Novità in Active Directory e nelle Group Policy

Slides:



Advertisements
Presentazioni simili
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Advertisements

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Business Value Launch /27/2017 2:27 AM
Visual Studio Tools For Office 2005 Fabio Santini. NET Senior Developer Evangelist Microsoft Italy.
La riduzione dei privilegi in Windows
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory
Liberiamo(ci) (dal)le applicazioni con Softgrid
Sviluppare applicazioni per utenti non-admin Fabio Santini Senior Developer Evangelist.
Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos
Progettazione di Active Directory
La sicurezza delle reti Wireless
Configuring Network Access
Attivazione Piergiorgio Malusardi IT Pro Evangelist
Sharepoint Gabriele Castellani
| | Microsoft Certificate Lifecycle Manager.
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Infrastuttura di base Piergiorgio Malusardi IT Pro Evangelist
Overview Aldo Tuberty Vilà.
Passare a Windows Server 2003 Milano – Marcello Caenazzo IT Manager Sud Europa.
In aula Piergiorgio Malusardi IT Pro Evangelist
Windows XP SP 2 e Office 2003 I dati nel vostro PC sempre sicuri Come rendere sicuro il proprio computer… …ed ottenere la massima produttività Aldo Tuberty.
Distribuzione e gestione di reti ed uffici con PC basati su Windows XP
Come gestire AD con successo Tips And Tricks. Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service.
Windows Server 2003 Service Pack 1 Anteprima Tecnica.
Sicurezza e Policy in Active Directory
Installazione di Active Directory
Introduzione ad Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
Installazione di Active Directory
Active Directory.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
SEVER RAS.
09/01/041Security Sicurezza del sistema di rete Non è necessaria per il funzionamento della rete, ma è auspicabile per semplificarne la gestione. Consente.
Dynamic Data Center Toolkit for Hoster
Novità nelle tecnologie per il Web
"Non-Admin" Developing "Non-Admin" Developing Fabio Santini.NET Senior Developer Evangelist Microsoft Italy.
Microsoft Dynamics CRM 4.0
ITA through CASA Microsoft Italy Education – Partners in Learning.
Conferenza Stampa Microsoft SharePoint Conference e 3 Ottobre, Milano.
Microsoft Windows Server licensing in ambienti virtualizzati
Overview di Unified Communication ed Exchange Server 2007 Andrea Garattini Ivan Riservato.
Network Access Protection (NAP): la soluzione di policy enforcement in Windows Server 2008 R2 PierGiorgio Malusardi IT Pro Evangelist Microsoft Italia.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Un problema importante
DFS e soluzioni per le sedi remote
Configurazione di una rete Windows
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
Windows Server 2003 Integrazione di DNS in Strutture Esistenti PierGiorgio Malusardi – Microsoft.
Connettiti con Rispetto!.
Microsoft Confidential Gabriele Castellani Developer & Platform Evangelism Microsoft.
Distribuzione controllata del software con Systems Management Server 2003 Fabrizio Grossi.
Certificati e VPN.
Extension pack per IIS7 Piergiorgio Malusardi IT Pro Evangelist
Ricerca degli errori in IIS7 Piergiorgio Malusardi IT Pro Evangelist
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Panoramica generale di "Questo è NAV" Benvenuti Controllo Margine Crescita Introduzione Customer Evidence Dimostrazione Introduzione Customer Evidence.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Bing SMB Advertisers – Search Ads
“Costi di salvataggio e parametri di valutazione” Guglielmo Camera
7/21/2018 6:31 PM Un possibile trattamento per l’eiaculazione precoce: la terapia di combinazione Stefano Masciovecchio, Pietro Saldutto, Elona Toska,
12/8/ :31 PM DIO È SUSSURRO E BREZZA,
Build /13/2019 ASP.NET Core Web API all’opera Problemi veri nello sviluppo di un backend vero Marco Minerva Microsoft MVP Windows Development
Transcript della presentazione:

