Documentos de Académico
Documentos de Profesional
Documentos de Cultura
{Cajamadrid}
Jorge Marcos
Coordinador departamento TI Caja Madrid
Antonio Snchez
Ingeniero Preventa Microsoft Espaa
Aplicaciones comerciales como Microsoft Exchange, Office Sharepoint Server Live Communications Server Asignacin de recursos de ficheros a cada departamento, proyecto y/o aplicacin Distribucin de software Gestin de Smart Cards: gestin descentralizada en base a la informacin del Directorio Activo
Crecimiento de usuarios
2002 11.000 2008 15.000 2011 18.000
Reduccin de Costes
Escalabilidad y consolidacin
Gestin de identidades
Infraestructura PKI
Sistema de Autorizaciones
Controla las operaciones que puede ejecutar un usuario: Pago Taln, elevacin lnea crdito, etc Ms de 3 millones de registros y 10.000 usuarios Sistema actual: Tablas DB2 en Mainframe Nuevo sistema:
Acceso va LDAP Active Directory Lightweight Directory Services (antes ADAM) Dos servidores Windows Server 2008 x64 Intel Quad Core con 16Gb Ram
Programa de adopcin previa Evaluacin previa de versiones Beta Contacto directo con los Grupos de Desarrollo de Microsoft Colaboracin Microsoft Consulting Services Proyecto desarrollado conjuntamente con Informtica El Corte Ingles (IECISA) y con la colaboracin de Intel Corporation
Para consolodar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero
Los usuarios no podran iniciar sesion o acceder a recursos de red si la WAN falla
Lo que ve el atacante
No son miembros de los grupos Enterprise-DC o Domain-DC Derechos muy limitados para escribir en el Directorio
Secure Appliance DC
Modelos de Despliegue
Infraestructura de Directorio Activo
Delegacin (RODC) Delegacin (RODC)
Cuando usarlos
Precupaciones en torno a la seguridad y al coste de gestin de los DCs de las delegaciones remotas Necesidades locales de acceso a recursos si falla la WAN
Read-Only
Delegacin (RODC)
Internet DMZ
Cuando no:
Como reemplazo de un DC tradicional con todas sus funciones en uso
Read-Only
ADPREP /ForestPrep ADPREP /DomainPrep Promover un DC con Windows Server 2008 Verificar que los modos funcionales del forest y del dominio son 2003 Nativo ADPREP /RodcPrep Verificar la lista de actualizaciones necesarias para la compatibilidad en los clientes Promover el RODC
No especfico de un RODC
Especfico de un RODC
Especificar los parmetros del RODC Asignar la mquina al slot del RODC
5137
Create
5138
Undelete
5139
Move
NTBackup est descontinuado Nueva tecnologa Block-Level, basada en imgenes Backup/recovery del System State por lnea de comandos Debe hacerse a una particin diferente Recuperacin del System State en DSRM (auth & non-auth)
Backup/Recovery
Permite a los administradores elegir la copia de seguridad disponible ms apropiada
NTDSUTIL.EXE Saca SnapShots de DS/LDS via VSS DSAMAIN.EXE Expone las snapshots como servidores LDAP LDP.EXE Ver datos de solo lectura de DS/LDS
Introduccin
Permite una administracin granular de las contraseas y polticas de bloqueo dentro de un dominio Las polticas pueden aplicarse a:
Usuarios Grupos Globales de Seguridad
Requerimientos
Windows server 2008 Domain Mode No requiere cambios en los clientes
Funcionamiento
PSO Resultante = PSO1
Precedencia= 10
PSO 1
Se aplica a
Precedencia= 20
Se aplica a
PSO 2
Administracin
Recomendacin: Administracin basada en grupos
Delegar la modificacin de la membresa del grupo
Permisos
Operacin a Delegar Crear y borrar PSOs Aplicar PSOs a usuarios/grupos Permisos Delegados En el PSC: Create all child objects Delete all child objects En el PSO: Write
Herramientas
Nuevas GPOE y GPMC Usan versiones consitentes
Plantillas
ADM Ficheros ADMX y ADML
(Vista/2008)
ADM ADMX
Poltica Local de Equipo Polticas del grupo de Admins/ No Admins Politicas de Usuario
Nuevas definiciones
+ 800 nuevas polticas en Windows Vista. Polticas de grupo extendidas para las nuevas caractersticas de Vista
LGPOs
El servicio de NLA ofrece la ltima informacin de red Las aplicaciones pueden pedir o registrar en NLA cambios en el estado de la red
DC
+ Policy Definations
ADMX, ADML Files
FRS/DFS-R
Repositorio Centralizado de ADMX Contiene todas las plantillas ADMX Creado en el Sysvol de los DCs para cada dominio
Componentes
GPO administrada a nivel de Dominio
(Contiene todos los .ficheros admx y .adml)
SysVol
Los .ADM se agregan siempre a cada GPO EXCEPTO en Windows Vista/Windows Server 2008
+ Policies
DC
+ GUID + ADM
Descarga los .ADMX automticamente desde el Almacn Central. Si el DC no est disponible, Vista usar el almacn local.
PolicyDefinitions
ADMX, ADML Files
El Almacn Central debe crearse a mano una sola vez en un Controlador de Dominio El Almacn Central est disponible al administrar GPOs a nivel de dominio, aunque el Almacn central no se usa por defecto
Es necesario que el Bosque/Dominio est funcionando en el nivel funcional de Windows Server 2008
Requiere que todos los DCs sean Windows Server 2008 El paso de FRS a DFS-R no es automtico
Herramientas de Gestin
Data Collection Template (conocido anteriormente como Server Performance Analyzer) Operations Manager AD MP SP1 para W28K DC/RODCs
2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.