Escolar Documentos
Profissional Documentos
Cultura Documentos
Delegaciones Remotas: Read-Only Domain Controller Administracin: Auditora, Backup/Recovery Seguridad: Polticas de contraseas granulares
Roles de Servidor
Funcionalidades del servidor como AD DS, AD LDS, y DNS Se administran centralmente a travs del Server Manager
Server Core
Opcin de instalacin mnima del Servidor Menor superficie de ataque debido a los pocos componentes instalados
Delegaciones
Seguridad
Administracin
Para consolodar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero
Los usuarios no podran iniciar sesion o acceder a recursos de red si la WAN falla
El atacante puede
Comprometer el RODC
No son miembros de los grupos Enterprise-DC o Domain-DC Derechos muy limitados para escribir en el Directorio
Secure Appliance DC
Modelos de Despliegue
Infraestructura de Directorio Activo
Delegacin (RODC) Delegacin (RODC)
Cuando usarlos
Precupaciones en torno a la seguridad y al coste de gestin de los DCs de las delegaciones remotas Necesidades locales de acceso a recursos si falla la WAN
Read-Only
Delegacin (RODC)
Internet DMZ
Cuando no:
Como reemplazo de un DC tradicional con todas sus funciones en uso
Read-Only
Como Funciona
DC en el Hub
4 5 7
Read Only DC
3 2
5. Devuelve la peticin de autenticacin y el TGT al RODC 6. El RODC da el TGT al usuario y encola una peticion de replicacin de los secretos
7. El DC del Hub comprueba la poltica de replicacin de contraseas para ver si la contrasea puede ser replicada
Hub
Delegacin
1
Lo que ve el atacante
ADPREP /ForestPrep ADPREP /DomainPrep Promover un DC con Windows Server 2008 Verificar que los modos funcionales del forest y del dominio son 2003 Nativo ADPREP /RodcPrep Verificar la lista de actualizaciones necesarias para la compatibilidad en los clientes Promover el RODC
No especfico de un RODC
Especfico de un RODC
Especificar los parmetros del RODC Asignar la mquina al slot del RODC
Promocin "Install-from-media
NTDSUtil > IFM Durante la creacin del RODC IFM:
Los Secretos se eliminan La base de datos DIT se defragmenta para ahorrar espacio en disco
Delegaciones
Seguridad
Administracin
5137
Create
5138
Undelete
5139
Move
Backup/Recovery
Permite a los administradores elegir la copia de seguridad disponible ms apropiada
NTDSUTIL.EXE Saca SnapShots de DS/LDS via VSS DSAMAIN.EXE Expone las snapshots como servidores LDAP LDP.EXE Ver datos de solo lectura de DS/LDS
Delegaciones
Seguridad
Administracin
Introduccin
Permite una administracin granular de las contraseas y polticas de bloqueo dentro de un dominio Las polticas pueden aplicarse a:
Usuarios Grupos Globales de Seguridad
Requerimientos
Windows server 2008 Domain Mode No requiere cambios en los clientes
Escenarios de uso
Diseadas para utilizarse en escenarios en los que existan diferentes requerimientos de seguridad y negocio para ciertos conjuntos de usuarios Ejemplos
Administradores Configuracin estricta (las contraseas expiran a los 14 das) Cuentas de servicios Configuracin moderada (las contraseas expiran a los 14 das, diferente umbral de bloqueo, longitud mnima de 32 caracteres) Usuario Avanzado Configuracin relajada (las contraseas expiran a los 90 das)
Funcionamiento
PSO Resultante = PSO1
Precedencia= 10
PSO 1
Se aplica a
Precedencia= 20
Se aplica a
PSO 2
Paso a Paso
Formular la politica de contraseas correspondiente a cada uno de los difrenetes grupos de usuarios
Delegar la administracin
Administracin
Recomendacin: Administracin basada en grupos
Delegar la modificacin de la membresa del grupo
Permisos
Operacin a Delegar Crear y borrar PSOs Aplicar PSOs a usuarios/grupos Permisos Delegados En el PSC: Create all child objects Delete all child objects En el PSO: Write
Herramientas de Gestin
Data Collection Template (conocido anteriormente como Server Performance Analyzer) Operations Manager AD MP SP1 para W28K DC/RODCs
http://www.microsoft.com/spain/seminarios/hol.mspx
Microsoft Windows Server 2008. Administracin Microsoft Windows Server 2008. Active Directory Microsoft Windows Server 2008. Internet Information Server 7.0 Microsoft Windows Vista. Business Desktop Deployment
Managing Windows Server 2008 and Windows Vista using Group Policy Managing Windows Vista and Windows Server 2008 Network Bandwidth with Policy-based Quality of Service Windows Server 2008 Beta 3 Server Core Windows Server 2008 Beta 3 Server Manager Centralized Application Access with Windows Server 2008 Beta 3 Deployment Services (WDS) in Windows Server 2008 Beta 3 Fine Grained Password Settings in Windows Server 2008 Beta 3 Managing Network Security Using Windows Firewall with Advanced Security Beta 3 Windows Server 2008 Enterprise Failover Clustering Managing TS Gateway and RemoteApps in Windows Server 2008 Beta 3 Managing Windows Server 2008 Using New Management Technologies Beta 3 Network Access Protection with IPSec Enforcement Using APPCMD Command Line or UI with IIS 7 in Windows Server 2008 Beta 3 Using PowerShell in Windows Server 2008 Beta 3
Foros tcnicos
http://forums.microsoft.com/technet-es/default.aspx?siteid=30
Descbrelo en
www.microsoft.es/rostros