1 / 38

Introducción a los Servicios de Directorio Activo en Windows Server 2008

Introducción a los Servicios de Directorio Activo en Windows Server 2008. David Cervigón Luna IT Pro Evangelist david.cervigon@microsoft.com http://blogs.technet.com/davidcervigon. Agenda. Delegaciones Remotas: Read-Only Domain Controller Administración: Auditoría, Backup / Recovery

etan
Download Presentation

Introducción a los Servicios de Directorio Activo en Windows Server 2008

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Introducción a los Servicios de Directorio Activo en Windows Server 2008 David Cervigón Luna IT Pro Evangelist david.cervigon@microsoft.com http://blogs.technet.com/davidcervigon

  2. Agenda • Delegaciones Remotas: Read-OnlyDomainController • Administración: Auditoría, Backup/Recovery • Seguridad: Políticas de contraseñas granulares

  3. Terminología • Active DirectoryDomainServices • Reemplaza a “Active Directory” • Active DirectoryLightweightDirectoryServices • Reemplaza a “Active DirectoryApplicationMode” o ADAM • Roles de Servidor • Funcionalidades del servidor como AD DS, AD LDS, y DNS • Se administran centralmente a través del Server Manager • Server Core • Opción de instalación mínima del Servidor • Menor superficie de ataque debido a los pocos componentes instalados

  4. DelegacionesRemotas Delegaciones Administración Seguridad

  5. Read-OnlyDomainControllerDesafíos de las delegaciones remotas • Los administradores se enfrentan a los siguientes desafíos a la hora de desplegar Controladores de Dominio en una delegación remota • El DC se coloca en una localización física insegura • El DC tiene una conexión de red poco fiable con el HUB • El personal de la delegación tiene pocos conocimientos o permisos para gestionar el DC, por lo que: • Los Domain Admins gestionan el DC remotamente, o • Los Domain Admins delegan privilegios al personal de la delegación • Para consolodar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero • Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla

  6. Read-Only Domain ControllerSolución segura de Delegación remota Remedios del RODC

  7. Read-Only Domain ControllerMenor superficie de ataque para los DCs de delegaciones remotas • Por defecto, no hay contraseñas de usuarios o equipos almacenadas en un RODC • El Read-onlyPartialAttribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODC • Estado de Solo lectura con replicación unidireccional del AD y FRS/DFSR • Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas propias y distintas • La delegación del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte vía TS al RODC • Los DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el registro ilegal de nombres en DNS • Los RODCs tienen cuentas de estación de trabajo • No son miembros de los grupos Enterprise-DC o Domain-DC • Derechos muy limitados para escribir en el Directorio • Los RODC son totalmente compatibles con Server Core

  8. Read-OnlyDomainControllerModelos de Despliegue • Cuando usarlos • Precupaciones en torno a la seguridad y al coste de gestión de los DCs de las delegaciones remotas • Necesidades locales de acceso a recursos si falla la WAN • Cuando no: • Como reemplazo de un DC tradicional con todas sus funciones en uso

  9. Read-OnlyDomainControllerModelos de Administración recomendados • Cuentas no cacheadas (por defecto) • A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticas • En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión • La mayor parte de las cuentas cacheadas • A Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la administrabilidad que la seguridad. • En contra: Más contraseñas expuestas potencialmente por el RODC • Solo una pocas contraseñas cacheadas • A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad de los demás • En Contra: Requiere una administración granular más fina • Mapear equipos por delegación • Requiere buscar manualmente el atributo Auth2 para identificar las cuentas

  10. Cacheo de secretos en el primer inicio de sesión Read-OnlyDomainControllerComo Funciona AS_Req enviado al RODC (TGT request) • RODC: No tiene las credenciales de este usuario Reenvía la petición al DC del Hub El DC del Hub autentica la petición Devuelve la petición de autenticación y el TGT al RODC El RODC da el TGT al usuario y encola una peticion de replicación de los secretos El DC del Hub comprueba la política de replicación de contraseñas para ver si la contraseña puede ser replicada

