Active Directory Whats New

Windows Server 2008

Active Directory

Nuno Picado
nuno.picado@rumos.pt
NOVAS TECNOLOGIAS MICROSOFT

Evoluo Active Directory

Secure BranchBranch-Office
Improved Manageability & Administration
reduce IT Cost

Simpler Management
Easier Deployment

Best-of-breed Enterprise NOS

Directory

Windows Server 2008

Processador
Recomendado: 2 GHz
Optimo: 3 GHz ou superior
Memria: recomendado 1GB, optimo 2G ou superior

Disco
Minimo: 8 GB
Recomendado: 40 GB (instalao completa) ou 10 GB
(verso Core)

 Demasiados
utilizadores
Passwords
fracas
Segurana na
rede
Aumento dos
custos do help-desk

Server and Desktop

Management

Identity Management

Problemas comuns nas TIs

Configuraes
standard
Gesto de
servidor e
desktops
Vrias aplicaes
Manter os
sistemas
actualizados

Directory Service?
A directory service ao mesmo tempo um directrio com
contedos informativos bem como um servio que disponibiliza
essa informao
Gesto Centralizada : Domnio

Gesto Dispersa: Workgroup

AD DS
Active Directory Domain Services (AD DS) a directoria que
fornece os seguintes servios numa rede Windows Server
2008:
Gesto de contas dos utilizadores

Autenticao dos utilizadores

Gesto de contas de mquinas

Acessos a recursos de rede

Servios extra domnio

Funcionamento AD DS
Autenticao no Domnio
Acesso a recursos de rede

Objectos de utilizadores e mquinas so criados na directoria

Agrupamento desses objectos podem ser criados

Um cliente pode utilizar a autenticao na AD DS

O utilizador pode aceder a recursos de rede

O recurso pode validar a autenticao na AD DS

Read-Only Domain Controller

1-Way Replication

Admin Role Separation

Secrets not cached byby-default

Read-Only Domain Controller

Passos para a promoo do RODC

Criar a conta RODC

Especficar os parmetros

Promover o Member Server a DC

Microsoft Confidential

Fine-Grained Password Policy

Resultant
PSO =
PSO1
Precedence = 10

Password
Settings Object

PSO 1

Applies To

Resultant
PSO =
PSO1
Precedence = 20

Password
Settings Object

PSO 2

Microsoft Confidential

Applies To

Accidental deletion
Existing Object/OU

Microsoft Confidential

New Organizational Unit

Integrao da AD DS com
outros componentes
AD FS

AD RMS

AD DS fundamental para o
funcionamento da rede
A maior parte dos componentes de
servidor depende da AD DS para
disponibilizar utilizadores e recursos

AD CS

AD DS tambm providencia
autenticao e autorizao para
servios
AD DS

LDAP?
Lightweight Directory Access Protocol (LDAP) :
Protocolo da Directory Service
Baseado em TCP/IP
Mtodo de acesso, procura e modificao da directory service
Modelo cliente-servidor

AD LDS?
Baseada em LDAP

Utilizada para aplicaes

AD LDS
LDAP

Mais flexivel que AD DS

Pode ter mltiplas instncias AD LDS a correr numa
nica mquina
No requer DNS
Pode ser modificada de acordo com as necessidades
das aplicaes

AD LDS Exemplos
Autenticao WEB

Mais segura para

aplicaes

Pode estar interligada com

a AD DS disponibilizando
contedos da mesma numa
DMZ (zona desmilitarizada)

Directrio para aplicaes

de E-mail

AD CS?
Active Directory Certificate Services (AD CS) :
Fornece Certificados
Fornece ferramentas para criar, distribuir e eliminar
certificados
Fornece capacidade de revogar certificados
Pode integrar Certification Authority com AD DS

AD CS Exemplos
Utilizao de
Secure Sockets
Layer para Web
sites

Smartcard log
para clientes e
VPN

Certificados
para
encriptao de
ficheiros

SSL

Certificados para
routers na
comunicao por
IPSEC

Certificados
encriptados (S/MIME)
e e-mails autenticados

S/MIME

Funcionamento da AD CS
Seguidamente
guardado na AD DS

AD DS

CA
Mgmt
Tools

Certificate
Authority
Cliente
Windows
Gere certificados
de forma
automtica ou
manual

Como proteger do acesso a terceiros

Authorized
Users

Information
Leakage
Access Control
List Perimeter

Unauthorized
Users
Unauthorized
Users

AD RMS?
Active Directory Rights Management Services (AD RMS):

Distribui certificados cliente, obriga uma validao de

politicas e providencia uma gesto centralizada
Requer aplicaes como Microsoft Office 2007 ou
Internet Explorer 7.0 e o cliente RMS

AD RMS Exemplo
2
AD DS
AD RMS
Requer segurana
no ficheiro

3
Acede ao ficheiro
validado

4
1
Envia ficheiro
protegido
Cliente
criador

Cliente
consumidor

Ateno !!!!

AD FS?
Active Directory Federation Services (AD FS):

Permite a criao de relaes de confiana entre duas

Organizaes

Permite o acesso de aplicaes entre Organizaes

Permite com uma simples credencial o acesso a diferentes

Organizaes em aplicaes web

AD FS Exemplo
Account
Federation
Server

Resource
Federation
Server
Internet

Web Server

Federation Trust

Tailspin Toys

Fornecedor

Sumrio
Componente

Descrio

Active Directory
Domain Services (AD
DS)

Gesto centralizada de contas de utlilizador e mquinas, bem como as

suas autenticaes numa rede Windows Server 2008

Active Directory
Lightweight Directory
Services (AD LDS)

Uma directoria de servios LDAP que fornece suporte flexvel para

aplicaes sem as restries da AD DS

Active Directory
Certificate Services
(AD CS)

Uma soluo para proteger contedos nos documentos, mensagens e

sites para o acesso, modificaco ou visualizao destes.

Active Directory Rights

Management Services
(AD RMS)

Uma forma simples de proteger aplicaes e no permitir o acesso

no autorizado a terceiros.

Active Directory
Federation Services
(AD FS)

Um componente do Windows Server 2008 que permite o acesso a um

site fazendo a autenticao numa outra Organizao