Azonosság- és hozzáféréskezelés

Ebben témakörben elsősorban a bármely szervezet esetén kulcsfontosságú Active Director yinfrastuktúra elemeivel foglalkozunk. Az AD összetevőivel skálázható, rugalmas, biztonságos, központilag szabályozható és felügyelhető rendszert építhetünk fel a felhasználók és az vállalat erőforrásainak kezelésére, illetve az AD szolgáltatásait és komponenseit is használó egyéb szerver szolgáltatások (például Exchange Server, SQL Server, System Center) számára. Az AD DS telepítésének változásai, vagy az AD Administrative Center bővülése sokat segíthetnek a korrekt üzemeltetésben,ahogyan a Hyper-V-vel támogatott AD virtualizáció vagy a tartományvezérlők egyszerű klónozása is.De nem feledkezhetünk meg a Csoportházirend újdonságokról sem, és az olyan teljesen újszolgáltatásokól sem, mint a mennyiségi licenszelés felügyeletét lehetővé tevő AD Based Activation,vagy a forradalmain új és robusztus Dynamic Access Control szolgáltatás.

AD DS telepítés és migráció

Az Active Directory Domain Services, azaz a klasszikus cimtárszolgáltás a vállalati informatikai rendszerek alappillérének számit. Éppen ezért a WindowsServer 2012-ben – az eddig gyakorlat tal szemben, – egyetlen helyen,a Server Managerben egyesül minden olyan eszköz és opció, amely a címtárszolgáltatásalkotóelemeinek bevezetésével, frissítésével és migrációjával kapcsolatos.

Ilyen szolgáltatás például egy új tartományvezérlő telepítése, amelyhez eddiga DCPromo.exe segédprogramot használtuk, ami viszont megszűnt az újoperációs rendszerben. Immár tehát nemcsak a bináris állományok telepítése történik a Server Managerből, hanem a teljes folyamat. Ez és a Server Manager újdonságai olyan további kényelmes megoldásokat adnak az üzemeltetők kezébe, mint az egy helyről, egyetlen gépről történő tartományvezérlő telepítés,teljes megfelelés-ellenőrzés vizsgálattal, még a telepítés előtt.

Továbbá, egy új verziójú tartományvezérlő esetén, nem kell külön gondoskodnunk az ADPrep.exe-vel a séma frissítésről, az automatikusellenőrzés során kiderül, hogy van-e rá szükség, és ezek után lesz lehetőségünk a folyamat részeként ezt a műveletet a ServerManagerből elvégezni. Hasonlóan járhatunk el az erdő vagy a tartomány működési szintjének emelése esetén is. Az AD DS szerepkörtelepítése teljes mértékben PowerShell alapon is működhet, és ehhez segítséget kaphatunk a grafikus felületről is, hiszen a műveletvégén lehetőségünk van az alkalmazott PS parancsok exportálására.

AD Administrative Center

Az Active Directory Administrative Center (ADAC) a Windows Server 2008 R2-ben mutatkozott be egy központi felügyeleti konzolként,sok szempontból kiegészítve az eddig meglévő AD MMC-ket, illetve jópár szempontból helyettesítette is azokat. Az ADAC PowerShellalapú, webszolgáltatásként működő megoldás, ami a Windows Server 2012-ben gazdagon kibővült további képességekkel.

Belekerült például az Active Directory Recycle Bin, azaz a Lomtár, amely az előző verzióban csak PowerShellel, illetve külső szoftverekkelvolt elérhető. Szintén bekerült a Fine-Grained Password Policy, azaz az alternatív jelszó házirendeket is nagyon egyszerűen és gyorsanel tudjuk készíteni az ADAC-ból. Emellett kaptunk teljesen új eszközöket is, hiszen most debütál az ún. Windows PowerShell HistoryViewer is. Ennek segítségével ha az ADAC-ban bármilyen műveletet végzünk, azt online módon, folyamatosan görgetve láthatjuk a Windows Powershell History ablakkeretben. Ennek használatával a PowerShell parancsok elsajátítása, illetve a szkriptek írása lényegesen könnyebbé válik.

AD virtualizáció

A tartományvezérlőinket (Domain Controller, DC) virtualizáljuk már jó pár éve, de fenntartásokkal.A problémás körülmények közé tartozik a Hyper-V időszinkronizálás, az export és a másolás, illetve a pillanatfelvételek (snapshotok) használata. De az igazi gondot az ezekből történő helytelen visszaállítás okozza. A nem megfelelő állapotú DC visszaállítása a tartományvezérlőkközött komoly replikációs problémákat, USN és RID Pool zűrzavart, azaz sérült objektumokat, inkonzisztens jelszavakat és at tribútumokat, duplikált SID-eket és esetleg egy visszaállítás esetén akár nagyon fájdalmas séma hibákat is előhozhat.