Novità in Active Directory e nelle Group Policy 3/27/2017 2:27 AM Novità in Active Directory e nelle Group Policy PierGiorgio Malusardi IT Pro Evangelist piergiorgio.malusardi@microsoft.com Blog TechNet: http://blogs.technet.com/italy Blog personale: http://blogs.technet.com/pgmalusardi © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Agenda Novità in Active Directory Novità nelle Group Policy 3/27/2017 2:27 AM Agenda Novità in Active Directory Policy di password Read-only DC Servizi di directory riavviabili Separazione dei ruoli amministrativi Novità nelle Group Policy Nuove funzionalità Dettaglio su alcune funzionalità File ADMX e Central Store Ricerche/Commenti/GPO di avvio Amministrazione delle GPO GPO Locali Multiple Nuove impostazioni via policy in Windows Vista – Windows Server 2008 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Novità in active directory

Password policy per gruppi di utenti 3/27/2017 2:27 AM Password policy per gruppi di utenti Rimossa la restrizione di una singola policy di password a livello di Dominio Policy diverse applicabili a gruppi diversi di utenti Non si applicano a computer o utenti non di dominio Necessario Domain mode Windows Server 2008 MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Read Only Domain Controller Cos’è un Read Only Domain Controller? È un Domain Controller con Database di Active Directory in modalità SOLA LETTURA

3/27/2017 2:27 AM Perché Read-only DC? Superficie di esposizione ridotta (es. DC in luoghi non sicuri) Furti di DC  password utente\computer non sono nei RODC DC compromesso  esposizione di AD ridotta Solo Read-only Replica unidirezionale per AD e FRS\DFSR Ogni RODC ha il proprio account KDC KrbTGT Diritti limitati di scrittura nella Directory RODC = account di tipo workstation, non appartengono a EDC o DDC Più facile gestire e configurare dei DC negli uffici remoti © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Prospettiva dell’Amministratore nell’hub RODC e i furti di DC Prospettiva dell’attacante Prospettiva dell’Amministratore nell’hub © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Prerequisiti per il deployment di RODC 3/27/2017 2:27 AM Prerequisiti per il deployment di RODC Funzionano negli ambienti esistenti Non servono patch per DC e client pre-Windows Server 2008 Nessuna ristrutturazione dei domini Consolidamento dei server bridgehead Prerequisiti Forest Functional Mode Windows 2003 Linked Value Replication Constrained Delegation PDC Emulator deve essere Windows Server 2008 Assicura l’univocità degli account Kerberos TGT dei RODC Comprende gli account RODC per la creazione di canali sicuri Almeno due DC Windows Server 2008 per ogni dominio Bilancio della replica verso i RODC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Deployment di RODC Da Windows Server 2003 3/27/2017 2:27 AM Deployment di RODC Da Windows Server 2003 Portare la foresta al Forest Functional Mode Windows Server 2003 ADPREP /ForestPrep ADPREP /DomainPrep ADPREP /RodcPrep Nuovo switch per creare da remoto le ACL sul DNS per le repliche RODC Upgrade del PDC a Windows Server 2008 o promozione di una replica e trasferimento del ruolo Creazione dei RODC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Incorporazione dei RODC in AD esistente Datacenter o rete fidata Siti remoti o confini della rete

Incorporazione dei RODC in AD esistente Datacenter o rete fidata Siti remoti o confini della rete

