Blog by PQR

Voor dat ik begin te vertellen wat Windows Server 2008 Active Directory inhoudt ga ik eerst even terug naar de eerste Microsoft directory services welke geïntroduceerd werd met Windows 2000 Server; Active Directory. Active Directory services slaat informatie van verschillende soorten objecten op in een database (NTDS.DIT). Hierbij moet je denken aan gebruikersobjecten, groepsobjecten, computerobjecten, printerobjecten en gedeelde mappen. Active Directory service stelt informatie over verschillende objecten beschikbaar aan gebruikers die objecten willen benaderen of deze objecten willen beheren. Daarnaast biedt Active Directory services de mogelijkheid uw netwerk logisch en geografisch te structureren. Active Directory services kunnen beheerd worden door middel van verschillende Microsoft Management Consoles.

Met de komst van Windows Server 2008 zijn er weer veel nieuwe features geïntroduceerd of zijn bestaande features uitgebreid en/ of gewijzigd. Dit geldt zeker voor Active Directory. Er zijn een aantal (interessante) wijzigingen doorgevoerd en toegevoegd.

Active Directory Lightweight Directory Services

Active Directory Lightweight Direcotry Services is niet geheel nieuw, het is de vervanger van Active Directory Application Mode (ADAM). Active Directory Lightweight Directory Services (AD LDS) is een LDAP directory service dat gebruikt kan worden voor directory-enabled applicaties, zonder de afhankelijkheden die nodig zijn voor Active Directory Domain Services (AD DS). AD LDS voorziet in veel functionaliteiten waarin  AD DS ook voorziet (multimaster replicatie, applicatie directory partitie, LDAP over SSL en ADSI API) maar het heeft geen domein of domein controller nodig.  Binnen AD LDS kunnen geen beveiligingsprincipalen worden opgeslagen, AD LDS kan AD DS wel gebruiken voor authenticatie  van Windows beveiligingsprincipalen.

Wanneer gebruik je AD LDS nu eigenlijk?

• - Aanbieden van een enterprise directory store; Applicaties die gebruik willen of kunnen maken van een directory services kunnen AD LDS gebruiken. Zogenaamde "private" data welke relevant is voor een applicatie kan in een lokale Directory (op een zelfde server) worden opgeslagen zonder dat het invloed heeft op de directory services waar het besturingssysteem gebruik van maakt. AD LDS kan ook gerepliceerd worden naar andere servers waar een zelfde instance van de directory draait zodat bijvoorbeeld single-sign on op een applicatie geboden kan worden. Door AD LDS te gebruiken voorkom je dat het schema van AD DS uitgebreid moet worden. Een ander bijkomend voordeel is dat je externe gebruikers die je toegang wilt geven tot een applicatie, geen toegang hoeft te geven tot Active Directory.

Active Directory Federation Services

Active Directory Federation Services (AD FS) is ook een zogenaamde Identity Access methode die Windows Server 2008 biedt. AD FS biedt (externe) gebruikers die zich op een ander netwerk bevinden Single Sign On mogelijkheden tot applicaties of web services van bijvoorbeeld een leverancier welke zich op een ander netwerk bevinden met een andere Directory Services.  Met AD FS zet je een zogenaamde trust op tussen twee verschillende directory services waardoor de ene directory gebruikers uit de andere directory vertrouwd. Het opzetten van deze trust is eenvoudig gemaakt en betekend niets meer dan binnen de ene directory een beleidsbestand exporteren en deze importeren in de directory waarmee een trust wordt opgezet. Wat ook nieuw is in Windows Server 2008 is het kunnen limiteren van Federation Services binnen de eigen directory door middel van Group Policy settings.

Active Directory Rights Management Services

Active Directory Rights Management Services (AD RMS) is de opvolger van Windows RMS. Door middel van AD RMS beveilig je informatie tegen ongeautoriseerd gebruik, dit kan zowel binnen je netwerk als daarbuiten. Wel is een AD RMS enabled cliënt een vereiste. AD RMS is een cliënt/ server systeem waarbij de AD RMS server een certificaat uitdeelt aan een gebruiker om het gebruikersrecht van bijvoorbeeld een document of e-mail te bepalen. Hiermee kan de gebruiker bepalen wat er na verspreiding van het document of de e-mail mag gebeuren met dat document of de e-mail. Wanneer bijvoorbeeld een gebruiker een e-mail verstuurd en niet wil dat de inhoud van de e-mail wordt gekopieerd of dat de e-mail wordt doorgestuurd kan dit door middel van een conditie meegegeven worden.

Active Directory Domain Services

Binnen Active Directory Domain Services zijn een aantal verbeteringen aangebracht.

• - Read Only Domain Controllers (RODC). RODCs zijn domain controllers die een read-only replica van de Active Direcotry database hebben. Op deze domain controllers kunnen geen wijzigingen doorgevoerd worden. Wijzigingen die gedaan worden op de niet read-only domain controllers worden naar de RODCs gerepliceerd. Deze replicatie gaat dus maar één kant op. RODCs maken zich bekend als een zogenaamde Key Distribution Center (KDC). Hierdoor kunnen ze kerberos tickets handelingen verwerken. Een RODC slaat geen gebruikers- of computer credentials op in haar eigen database. Echter kan de RODC wanneer het beveiligingsbeleid dit toestaat de credentials wel cachen (de user credentials worden dan gekopieerd van een normale DC). Zodra er een wijziging plaats vind op een gebruikersaccount moet het object opnieuw in de cache geplaatst worden van de RODC. Een RODC kan ideaal ingezet worden op een locatie waar men geen beschikking heeft over een beheerder met Active Directory kennis.
• - Herstart mogelijkheden van AD DS. Een domeincontroller herstarten in Active Directory Restore mode om bijvoorbeeld een authoritative restore uit te voeren is niet meer nodig. Men kan simpelweg de Domain Controller services stoppen om deze werkzaamheden uit te voeren. Doordat de server gewoon nog lid is van het domein hoeft men niet met een lokaal account te werken. Daarnaast is het zo dat wanneer de server bijvoorbeeld ook DHCP server is deze service gewoon beschikbaar blijft voor netwerkgebruikers.
• - Gewijzigde Password Policy. Het was altijd zo dat password policy voor domein gebruikers maar op één plaats (domain policy) ingesteld kon worden en dat deze policy gelde voor alle domeingebruikers. Met de komst van Windows Server 2008 is hier een eind aan gekomen. Password policies kunnen nu gelinkt worden aan gebruikers maar beter nog aan gebruikersgroepen. Dit gebeurt niet meer door middel van GPO's zoals we gewend waren. Instelling worden gedaan in zogenaamde PSOs (Password Settings Object). Deze PSOs kunnen dus gelinked worden aan gebruikers of aan groepen.

Best nogal wat wijzigingen dus en om dit alles eigen te worden is er maar een manier :-D! Bouw binnen je eigen demo/ test omgeving zo snel mogelijk een Windows 2008 domein.

 Succes ermee...