David Cervigón Luna IT Pro Evangelist Microsoft Ibérica
La experiencia de Cajamadrid Read-Only Domain Controllers Administración Políticas de Grupo
{Cajamadrid} Jorge Marcos Coordinador departamento TI Caja Madrid Antonio Sánchez Ingeniero Preventa Microsoft España
1999: Red Banyan Marzo-2000: DA con Windows 2000 para usuarios de Servicios Centrales Marzo-2002: Extensión a red de oficinas con un total de usuarios Factor clave en la decisión: posibilidad de integración de aplicaciones
Aplicaciones comerciales como Microsoft Exchange, Office Sharepoint Server ó Live Communications Server Asignación de recursos de ficheros a cada departamento, proyecto y/o aplicación Distribución de software Gestión de Smart Cards: gestión descentralizada en base a la información del Directorio Activo
Crecimiento de usuarios Cambios en la organización corporativa Movilidad de los usuarios Reducción de Costes
Escalabilidad y consolidación Gestión de identidades Infraestructura PKI
Controla las operaciones que puede ejecutar un usuario: Pago Talón, elevación línea crédito, etc… Más de 3 millones de registros y usuarios Sistema actual: Tablas DB2 en Mainframe Nuevo sistema: Acceso vía LDAP Active Directory Lightweight Directory Services (antes ADAM) Dos servidores Windows Server 2008 x64 Intel Quad Core con 16Gb Ram
Evaluación previa de versiones Beta Contacto directo con los Grupos de Desarrollo de Microsoft Colaboración Microsoft Consulting Services Proyecto desarrollado conjuntamente con Informática El Corte Ingles (IECISA) y con la colaboración de Intel Corporation
La experiencia de Cajamadrid Read-Only Domain Controllers Administración Políticas de Grupo
Los administradores se enfrentan a los siguientes desafíos a la hora de desplegar Controladores de Dominio en una delegación remota El DC se coloca en una localización física insegura El DC tiene una conexión de red poco fiable con el HUB El personal de la delegación tiene pocos conocimientos o permisos para gestionar el DC, por lo que: Los Domain Admins gestionan el DC remotamente, o Los Domain Admins delegan privilegios al personal de la delegación Para consolodar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla
Perspectiva del Administrador del Hub Lo que ve el atacante
Por defecto, no hay contraseñas de usuarios o equipos almacenadas en un RODC El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODC Estado de Solo lectura con replicación unidireccional del AD y FRS/DFSR Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas propias y distintas La delegación del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte vía TS al RODC Los DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el registro ilegal de nombres en DNS Los RODCs tienen cuentas de estación de trabajo No son miembros de los grupos Enterprise-DC o Domain-DC Derechos muy limitados para escribir en el Directorio Los RODC son totalmente compatibles con Server Core Secure Appliance DC Admin Role Separatio n RODC Server Core
Cuando usarlos Precupaciones en torno a la seguridad y al coste de gestión de los DCs de las delegaciones remotas Necesidades locales de acceso a recursos si falla la WAN Cuando no: Como reemplazo de un DC tradicional con todas sus funciones en uso
Cuentas no cacheadas (por defecto) A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticas En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión La mayor parte de las cuentas cacheadas A Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la administrabilidad que la seguridad. En contra: Más contraseñas expuestas potencialmente por el RODC Solo una pocas contraseñas cacheadas A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad de los demás En Contra: Requiere una administración granular más fina Mapear equipos por delegación Requiere buscar manualmente el atributo Auth2 para identificar las cuentas
Como desplegar un RODC a partir de un entorno de Windows Server ADPREP /ForestPrep 2. ADPREP /DomainPrep 3. Promover un DC con Windows Server Verificar que los modos funcionales del forest y del dominio son 2003 Nativo 5. ADPREP /RodcPrep 6. Verificar la lista de actualizaciones necesarias para la compatibilidad en los clientes 7. Promover el RODC No específico de un RODC Específico de un RODC Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promoción/promoción
Pre-crear la cuenta del RODC Especificar los parámetros del RODC Asignar la máquina al slot del RODC
{Read-Only Domain Controllers}
La experiencia de Cajamadrid Read-Only Domain Controllers Administración Políticas de Grupo
Sin reiniciar el servidor, ahora se puede: Aplicar parches de los DS Realizar una desfragmentación offline Un servidor con los DS parados es similar a un servidor miembro NTDS.dit está offline Puede iniciarse sesión local con la contraseña del Modo de Recuperación del Directorio Activo (DSRM)
Los Event logs dicen exactamente: Quien hizo el cambio Cuándo se hizo el cambio Que objeto/atributo fue cambiado Los valores inicial y final La auditoría esta controlada por Política global de auditoría SACL Schema Event IDEvent typeEvent description 5136ModifyThis event is logged when a successful modification is made to an attribute in the directory. 5137CreateThis event is logged when a new object is created in the directory. 5138UndeleteThis event is logged when an object is undeleted in the directory. 5139MoveThis event is logged when an object is moved within the domain.