Éppen ezért a Windows Server 2012 a vir tualizált tartományvezérlők esetén egy újdonság bevezetésévelpróbálja megoldani ezeket a gondokat, ez pedig az ún. „VM GenerationID”, amiegy speciális azonosító. Így amikor egy pillanatfelvétel készül vagy amikor egy VM másolástörténik, akkor a Hyper-V ezt az azonosítót mindig megváltoztatja. A replikáció megkezdése előtt vagyegy újraindítás során összehasonlításra kerül ez az azonosító a címtárban korábban, azaz példáula pillanatfelvétel előtt eltárolttal. Ha nincs egyezés, akkor a tartományvezérlő adatbázis példányának verziószáma és pl. a RID Pool resetelődik, így minden adat megmarad és nem leszárva objektum sem.

Ebből az látszik, hogy a hypervisor és a tartományvezérlők működése tökéletesen össze lett hangolva, így most már valamennyivirtualizáció adta képességet (mentett állapot, pillanatfelvétel, stb.) bátran ki lehet használni a tartományvezérlőkön is. Viszont ez a fajta védelem csak akkor áll rendelkezésre, ha a virtuális tartományvezérlőt Windows Server 2012 Hyper-V segítségével virtualizáljuk,mivel a Generation ID kezelés a Hyper-V tudástárába tartozik.

A virtualizált DC klónozása

A Windows Server 2012-ben élhetünk egy olyan új lehetőséggel, amely segítségével egy már működő virtuális tartományvezérlőt klónozással megkettőzhetünk– a tartományon belül. Így korábbi megoldásokkal szemben nagyon egyszerűen és gyorsan tudunk további tartományvezérlőket csatasorbaállítani. A virtualizált DC klónozáshoz alapfeltétel, hogy a PDC FSMO szerepek Windows Server 2012 szerveren legyenek elérhetőek.

A folyamat egy komplett .vhd/.vhdx export/import, vagy egyszerű másolásművelettel kezdődik, majd utána egy konfigurációs fájl legyártásával folytatódik, amelyet az előléptetéshez használunk. Ezt akár kézzel, akár automatikusan feltöltött adatokkal (például név, IP cím, alhálózat, DNS szerverek adatai) is megoldhatjuk, és ezen kívül egy olyan .xml fájl legyártása is szükséges,amelyben az eredeti tartományvezérlőn futó, de nem klónozható szolgáltatások (például DHCP, Print Management Console) megjelölése történik meg.

Az eddig felsorolt lépések elvégzésén túl nincs már szükség sysprepelt lemezképre, telepítésre, előléptetésre sem. Ezek után az új virtuális gép a rendszerindítás során előlépteti önmagát, és elkezd szabályosan, tartományvezérlőként működni.

Active Directory Based Activation

A Windows Server 2012 megjelenéséig a Windows és az Office termékekmennyiségi licencelésének központi adminisztrációjához és az aktiváláshoz tipikusanegy parancssori, VB szkriptekkeldolgozó megoldásra, a Microsoft Key Management Service-re (KMS) volt szükség. Azonban ez egy kissé bonyolultmegoldás, amely adott esetben a külső hálózatból nehézkesen vagy egyáltalánnem elérhető módon, és a szűkkörű hitelesítési megoldásokkal ellátottRPC protokollt igényelte a működéséhez. Így a KMS szerverrel történő fizikaikapcsolat hiányában többnyire alternatív megoldást kellett keresni az offsitegépek esetére is (retail kulcs, MAK, stb.).

A Windows Server 2012-ben ehhez a feladathoz a meglévő AD infrastruktúrát is használhatjuk (beleértve a RODC-ket), különszerver igény nélkül, az LDAP protokollt alkalmazva. Bármelyik új szerverünk lehet mennyiségi licenc kiszolgáló, amelyrea Server Managerben feltelepítettük az új Volume Activation Services komponenst (ami egyébként egy klasszikus KMS szerverként is képes működni), illetve az új Volume Activation eszközt az RSAT (Remote Server Administration Tools) részeként is használhatjuk egy kliens számítógépről.

Fontos tudni, hogy a kliensek közül jelenleg ez a módszer csak a Windows 8-cal és a Windows Server 2012-vel kompatibilis, illetveelőfeltétel a Windows Server 2012 AD séma (de egy tartományvezérlő nem). Azonban nincs akadálya annak, hogy továbbra is használjuka KMS-t a parancsssorból, illetve a Volume Activation Management Tool (VAMT) eszközt – kiegészítve az AD BA szolgáltatást.

