MS Aamubrunssi Aktiivihakemiston uutuudet 1 Agenda Uudenlainen salasanapolitiikka Useat salasanapolitiikat PSO Tapoja tehdä Demo Aktiivihakemiston auditoinnin parannukset Demo ReadOnly Domain Controller Mihin sitä tarvitaan, miten se tehdään 2
Salasanapolitiikan uutuudet Vihdoin se on mahdollista ilman kolmannen osapuolen virityksiä. Useat salasanapolitiikat. Miksi? Erilaisia tunnuksia, erilaisia vaatimuksia Eri lukitsemiskäytännöt Miten se tehtiin? Kaksi uutta objektiluokkaa schemaan Password Settings Container (PSC) ja Password Settings PSC sisältää toimialueen Password Settings -objektit (PSO) Ei toimi suoraan OU-tasolla vaan ryhmien kautta Lisää ylläpidettävää, jos halutaan luoda OU-kohtaiset ryhmät 3 Esimerkki salasanapolitiikasta Toimialueen ylläpitäjät Salasanan pituus 15 merkkiä, max ikä 30pv, min ikä 2pv, monimutkainen Palvelutunnus Ei vanhene, minimipituus 30 merkkiä, monimutkainen Normaalikäyttäjä Salasanan pituus 7-8 merkkiä, max ikä 90pv, min ikä 10pv, 10 viimeistä muistetaan, monimutkainen Oto-ylläpitäjä, Group Manager tms. Salasanan pituus 12 merkkiä, max ikä 45pv, min ikä 2pv, 10 viimeistä muistetaan, monimutkainen 4
Mitkä ovat vaatimukset ja ominaisuudet Toimialueen tila Windows Server 2008 Siis ei toimi, jos joukossa 2003 DC-koneita Käyttöoikeudet Vain Domain Admin ryhmään kuuluva tunnus voi luoda ja hallita PSO:ita Toimii vain User ja InetOrgPerson objekteilla Määritetään ryhmäjäsenyyden kautta Luodaan ryhmä, jolle politiikka määritetään Konfliktit Jos käyttäjä kuuluu kahteen ryhmään, joihin molempiin vaikuttaa eri salasanapolitiikka, niin politiikka tulee voimaan ryhmästä, jolla on pienempi GUID 5 Käyttöönoton vaiheet ja työkalut 1. Luodaan PSO ADSIEdit tai ldifde 2. Määritetään PSO halutulle ryhmälle / ryhmille AD Users & Computers tai ldifde 3. Hallitaan, muokataan ja poistetaan PSO ADSIEdit / ldifde ja AD Users & Computers 4. Tarkistetaan käyttäjäobjektista, onko PSO voimassa AD Users & Computers 6
Demo Salasanapolitiikoiden hallinta 7 Aktiivihakemiston auditointi Mitä uutta? Voit seurata tapahtuneita muutoksia attribuuttitasolla 2003 AD:ssa vain Audit Directory Service Access Nyt 2008 AD:ssa sama määritys on jaettu neljään osaan Directory Service Access Directory Service Changes Directory Service Replication Detailed Directory Service Replication 8
Directory Service Changes auditointi Voidaan auditoida objektien Luontia Muokkausta Siirtämistä Poistamista Miten eroaa aiemmasta Loki on tarkempi, koska näyttää myös muokkaamisessa muuttuneet arvot. Ei vain objektia, mitä on muokattu. 9 Asetusten säätäminen Voidaan ottaa pois päältä ja asettaa mikä tahansa erikseen päälle Hallinta tapahtuu käyttämällä auditpol.exe työkalua Esim. auditpol /set /subcategory:"directory service changes" /success:enable Muista asettaa seuranta päälle objektin SACLvälilehdellä Schemasta mahdollisuus määrittää attribuuttikohtaisesti poikkeuksia auditointiin 10
Tapahtumat Uudet ilmoitukset tapahtumalokissa Tapahtuma ID lokissa Tapahtuma 5136 Muokkaus (Modify) 5137 Luonti (Create) 5138 palauttaminen (Undelete) 5139 Siirto (Move) Audit Directory Service Access tapahtuman id on vaihtunut Ennen 566, nyt 4662. Ilmoitus itse toimii samoin kuin ennenkin 11 Käyttöönotto Laita Global Audit päälle Löytyy Default Domain Controllers Policyn alta Audit Directory Service Access Laita Directory Service Changes auditointi päälle Auditpol komentokehoitteessa auditpol /set /subcategory:"directory service changes" /success:enable Määritä Aktiivihakemistossa halutussa OU:ssa auditointi päälle OU:n advanced security asetusten audit välilehti 12
Demo Auditointia 13 Read-Only Domain Controller RODC Main Office Ominaisuudet Branch Office Read Only Active Directory tietokanta Vain sallittujen tunnusten salasanat tallennetaan RODC:lle Yksisuuntainen replikointi Ylläpitäjien eriyttäminen Hyödyt Parempi tietoturva kohteissa joissa puutteellinen fyysinen suojaus Tuetut ominaisuudet ADFS,DNS, DHCP, FRS V1, DFSR (FRS V2), Group Policy, IAS/VPN, DFS, SMS, ADSI queries, MOM
RODC:n toiminta 4 3 2 DC 5 6 RODC 1 6 123456 RODC: ohjaa minulla pyynnön ei ole käyttäjän 2008 DC salasanaa koneelle Käyttäjä 2008 palauttaa DC antaa kirjautuu autentikoi TGT:n autentikoidun pyynnön käyttäjälle käyttäjän ja TGT:n välimuistittaa RODC:lle autentikoinnin Read Only DC:n Replikointi Kaikki AD:n objektit Ei kuitenkaan salasanat Mahdollista välimuistittaa Ei ole oletuksena päällä DNS Myöskin vain lukutilassa Rekisteröinnit uudelleen ohjataan Replikointi yksisuuntaista AD SYSVOL
RODC / dcpromo RODC:n hallinta AD Users and Computers Managed By Kuka on palvelimen ylläpitäjä Password Replication Policy Kenen salasanat välimuistitetaan Advanced Password Replication Policy Välimuistissa olevat tunnukset RODC:lle autentikoidut käyttäjät
Kiitos osallistumisesta! Lisätietoa aiheesta Telewaren Windows Server kursseilla www.teleware.fi 19