Windows Server Backup (wbadmin.exe) NTBackup está descontinuado Nueva tecnología Block-Level, basada en imágenes Backup/recovery del System State por línea de comandos Debe hacerse a una partición diferente Recuperación del System State en DSRM (auth & non-auth) Dedicated Backup Volume
Objeto/OU existentesNueva unidad Organizativa
Permite a los administradores elegir la copia de seguridad disponible más apropiada La herramienta NO restaura objetos Ahora: Herramienta + tombstone reanimation + LDAP Post-WS08: ¿Undelete? NTDSUTIL.EXE Saca SnapShots de DS/LDS via VSS DSAMAIN.EXE Expone las snapshots como servidores LDAP LDP.EXE Ver datos de solo lectura de DS/LDS
Permite una administración granular de las contraseñas y políticas de bloqueo dentro de un dominio Las políticas pueden aplicarse a: Usuarios Grupos Globales de Seguridad Requerimientos Windows server 2008 Domain Mode No requiere cambios en los clientes No hay cambios en los valores de las configuraciones propiamente dichos P.e., no hay nuevas opciones para controlar la complejidad de las contraseñas Pueden asociarse múltiples políticas al usuario, pero solo una prevalece.
Password Settings Object PSO 1 Password Settings Object PSO 1 Password Settings Object PSO 2 Password Settings Object PSO 2 Precedencia= 10 Precedencia= 20 Se aplica a PSO Resultante = PSO1
Recomendación: Administración basada en grupos Delegar la modificación de la membresía del grupo Esta característica puede ser también delegada Por defecto, solo los Administradores de Dominio pueden: Crear y leer PSOs Aplicar una PSO a un grupo o usuario Permisos Operación a DelegarPermisos Delegados Crear y borrar PSOs En el PSC: Create all child objects Delete all child objects Aplicar PSOs a usuarios/grupos En el PSO: Write
{Mejoras en la Administración del Directorio Activo}
La experiencia de Cajamadrid Read-Only Domain Controllers Administración Políticas de Grupo
Problemas más frecuentes con las Politicas de Grupo 1)Resolución de los mensajes que aparecen dispersos en múltiples localizaciones 2)Dificultad para encontrar la política correcta 3) Problemas al forzar las políticas (VPNs, hibernación, etc.) 4)Garantizar la aplicación de las políticas a través de enlaces lentos. 5)Necesidad de habilitar y usar verbose logging (userenv.log)
Es una característica que hay que agregar en el Server Manager
DFS-R reemplaza a FRS para la replicación de Sysvol Compresión Replicación diferencial block-level Planificación Control de Ancho de Banda Es necesario que el Bosque/Dominio esté funcionando en el nivel funcional de Windows Server 2008 Requiere que todos los DCs sean Windows Server 2008 El paso de FRS a DFS-R no es automático
{Construyendo el Almacen Central}
Otros Roles de Windows Server 2008 relacionados con el Directorio Activo Active Directory Certificate Services Active Directory Federation Services Active Directory Lightweight Directory Services Active Directory Rights Management Services Herramientas de Gestión Data Collection Template (conocido anteriormente como Server Performance Analyzer) Operations Manager AD MP SP1 para W28K DC/RODCs
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.