát

Visszaállításra nem használhatóVisszaállításra nem használható

DSAMAIN.EXE LDP.EXE

A pillanatfelvétel LDAP szerverré

alakítása

A read-only címtár példány

megtekintése

Pillanatfelvétel készítése a DS/LDS-ről