Post on 27-Feb-2019
Zarządzanie środowiskiem Microsoft Active Directory
Omówienie i pokaz systemów NetIQ Directory & Resource Administrator, NetIQ Group Policy Administrator oraz NetIQ Exchange Administrator
Dariusz Leonarski
Starszy konsultant
dleonarski@netiq.com
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 2
Program seminarium (10:00 – 11:30)
• Wstęp o Attachmate Group w Polsce
• Rola Active Directory i typowe problemy z obsługą
• Omówienie i pokaz NetIQ Directory and Resource
Administrator oraz NetIQ Exchange Administrator
• Omówienie i pokaz NetIQ Group Policy Administrator
• Podsumowanie, ceny i licencjonowanie
Attachmate Group w Polsce
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 4
Emulacja terminali
Modernizacja systemów
Transfer zarządzanych plików
Zapobieganie oszustwom w firmie
Praca grupowa
Zarządzanie punktami końcowymi
Usługi sieciowe i plikowe
Zarządzanie tożsamością, bezpieczeństwem i zgodnością
Rozwiązania do obsługi MS Active Directory i Exchange
Monitorowanie systemów, aplikacji, urządzeń
Serwery Linux
Wirtualizacja XEN, KVM
Budowa wirtualnych urządzeń (software appliances)
Chmury prywatne i publiczne
Linux na desktopie
Novell Sp. z o.o.
ul. Postępu 21
02-676 Warszawa
tel. 22 537 5000
infolinia 800 22 66 85
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 5
Krajowe przedstawicielstwo
Novell Sp. z o.o. krajowym reprezentantem interesów całego holdingu The Attachmate Group
Co zapewnia polskie biuro?
● Pełna obsługa klienta
● Lokalna pomoc techniczna i konsultanci
● Konkurencyjność cenowa produktów i usług
● Dbałość o relacje i serwis
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 6
Główne obszary kompetencji Potrzeby związane z bezpieczeństwem IT
Monitorowanie pracy systemów, serwerów, urządzeń i aplikacji
Nadzór nad działaniami i delegowanie uprawnień administracyjnych do serwerów Windows, Active Directory, GPO i poczty Exchange
Monitorowanie i śledzenie zmian w środowisku MS Windows – w plikach, konfiguracji systemów, aplikacjach w systemach Windows i AD
Nadzór nad komunikacją VoIP, monitorowanie jakości usług, diagnostyka problemów
Monitorowanie i zarządzanie usługami i procesami biznesowymi w centrach danych (Business Process Management), ukierunkowanie środowiska IT na usługi i procesy,
Modelowanie i automatyzacja rutynowych zadań administracyjnych
Zarządzanie tożsamością w oparciu o role, przydzielanie i odbieranie uprawnień, egzekwowanie polityki bezpieczeństwa
Nadzór nad uprawnieniami użytkowników, certyfikacja dostępu, audyt, zgodność
Monitoring on-line informacji i zdarzeń mających wpływ na bezpieczeństwo (SIEM), zarządzanie logami w celach audytowych
Kontrola dostępu do aplikacji webowych, w tym SSO i zdalny dostęp przez SSL VPN
Pojedynczy login do aplikacji użytkowników (Enterprise Single Sign-On), wykorzystanie do uwierzytelniania kart SmartCard
Wykorzystanie wirtualizacji do ochrony serwerów fizycznych i wirtualnych
Zarządzanie wirtualizacją w środowisku heterogenicznym (VMware, Hyper-V, XEN, KVM)
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 7
Główne obszary kompetencji Potrzeby użytkowników końcowych
Obsługa urządzeń przenośnych (smartfony, tablety, notebooki), zdalne wyposażanie w aplikacje/pliki, wymazywanie danych, kontrola i zabezpieczanie, rozwiązanie problemu BYOD
Centralne uaktualnianie i łatanie oprogramowania Windows, Linux i Apple iOS
Inwentaryzacja sprzętu i oprogramowania dla Windows, Linux i Apple iOS, kontrola licencji
Zabezpieczanie urządzeń końcowych, komunikacji WiFi, kontrola i blokowanie portów, nadzór nad ustawieniami osobistego firewalla
Szyfrowanie folderów i całych dysków w komputerach użytkowników i na urządzeniach przenośnych (np. pen drive).
