OOOO! Uprawnienia takie bezpieczne! · uwierzytelniania na organizacje zewnętrzne, aplikacje...
Transcript of OOOO! Uprawnienia takie bezpieczne! · uwierzytelniania na organizacje zewnętrzne, aplikacje...
Administracja Windows w pigułce
OOOO! Uprawnienia takie bezpieczne!
Kamil Frankowicz
@fumfel
vgeek.pl
1. „Szybka siła” z pozostałymi rolami Active Directory
2. Kolekcje obiektów czyli o grupach słów kilka
3. Access Control List (ACL)
4. Modele AGUDLA i AGDLA
5. Hands-On Labs – Manipulacje grupami oraz uprawnieniami
O czym będę mówił?
Przypomnienie: uwierzytelnianie vs. autoryzacja
Uwierzytelnienie (an. authentication) – potwierdzenie, że jesteśmy
tym kimś, za kogo podajemy się czyli np. Janem Kowalskim.
Autoryzacja (an. authorization) – potwierdzenie, że mamy dostęp
do zasobów (np. udziały sieciowe) do których chcemy się dostać.
Uwierzytelnianie != Autoryzacja
„Szybka siła” z pozostałymi rolami Active Directory
Active Directory Certificate Services (AD CS) – udostępnia
infrastrukturę klucza publicznego dla naszej organizacji, czyli
uwierzytelnianie za pomocą popularnych „kłódeczek” i nie
tylko.
Active Directory Federation Services (AD FS) – rozszerzenie
uwierzytelniania na organizacje zewnętrzne, aplikacje webowe
oraz Single-Sign On (SSO).
„Szybka siła” z pozostałymi rolami Active Directory
Active Directory Lightweight Directory Services (AD LDS) – „lekkie”
rozwiązanie ADDS, bez nadbudówki w postaci całego
schematu, służy do budowania własnych aplikacji opartych o
bazę Active Directory.
Active Directory Rights Management Services (AD RMS) – „DRM”
dla dokumentów organizacji, umożliwia tworzenie i wdrażanie
różnych poziomów ochrony informacji firmowej.
Co w grupach piszczy?
• Do nich są przypisywane uprawnienia (rzecz święta! – Best
Practices)
• Mogą zawierać konta komputerów, inne grupy, użytkowników
oraz kontakty
• 2 typy: Distribution oraz Security
• 3 zakresy: Domain Local, Global i Universal
Typy grup
Distribution – Używane celem masowej wysyłki maili do
użytkowników, najzwyklejsza w świecie lista mailingowa.
Security – Jej głównym zadaniem jest udzielanie dostępu do
zasobów, może również pełnić funkcje typu Distribution.
Grupy Domain Local
Może zawierać:
• Konta komputerów, użytkowników i grupy globalne z
zaufanych domen zewnętrznych
• Konta komputerów, użytkowników, grupy global oraz universal
z innych domen w tym samym lesie
• Konta komputerów, użytkowników, grupy global oraz universal
z domeny w której się znajduje
Grupy Global
Może zawierać:
• Konta komputerów, użytkowników, grupy global z domeny w
której się znajduje
Grupy Universal
Może zawierać:
• Konta komputerów, użytkowników, grupy global, grupy
universal z każdej domeny w lesie w której się znajduje
Tak szeroki zakres jest uzyskany tym, że te grupy jako jedyne są
replikowane poprzez mechanizmy AD DS w całym lesie.