Servidor AD - Server 2008

Prévia do material em texto

Active Directory What’s New
Windows Server 2008
Active Directory
NOVAS TECNOLOGIAS MICROSOFT
Nuno Picado
nuno.picado@rumos.pt
Active Directory
Evolução Active Directory
Secure BranchSecure Branch--OfficeOffice
Improved Manageability & AdministrationImproved Manageability & Administration
reduce IT Costreduce IT Cost
Best-of-breed Enterprise NOS 
Directory
Simpler Management
Easier Deployment
Windows Server 2008
Processador
Recomendado: 2 GHz 
Optimo: 3 GHz ou superior
Memória: recomendado 1GB, optimo 2G ou superior
Disco
Minimo: 8 GB
Recomendado: 40 GB (instalação completa) ou 10 GB 
(versão Core)
Problemas comuns nas TI’s
I
d
e
n
t
i
t
y
 
M
a
n
a
g
e
m
e
n
t
• Demasiados
utilizadores
S
e
r
v
e
r
 
a
n
d
 
D
e
s
k
t
o
p
 
M
a
n
a
g
e
m
e
n
t
• Configurações
standard
I
d
e
n
t
i
t
y
 
M
a
n
a
g
e
m
e
n
t
utilizadores
• Passwords 
fracas
• Segurança na
rede
• Aumento dos 
custos do help-
-desk
S
e
r
v
e
r
 
a
n
d
 
D
e
s
k
t
o
p
 
M
a
n
a
g
e
m
e
n
t
standard
• Gestão de 
servidor e 
desktops
• Várias aplicações
• Manter os
sistemas
actualizados
Directory Service?
Gestão Centralizada : Domínio Gestão Dispersa: Workgroup
A directory service é ao mesmo tempo um directório com 
conteúdos informativos bem como um serviço que disponibiliza 
essa informação 
AD DS
Active Directory Domain Services (AD DS) é a directoria que 
fornece os seguintes serviços numa rede Windows Server 
2008:
Gestão de contas dos utilizadores
Autenticação dos utilizadoresAutenticação dos utilizadores
Gestão de contas de máquinas
Acessos a recursos de rede
Serviços extra domínio
Funcionamento AD DS
Autenticação no Domínio
Acesso a recursos de rede
Objectos de utilizadores e máquinas são criados na directoria
Agrupamento desses objectos podem ser criados
Um cliente pode utilizar a autenticação na AD DS
O utilizador pode aceder a recursos de rede
O recurso pode validar a autenticação na AD DS
1
3
4
2
5
Admin Role SeparationAdmin Role Separation
11--Way ReplicationWay Replication
Read-Only Domain Controller
Admin Role SeparationAdmin Role Separation
Secrets not cached bySecrets not cached by--defaultdefault
Read-Only Domain Controller
• Passos para a promoção do RODC
CriarCriar a a contaconta RODCRODC
Microsoft Confidential
PromoverPromover o Member Server a DC o Member Server a DC 
EspecíficarEspecíficar osos parâmetrosparâmetros
Precedence = 10Precedence = 10
ResultantResultant
PSOPSO = = 
PSO1PSO1
Fine-Grained Password Policy
Microsoft Confidential
Password Password 
Settings Object Settings Object 
PSO 1PSO 1
Password Password 
Settings Object Settings Object 
PSO 2PSO 2
Precedence = 10Precedence = 10
Precedence = 20Precedence = 20
Applies ToApplies To
Applies ToApplies To
ResultantResultant
PSOPSO = = 
PSO1PSO1
Accidental deletion
Existing Object/OU New Organizational Unit
Microsoft Confidential
Integração da AD DS com 
outros componentes
• AD DS é fundamental para o 
funcionamento da rede
• A maior parte dos componentes de AD RMS
AD FS
• A maior parte dos componentes de 
servidor depende da AD DS para
disponibilizar utilizadores e recursos
• AD DS também providencia
autenticação e autorização para
serviços
AD CS
AD RMS
AD DS
LDAP?
Lightweight Directory Access Protocol (LDAP) :
• Protocolo da Directory Service
• Baseado em TCP/IP 
• Método de acesso, procura e modificação da directory service
• Modelo cliente-servidor
• Protocolo da Directory Service
AD LDS?
Baseada em LDAP Utilizada para aplicações
AD LDS
LDAP
Mais flexivel que AD DS
Pode ter múltiplas instâncias AD LDS a correr numa
única máquina
Não requer DNS
Pode ser modificada de acordo com as necessidades
das aplicações
AD LDS Exemplos
Mais segura para
aplicações
Autenticação WEB
Directório para aplicações
de E-mail
Pode estar interligada com 
a AD DS disponibilizando
conteúdos da mesma numa
DMZ (zona desmilitarizada)
AD CS?
Active Directory Certificate Services (AD CS) :
• Fornece Certificados
• Fornece ferramentas para criar, distribuir e eliminar 
certificadoscertificados
• Fornece capacidade de revogar certificados
• Pode integrar Certification Authority com AD DS
AD CS Exemplos
Smartcard log 
para clientes e 
VPN
Utilização de 
Secure Sockets 
Layer para Web 
sites
SSL
Certificados
para
encriptação de 
ficheiros
SSL
Certificados para
routers na
comunicação por
IPSEC 
Certificados
encriptados (S/MIME) 
e e-mails autenticados
S/MIME
Funcionamento da AD CS
AD DS
Seguidamente
guardado na AD DS
Certificate 
Authority
CA 
Mgmt 
Tools
Cliente 
Windows
Gere certificados
de forma 
automática ou
manual 
Como proteger do acesso a terceiros
Authorized 
Users
Access Control
List Perimeter
Unauthorized 
Users
Information 
Leakage
Unauthorized 
Users
AD RMS?
Active Directory Rights Management Services (AD RMS):
• Distribui certificados cliente, obriga uma validação de 
politicas e providencia uma gestão centralizada
• Requer aplicações como Microsoft Office 2007 ou
Internet Explorer® 7.0 e o cliente RMS
AD RMS Exemplo
AD DS
AD RMS
Acede ao ficheiro
Requer segurança
no ficheiro
3
2
Acede ao ficheiro
validado
no ficheiro
Envia ficheiro
protegido
Cliente 
criador
Cliente 
consumidor
1
4
Atenção !!!!
AD FS?
Active Directory Federation Services (AD FS):
• Permite a criação de relações de confiança entre duas
Organizações
• Permite o acesso de aplicações entre Organizações
• Permite com uma simples credencial o acesso a diferentes
Organizações em aplicações web
AD FS Exemplo
Account 
Federation 
Server
Internet
Resource 
Federation 
Server
Tailspin Toys Fornecedor
Web Server
Federation Trust
Sumário
Componente Descrição
Active Directory 
Domain Services (AD 
DS) 
Gestão centralizada de contas de utlilizador e máquinas, bem como as 
suas autenticações numa rede Windows Server 2008 
Active Directory 
Lightweight Directory 
Services (AD LDS)
Uma directoria de serviços LDAP que fornece suporte flexível para
aplicações sem as restrições da AD DS
Services (AD LDS)
Active Directory 
Certificate Services 
(AD CS)
Uma solução para proteger conteúdos nos documentos, mensagens e 
sites para o acesso, modificacão ou visualização destes.
Active Directory Rights 
Management Services 
(AD RMS)
Uma forma simples de proteger aplicações e não permitir o acesso
não autorizado a terceiros.
Active Directory 
Federation Services 
(AD FS)
Um componente do Windows Server 2008 que permite o acesso a um 
site fazendo a autenticação numa outra Organização