Александр Шаповал Microsoft

Август 30, 2022

Главная
Информатика
Александр Шаповал Microsoft

Содержание

2. Службы каталога Службы каталога Windows Server 2008 Directory Services состоят из двух компонент AD DS Active
3. Active Directory Domain Services Изменения в схеме http://msdn2.microsoft.com/en-us/library/ms675085.aspx Изменения в политике паролей Read Only Domain Controller
4. Политика паролей Может быть задана не только на уровне домена Добавлен специальный контейнер Password Settings Container
5. Политика паролей Привязка PSO: msDS-PSOAppliesTo msDS-PSOApplied Приоритет PSO msDS-PasswordSettingsPrecedence Порядок применения PSO Наименьшее значение Precedence или
6. LDIF-файл для создания PSO dn: CN={PSO Object Name},CN=Password Settings Container,CN=System,DC=contoso,DC=com changetype: add objectClass: msDS-PasswordSettings msDS-MaximumPasswordAge:-1728000000000 msDS-MinimumPasswordAge:-864000000000
7. Конфигурация политики паролей demo
8. Read Only Domain Controllers Контроллер домена в удаленном офисе или филиале…
9. Read Only Domain Controller Основные возможности Копия базы AD в режиме «только чтение» DNS в режиме
10. База данных RODC Содержит все объекты AD Исключение составляют пароли пользователей Можно задать политику репликации паролей
11. DNS и администрирование Раздел DNS Клиенты могут запрашивать службу DNS на RODC для разрешения имен Запросы
12. Кэширование паролей Отключено по умолчанию Можно настроить политику репликации Для пользователей удаленного офиса Каждый RODC имеет
13. Односторонняя репликация Реплицируются База данных Active Directory SYSVOL Передаются все изменения Ограничения для RODC Не может
14. Read Only Domain Controller demo
15. Развертывание RODC
16. Возможности аудита Опция Directory Service Access Аудит изменений в AD Создание Изменение Восстановление Перенос Что протоколируется
17. Новые события аудита
18. Перезагрузка служб AD Вариант применения Дефрагментация NTDS.DIT Возможные режимы AD DS запущена AD DS остановлена Directory
19. Перезагрузка Directory Services demo
20. Database Mounting Tool DSAMAIN Совершенствует процесс восстановления Не восстанавливает сами объекты Реализуется NTDSUTIL Задействуются теневые копии
21. DATA Mining with LDP demo
22. Вопросы? http://blogs.technet.com/ashapo
24. Скачать презентацию

Слайд 2

Службы каталога
Службы каталога Windows Server 2008 Directory Services состоят из двух

компонент
AD DS
Active Directory Domain Services
AD LDS
Active Directory Lightweight Directory Services

Слайд 3

Active Directory Domain Services
Изменения в схеме
http://msdn2.microsoft.com/en-us/library/ms675085.aspx
Изменения в политике паролей
Read Only Domain

Controller (RODC)
Разделение административных ролей
Расширение возможностей аудита
Возможность рестарта AD DS
Инструмент Database Mounting Tool

Слайд 4

Политика паролей
Может быть задана не только на уровне домена
Добавлен специальный контейнер

Password Settings Container (PSC)
Объекты политики паролей (Password Settings Objects, PSO)
9 обязательных атрибутов
Enforce password history
Maximum password age
Minimum password age
Minimum password length
Passwords must meet complexity requirements
Store passwords using reversible encryption
Account lockout duration
Account lockout threshold
Reset account lockout after

Слайд 5

Политика паролей
Привязка PSO:
msDS-PSOAppliesTo
msDS-PSOApplied
Приоритет PSO
msDS-PasswordSettingsPrecedence
Порядок применения PSO
Наименьшее значение Precedence или PSO GUID
msDS-ResultantPso

Определение RSOP
Учитывает объекты пользователя и групп

Слайд 6

LDIF-файл для создания PSO
dn: CN={PSO Object Name},CN=Password Settings Container,CN=System,DC=contoso,DC=com
changetype: add
objectClass: msDS-PasswordSettings
msDS-MaximumPasswordAge:-1728000000000
msDS-MinimumPasswordAge:-864000000000
msDS-MinimumPasswordLength:8
msDS-PasswordHistoryLength:24
msDS-PasswordComplexityEnabled:TRUE
msDS-PasswordReversibleEncryptionEnabled:FALSE
msDS-LockoutObservationWindow:-18000000000
msDS-LockoutDuration:-18000000000
msDS-LockoutThreshold:0
msDS-PasswordSettingsPrecedence:10
msDS-PSOAppliesTo:{Add

