Zarządzanie środowiskiem Microsoft Active Directory - NetIQ · Zarządzanie środowiskiem...

Zarządzanie środowiskiem Microsoft Active Directory

Omówienie i pokaz systemów NetIQ Directory & Resource Administrator, NetIQ Group Policy Administrator oraz NetIQ Exchange Administrator

Dariusz Leonarski

Starszy konsultant

[email protected]

© 2012 NetIQ Corporation. Wszelkie prawa zastrzeżone 2

Program seminarium (10:00 – 11:30)

• Wstęp o Attachmate Group w Polsce

• Rola Active Directory i typowe problemy z obsługą

• Omówienie i pokaz NetIQ Directory and Resource

Administrator oraz NetIQ Exchange Administrator

• Omówienie i pokaz NetIQ Group Policy Administrator

• Podsumowanie, ceny i licencjonowanie

Attachmate Group w Polsce


Emulacja terminali

Modernizacja systemów

Transfer zarządzanych plików

Zapobieganie oszustwom w firmie

Praca grupowa

Zarządzanie punktami końcowymi

Usługi sieciowe i plikowe

Zarządzanie tożsamością, bezpieczeństwem i zgodnością

Rozwiązania do obsługi MS Active Directory i Exchange

Monitorowanie systemów, aplikacji, urządzeń

Serwery Linux

Wirtualizacja XEN, KVM

Budowa wirtualnych urządzeń (software appliances)

Chmury prywatne i publiczne

Linux na desktopie

Novell Sp. z o.o.

ul. Postępu 21

02-676 Warszawa

tel. 22 537 5000

infolinia 800 22 66 85


Krajowe przedstawicielstwo

Novell Sp. z o.o. krajowym reprezentantem interesów całego holdingu The Attachmate Group

Co zapewnia polskie biuro?

● Pełna obsługa klienta

● Lokalna pomoc techniczna i konsultanci

● Konkurencyjność cenowa produktów i usług

● Dbałość o relacje i serwis


Główne obszary kompetencji Potrzeby związane z bezpieczeństwem IT

Monitorowanie pracy systemów, serwerów, urządzeń i aplikacji

Nadzór nad działaniami i delegowanie uprawnień administracyjnych do serwerów Windows, Active Directory, GPO i poczty Exchange

Monitorowanie i śledzenie zmian w środowisku MS Windows – w plikach, konfiguracji systemów, aplikacjach w systemach Windows i AD

Nadzór nad komunikacją VoIP, monitorowanie jakości usług, diagnostyka problemów

Monitorowanie i zarządzanie usługami i procesami biznesowymi w centrach danych (Business Process Management), ukierunkowanie środowiska IT na usługi i procesy,

Modelowanie i automatyzacja rutynowych zadań administracyjnych

Zarządzanie tożsamością w oparciu o role, przydzielanie i odbieranie uprawnień, egzekwowanie polityki bezpieczeństwa

Nadzór nad uprawnieniami użytkowników, certyfikacja dostępu, audyt, zgodność

Monitoring on-line informacji i zdarzeń mających wpływ na bezpieczeństwo (SIEM), zarządzanie logami w celach audytowych

Kontrola dostępu do aplikacji webowych, w tym SSO i zdalny dostęp przez SSL VPN

Pojedynczy login do aplikacji użytkowników (Enterprise Single Sign-On), wykorzystanie do uwierzytelniania kart SmartCard

Wykorzystanie wirtualizacji do ochrony serwerów fizycznych i wirtualnych

Zarządzanie wirtualizacją w środowisku heterogenicznym (VMware, Hyper-V, XEN, KVM)


Główne obszary kompetencji Potrzeby użytkowników końcowych

Obsługa urządzeń przenośnych (smartfony, tablety, notebooki), zdalne wyposażanie w aplikacje/pliki, wymazywanie danych, kontrola i zabezpieczanie, rozwiązanie problemu BYOD

Centralne uaktualnianie i łatanie oprogramowania Windows, Linux i Apple iOS

Inwentaryzacja sprzętu i oprogramowania dla Windows, Linux i Apple iOS, kontrola licencji

Zabezpieczanie urządzeń końcowych, komunikacji WiFi, kontrola i blokowanie portów, nadzór nad ustawieniami osobistego firewalla

Szyfrowanie folderów i całych dysków w komputerach użytkowników i na urządzeniach przenośnych (np. pen drive).

