Novità in
Active Directory
e nelle
Group Policy
PierGiorgio Malusardi
IT Pro Evangelist
[email protected]
Blog TechNet:
Blog personale:
http://blogs.technet.com/italy
http://blogs.technet.com/pgmalusardi
Agenda
• Novità in Active Directory
–
–
–
–
Policy di password
Read-only DC
Servizi di directory riavviabili
Separazione dei ruoli amministrativi
• Novità nelle Group Policy
– Nuove funzionalità
– Dettaglio su alcune funzionalità
•
•
•
•
File ADMX e Central Store
Ricerche/Commenti/GPO di avvio
Amministrazione delle GPO
GPO Locali Multiple
– Nuove impostazioni via policy in Windows Vista – Windows Server 2008
TechNet New Wave Tour
NOVITÀ IN ACTIVE DIRECTORY
Password policy per gruppi di utenti
• Rimossa la restrizione di una singola policy di
password a livello di Dominio
• Policy diverse applicabili a gruppi diversi di utenti
• Non si applicano a computer o utenti non di
dominio
• Necessario Domain mode Windows Server 2008
TechNet New Wave Tour
Read Only Domain Controller
Cos’è un Read Only Domain Controller?
È un Domain Controller con Database di Active
Directory in modalità SOLA LETTURA
TechNet New Wave Tour
Perché Read-only DC?
• Superficie di esposizione ridotta (es. DC in luoghi non sicuri)
– Furti di DC  password utente\computer non sono nei RODC
– DC compromesso  esposizione di AD ridotta
• Solo Read-only
• Replica unidirezionale per AD e FRS\DFSR
• Ogni RODC ha il proprio account KDC KrbTGT
• Diritti limitati di scrittura nella Directory
• RODC = account di tipo workstation, non appartengono a EDC o DDC
• Più facile gestire e configurare dei DC negli uffici remoti
TechNet New Wave Tour
RODC e i furti di DC
Prospettiva dell’attacante
TechNet New Wave Tour
Prospettiva
dell’Amministratore nell’hub
Prerequisiti per il deployment di RODC
• Funzionano negli ambienti esistenti
• Non servono patch per DC e client pre-Windows Server 2008
– Nessuna ristrutturazione dei domini
– Consolidamento dei server bridgehead
• Prerequisiti
– Forest Functional Mode Windows 2003
• Linked Value Replication
• Constrained Delegation
– PDC Emulator deve essere Windows Server 2008
• Assicura l’univocità degli account Kerberos TGT dei RODC
• Comprende gli account RODC per la creazione di canali sicuri
– Almeno due DC Windows Server 2008 per ogni dominio
• Bilancio della replica verso i RODC
TechNet New Wave Tour
Deployment di RODC
• Da Windows Server 2003
1. Portare la foresta al Forest Functional Mode Windows
Server 2003
2. ADPREP /ForestPrep
3. ADPREP /DomainPrep
4. ADPREP /RodcPrep
•
Nuovo switch per creare da remoto le ACL sul DNS per le
repliche RODC
5. Upgrade del PDC a Windows Server 2008 o
promozione di una replica e trasferimento del ruolo
6. Creazione dei RODC
TechNet New Wave Tour
Incorporazione dei RODC in AD esistente
Datacenter o
rete fidata
Siti remoti o
confini della rete
TechNet New Wave Tour
Incorporazione dei RODC in AD esistente
Datacenter o
rete fidata
Siti remoti o
confini della rete
TechNet New Wave Tour
Policy di replica delle password
Modello di gestione
• Nessun account in cache (default)
– Pro: Più sicuro, fornisce ancora rapida autenticazione e applicazione delle
policy
– Contro: Nessun accesso in caso di perdità di WAN
• La maggior parte degli account in cache
– Pro: gestione semplice delle password. Per chi vuole usare i RODC per
aumentare la gestibilità della rete e non la sicurezza
– Contro: Molte password potenzialmente esposte
• Alcuni account in cache (account specifici dell’ufficio)
– Pro: consente l’accesso agli utenti dell’ufficio anche in mancanza di WAN e
massimizza la sicurezza per tutti gli altri
– Contro: l’amministrazione a grana fine è una nuova attività
• Necessario mappare computer e uffici
TechNet New Wave Tour
Read-only DC
• Come funziona:
Cache dei Secret durante il primo logon
Hub
Branch
DC
Windows Server 2008
1.
AS_Req inviata al RODC
(richiesta del TGT)
2.