Csoportházirend újdonságok

A Windows Server 2012 csoportházirendben az új operációs rendszerekkelérkező számos új opció lekövetése mellett a változások elsősorban az összetett csoportházirend infrastruktúra működésiállapotának nyomonkövetésére és a hibaelhárításra koncentrálnak.Ezt a célt szolgálja a Remote Group Policy Update megoldás, amelya GPMC konzolról indítva képes azonnal frissíteni a kliens állapotát,azaz egy távoli gpupdate parancsot hajt végre. Ezen kívül a GroupPolicy Results több információval szolgál, és szervezettebb formábanképes ezeket elérhetővé tenni.

Emellett egy új, a GPM konzolban használható ellenőrzési lehetőségetis kapunk, a már jó ideje nem támogatott, még a Windows2000 Server és a Windows Server 2003 esetén használatos GPOTool eszköz helyett. Ez az eszköz számtalan hiányosságokkal bírt, demégis volt egy komoly előnye: a tartományvezérlőkön lévő, adottesetben jelentős mennyiségű GPO állapotával kapcsolatban végezhettünkel egyszerűen ellenőrzést.

Az új Group Policy Infrastructure Status eszköz viszont egy alapos és pontos megoldás, amellyel nyomban kiderül, hogy minden a csopor tházirenddel kapcsolatos elem, (replikáció, fájlok hash-e, mennyisége, az ACL-ek, a GPT verziók, stb.) rendben van-e – minden egyes tartományvezérlő esetén. A grafikus felületen azonnal beazonosítható ha ez nem így van, és az is, hogy mivel és melyik tartományvezérlőn van probléma. Így a csoportházirenddel kapcsolatos problémák hibakeresése és javítása lényegesen egyszerűbbé és gyorsabbá válik.

Dynamic Access Control

A Windows Server 2012-ben, egy forradalmi – de elsősorban a nagyvállalatoknak szánt – új, központosítot t erőforrás hozzáférésiés auditáló mechanizmus is bemutatkozik, a Dynamic Access Control (DAC). Elsődleges működési területe a fájlszervereken tároltmegosztások tartalma, azonban az eddigi megosztási és NTFS jogosultsági rendszer kiegészítőjeként alkalmazhatjuk.

Ha például egy olyan komplex jogosultsági struktúrát kell létrehoznunk ahol országonként, országok alatt osztály bontásban, osztályok alatt érzékeny / nem érzékeny bontásban kell kialakítani egy jogosultsági rendszert, akkor 50 ország és 20 osztály esetében 50*20*2 = 2000 csoportot kell létrehozni és felügyelni. Ez a DAC-al ha adott esetben 71 csoport (50+20+1) vagy ha mégügyesebbek vagyunk, akkor 0 csoport mert az ún. az eszközökhöz vagy a felhasználói fiókokhoz rendelt claim-ekkel is megoldható.Tehát a DAC-cal kevesebb biztonsági csoporttal, rugalmasabb jogosultság kezelést érhetünk el.

A Dynamic Access Control a következő komponenseket használja:

  • File Classification infrastruktúra: A Windows Server 2008 R2-ben már megismert megoldás, azaz a fájlok megjelölése manuális vagy automatikusan besorolási, osztályozási jellemzőkkel, akár több fájlszerverre is kiterjesztve az automatizmust. Kiegészülhet a felhasználók által elvégzett manuális fájl megjelölésekkel is.
  • Központi házirendek alapján kontrollálható, hogy ki, honnan, és milyen típusú fájlokhoz férhet hozzá, a besorolási jellemzőketplusz a felhasználó / eszköz adatait alapul véve. A Kerberos hitelesítési mechanizmus hatóköre kiegészült az ilyen megjelölések figyelembe vételével.
  • Auditálható a fájlokhoz történő hozzáférés szintén a központi, kifejezés alapú audit házirendek segítségével.
  • Alkalmazható a Rights Management Services (RMS) védelem, azaz pl. automatikus RMS védelmet kaphatnak a szenzitívként besorolt Office dokumentumok – akkor is, ha már nem a fájlszervereken vannak.

A DAC használatával tehát egy alternatív jogosultsági rendszert építhetünk fel, sokkal több automatizmussal, érthetőbb és követhetőbbbesorolási és hitelesítési metódusokkal, illetve magasabb fokú, automatikus információ védelmi megoldással támogatva. Fontos tudnunk, hogy egy fájlon a klasszikus jogosultsági rendszer (pl. egy lokális Discretionar y ACL) és a DAC jogosultságok kiértékelésesorán ugyanúgy a „szigorúbb nyer” elv működik, mint az megosztások és az NTFS jogosultságok esetén.