Policy di replica delle password Modello di gestione 3/27/2017 2:27 AM Policy di replica delle password Modello di gestione Nessun account in cache (default) Pro: Più sicuro, fornisce ancora rapida autenticazione e applicazione delle policy Contro: Nessun accesso in caso di perdità di WAN La maggior parte degli account in cache Pro: gestione semplice delle password. Per chi vuole usare i RODC per aumentare la gestibilità della rete e non la sicurezza Contro: Molte password potenzialmente esposte Alcuni account in cache (account specifici dell’ufficio) Pro: consente l’accesso agli utenti dell’ufficio anche in mancanza di WAN e massimizza la sicurezza per tutti gli altri Contro: l’amministrazione a grana fine è una nuova attività Necessario mappare computer e uffici © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Read-only DC Come funziona: Cache dei Secret durante il primo logon 3/27/2017 2:27 AM Read-only DC Come funziona: Cache dei Secret durante il primo logon AS_Req inviata al RODC (richiesta del TGT) RODC: cerca nel DB: “Non ho i Secret dell’utente" Gira la richiesta di Secret al DC Windows Server 2008 nell’hub DC Windows Serer 2008 nell’hub autentica la richiesta La risposta alla richiesta di autenticazione e il TGT sono inviate al RODC RODC passa il TGT all’utente e accoda una richiesta di replica dei Secrets Il DC nell’hub verifica la Password Replication Policy per determinare se i Secretes possono essere replicati © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Read Only DC Come funziona: Richiesta di autenticazione 3/27/2017 2:27 AM Read Only DC Come funziona: Richiesta di autenticazione Invio della richiesta di TGS con il TGT firmato dal DC nell’hub al RODC RODC gira la richiesta al Dc nell’hub Nella risposta dell’hub, il RODC guarda al nome del richiedente. Se il RODC ha i Secret per il richiedente, ritorna un errore Kerberos al client client che causa l’immediata richiesta di un nuovo TGT. Questa volta viene erogato un TGT per il client con la firma del RODC Il client usa la chiave di sessione per connetersi al File Server. L’account macchina del File Server deve essere in possesso di un TGT ottenuto con una precedente autenticazione © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Trust referral DOMINIO A HUB1 DOMINIO B RODC1 SERVER1 HUB2 TGT RODC2 7- SERVER1 TGS 6- SERVER1 TGS_REQ – DOMINIO B TGT RODC1 SERVER1 HUB2 3- TGT REFERAL - DOMINIO B 2- DOMINIO B - SERVER1 TGS_REQ 8 - SERVER1 TGS 5- SERVER1 TGS_REQ – DOMINIO B RODC2 4- TGT REFERAL - DOMINIO B TGT TGT 1-SERVER1 TGS_REQ

Percorsi di replica consentiti DOMINIO A HUB1 DOMINIO B Replica password/dominio Replica di altri NC TGT RODC1 Replica di altri NC SERVER1 HUB2 Replica di altri NC Replica password/dominio Replica di altri NC RODC2 TGT TGT

Funzioni non previste per i RODC 3/27/2017 2:27 AM Funzioni non previste per i RODC Repliche tra RODC e RODC Supporto di server Exchange ADAM in modalità read only © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Supporto di applicazioni in RODC 3/27/2017 2:27 AM Supporto di applicazioni in RODC Supporto pianificato per ADFS,DNS, DHCP, FRS V1, DFSR (FRS V2), Group Policy, NAP, PKI, CA, IAS/VPN, DFS, SMS, query ADSI, MOM Best Effort Applicazioni LDAP generiche che supportano write referral Tollerano un errore in scrittura in caso di mancanza di connessioni WAN Disponibile a breve un whitepaper con le linee guida per il supporto di applicazioni con i RODC Includerà una checklist per verificare la compatibilità di un’applicazione con RODC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

AD Riavviabile Il servizio AD può essere fermato I client fanno failover su altri DC Consente la deframmentazione “offline” del DB di AD senza riavviare il server

Separazione del ruolo di amministratore Problema: Troppi Domain Admin Molti Domain Admin sono in realtà Server Admin (gestione delle patch, manutenzione dei server, ecc…) Soluzione: Accedere ai RODC come “local administrator” Gruppo incluso nei Builtin group (come i Backup Operators, ecc) Previene una modifica accidentale di AD da parte degli amministratori delle macchine NON previene la modifica malevola del DB di AD da parte dei “local administrator” © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/27/2017 2:27 AM Uniamo le cose Server Core + RODC + Separazione dei ruoli amministrativi = Appliance sicuro per DC © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

READ ONLY DOMAIN CONTROLLER

Novità nelle group policy

Nuove funzionalità Maggiore uso delle Group Policy in Windows +35% di impostazioni negli Administrative Template (2494 totale) Sei nuove estensioni in gpedit (Stampanti distribuite, Windows Firewall, eQoS, …) Nuove aree coperte dalle policy (gestione dei device rimovibili, gestione dell’alimentazione, UAC, …) Miglioramento nella disponibilità e nel Network Awareness Migliore applicazione delle policy al variare delle condizioni di rete (wireless, VPN, ecc.) Applicazione più efficiente: minor uso della modalità sincrona