RODC: cerca nel DB: “Non ho i
Secret dell’utente"
3.
Gira la richiesta di Secret al DC
Windows Server 2008 nell’hub
4.
DC Windows Serer 2008
nell’hub autentica la richiesta
5.
La risposta alla richiesta di
autenticazione e il TGT sono
inviate al RODC
6.
RODC passa il TGT all’utente e
accoda una richiesta di replica
dei Secrets
7.
Il DC nell’hub verifica la
Password Replication Policy
per determinare se i Secretes
possono essere replicati
Read Only DC
3
2
4
5
7
6
1
7
6
`
TechNet New Wave Tour
Read Only DC
•
Come funziona:
Richiesta di autenticazione
Hub
Branch
DC
Windows Server 2008
Read Only DC
1.
Invio della richiesta di TGS con il
TGT firmato dal DC nell’hub al
RODC
2.
RODC gira la richiesta al Dc
nell’hub
3.
Nella risposta dell’hub, il RODC
guarda al nome del richiedente.
Se il RODC ha i Secret per il
richiedente, ritorna un errore
Kerberos al client client che causa
l’immediata richiesta di un nuovo
TGT. Questa volta viene erogato
un TGT per il client con la firma
del RODC
4.
Il client usa la chiave di sessione
per connetersi al File Server.
L’account macchina del File Server
deve essere in possesso di un TGT
ottenuto con una precedente
autenticazione
File Server
3
2
Hub signed TGT
1
4
Session Ticket
`
TechNet New Wave Tour
Hub signed TGT
Trust referral
DOMINIO A
HUB1
DOMINIO B
RODC1
SERVER1
HUB2
TGT
RODC2
TGT
TechNet New Wave Tour
TGT
Percorsi di replica consentiti
DOMINIO A
HUB1
DOMINIO B
RODC1
SERVER1
HUB2
TGT
RODC2
TGT
TechNet New Wave Tour
TGT
Funzioni non previste per i RODC
• Repliche tra RODC e RODC
• Supporto di server Exchange
• ADAM in modalità read only
TechNet New Wave Tour
Supporto di applicazioni in RODC
• Supporto pianificato per
– ADFS,DNS, DHCP, FRS V1, DFSR (FRS V2), Group Policy, NAP,
PKI, CA, IAS/VPN, DFS, SMS, query ADSI, MOM
• Best Effort
– Applicazioni LDAP generiche che
• supportano write referral
• Tollerano un errore in scrittura in caso di mancanza di connessioni WAN
• Disponibile a breve un whitepaper con le linee guida per
il supporto di applicazioni con i RODC
– Includerà una checklist per verificare la compatibilità di
un’applicazione con RODC
TechNet New Wave Tour
AD Riavviabile
• Il servizio AD può essere fermato
– I client fanno failover su altri DC
– Consente la deframmentazione “offline” del DB di
AD senza riavviare il server
TechNet New Wave Tour
Separazione del ruolo di amministratore
• Problema:
– Troppi Domain Admin
• Molti Domain Admin sono in realtà Server Admin
(gestione delle patch, manutenzione dei server, ecc…)
• Soluzione:
– Accedere ai RODC come “local administrator”
• Gruppo incluso nei Builtin group (come i Backup Operators, ecc)
– Previene una modifica accidentale di AD da parte degli
amministratori delle macchine
– NON previene la modifica malevola del DB di AD da parte dei
“local administrator”
TechNet New Wave Tour
Uniamo le cose
Server Core + RODC + Separazione dei ruoli
amministrativi = Appliance sicuro per DC
TechNet New Wave Tour
READ ONLY DOMAIN CONTROLLER
NOVITÀ NELLE GROUP POLICY
Nuove funzionalità
• Maggiore uso delle Group Policy in Windows
– +35% di impostazioni negli Administrative Template (2494 totale)
– Sei nuove estensioni in gpedit (Stampanti distribuite, Windows
Firewall, eQoS, …)
– Nuove aree coperte dalle policy (gestione dei device rimovibili,
gestione dell’alimentazione, UAC, …)
• Miglioramento nella disponibilità e nel Network Awareness
– Migliore applicazione delle policy al variare delle condizioni di
rete (wireless, VPN, ecc.)
