Nowości Active Directory – Protected Users

17 marca 2015 at 07:36

W części drugiej mini-cyklu o nowościach w Active Directory na poziomie funkcjonalności Windows Server 2012 R2 przedstawiam funkcjonalność użytkowników chronionych (Protected Users). Zacznijmy od wymagań aby móc skorzystać z tego dobrodziejstwa. Konieczne do spełnienia są następujące warunki: Rozszerzony schemat Active Directory do poziomu Windows Server 2012 R2 (wersja schematu – 69) Kontroler domeny pełniący rolę PDC pod kontrolą Windows’a Server 2012 R2 Plus dwa warunki dodatkowe: Poziom funkcjonalności domeny na poziomie Windows Server 2012 R2 – aby zapewnić pełną ochronę kontrolerów domeny Konieczność logowania na Windows 8.1* lub Windows Server 2012 R2 z uwierzytelnieniem na kontrolerze domeny pracującym pod kontrolą Windows Server 2012 R2 – aby móc w pełni wykorzystać oferowane rozwiązanie po stronie klienta oraz kontrolerów domeny. To tyle z wymagań formalnych – trochę dużo… ale można oczywiście nieco pokombinować i zrobić to w sposób wymagający mniejszego zachodu niż upgrade całego lasu Active Directory. Jako minimum – Rozszerzenie schematu AD, upgrade PDC do Windows 2012 R2 (lub wypromowanie na chwilę nowego kontrolera domeny na Windows 2012R2), transfer PDC na ten kontroler – replikacja danych na pozostałe kontrolery domeny i już mamy funkcjonalność Protected Users. Teraz można powrócić z PDC na wcześniejszy kontroler domeny i mieć nową funkcjonalność (co prawda […]

Fizyczna architektura Active Directory

7 stycznia 2015 at 09:26

Czym jest Active Directory? – Empirycznie wie niemal każdy. Na to pytanie z pewnością łatwo można uzyskać poprawne odpowiedzi co do pełnionych funkcji, przeznaczenia, obsługi oraz codziennych zadań administracyjnych. Nie każdy jednak wie – jak działa Active Directory od środka, z czego się składa w rzeczywistości, jak przechowuje informacje oraz jak komunikuje się z klientami. Active Directory w dużym uproszczeniu i ogólności, jest to jedna z ról systemu operacyjnego, która może być świadczona przez serwerowe systemy firmy Microsoft. Usługi katalogowe zapewniają możliwość utrzymywania wielkiej ilości danych dotyczących użytkowników, urządzeń, podsieci, lokacji, grup oraz innych zasobów mogących podlegać katalogowaniu. Oferują przy tym możliwość uwierzytelniania z wykorzystaniem pojedynczego punktu logowania (ang. Single Sign-On) oraz łatwego przeszukiwania struktur katalogowych, które zwracają w odpowiedzi czytelne i usystematyzowane dane. Wydawać mogłoby się, że Active Directory po zainstalowaniu jest całkowicie odrębną i wy-separowaną rolą w systemie Windows mającą bezpośredni dostęp do jądra systemowego. Nic bardziej mylnego! Z perspektywy systemu operacyjnego Active Directory jest częścią systemu zabezpieczeń, który dodatkowo nie działa w trybie jądra (ang. Kernel mode), lecz w trybie użytkownika (ang. User mode). Co to oznacza? Oznacza to mniej więcej tyle, że proces, rola czy aplikacja działająca w trybie użytkownika nie ma bezpośredniego dostępu do systemu […]

© Marcin Krzanowicz