Nuove funzionalità File .ADMX e .ADML Sostituiscono i file .adm Formato basato su XML Reale indipendenza dalla lingua (.adml) Store centralizzato per tutti i file ADMX Piena compatibilità con stazioni amministrative Windows Server 2003 e XP

Nuove funzionalità Miglioramenti nei log e nel troubleshooting Eventi registrati più utili e link a contenuti web utili Integrazione della GPMC Installata per default in Windows Server 2008 Ricerca/Commenti/GPO di avvio

Tool di amministrazione delle policy in Longhorn Server

Ricerche/Commenti/GPO di avvio Commenti per GPO e per impostazione Ricerche e filtri sulle GPO Titolo dell’impostazione, testo di spiegazione, commenti Piattaforma e applicazioni su cui sono supportate (“supported on”) Gestite (vere impostazioni di GP) Configurate (enabled o disabled) Il risultato: vista di filtrata in Gpedit Starter GPO Incapsulamento di best practice/scenari Conterranno valori e impostazioni raccomandati Ciascuno può creare e condividere nuove Starter GPO Creazione di nuove GPO basate sulle Starter GPO GPMC consente la gestione delle Starter GPO

Ricerche/Commenti/GPO di avvio

Amministrazione delle GPO Gestione di GPO nuove ed esistenti Per default usati i file ADMX locali Le policy di Windows Vista/Longohorn si gestiscono da Windows Vista/Longhorn Possibile mischiare policy “vecchie e nuove” in una GPO Win2003 e WinXP non riportano correttamente le nuove impostazioni Per report “Resultant Set of Policy” usare Group Policy Results e GPO Reports in GPMC (NON rsop.msc) Backup/Restore – I backup creati con la nuova GPMC non sono letti dalla GPMC di XP e Win2003 Risorse KB 816662 – “Recommendations for managing Group Policy administrative template (.adm) files”

Creazione uso di un Central Store Punti chiave I file ADMX e il Central Store sono compatibili all’indietro Windows Vista/Server 2008 non usano più i file ADM Il Central Store è semplicemente una directory %systemroot%\sysvol\domain\policies\PolicyDefinitions %systemroot%\sysvol\domain\policies\PolicyDefinitions\[MUIculture] Una volta creato, tutte le workstation di amministrazione Windows Vista/Server 2008 nel dominio usano il Central Store Windows Vista consuma ogni file ADM trovato in una GPO È ancora possibile aggiungere file ADM alle GPO Risorse Managing Group Policy ADMX Files Step-by-Step Guide (http://go.microsoft.com/fwlink/?LinkId=60363) ADMX Migrator (http://go.microsoft.com/fwlink/?LinkId=77409)

Creazione e gestione di un central store per file admx

Il giusto insieme di impostazioni Device rimovibili (Installazione e accesso) Step-by-Step Guide to Controlling Device Installation and Usage with Group Policy (http://go.microsoft.com/fwlink/?LinkId=72206) Gestione dell’alimentazione Internet Explorer Windows Firewall eQoS Risorse Group Policy Settings Reference Windows Vista (http://go.microsoft.com/fwlink/?LinkId=54020) Aggiornato per includere: Necessità di reboot/logoff e aggiornamenti necessari dello Schema di AD Impostazioni di sicurezza

GPO locali multiple (LGPO) Punti chiave Importante per PC standalone (Chioschi, DMZ, ecc.) LGPO disponibili per: Administrator e Non-Administrator (mutualmente esclusive per un certo utente) Per utente Creare le LGPOs via GPEdit Nuova impostazione per disabilitare completamente il l’applicazione delle LGPO – solo per macchine in dominio Risorse What's New in Group Policy in Windows Vista and Windows Server "Longhorn“ (http://go.microsoft.com/fwlink/?LinkId=55413)

3/27/2017 2:27 AM © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.