– Applicazione più efficiente: minor uso della modalità sincrona
TechNet New Wave Tour
Nuove funzionalità
• File .ADMX e .ADML
– Sostituiscono i file .adm
– Formato basato su XML
– Reale indipendenza dalla lingua (.adml)
• Store centralizzato per tutti i file ADMX
– Piena compatibilità con stazioni amministrative Windows Server
2003 e XP
TechNet New Wave Tour
Nuove funzionalità
• Miglioramenti nei log e nel troubleshooting
– Eventi registrati più utili e link a contenuti web utili
• Integrazione della GPMC
– Installata per default in Windows Server 2008
• Ricerca/Commenti/GPO di avvio
TechNet New Wave Tour
TOOL DI AMMINISTRAZIONE DELLE
POLICY IN LONGHORN SERVER
Ricerche/Commenti/GPO di avvio
• Commenti per GPO e per impostazione
• Ricerche e filtri sulle GPO
–
–
–
–
–
Titolo dell’impostazione, testo di spiegazione, commenti
Piattaforma e applicazioni su cui sono supportate (“supported on”)
Gestite (vere impostazioni di GP)
Configurate (enabled o disabled)
Il risultato: vista di filtrata in Gpedit
• Starter GPO
–
–
–
–
–
Incapsulamento di best practice/scenari
Conterranno valori e impostazioni raccomandati
Ciascuno può creare e condividere nuove Starter GPO
Creazione di nuove GPO basate sulle Starter GPO
GPMC consente la gestione delle Starter GPO
TechNet New Wave Tour
RICERCHE/COMMENTI/GPO DI
AVVIO
Amministrazione delle GPO
• Gestione di GPO nuove ed esistenti
• Per default usati i file ADMX locali
• Le policy di Windows Vista/Longohorn si gestiscono da Windows
Vista/Longhorn
• Possibile mischiare policy “vecchie e nuove” in una GPO
– Win2003 e WinXP non riportano correttamente le nuove impostazioni
– Per report “Resultant Set of Policy” usare Group Policy Results e GPO
Reports in GPMC (NON rsop.msc)
– Backup/Restore – I backup creati con la nuova GPMC non sono letti dalla
GPMC di XP e Win2003
• Risorse
– KB 816662 – “Recommendations for managing Group Policy administrative
template (.adm) files”
TechNet New Wave Tour
Creazione uso di un Central Store
• Punti chiave
– I file ADMX e il Central Store sono compatibili all’indietro
– Windows Vista/Server 2008 non usano più i file ADM
– Il Central Store è semplicemente una directory
• %systemroot%\sysvol\domain\policies\PolicyDefinitions
• %systemroot%\sysvol\domain\policies\PolicyDefinitions\[MUIculture]
– Una volta creato, tutte le workstation di amministrazione Windows
Vista/Server 2008 nel dominio usano il Central Store
– Windows Vista consuma ogni file ADM trovato in una GPO
– È ancora possibile aggiungere file ADM alle GPO
• Risorse
– Managing Group Policy ADMX Files Step-by-Step Guide
(http://go.microsoft.com/fwlink/?LinkId=60363)
– ADMX Migrator
(http://go.microsoft.com/fwlink/?LinkId=77409)
TechNet New Wave Tour
CREAZIONE E GESTIONE DI UN
CENTRAL STORE PER FILE ADMX
Il giusto insieme di impostazioni
• Device rimovibili (Installazione e accesso)
– Step-by-Step Guide to Controlling Device Installation and Usage with Group
Policy
(http://go.microsoft.com/fwlink/?LinkId=72206)
•
•
•
•
•
Gestione dell’alimentazione
Internet Explorer
Windows Firewall
eQoS
Risorse
– Group Policy Settings Reference Windows Vista
(http://go.microsoft.com/fwlink/?LinkId=54020)
– Aggiornato per includere:
– Necessità di reboot/logoff e aggiornamenti necessari dello Schema di AD
– Impostazioni di sicurezza
TechNet New Wave Tour
GPO locali multiple (LGPO)
• Punti chiave
– Importante per PC standalone (Chioschi, DMZ, ecc.)
– LGPO disponibili per:
• Administrator e Non-Administrator (mutualmente esclusive
per un certo utente)
• Per utente
– Creare le LGPOs via GPEdit
– Nuova impostazione per disabilitare completamente il
l’applicazione delle LGPO – solo per macchine in dominio
• Risorse
– What's New in Group Policy in Windows Vista and Windows
Server "Longhorn“
(http://go.microsoft.com/fwlink/?LinkId=55413)
TechNet New Wave Tour
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or
trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because
Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the
accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.