07. juni 2002 - 21:47Der er
14 kommentarer og 2 løsninger
Active Directory
Jeg har lavet et projekt (4. sem. datamatiker) baseret på en fiktiv virksomhed, hvor sikkerheden skulle prioriteres MEGET HØJT. En afd. i Odense (25 ansatte) og en i København (35 ansatte), har fået en Frame Relay WAN-forbindelse til sammenkobling af de 2 LANs. Denne WAN-forbindelse skal så sikres v.h.a. Public Key kryptering. Forbindelsen til Internet har vi sikret v.h.a. en pakkefilter router som forfilter til en applikationsproxy.
Vi havde altså afgrænset os helt fra brugerrettigheder. Nu har jeg imidlertid fået et eksamensspørgsmål, som går på håndtering af brugerne (ud fra side 47 til 62 i bogen "Windows 2000 Server systemadministration"). Jeg skal nu antage, at jeg skal opsætte og anvende Active Directory i virksomheden (anv. wk2). Hvilke fordele og ulemper er der ved at anvende dette værktøj til administration af brugere/brugergrupper og disses adgang til ressourcer for en sådan virksomhed, hvor sikkerheden skal være helt i top (=forskningsresultater skal kun være tilgængelige for forskerne).
Er der nogen der har lidt input til mig? Hvad kan der være af fordele og ulemper? Det største problem er ikke at se fordelene, da disse jo er grundigt beskrevet i bogen, men det er lidt vanskeligere at gennemskue ulemperne.
Det skal nævnes, at det eneste kendskab jeg har til wk2 og Active Directory er fra de ovennævnte sider i bogen.
Hmmm... den er svær. Som jeg ser det, ER der ingen ulemper i forhold til alternativerne. Når det drejer sig om en virksomhed af den angivne størrelse, ER der ingen alternativer, når man vælger Win2K.
Kun i meget små netværk, hvor 4-5 brugere udelukkende har behov for fil/print deling, kan man undvære AD. Men ikke engang med nogle fordele. Det vil jo altid være nemmere at styre alle resourcer ét sted, fremfor at skulle benytte forskellige værktøjer.
Jeg ville kryptere mit net, dernæst ville jeg ville oprette en certificate server, så vi er sikker på at trafikken ikke kan sniffes. En certificate server er en service på w2k og er fhv nem at sætte op. Dernæst ville jeg oprette en grp til forskerne. Forskernes filer lægges i en folder som er krypteret og kun kan accesses af forskergruppen, ACLen på fil-niveau, måske også på share, men i hvert fald på fil-niveau. Desuden ville jeg sætte audit på, dvs jeg logger alt hvad der forsøges hentet uden succes og/eller med succes. Forskernes pwd skulle selvfølgelig sættes til at være complex, her er det at ou'en kommer ind. Du kan nemli' lave policies på ou'er ret nemt endda. Forskergruppen og deres maskiner og måske serveren hvor forskernes filer ligger, lægges nu ind i ou'en. Hvor alle restriktionerne sættes op. Ligeledes kan det gøres at der kun er adgang til forskerfilerne fra forskernes maskiner.
Så tror jeg ikke man kan gøre det mere sikkert. Maskinerne skal selvfølgelig også kun give adgang til at forskerne må logge på deres egne maskiner. Alt dette (og mere) kan sættes op i en ou policy.
Puha det lyder som en hel salgsreklame for AD - det er det vel også ;-) Men mon ikke NDS kan det samme ;-)
Active Directory har som du skriver ikke lige umiddelbart nogle ulemper. Det er rigtigt, med Kerberos kryptering, er man sikret mod sniffere på nettet. Der er dog en "lille" ulempe ved AD. Hvis du har 2 servere på nette, og du kører Active Directory Integrated DNS, og din DNS server dør, så har du mistet adgange til AD. Det er fordi at den anden server bruger DNS til at "finde" AD'et. Hvis du skal restore en server, er du nødt til at køre en DCPROMO, før serveren er oppe igen. Det er sur røv, for den server du restorer, findes allerede i dit AD, så du kan ikke tilføje den igen. AD er FEDT, men der mangler stadigvæk nogle administrative værktøjer. Det er en god løsning Karsten_madsen skriver om. Hvis man bruger AD, så sørg for at udnytte Organizationel Units (OU). Sørg altid for at have mindst 3 server som DC'er. Der skal bruges en Global Catalog (GC), RID og Infrastructure. Der kan også drages stor nytte af Group Policy, hvis brugerne kører på w2k workstations.
