1 / 38

Windows 8 … czas na zmiany

Windows 8 … czas na zmiany. Tomasz Onyszko. Architekt. tomasz.onyszko@predica.pl. Agenda. Zmiany. Wirtualizacja. Dynamic Access Control. Nowości i nowinki. Group Managed Services Accounts. Szybkie i łatwe wdrożenie. Recycle Bin UI. Wsparcie dla wirtualizacji. Powershell History.

hamish
Download Presentation

Windows 8 … czas na zmiany

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows 8 … czas na zmiany Tomasz Onyszko Architekt tomasz.onyszko@predica.pl

  2. Agenda Zmiany Wirtualizacja Dynamic Access Control

  3. Nowości i nowinki

  4. GroupManaged Services Accounts Szybkie i łatwe wdrożenie Recycle Bin UI Wsparcie dla wirtualizacji Powershell History Fine grainedpassword policy UI PowershelCmdlets – Active Directory Replication & Topology Active Directory BasedActivation Kerberos Zmiany w platformie Active Directory Dynamic Access Control

  5. Zmiany w UI: Recycle Bi • Recycle Bin • Wprowadzony w Windows 2008 R2 • Brak UI • No i jest • Brak odtwarzania subtree

  6. Zmiany w UI: FGPP • FGPP • Tak jak i w przypadku Recycle Bin

  7. GroupManaged Service Account (gMSA) • Managed Services Accounts • Wprowadzone w Windows 2008 R2 • Możliwość użycia w ramach jednej maszyny • Nieobsługiwane usługi • Klastry • Usługi IIS pracujące w NLB

  8. GroupManaged Service Account (gMSA) • gMSA • Nowy typ security principal w Windows 8 • Jedno gMSA mogą używać usługi w ramach różnych maszyn • Wymagany Windows 8 DC • Hasła generowane i zarządzane są przez GroupKey Distribution Service (GKDS) • Uwierzytelnienie względem dowolnego DC

  9. PowershellHistory • Active Directory Administrative Center • Nowa konsola zarządzająca AD • Pod UI wszystkie polecenia wykonywane są poprzez Powershell

  10. Active Directory BasedActivation • KMS • Prosta usługa • Brak uwierzytelnienia i autoryzacji: Connect == Aktywacja • AD BA • Aktywacja w oparciu o usługę katalogu • Tylko dostęp do LDAP • Brak dodatkowych usług: Dane do aktywacji w partycji konfiguracji • Tylko Windows 8 • KMS i AD BA mogą pracować równocześnie

  11. Kerberos • KerberosConstrainedDelegation (KCD) • Pozwala na delegację uwierzytelnienia do wybranych usług • Od Windows 2003 działa w ramach jednego lasu • Windows 8 KCD • Działa pomiędzy usługami w różnych lasach • Odwrócenie sytuacji – to back-end podejmuje decyzję które konta mogą wykonywać delegację • Front-end i Back-end wymagają przynajmniej 1 DC Windows 8

  12. Kerberos FAST • Kerberos • Problemy z error spoofing (klient obniża wymagania lub przełącza się na inny protokół) • Ochrona danych wysyłanych w ramach pre-authentication • FlexibleAuthenticationSecureTunneling • Dodatkowe uwierzytelnienie kanału Klient <-> DC • Kanał uwierzytelniony poprzez Logon SessionKey konta komputera • Uwierzytelnienie konta komputera nadal jest niezabezpieczone FAST

  13. Active Directory • RID exthausion • RID: identyfikator przydzielana tworzonemu obiektowi w AD • Ogólna pula RID 2^30 • Każdy z DC otrzymuje pulę RID odnawianą wg potrzeb. • Problem: • Błąd może powodować wyczerpanie puli dostępnych RID • Windows 8 • Eliminacja błędów związanych z RID Exthausion • Zwiększona ogólna pula RID – 2^31 (włączana opcjonalnie - sidCompatibilityVersion:1) • Mechanizmy logowania i monitorowania zużycia RID (event log)

  14. Dodatkowo • LDAP • Rozszerzenie dostępnych kontrolek LDAP • Nowe mechanizmy logowania LDAP • Off-linedomainjoin spoza sieci • Możliwość przekazania danych dostępu Direct Access • Dodanie do domeny poprzez Internet • Opóźnione przebudowanie indeksów AD • Nowe atrybuty rootDSE

  15. Wirtualizacja to Rewelacja …

  16. ... Chyba że mówimy o DC • Active Directory jest w pełni wspierane na VM • Wspierane ale: • Nie wspieramy snapshot i odtwarzania VM z DC • Kopiowania VHD z DC • Export / Import maszyn z DC • Problem: Administratorzy infrastruktury VM i domen nie są świadomi ograniczeń