DN of Target Group}

Слайд 7

Конфигурация политики паролей
demo

Слайд 8

Read Only Domain Controllers
Контроллер домена в удаленном офисе или филиале…

Слайд 9

Read Only Domain Controller
Основные возможности
Копия базы AD в режиме «только

чтение»
DNS в режиме «только чтение»
Разделение административных ролей
Односторонняя репликация
Кэширование параметров учетных записей

Слайд 10

База данных RODC
Содержит все объекты AD
Исключение составляют пароли пользователей
Можно задать политику

репликации паролей
msDS-Reveal-OnDemandGroup
msDS-NeverRevealGroup
msDS-RevealedList
msDS-AuthenticatedToAccountList
Установка атрибута фильтрации
schemaFlagsEx = 1 (после Beta3)
Не применимо к критическим системным атрибутам
LSA & SSPIs (Kerberos)

Слайд 11

DNS и администрирование
Раздел DNS
Клиенты могут запрашивать службу DNS на RODC

для разрешения имен
Запросы на запись перенаправляются
Делегирование полномочий
Можно предоставить определенные права
Сопровождение
Резервное копирование
Установка принтеров
Никаких изменений в AD

Domain Admins

Слайд 12

Кэширование паролей
Отключено по умолчанию
Можно настроить политику репликации
Для пользователей удаленного офиса

Каждый RODC имеет свою, отличную от других, запись KRBTGT
Повышение безопасности
Угроза только для кэшированных записей

Слайд 13

Односторонняя репликация
Реплицируются
База данных Active Directory
SYSVOL
Передаются все изменения
Ограничения

для RODC
Не может быть Bridge Head
Не может выполнять роли Operations Master
Вход по смарт-картам требует специальных полномочий для группы ERODC
На внедрение RODC могут повлиять используемые приложения

Слайд 14

Read Only Domain Controller
demo

Слайд 15

Развертывание RODC

Слайд 16

Возможности аудита
Опция Directory Service Access
Аудит изменений в AD
Создание
Изменение
Восстановление
Перенос

Что протоколируется
Предыдущее значение, новое значение, какая учетная запись внесла изменения
Корреляция событий

Слайд 17

Новые события аудита

Слайд 18

Перезагрузка служб AD
Вариант применения
Дефрагментация NTDS.DIT
Возможные режимы
AD DS запущена
AD DS остановлена

Directory Services Restore Mode
Управление
MMC
Командная строка

Слайд 19

Перезагрузка Directory Services
demo

Слайд 20

Database Mounting Tool
DSAMAIN
Совершенствует процесс восстановления
Не восстанавливает сами объекты
Реализуется NTDSUTIL
Задействуются

теневые копии (VSS)
Просмотр с помощью DSAMAIN, LDP
Позволяет администратору сравнивать моментальные снимки

Слайд 21

DATA Mining with LDP
demo

Слайд 22

Александр Шаповал Microsoft

Содержание

Службы каталогаСлужбы каталога Windows Server 2008 Directory Services состоят из двух

Active Directory Domain ServicesИзменения в схемеhttp://msdn2.microsoft.com/en-us/library/ms675085.aspxИзменения в политике паролейRead Only Domain

Политика паролейМожет быть задана не только на уровне доменаДобавлен специальный контейнер

Политика паролейПривязка PSO:msDS-PSOAppliesTomsDS-PSOAppliedПриоритет PSOmsDS-PasswordSettingsPrecedenceПорядок применения PSOНаименьшее значение Precedence или PSO GUIDmsDS-ResultantPso

Конфигурация политики паролей demo

Read Only Domain ControllersКонтроллер домена в удаленном офисе или филиале…

Read Only Domain Controller Основные возможностиКопия базы AD в режиме «только

База данных RODCСодержит все объекты ADИсключение составляют пароли пользователейМожно задать политику

DNS и администрирование Раздел DNSКлиенты могут запрашивать службу DNS на RODC

Кэширование паролей Отключено по умолчаниюМожно настроить политику репликацииДля пользователей удаленного офиса

Односторонняя репликация Реплицируются База данных Active DirectorySYSVOL Передаются все изменения Ограничения

Read Only Domain Controllerdemo