Baixe o app para aproveitar ainda mais
Prévia do material em texto
Active Directory What’s New Windows Server 2008 Active Directory NOVAS TECNOLOGIAS MICROSOFT Nuno Picado nuno.picado@rumos.pt Active Directory Evolução Active Directory Secure BranchSecure Branch--OfficeOffice Improved Manageability & AdministrationImproved Manageability & Administration reduce IT Costreduce IT Cost Best-of-breed Enterprise NOS Directory Simpler Management Easier Deployment Windows Server 2008 Processador Recomendado: 2 GHz Optimo: 3 GHz ou superior Memória: recomendado 1GB, optimo 2G ou superior Disco Minimo: 8 GB Recomendado: 40 GB (instalação completa) ou 10 GB (versão Core) Problemas comuns nas TI’s I d e n t i t y M a n a g e m e n t • Demasiados utilizadores S e r v e r a n d D e s k t o p M a n a g e m e n t • Configurações standard I d e n t i t y M a n a g e m e n t utilizadores • Passwords fracas • Segurança na rede • Aumento dos custos do help- -desk S e r v e r a n d D e s k t o p M a n a g e m e n t standard • Gestão de servidor e desktops • Várias aplicações • Manter os sistemas actualizados Directory Service? Gestão Centralizada : Domínio Gestão Dispersa: Workgroup A directory service é ao mesmo tempo um directório com conteúdos informativos bem como um serviço que disponibiliza essa informação AD DS Active Directory Domain Services (AD DS) é a directoria que fornece os seguintes serviços numa rede Windows Server 2008: Gestão de contas dos utilizadores Autenticação dos utilizadoresAutenticação dos utilizadores Gestão de contas de máquinas Acessos a recursos de rede Serviços extra domínio Funcionamento AD DS Autenticação no Domínio Acesso a recursos de rede Objectos de utilizadores e máquinas são criados na directoria Agrupamento desses objectos podem ser criados Um cliente pode utilizar a autenticação na AD DS O utilizador pode aceder a recursos de rede O recurso pode validar a autenticação na AD DS 1 3 4 2 5 Admin Role SeparationAdmin Role Separation 11--Way ReplicationWay Replication Read-Only Domain Controller Admin Role SeparationAdmin Role Separation Secrets not cached bySecrets not cached by--defaultdefault Read-Only Domain Controller • Passos para a promoção do RODC CriarCriar a a contaconta RODCRODC Microsoft Confidential PromoverPromover o Member Server a DC o Member Server a DC EspecíficarEspecíficar osos parâmetrosparâmetros Precedence = 10Precedence = 10 ResultantResultant PSOPSO = = PSO1PSO1 Fine-Grained Password Policy Microsoft Confidential Password Password Settings Object Settings Object PSO 1PSO 1 Password Password Settings Object Settings Object PSO 2PSO 2 Precedence = 10Precedence = 10 Precedence = 20Precedence = 20 Applies ToApplies To Applies ToApplies To ResultantResultant PSOPSO = = PSO1PSO1 Accidental deletion Existing Object/OU New Organizational Unit Microsoft Confidential Integração da AD DS com outros componentes • AD DS é fundamental para o funcionamento da rede • A maior parte dos componentes de AD RMS AD FS • A maior parte dos componentes de servidor depende da AD DS para disponibilizar utilizadores e recursos • AD DS também providencia autenticação e autorização para serviços AD CS AD RMS AD DS LDAP? Lightweight Directory Access Protocol (LDAP) : • Protocolo da Directory Service • Baseado em TCP/IP • Método de acesso, procura e modificação da directory service • Modelo cliente-servidor • Protocolo da Directory Service AD LDS? Baseada em LDAP Utilizada para aplicações AD LDS LDAP Mais flexivel que AD DS Pode ter múltiplas instâncias AD LDS a correr numa única máquina Não requer DNS Pode ser modificada de acordo com as necessidades das aplicações AD LDS Exemplos Mais segura para aplicações Autenticação WEB Directório para aplicações de E-mail Pode estar interligada com a AD DS disponibilizando conteúdos da mesma numa DMZ (zona desmilitarizada) AD CS? Active Directory Certificate Services (AD CS) : • Fornece Certificados • Fornece ferramentas para criar, distribuir e eliminar certificadoscertificados • Fornece capacidade de revogar certificados • Pode integrar Certification Authority com AD DS AD CS Exemplos Smartcard log para clientes e VPN Utilização de Secure Sockets Layer para Web sites SSL Certificados para encriptação de ficheiros SSL Certificados para routers na comunicação por IPSEC Certificados encriptados (S/MIME) e e-mails autenticados S/MIME Funcionamento da AD CS AD DS Seguidamente guardado na AD DS Certificate Authority CA Mgmt Tools Cliente Windows Gere certificados de forma automática ou manual Como proteger do acesso a terceiros Authorized Users Access Control List Perimeter Unauthorized Users Information Leakage Unauthorized Users AD RMS? Active Directory Rights Management Services (AD RMS): • Distribui certificados cliente, obriga uma validação de politicas e providencia uma gestão centralizada • Requer aplicações como Microsoft Office 2007 ou Internet Explorer® 7.0 e o cliente RMS AD RMS Exemplo AD DS AD RMS Acede ao ficheiro Requer segurança no ficheiro 3 2 Acede ao ficheiro validado no ficheiro Envia ficheiro protegido Cliente criador Cliente consumidor 1 4 Atenção !!!! AD FS? Active Directory Federation Services (AD FS): • Permite a criação de relações de confiança entre duas Organizações • Permite o acesso de aplicações entre Organizações • Permite com uma simples credencial o acesso a diferentes Organizações em aplicações web AD FS Exemplo Account Federation Server Internet Resource Federation Server Tailspin Toys Fornecedor Web Server Federation Trust Sumário Componente Descrição Active Directory Domain Services (AD DS) Gestão centralizada de contas de utlilizador e máquinas, bem como as suas autenticações numa rede Windows Server 2008 Active Directory Lightweight Directory Services (AD LDS) Uma directoria de serviços LDAP que fornece suporte flexível para aplicações sem as restrições da AD DS Services (AD LDS) Active Directory Certificate Services (AD CS) Uma solução para proteger conteúdos nos documentos, mensagens e sites para o acesso, modificacão ou visualização destes. Active Directory Rights Management Services (AD RMS) Uma forma simples de proteger aplicações e não permitir o acesso não autorizado a terceiros. Active Directory Federation Services (AD FS) Um componente do Windows Server 2008 que permite o acesso a um site fazendo a autenticação numa outra Organização
Compartilhar