  11. Read-OnlyDomainController Lo que ve el atacante Perspectiva del Administrador del Hub

  12. Read-Only Domain ControllerDespliegue paso a paso • Como desplegar un RODC a partir de un entorno de Windows Server 2003 • ADPREP /ForestPrep • ADPREP /DomainPrep • Promover un DC con Windows Server 2008 • Verificar que los modos funcionales del forest y del dominio son 2003 Nativo • ADPREP /RodcPrep • Verificar la lista de actualizaciones necesarias para la compatibilidad en los clientes • Promover el RODC No específico de un RODC Específico de un RODC Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promoción/promoción

  13. Read-Only Domain ControllerDelegar la promoción de un RODC

  14. Read-Only Domain ControllerPromoción "Install-from-media” • NTDSUtil > IFM • Durante la creación del RODC IFM: • Los “Secretos” se eliminan • La base de datos DIT se defragmenta para ahorrar espacio en disco

  15. ReadOnlyDomainControlles Instalación Instalación Delegada InstallFrom Media

  16. PasswordReplicationPolicy

  17. Administración Delegaciones Administración Seguridad

  18. AD DS reiniciable • Sin reiniciar el servidor, ahora se puede: • Aplicar parches de los DS • Realizar una desfragmentación offline • Un servidor con los DS parados es similar a un servidor miembro • NTDS.dit está offline • Puede iniciarse sesión local con la contraseña del Modo de Recuperación del Directorio Activo (DSRM)

  19. AuditoríasNuevos eventos de cambios en el AD • Los Eventlogs dicen exactamente: • Quien hizo el cambio • Cuándo se hizo el cambio • Queobjeto/atributo fue cambiado • Los valores inicial y final • La auditoría esta controlada por • Política global de auditoría • SACL • Schema

  20. Backup/Recovery • Windows Server Backup (wbadmin.exe) • NTBackup está descontinuado • Nueva tecnología Block-Level, basada en imágenes • Backup/recovery del SystemState por línea de comandos • Debe hacerse a una partición diferente • Recuperación del SystemState en DSRM (auth &non-auth) • DatabaseMountingTool (dsamain.exe) • DSAMain.exe también funciona con BBDD DIT offline • Restaurar un backup a otra localización y luego montarlo • Práctica recomendada: Planificar NTDSUtil.exe para sacar snapshots de AD DS/LDS regularmente • Mejoras en Active Directoryusers and Computers (ADUC) • Por defecto, “Preventcontainerfrom accidental deletion” está marcado cuando se crea una OU • Práctica recomendada: Marcar “Preventobjectfrom accidental deletion” para objetos importantes Dedicated Backup Volume

  21. ADUC: Protección contra borrado accidentalBackup/Recovery Objeto/OU existentes Nueva unidadOrganizativa

  22. Database Mounting ToolBackup/Recovery • Permite a los administradores elegir la copia de seguridad disponible más apropiada • La herramienta NO restaura objetos • Ahora: Herramienta + tombstonereanimation + LDAP • Post-WS08: ¿Undelete?

  23. Backup Auditorías DatabaseMountingTool Protección contra borrado Accidental

  24. Seguridad Delegaciones Administración Seguridad

  25. Políticas de contraseñas granularesIntroducción • Permite una administración granular de las contraseñas y políticas de bloqueo dentro de un dominio • Las políticas pueden aplicarse a: • Usuarios • Grupos Globales de Seguridad • Requerimientos • Windows server 2008 DomainMode • No requiere cambios en los clientes • No hay cambios en los valores de las configuraciones propiamente dichos • P.e., no hay nuevas opciones para controlar la complejidad de las contraseñas • Pueden asociarse múltiples políticas al usuario, pero solo una prevalece.