Uniknięcie wysokich opłat licencyjnych za systemy Windows i Microsoft Office
Poczta elektroniczna e-mail i organizacja pracy grupowej, także dla użytkowników mobilnych (Android, Apple iOS, Symbian)
Intranet i repozytorium dokumentów obsługiwane przez użytkowników
Niezawodna obsługa sieci – plików, pamięci masowej i drukarek
Automatyzacja konfiguracji komputerów i serwerów, dystrybucja aplikacji, uaktualnień, obsługa obrazów, zdalna naprawa
Obsługa zgłoszeń pomocy technicznej (help desk), wdrożenie w organizacji praktyk ITIL
Automatyzacja zarządzania plikami użytkowników i pamięcią masową
Wirtualizacja aplikacji dla użytkowników
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 8
Główne obszary kompetencji Serwerownie, centra danych i środowiska cloud
Systemy serwerowe Linux do obsługi środowisk fizycznych, wirtualnych i cloud
Centralne zarządzanie serwerami Linux – automatyzacja zadań administracyjnych, monitorowanie pracy, zdalne zaopatrywanie i pielęgnowania systemów
Wirtualizacja z wykorzystaniem rozwiązań open source: XEN i KVM
Budowa prywatnej lub publicznej chmury (cloud computing) na bazie open source
Tworzenie obrazów oprogramowania do uruchomienia w środowisku fizycznym, wirtualnym i cloud
Budowa rozwiązań klastrowych, w tym rozproszonych geograficznie (GEO klaster)
Obsługa aplikacji SAP na bezpiecznej i wydajnej platformie
Uruchamianie popularnych aplikacji (CRM, BI) i baz danych (Oracle, Sybase) na maszynach mainframe
Centralna obsługa punktów sprzedaży (POS) opartych platformie Linux
Obsługa aplikacji wymagających systemów pracujących w czasie rzeczywistym (Real Time)
Obniżenie wydatków na utrzymanie i pielęgnację serwerów Red Hat
Obniżenie wydatków na wirtualizację VMware dzięki wirtualizacji open source XEN i KVM
Serwery Linux w chmurze (cloud computing)
Rola katalogów Active Directory
i typowe problemy z obsługą
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 10
• Active Directory is an essential/required part of a
Windows infrastructure
• It is a directory that contains critical information
– Authentication: Username/password
– Authorization: Group memberships
– Computers
– Organizational Units
– Printers
– File shares
– Group Policy Objects
Rola katalogów Active Directory
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 11
• AD is a business critical application
– It is the gateway to many business critical applications
– Problems with AD prevent employees from delivering service
• Business drives frequent changes in AD
– Users, computers, printers, shares..
– Strict change control applied to business critical applications
• How do you manage this level of change without
impacting service deliver?
Jakie mamy typowe problemy z AD?
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 12
Active Directory – Bezpieczeństwo
• Secure administration is impossible with native tools
– Administration is highly manual
– Manual changes introduce more security risk and errors
– Lacks change control
– No inherent change control approval processes
– Inability to granularly delegate or control user permissions
– Difficult to simply delegate “reduced permissions” to specific people
– Insufficient reporting and auditing capabilities
– Cannot easily produce reports on who made changes
– Showing level of access or user activity difficult
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 13
Active Directory – Zarządzanie
• Change is constant
– Active Directory reflects the business
– IT staff spends time making reactive changes
• Limited resources and budget
– Less technical tasks should be delegated
– Routine tasks could be automated
• Nearly impossible to report on delegated permissions
– Once delegation wizard is closed, requires significant work to identify who
has access to what
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 14
AD – problem ze złożonością Fałszywe poczucie bezpieczeństwa
• Many people feel secure, but
ignore these common problems:
– Too many domain administrators
– Results in “risky” escalation of privileges
– “Least privilege” not enforced
– Users have more privileges than they
need for indefinite periods of time
– Limited visibility
– Difficult or impossible to determine the
who, what, where, when and how of Active
Directory changes
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 15
Co jest nam potrzebne, by rozwiązać te problemy?
• Make the information manageable
– Naming conventions, etc
• Delegation of routine operational activity
– Allow us to use less skilled staff and reduce training cost
– Allow us to empower business users to make simple changes
• Eliminate manual steps - Automation
• Reporting to help quickly identify problem root cause
– Logging of activity
– Reporting
• Recover from errors
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 16
Czy Microsoft nie pomyślał już o tym?
• Yes!
– ...says the Microsoft sales
• Delegation
– Yes for the initial delegation model, but it is very hard to change
• Automation
– Yes, but very limited
• Auditing and reporting
– Yes, but you have to check the log on each ‘Domain Controller’ manually
– Roughly one DC per 1000 users
• UNDO
– Yes, but limited and very impractical
Omówienie i pokaz
NetIQ Directory and Resource
Administrator
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 18
Co zapewniają nam systemy NetIQ? NetIQ Directory and Resource Administrator
• Możliwości
– Bezpieczne delegowanie uprawnień
– Centralny audyt i raportowanie zadań
zarządzania kontami
– Automatyzacja rutynownych
czynności
– Egzekwowanie polityk dla kont
• Korzyści
– Niższe koszty administrowania
– Wzrost wydajności administrowania
– Większe bezpieczeństwo
– Zgodność z wymogami przepisów
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 19
Bezpieczne delegowanie uprawnień NetIQ Directory and Resource Administrator
• What is it?
