NOVAS TECNOLOGIAS MICROSOFT

Active Directory What’s New

Windows Server 2008

Nuno Picadonuno.picado@rumos.pt

Active Directory

Evolução Active Directory

Windows Server 2000Best-of-breed Enterprise NOS Directory

Windows Server 2003Simpler ManagementEasier Deployment

Windows Server 2008Secure Branch-OfficeImproved Manageability & Administrationreduce IT Cost

Windows Server 2008Processador

Recomendado: 2 GHz Optimo: 3 GHz ou superiorMemória: recomendado 1GB, optimo 2G ou superior

DiscoMinimo: 8 GBRecomendado: 40 GB (instalação completa) ou 10 GB (versão Core)

Problemas comuns nas TI’s

Identit

y Ma

nagement

•Demasiados utilizadores•Passwords fracas•Segurança na rede•Aumento dos custos do help- -desk

Server

and Desktop Manage

ment

•Configurações standard•Gestão de servidor e desktops•Várias aplicações•Manter os sistemas actualizados

Directory Service?

Gestão Centralizada : Domínio Gestão Dispersa: Workgroup

A directory service é ao mesmo tempo um directório com conteúdos informativos bem como um serviço que disponibiliza essa informação

AD DSActive Directory Domain Services (AD DS) é a directoria que fornece os seguintes serviços numa rede Windows Server 2008:

Gestão de contas dos utilizadores

Autenticação dos utilizadores

Gestão de contas de máquinas

Acessos a recursos de rede

Serviços extra domínio

Funcionamento AD DS

Objectos de utilizadores e máquinas são criados na directoria

Agrupamento desses objectos podem ser criados

Um cliente pode utilizar a autenticação na AD DS

O utilizador pode aceder a recursos de rede

O recurso pode validar a autenticação na AD DS

1

3

4

2

5

Autenticação no Domínio

Acesso a recursos de rede

Admin Role Separation

Secrets not cached by-default

1-Way Replication

RODC

Read-Only Domain Controller

Microsoft Confidential

Read-Only Domain Controller

• Passos para a promoção do RODC

Microsoft Confidential

Password Settings Object PSO 1

Password Settings Object PSO 2

Precedence = 10

Precedence = 20

Applies To

Applies To

Applies To

ResultantPSO =

PSO1

ResultantPSO =

PSO1

Fine-Grained Password Policy

Microsoft Confidential

Accidental deletionExisting Object/OU New Organizational Unit

Integração da AD DS com outros componentes

• AD DS é fundamental para o funcionamento da rede

• A maior parte dos componentes de servidor depende da AD DS para disponibilizar utilizadores e recursos

• AD DS também providencia autenticação e autorização para serviços

AD CS

AD RMS

AD FS

AD DS

LDAP?

Lightweight Directory Access Protocol (LDAP) :

• Baseado em TCP/IP

• Método de acesso, procura e modificação da directory service

• Modelo cliente-servidor

• Protocolo da Directory Service

AD LDS?Baseada em LDAP

Mais flexivel que AD DS

Utilizada para aplicações

AD LDS

LDAP

Pode ter múltiplas instâncias AD LDS a correr numa única máquinaNão requer DNSPode ser modificada de acordo com as necessidades das aplicações

AD LDS ExemplosMais segura para aplicações

Autenticação WEB

Directório para aplicações de E-mail

Pode estar interligada com a AD DS disponibilizando conteúdos da mesma numa DMZ (zona desmilitarizada)

AD CS?Active Directory Certificate Services (AD CS) :

• Fornece Certificados

• Fornece ferramentas para criar, distribuir e eliminar certificados

• Fornece capacidade de revogar certificados

• Pode integrar Certification Authority com AD DS

AD CS ExemplosSmartcard log para clientes e VPN

Utilização de Secure Sockets Layer para Web sites

SSL

Certificados para encriptação de ficheiros

Certificados para routers na comunicação por IPSEC

Certificados encriptados (S/MIME) e e-mails autenticados

S/MIME

Funcionamento da AD CS

AD DS

Certificate Authority

CA Mgmt Tools

Cliente Windows

Gere certificados de forma automática ou manual

Seguidamente guardado na AD DS

Como proteger do acesso a terceiros

Access Control List Perimeter

No

Yes

Authorized Users

Unauthorized Users

Information Leakage

Unauthorized Users

AD RMS?Active Directory Rights Management Services (AD RMS):

• Distribui certificados cliente, obriga uma validação de politicas e providencia uma gestão centralizada

• Requer aplicações como Microsoft Office 2007 ou Internet Explorer® 7.0 e o cliente RMS

AD RMS Exemplo

AD DS

AD RMS

Acede ao ficheiro validado

Requer segurança no ficheiro

Envia ficheiro protegido

Cliente criador

Cliente consumidor

1

3

4

2

Atenção !!!!

AD FS?Active Directory Federation Services (AD FS):

• Permite a criação de relações de confiança entre duas Organizações

• Permite o acesso de aplicações entre Organizações

• Permite com uma simples credencial o acesso a diferentes Organizações em aplicações web

AD FS Exemplo

Tailspin Toys Fornecedor

Account Federation Server

Internet

Resource Federation Server

Web Server

Federation Trust

SumárioComponente Descrição

Active Directory Domain Services (AD DS)

Gestão centralizada de contas de utlilizador e máquinas, bem como as suas autenticações numa rede Windows Server 2008

Active Directory Lightweight Directory Services (AD LDS)

Uma directoria de serviços LDAP que fornece suporte flexível para aplicações sem as restrições da AD DS

Active Directory Certificate Services (AD CS)

Uma solução para proteger conteúdos nos documentos, mensagens e sites para o acesso, modificacão ou visualização destes.

Active Directory Rights Management Services (AD RMS)

Uma forma simples de proteger aplicações e não permitir o acesso não autorizado a terceiros.

Active Directory Federation Services (AD FS)

Um componente do Windows Server 2008 que permite o acesso a um site fazendo a autenticação numa outra Organização