  26. Políticas de contraseñas granularesEscenarios de uso • Diseñadas para utilizarse en escenarios en los que existan diferentes requerimientos de seguridad y negocio para ciertos conjuntos de usuarios • Ejemplos • Administradores • Configuración estricta (las contraseñas expiran a los 14 días) • Cuentas de servicios • Configuración moderada (las contraseñas expiran a los 14 días, diferente umbral de bloqueo, longitud mínima de 32 caracteres) • Usuario Avanzado • Configuración relajada (las contraseñas expiran a los 90 días) • Se prevén un máximo de 3 y 10 políticas para la mayor parte de los despliegues • No hay límite técnico conocido al numero de políticas que es posible aplicar

  27. Políticas de contraseñas granularesFuncionamiento PSO Resultante= PSO1 Precedencia= 10 Password Settings Object PSO 1 Se aplica a PSO Resultante = PSO1 Se aplica a Precedencia= 20 Password Settings Object PSO 2 Se aplica a

  28. Políticas de contraseñas granularesPaso a Paso

  29. Políticas de contraseñas granularesAdministración • Recomendación: Administración basada en grupos • Delegar la modificación de la membresía del grupo • Esta característica puede ser también delegada • Por defecto, solo los Administradores de Dominio pueden: • Crear y leer PSOs • Aplicar una PSO a un grupo o usuario • Permisos

  30. Políticas de contraseñas granulares

  31. Otras funcionalidades • Otros Roles de Windows Server 2008 relacionados con el Directorio Activo • Active DirectoryCertificateServices • Active DirectoryFederationServices • Active Directory Lightweight Directory Services • Active Directory Rights Management Services • Herramientas de Gestión • Data Collection Template (conocidoanteriormentecomo Server Performance Analyzer) • Operations Manager AD MP SP1 para W28K DC/RODCs

  32. Recursos • TechNet Beta 3 Documentation for AD DS • Step-by-step Guide for RODC • Step-by-step Guide for AD DS Installation & Removal • Step-by-step Guide for Restartable AD DS • Step-by-step Guide for AD Data Mining (Mounting) Tool • Step-by-step Guide for AD DS Backup & Recovery • Step-by-step Guide for Auditing AD DS Changes • Step-by-step Guide for FGPP & Account Lockout Policy Configuration • MSDN Beta 3 Documentation for Schema

  33. David Cervigón Luna IT Pro Evangelist david.cervigon@microsoft.com http://blogs.technet.com/davidcervigon Preguntas

  34. Recursos Presenciales-HandsonLabshttp://www.microsoft.com/spain/seminarios/hol.mspx • Microsoft Windows Server 2008. Administración • Microsoft Windows Server 2008. Active Directory • Microsoft Windows Server 2008. Internet Information Server 7.0 • Microsoft Windows Vista. Business Desktop Deployment

  35. Recursos Virtuales-Virtual Labs http://technet.microsoft.com/en-us/windowsserver/2008/bb512925.aspx • Managing Windows Server 2008 and Windows Vista usingGroupPolicy • Managing Windows Vista and Windows Server 2008 Network BandwidthwithPolicy-basedQuality of Service • Windows Server 2008 Beta 3 Server Core • Windows Server 2008 Beta 3 Server Manager • CentralizedApplication Access with Windows Server 2008 Beta 3 • DeploymentServices (WDS) in Windows Server 2008 Beta 3 • Fine GrainedPasswordSettings in Windows Server 2008 Beta 3 • Managing Network Security Using Windows Firewall withAdvanced Security Beta 3 • Windows Server 2008 Enterprise FailoverClustering • Managing TS Gateway and RemoteApps in Windows Server 2008 Beta 3 • Managing Windows Server 2008 Using New Management Technologies Beta 3 • Network Access ProtectionwithIPSecEnforcement • Using APPCMD Command Line or UI with IIS 7 in Windows Server 2008 Beta 3 • UsingPowerShell in Windows Server 2008 Beta 3

  36. Recursos TechNet • TechCenter de Windows Server 2008 http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx • Próximos webcasts en vivo http://www.microsoft.com/spain/technet/jornadas/default.mspx • Webcasts grabados sobre Windows Server http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1 • Webcasts grabados otras tecnologías Microsoft http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx • Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30

  37. Recursos TechNet • Registrarse a la newsletter TechNet Flash http://www.microsoft.com/spain/technet/boletines/default.mspx • Obtenga una Suscripción TechNet Plus http://technet.microsoft.com/es-es/subscriptions/default.aspx

  38. El Rostro de Windows Server está cambiando. Descúbrelo en www.microsoft.es/rostros

More Related