– Dramatically simplifies the
delegation of administrative
entitlements across Active
Directory
• Benefits
– Reduces the number of native
privileged accounts
– Delegate administrative tasks
out across the organization
– Using ActiveView technology,
administrators only see what
they are allowed to manage
Puts greater control over administrative capabilities, assuring the security of Active Directory
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 20
Centralny audyt administrowania NetIQ Directory and Resource Administrator
• What is it?
– Captures all account
management activities
– Identifies who did what, when,
and where
• Benefits
– Enforcement of activity auditing
– Capturing & centralizing
activities in a multi-master
environment
– AD security audit log
conciseness & interpretation
– Complete audit trail
Helps achieve regulatory compliance and security best practices
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 21
Raporty z działań NetIQ Directory and Resource Administrator
1. Right-click on an object
2. Select changes made to the object or by the object
3. Select date range
4. See results with before / after values
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 22
Elastyczność raportowania NetIQ Directory and Resource Administrator
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 23
Automatyzacja rutynowych zadań NetIQ Directory and Resource Administrator
• What is it?
– Facilitates the automation of
repetitive activities to reduce the
level of required human
interaction
• Benefits
– Assures that all steps are
carried out correctly, in order,
and completely
– Ability to integrate and launch
3rd-party applications and
scripts from within the console
– Examples: Mailbox creation,
disk quota reporting and more
Increases administrator efficiency
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 24
Egzekwowanie polityk dla kont NetIQ Directory and Resource Administrator
• What is it?
– Ensure policy is enforced across
administrative-related activities
• Benefits
– Content control through data
validation policies
– Data correctness and compliance
– Assures content consistency as
well as contextual control
– What and when changes are made
– Ability to review and rollback
deleted objects
Assures data integrity, accuracy, and improved control over changes
NetIQ Exchange Administrator
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 26
Zarządzanie AD w poczcie Exchange
• Support for Microsoft Exchange 2010
– Exchange Administrator can manage environments with
either Microsoft Exchange Server 2010 with Update Rollup 4
or Exchange Server 2010 Service Pack 1 installed.
– Cross-forest management possible via Exchange Access Account
– Credentials replicated to all servers via AD LDS
– DRA now only requires Power shell 2.0 and Windows Remote
Management (WinRM) 2.0 to be installed on the DRA server to remotely
manage Exchange Server 2010.
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 27
Zarządzanie AD w poczcie Exchange
• Support for Microsoft Exchange Server 2010 Features
– Reset Unified Messaging PIN feature
– Move Mailbox Status feature
– Group membership approval.
– Unified Messaging: Call Answering rules
– Support for disconnected mailboxes
– Setting delivery options for a group in web console
Omówienie i pokaz
NetIQ Group Policy Administrator
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 29
Group Policy Management Problemy i ryzyko z tym związane
• Managing Group Policy is challenging
– 54% of enterprises struggle with Group Policy Management
• Management challenges
– Managing change
– Preventing unauthorized change
– Troubleshooting
– Complying with regulations
– Sarbanes-Oxley
– HIPPA
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 30
Korzystanie z narzędziu Microsoftu Co możesz zrobić, a czego nie?
• Native management tools
– No off-line repository
– No test environment
– No roll-back feature
– Can’t deploy into un-trusted domains
• The impact
– Mistakes happen real-time in your production environment
– Business impact of changes unknowable until implemented
– Lack of approval process means unapproved changes occur
– Mistakes must be rewritten, rather than quickly rolled back
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 31
Co zapewnia rozwiązanie NetIQ? NetIQ Group Policy Administrator
• Features
– Off-line change management to
prevent unauthorized changes
– Change simulation to model and
predict business impacts
– Secure delegation of what changes
can be made
• Benefits
– Effective change control of Group
Policy Objects (GPOs)
– Easier Group Policy troubleshooting
– Increases administration efficiency
– Helps achieve compliance
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 32
Kontrola polityk grupowych NetIQ Group Policy Administrator
• Secure off-line environment
– Buffer for errors in production environment
• Workflow and delegation approval
– Delegated administration controls elevated permissions
• Analyze, compare, troubleshoot and test
– Before and after values
– Health check to ensure GPOs are not corrupt
• Centrally manage and migrate GPOs
• Roll-back to last known good version
• Comprehensive reporting
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 33
Proste naprawianie błędów w politykach grupowych NetIQ Group Policy Administrator
• Enterprise consistency checks
• Cross-trust GPO management