  17. W czym tkwi problem (raz jeszcze) DC2 DC1 USN: 100 Tworzymy snapshot Czas: T1 Czas: T2 +100 dodanych kont ID: A RID Pool: 500 - 1000 DC1(A)@USN = 200 USN:200 Sekwencja zdarzeń Czas: T3 DC2 pobiera zmiany: USNs >100 ID: A RID Pool:600 - 1000 DC1(A) @USN = 250 +150 dodatkownych kont Czas: T4 USN:100 T1Odtworzony snapshot! ID: A RID Pool:500 - 1000 USN:250 DC2 pobiera zmiany: USNs >200 ID: A RID Pool:650 - 1000

  18. My nameis Clone, DC Clone • Windows 8 DC rapiddeployment • Wdrożenie nowych kontrolerów domeny poprzez operację export\import na poziomie hypervisora • Windows 8 rozpoznaje następujące operacje • Odtworzenie snapshot • Skopiowanie VM (Uwaga: Nie podmianę VHD !) • Jak • Zmiana VM generation ID podczas operacji hypervisora • Nowy DC tworzony jako klon podstawowego na podstawie danych konfiguracji

  19. Windows 8 DC2 DC1 USN: 100 Tworzymy snapshot Czas: T1 Czas: T2 +100 dodanych kont ID: A |savedVMGID: G1 | VMGID: G1 DC1(A) @USN = 200 USN:200 Sekwencja zdarzeń Czas: T3 ID: A |savedVMGID: G1 | VMGID: G1 DC2 pobiera zmiany: USNs >100 +150 nowych kont: wykryto zmianę VM generation ID : DEPLOY SAFEGUARDS Czas: T4 DC1(A) @USN = 200 DC1(B) @USN = 250 USN:100 T1Odtworzony snapshot ID: A |savedVMGID: G1 | VMGID:G2 … poprzednie zmiany replikowane są doDC1 USN:250 ID:B|savedVMGID: G2| VMGID:G2 DC2 pobiera zmiany: USNs >101

  20. Czas na pytanie? Kto ma gotowy plan odtworzenia lasu ?

  21. Odtworzenie lasu – pre Windows 8 Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC predica.lab Odtwórz pierwszy DC w ramach domeny Przygotuj kolejny obraz, wypromuj go na DC Przygotuj kolejny obraz, wypromuj go na DC sub.predica.lab

  22. Odtworzenie lasu – Windows 8 Odtworzenie lasu – pre Windows 8 Odtwórz pierwszy DC w ramach domeny (DC1) Sklonuj DC1 Sklonuj DC1 predica.lab Odtwórz pierwszy DC w ramach domeny (SDC1) Sklonuj SDC1 Sklonuj SDC1 sub.predica.lab

  23. Dynamic Access Control

  24. Jak to drzewiej bywało (i bywa nadal)? DC FS RO RW RW RO RO RW RO RW RW RO RO RW RW RO RW RO RW RW RO Praktykant RO TokenSize

  25. Jak to drzewiej bywało (i bywa nadal)? DC FS RO RW RW RO RO RW RO RW RW RO RO RW RW RO RW RO RW RW RO Praktykant FTE RO

  26. Dwa pytania … tylko szczerze Czy wiecie do czego służą grupy w Waszym AD? Czy wiecie kto do czego ma przez nie dostęp?

  27. Obecne podejście • Problemy • Trudność w określeniu zestawu uprawnień w zależności od potrzeb biznesowych • Brak centralnej administracji • Trudne w utrzymaniu • Liczba grup powoduje zwiększenie rozmiaru tokenu

  28. Dynamic Access Control • Nie zastępuje obecnego modelu (DACL) • Mogą istnieć równocześnie • Model autoryzacji oparty o claims • Pochodzące z Active Directory • User claims • Device claims • Centralne zarządzanie polityką dostępu – Central Access Policy (CAP)

  29. Zarządzanie dostępem • Reguły dostępu do plików wyrażone poprzez claimsoraz klasyfikacje plików • Claims wynikające z atrybutów użytkownika / urządzenie • Obejmuje również reguły audytu • Klasyfikacja plików • Centralny sposób zarządzania właściwościami w ramach klasyfikacji poprzez GPO

  30. Beyond File System • Active Directory Federation Service 2.1 • Full classcitizen: Dostępna jako rola w systemie • AD FS 2.1 • Pozwala na umieszczenie w tokenie SAML claims pobranych wprost z tokenuKerbers • Pozwala na umieszczeniu w tokenieuser / deviceclaim

  31. Dynamic Access Control DEMO

  32. Podsumowanie

  33. Windows 8 Server wprowadza duże zmiany w ramach usługi katalogowej Wsparcie dla DC i wirtualizacji Dynamic Access Control - zmiana podejście do autoryzacji Wdrożenie usługi katalogowej Usprawnienia operacyjne i UI (ewolucja)

  34. Dziękuję … Q&A tomasz.onyszko@predica.pl http://www.w2k.pl http://www.predica.pl

More Related