Active Directory What s New Windows Server 2008 Active Directory Nuno Picado nuno.picado@rumos.pt NOVAS TECNOLOGIAS MICROSOFT
Evolução Active Directory Secure Branch-Office Improved Manageability & Administration reduce IT Cost Simpler Management Easier Deployment Best-of-breed Enterprise NOS Directory
Windows Server 2008 Processador Recomendado: 2 GHz Optimo: 3 GHz ou superior Memória: recomendado 1GB, optimo 2G ou superior Disco Minimo: 8 GB Recomendado: 40 GB (instalação completa) ou 10 GB (versão Core)
Problemas comuns nas TI s Identity Management Demasiados utilizadores Passwords fracas Segurança na rede Aumento dos custos do help- -desk Server and Desktop Management Configurações standard Gestão de servidor e desktops Várias aplicações Manter os sistemas actualizados
Directory Service? A directory service é ao mesmo tempo um directório com conteúdos informativos bem como um serviço que disponibiliza essa informação Gestão Centralizada : Domínio Gestão Dispersa: Workgroup
AD DS Active Directory Domain Services (AD DS) é a directoria que fornece os seguintes serviços numa rede Windows Server 2008: Gestão de contas dos utilizadores Autenticação dos utilizadores Gestão de contas de máquinas Acessos a recursos de rede Serviços extra domínio
Funcionamento AD DS Autenticação no Domínio Acesso a recursos de rede 1 2 3 4 5 Objectos de utilizadores e máquinas são criados na directoria Agrupamento desses objectos podem ser criados Um cliente pode utilizar a autenticação na AD DS O utilizador pode aceder a recursos de rede O recurso pode validar a autenticação na AD DS
Read-Only Domain Controller 1-Way Replication Admin Role Separation Secrets not cached by-default
Read-Only Domain Controller Passos para a promoção do RODC Criar a conta RODC Específicar os parâmetros Promover o Member Server a DC Microsoft Confidential
Fine-Grained Password Policy Precedence = 10 Resultant PSO = PSO1 Password Settings Object PSO 1 Applies To Resultant PSO = PSO1 Precedence = 20 Password Settings Object PSO 2 Applies To Microsoft Confidential
Accidental deletion Existing Object/OU New Organizational Unit Microsoft Confidential
Integração da AD DS com outros componentes AD FS AD RMS AD CS AD DS é fundamental para o funcionamento da rede A maior parte dos componentes de servidor depende da AD DS para disponibilizar utilizadores e recursos AD DS também providencia autenticação e autorização para serviços AD DS
LDAP? Lightweight Directory Access Protocol (LDAP) : Protocolo da Directory Service Baseado em TCP/IP Método de acesso, procura e modificação da directory service Modelo cliente-servidor
AD LDS? Baseada em LDAP Utilizada para aplicações AD LDS LDAP Mais flexivel que AD DS Pode ter múltiplas instâncias AD LDS a correr numa única máquina Não requer DNS Pode ser modificada de acordo com as necessidades das aplicações
AD LDS Exemplos Autenticação WEB Mais segura para aplicações Pode estar interligada com a AD DS disponibilizando conteúdos da mesma numa DMZ (zona desmilitarizada) Directório para aplicações de E-mail
AD CS? Active Directory Certificate Services (AD CS) : Fornece Certificados Fornece ferramentas para criar, distribuir e eliminar certificados Fornece capacidade de revogar certificados Pode integrar Certification Authority com AD DS
AD CS Exemplos Utilização de Secure Sockets Layer para Web sites Smartcard log para clientes e VPN Certificados para encriptação de ficheiros SSL Certificados para routers na comunicação por IPSEC Certificados encriptados (S/MIME) e e-mails autenticados S/MIME
Funcionamento da AD CS Seguidamente guardado na AD DS AD DS CA Mgmt Tools Certificate Authority Gere certificados de forma automática ou manual Cliente Windows
Como proteger do acesso a terceiros Authorized Users Access Control List Perimeter Unauthorized Users Information Leakage Unauthorized Users
AD RMS? Active Directory Rights Management Services (AD RMS): Distribui certificados cliente, obriga uma validação de politicas e providencia uma gestão centralizada Requer aplicações como Microsoft Office 2007 ou Internet Explorer 7.0 e o cliente RMS
AD RMS Exemplo 2 AD DS Requer segurança no ficheiro 1 AD RMS 3 Acede ao ficheiro validado 4 Envia ficheiro protegido Cliente criador Cliente consumidor
Atenção!!!!
AD FS? Active Directory Federation Services (AD FS): Permite a criação de relações de confiança entre duas Organizações Permite o acesso de aplicações entre Organizações Permite com uma simples credencial o acesso a diferentes Organizações em aplicações web
AD FS Exemplo Account Federation Server Internet Resource Federation Server Web Server Federation Trust Tailspin Toys Fornecedor
Sumário Componente Active Directory Domain Services (AD DS) Descrição Gestão centralizada de contas de utlilizador e máquinas, bem como as suas autenticações numa rede Windows Server 2008 Active Directory Lightweight Directory Services (AD LDS) Uma directoria de serviços LDAP que fornece suporte flexível para aplicações sem as restrições da AD DS Active Directory Certificate Services (AD CS) Active Directory Rights Management Services (AD RMS) Active Directory Federation Services (AD FS) Uma solução para proteger conteúdos nos documentos, mensagens e sites para o acesso, modificacão ou visualização destes. Uma forma simples de proteger aplicações e não permitir o acesso não autorizado a terceiros. Um componente do Windows Server 2008 que permite o acesso a um site fazendo a autenticação numa outra Organização