Active Directory What’s New
Windows Server 2008
Active Directory
Nuno Picado
[email protected]
NOVAS TECNOLOGIAS MICROSOFT
Evolução Active Directory
Secure Branch-Office
Improved Manageability & Administration
reduce IT Cost
Simpler Management
Easier Deployment
Best-of-breed Enterprise NOS
Directory
Windows Server 2008
Processador
Recomendado: 2 GHz
Optimo: 3 GHz ou superior
Memória: recomendado 1GB, optimo 2G ou superior
Disco
Minimo: 8 GB
Recomendado: 40 GB (instalação completa) ou 10 GB
(versão Core)
• Demasiados
utilizadores
• Passwords
fracas
• Segurança na
rede
• Aumento dos
custos do help-desk
Server and Desktop
Management
Identity Management
Problemas comuns nas TI’s
• Configurações
standard
• Gestão de
servidor e
desktops
• Várias aplicações
• Manter os
sistemas
actualizados
Directory Service?
A directory service é ao mesmo tempo um directório com
conteúdos informativos bem como um serviço que disponibiliza
essa informação
Gestão Centralizada : Domínio
Gestão Dispersa: Workgroup
AD DS
Active Directory Domain Services (AD DS) é a directoria que
fornece os seguintes serviços numa rede Windows Server
2008:
Gestão de contas dos utilizadores
Autenticação dos utilizadores
Gestão de contas de máquinas
Acessos a recursos de rede
Serviços extra domínio
Funcionamento AD DS
Autenticação no Domínio
Acesso a recursos de rede
1
Objectos de utilizadores e máquinas são criados na directoria
2
Agrupamento desses objectos podem ser criados
3
Um cliente pode utilizar a autenticação na AD DS
4
O utilizador pode aceder a recursos de rede
5
O recurso pode validar a autenticação na AD DS
Read-Only Domain Controller
1-Way Replication
Admin Role Separation
Secrets not cached by-default
Read-Only Domain Controller
• Passos para a promoção do RODC
Criar a conta RODC
Específicar os parâmetros
Promover o Member Server a DC
Microsoft Confidential
Fine-Grained Password Policy
Resultant
PSO =
PSO1
Precedence = 10
Password
Settings Object
PSO 1
Applies To
Resultant
PSO =
PSO1
Precedence = 20
Password
Settings Object
PSO 2
Microsoft Confidential
Applies To
Accidental deletion
Existing Object/OU
Microsoft Confidential
New Organizational Unit
Integração da AD DS com
outros componentes
AD FS
AD RMS
• AD DS é fundamental para o
funcionamento da rede
• A maior parte dos componentes de
servidor depende da AD DS para
disponibilizar utilizadores e recursos
AD CS
• AD DS também providencia
autenticação e autorização para
serviços
AD DS
LDAP?
Lightweight Directory Access Protocol (LDAP) :
• Protocolo da Directory Service
• Baseado em TCP/IP
• Método de acesso, procura e modificação da directory service
• Modelo cliente-servidor
AD LDS?
Baseada em LDAP
Utilizada para aplicações
AD LDS
LDAP
Mais flexivel que AD DS
Pode ter múltiplas instâncias AD LDS a correr numa
única máquina
Não requer DNS
Pode ser modificada de acordo com as necessidades
das aplicações
AD LDS Exemplos
Autenticação WEB
Mais segura para
aplicações
Pode estar interligada com
a AD DS disponibilizando
conteúdos da mesma numa
DMZ (zona desmilitarizada)
Directório para aplicações
de E-mail
AD CS?
Active Directory Certificate Services (AD CS) :
• Fornece Certificados
• Fornece ferramentas para criar, distribuir e eliminar
certificados
• Fornece capacidade de revogar certificados
• Pode integrar Certification Authority com AD DS
AD CS Exemplos
Utilização de
Secure Sockets
Layer para Web
sites
Smartcard log
para clientes e
VPN
Certificados
para
encriptação de
ficheiros
SSL
Certificados para
routers na
comunicação por
IPSEC
Certificados
encriptados (S/MIME)
e e-mails
autenticados
S/MIME
Funcionamento da AD CS
Seguidamente
guardado na AD DS
AD DS
CA
Mgmt
Tools
Certificate
Authority
Cliente
Windows
Gere certificados
de forma
automática ou
manual
Como proteger do acesso a terceiros
Authorized
Users
Information
Leakage
Access Control
List Perimeter
Unauthorized
Users
Unauthorized
Users
AD RMS?
Active Directory Rights Management Services (AD RMS):
• Distribui certificados cliente, obriga uma validação de
politicas e providencia uma gestão centralizada
• Requer aplicações como Microsoft Office 2007 ou
Internet Explorer® 7.0 e o cliente RMS
AD RMS Exemplo
2
AD DS
AD RMS
Requer segurança
no ficheiro
3
Acede ao ficheiro
validado
4
1
Envia ficheiro
protegido
Cliente
criador
Cliente
consumidor
Atenção !!!!
AD FS?
Active Directory Federation Services (AD FS):
• Permite a criação de relações de confiança entre duas
Organizações
• Permite o acesso de aplicações entre Organizações
• Permite com uma simples credencial o acesso a diferentes
Organizações em aplicações web
AD FS Exemplo
Account
Federation
Server
Resource
Federation
Server
Internet
Web Server
Federation Trust
Tailspin Toys
Fornecedor
Sumário
Componente
Descrição
Active Directory
Domain Services (AD
DS)
Gestão centralizada de contas de utlilizador e máquinas, bem como as
suas autenticações numa rede Windows Server 2008
Active Directory
Lightweight Directory
Services (AD LDS)
Uma directoria de serviços LDAP que fornece suporte flexível para
aplicações sem as restrições da AD DS
Active Directory
Certificate Services
(AD CS)
Uma solução para proteger conteúdos nos documentos, mensagens e
sites para o acesso, modificacão ou visualização destes.
Active Directory Rights
Management Services
(AD RMS)
Uma forma simples de proteger aplicações e não permitir o acesso
não autorizado a terceiros.
Active Directory
Federation Services
(AD FS)
Um componente do Windows Server 2008 que permite o acesso a um
site fazendo a autenticação numa outra Organização