• Point-in-time analysis
– View the GPO environment over a specific period in time
• Advanced RSoP-based diagnostics
– Directly compare two Resultant State of Policy (RSoP) reports
• Automated version control and roll-back
– Version comparison, backup and restoration of GPOs
• GPO health checks
– Quickly reports on missing, erroneous, or corrupt data in GPOs
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 34
Wydajniejsze administrowanie NetIQ Group Policy Administrator
• GPMC compatibility
– Leverage existing GPO migration maps, backup files, and reports
• After hours GPO Deployment
– Schedule the enforcement of GPOs using Windows task scheduler
• Wizards and tasks for new users
– GPO Comparison Wizard
• Shortcuts for power users
– Offline Mirror
• Can enforce best practices
– Limited power for administrators with limited experience
– Workflow approval
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 35
Zgodność z przepisami NetIQ Group Policy Administrator
• Manage GPOs without giving Active Directory
permissions
– Report on who has access where
• Enterprise consistency checks and enforcement
– Run comparisons to verify that specific GPOs are
synchronized across one or more domains
– Easily synchronize GPO changes enterprise-wide with
one-click automation
• Point in Time Analysis
– Provides a view into the GPO environment over a specific
period in time, which is critical information for auditors
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 36
Integracja i kompatybilność NetIQ Group Policy Administrator
• Fully compatible with Windows
– Windows XP, Server 2003, Server 2008, Windows Vista, Windows 7
• Supports Group Policy labeling
– Manage and maintain GPO labels and comments
• Supports Group Policy Preference (GPP)
– Import, manage, assess, and export GPP
• Supports Centrify DirectControl GPOs
– Import, manage, and export Centrify Group Policy enhancements
• Compatible with SQL 2008
Podsumowanie, ceny i licencjonowanie
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 38
AD AD AD
DRA: zarządzanie obiektami AD
AD
DRA
DC logs DC logs DC logs
Impersonation
service
Reporting Managed
Changes
No direct access for supporting personnel needed to the AD environment and therefore no accounts need to be created in AD for the service provider personal.
Easy distinguish changes made to the AD environment by the allowed process or other people. This prevents a discussion around the responsibility of a specific change.
Flexible, role based supporting delegation model that can be changed at any time. The setup of roles and templates make this easy to manage.
Concise reporting available on actions/changes.
Enforce naming conventions and content/context control.
Four eye security for managing critical objects such as administrative accounts. This allows the implementation of an approval process.
Creation of views over objects that someone can manage.
Web based interface.
Automation scripts can be triggered before or after every action.
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 39
AD AD AD
GPA: zarządzanie politykami grupowymi
AD
DC logs DC logs DC logs
Impersonation
service
Approval process to bring Group Policy changes in the environment.
Off-line GPO management.
No direct permissions needed for users to prepare GPO’s offline.
Version control.
History reporting on changes.
What if analysis.
Process available to migrate GPO’s from development to pre-production and production environment.
Notifications on important GPO changes.
GPA
Managed
Changes
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 40
Licencjonowanie na użytkownika (per user) Sprzedaż w paczkach po 100 użytkowników Cennik • Licencja 1510 euro/100 users • Standard Maintenance 271 euro /100 users • Priority Maintenance 346 euro /100 users
Oddzielne SKU dla kont nieaktywnych • 0,94 euro dla 100 nieaktywnych kont użytkowników
NetIQ Directory & Resource Administrator: ceny i licencjonowanie
Więcej informacji o DRA: www.netiq.com/products/directory-resource-administrator
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 41
NetIQ Group Policy Administrator: ceny i licencjonowanie
Licencjonowanie na użytkownika (per user) Sprzedaż w paczkach po 100 użytkowników Cennik • Licencja 850 euro/100 users • Standard Maintenance 153 euro /100 users • Priority Maintenance 195 euro /100 users
Oddzielne SKU dla kont nieaktywnych • 0,94 euro dla 100 nieaktywnych kont użytkowników
Więcej informacji o GPA: www.netiq.com/products/group-policy-administrator
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 42
NetIQ Exchange Administrator : ceny i licencjonowanie
Licencjonowanie na użytkownika (per user) Sprzedaż w paczkach po 100 użytkowników Cennik • Licencja 570 euro/100 users • Standard Maintenance 102 euro /100 users • Priority Maintenance 130 euro /100 users
Oddzielne SKU dla kont nieaktywnych • 0,94 euro dla 100 nieaktywnych kont użytkowników
Więcej informacji o ExA: www.netiq.com/products/exchange-administrator
© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 43
Dziękujemy za uwagę!
Wersję do testów lub ofertę cenową zamówisz na stronie www.novell.pl/formularz.html
© 2011 NetIQ Corporation. All rights reserved. 44
+48 22 537 5010 800 22 6685 (infolinia) infolinia@netiq.com NetIQ.com
NetIQ w Polsce: Novell Sp. z o.o. Ul. Postępu 21 02-676 Warszawa
http://community.netiq.com