Administracja Windows w pigułce

OOOO! Uprawnienia takie bezpieczne!

Kamil Frankowicz

kamil@vgeek.pl

@fumfel

vgeek.pl

1. „Szybka siła” z pozostałymi rolami Active Directory

2. Kolekcje obiektów czyli o grupach słów kilka

3. Access Control List (ACL)

4. Modele AGUDLA i AGDLA

5. Hands-On Labs – Manipulacje grupami oraz uprawnieniami

O czym będę mówił?

Środowisko skonfigurowane wg. schematu:

Co już trzeba umieć / mieć?

„Szybka siła” z pozostałymi rolami Active Directory

Na dobry początek, żarcik z „branży”

Źródło: wp.pl We współpracy z „ekspertami” firmy Netgear

Przypomnienie: uwierzytelnianie vs. autoryzacja

Uwierzytelnienie (an. authentication) – potwierdzenie, że jesteśmy

tym kimś, za kogo podajemy się czyli np. Janem Kowalskim.

Autoryzacja (an. authorization) – potwierdzenie, że mamy dostęp

do zasobów (np. udziały sieciowe) do których chcemy się dostać.

Uwierzytelnianie != Autoryzacja

„Szybka siła” z pozostałymi rolami Active Directory

Active Directory Certificate Services (AD CS) – udostępnia

infrastrukturę klucza publicznego dla naszej organizacji, czyli

uwierzytelnianie za pomocą popularnych „kłódeczek” i nie

tylko.

Active Directory Federation Services (AD FS) – rozszerzenie

uwierzytelniania na organizacje zewnętrzne, aplikacje webowe

oraz Single-Sign On (SSO).

„Szybka siła” z pozostałymi rolami Active Directory

Active Directory Lightweight Directory Services (AD LDS) – „lekkie”

rozwiązanie ADDS, bez nadbudówki w postaci całego

schematu, służy do budowania własnych aplikacji opartych o

bazę Active Directory.

Active Directory Rights Management Services (AD RMS) – „DRM”

dla dokumentów organizacji, umożliwia tworzenie i wdrażanie

różnych poziomów ochrony informacji firmowej.

Kolekcje obiektów czyli o grupach słów kilka

Co w grupach piszczy?

• Do nich są przypisywane uprawnienia (rzecz święta! – Best

Practices)

• Mogą zawierać konta komputerów, inne grupy, użytkowników

oraz kontakty

• 2 typy: Distribution oraz Security

• 3 zakresy: Domain Local, Global i Universal

Typy grup

Distribution – Używane celem masowej wysyłki maili do

użytkowników, najzwyklejsza w świecie lista mailingowa.

Security – Jej głównym zadaniem jest udzielanie dostępu do

zasobów, może również pełnić funkcje typu Distribution.

Grupy Domain Local

Może zawierać:

• Konta komputerów, użytkowników i grupy globalne z

zaufanych domen zewnętrznych

• Konta komputerów, użytkowników, grupy global oraz universal

z innych domen w tym samym lesie

• Konta komputerów, użytkowników, grupy global oraz universal

z domeny w której się znajduje

Grupy Global

Może zawierać:

• Konta komputerów, użytkowników, grupy global z domeny w

której się znajduje

Grupy Universal

Może zawierać:

• Konta komputerów, użytkowników, grupy global, grupy

universal z każdej domeny w lesie w której się znajduje

Tak szeroki zakres jest uzyskany tym, że te grupy jako jedyne są

replikowane poprzez mechanizmy AD DS w całym lesie.

Access Control List (ACL)

Klikałeś?

Klikałeś?

Modele AGUDLA i AGDLA

AGUDLA

A G U DL A

Account Global Universal Domain Local ACL

AGDLA

A G DL A

Account Global Domain Local ACL

Hands-On Labs – Manipulacje grupami oraz

uprawnieniami

Dzięki za uwagę !

Pytania, uwagi, zażalenia ? ;)

kamil@vgeek.pl