> karsten madsen Den med alternativet var svar til nanoq. Jo opgaven lyder på w2k og AD, men det var for at finde ulemper i forhold til mulige alternativer.
Nu er der bare så meget ;-) at jeg ikke rigtigt kan overskue situationen. I er på et væsentligt højere plan end jeg, så jeg føler mig desværre ca. lige så dum som en dør ;o)
Du skriver, at der er en "lille" ulempe ved AD, hvis man har 2 servere på nettet, og man kører Active Directory Integrated DNS. Kan man så ikke bare lade være med det? Du skriver om Global Catalog, det har jeg styr på, men ikke RID og Infrastructure. Vil du uddybe det?
Ulemper. Hmm. Det kan hurtigt blive dyrt og jeg synes man skal holde sig til de retningslinier som ms stikker ud, ellers synes jeg ikke der er de helt store ulemper. Jeg er ikke stødt på nogen, men jeg har heller ikke nogen "forskerfiler" jeg skal beskytte for enhver pris. Tilgengæld synes jeg at der er rigtig mange fordele. F.eks sites er bare fjong, når man har mange forskellige lokationer. Jeg er rigtig glad for w2k domæner
Men en vigtig ting - man skal edermame tænke sig grundigt om INDEN man laver det allerførste domæne, man kan nemlig ikke tilføje domæner over roddomænet
Hm. Kryptere trafikken kan gøres med f.eks. 3DES. Jeg kan sgu ærligt talt ikke huske hvor det gøres men det gøres i mmc'en. Certificate serveren er en service som udsteder certifikater, tilbrug for kryptering. Hvis du ikke har et certifikat, så kan du ikke få lov til at bruge et net som er krypteret og hvortil der kræves certificate.
MS def at sites er helt nøjagtig. "Et net er et site hvis lan adresse området er anderledes end et anden site". Sagt på en anden måde, så er et site et net som forbindes med et andet net med en anden ip-område. Oftest er disse sites beliggenhed geografisk forskellige. Fordelen ved at bruges sites er at du selv kan bestemme hvornår de forskellige roller opdateres.
Tak for dit svar. Jeg ved godt, at det ikke er noget du har skrevet, men kan du måske også hjælpe mig med følgende som ibob1000 har skrevet:
"Hvis man bruger AD, så sørg for at udnytte Organizationel Units (OU). Sørg altid for at have mindst 3 server som DC'er. Der skal bruges en Global Catalog (GC), RID og Infrastructure."
Det ser ikke ud som om ibob1000 vender tilbage, så derfor mangler jeg svar på følgende:
Skal jeg forstå det sådan, at en domain controller (DC) = Global Catalog, en DC = RID og den sidste DC = Infrastructure? Jeg ved ikke, hvad RID og Infrastructure betyder i denne sammenhæng.
Jeg håber, at du måske kan give mig svar på ovenstående. Nu giver jeg i hvert fald dig de 20 point og så de 10 til ibob1000.
På w2k domæner har man 5 fismo roller. Hvoraf GC, RID og Infra structure er nogle af den, en mere er schema, den sidste Primary domain controller. GC er den som indeholder alle informationer om alle enheder i strukturen i domænet. GC'en er gud i domænet. GC'en skal ehlst placeres på en anden server en der hvor RID og schemaet ligger, pga load. RID er den rolle som holder styr på alle nye enheder og er den som udleverer nye SID'er. Schemaet er den som sørger for at alle nye enheder ser ens ud. F.eks alle brugere har et fornavn, efternavn, osv. Modsat NT domæne er der ikke længere noget PDC og BDC, og dog. I NT var en BDC "kun" en passiv enhed, hvor du ikke kunne ændre noget i domænet fra en BDC. I 2K-dom er en DC i princippet ens, dog er den DC med en eller flere fisom roller lidt mere PDC end de andre. Jeg er ikke enig med ibob1000 om at det er nødvendigt med 3 dc'er, men 2 er bestemt at ønske da schema og gc helst ikke må ligge på samme maskine pga. load
Det er sån't hvad jeg lige kan huske ud fra min hukommelse.
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.