Uniknięcie wysokich opłat licencyjnych za systemy Windows i Microsoft Office

Poczta elektroniczna e-mail i organizacja pracy grupowej, także dla użytkowników mobilnych (Android, Apple iOS, Symbian)

Intranet i repozytorium dokumentów obsługiwane przez użytkowników

Niezawodna obsługa sieci – plików, pamięci masowej i drukarek

Automatyzacja konfiguracji komputerów i serwerów, dystrybucja aplikacji, uaktualnień, obsługa obrazów, zdalna naprawa

Obsługa zgłoszeń pomocy technicznej (help desk), wdrożenie w organizacji praktyk ITIL

Automatyzacja zarządzania plikami użytkowników i pamięcią masową

Wirtualizacja aplikacji dla użytkowników


Główne obszary kompetencji Serwerownie, centra danych i środowiska cloud

Systemy serwerowe Linux do obsługi środowisk fizycznych, wirtualnych i cloud

Centralne zarządzanie serwerami Linux – automatyzacja zadań administracyjnych, monitorowanie pracy, zdalne zaopatrywanie i pielęgnowania systemów

Wirtualizacja z wykorzystaniem rozwiązań open source: XEN i KVM

Budowa prywatnej lub publicznej chmury (cloud computing) na bazie open source

Tworzenie obrazów oprogramowania do uruchomienia w środowisku fizycznym, wirtualnym i cloud

Budowa rozwiązań klastrowych, w tym rozproszonych geograficznie (GEO klaster)

Obsługa aplikacji SAP na bezpiecznej i wydajnej platformie

Uruchamianie popularnych aplikacji (CRM, BI) i baz danych (Oracle, Sybase) na maszynach mainframe

Centralna obsługa punktów sprzedaży (POS) opartych platformie Linux

Obsługa aplikacji wymagających systemów pracujących w czasie rzeczywistym (Real Time)

Obniżenie wydatków na utrzymanie i pielęgnację serwerów Red Hat

Obniżenie wydatków na wirtualizację VMware dzięki wirtualizacji open source XEN i KVM

Serwery Linux w chmurze (cloud computing)

Rola katalogów Active Directory

i typowe problemy z obsługą


• Active Directory is an essential/required part of a

Windows infrastructure

• It is a directory that contains critical information

– Authentication: Username/password

– Authorization: Group memberships

– Computers

– Organizational Units

– Printers

– File shares

– Group Policy Objects

Rola katalogów Active Directory


• AD is a business critical application

– It is the gateway to many business critical applications

– Problems with AD prevent employees from delivering service

• Business drives frequent changes in AD

– Users, computers, printers, shares..

– Strict change control applied to business critical applications

• How do you manage this level of change without

impacting service deliver?

Jakie mamy typowe problemy z AD?


Active Directory – Bezpieczeństwo

• Secure administration is impossible with native tools

– Administration is highly manual

– Manual changes introduce more security risk and errors

– Lacks change control

– No inherent change control approval processes

– Inability to granularly delegate or control user permissions

– Difficult to simply delegate “reduced permissions” to specific people

– Insufficient reporting and auditing capabilities

– Cannot easily produce reports on who made changes

– Showing level of access or user activity difficult


Active Directory – Zarządzanie

• Change is constant

– Active Directory reflects the business

– IT staff spends time making reactive changes

• Limited resources and budget

– Less technical tasks should be delegated

– Routine tasks could be automated

• Nearly impossible to report on delegated permissions

– Once delegation wizard is closed, requires significant work to identify who

has access to what


AD – problem ze złożonością Fałszywe poczucie bezpieczeństwa

• Many people feel secure, but

ignore these common problems:

– Too many domain administrators

– Results in “risky” escalation of privileges

– “Least privilege” not enforced

– Users have more privileges than they

need for indefinite periods of time

– Limited visibility

– Difficult or impossible to determine the

who, what, where, when and how of Active

Directory changes


Co jest nam potrzebne, by rozwiązać te problemy?

• Make the information manageable

– Naming conventions, etc

• Delegation of routine operational activity

– Allow us to use less skilled staff and reduce training cost

– Allow us to empower business users to make simple changes

• Eliminate manual steps - Automation

• Reporting to help quickly identify problem root cause

– Logging of activity

– Reporting

• Recover from errors


Czy Microsoft nie pomyślał już o tym?

• Yes!

– ...says the Microsoft sales

• Delegation

– Yes for the initial delegation model, but it is very hard to change

• Automation

– Yes, but very limited

• Auditing and reporting

– Yes, but you have to check the log on each ‘Domain Controller’ manually

– Roughly one DC per 1000 users

• UNDO

– Yes, but limited and very impractical

Omówienie i pokaz

NetIQ Directory and Resource

Administrator


Co zapewniają nam systemy NetIQ? NetIQ Directory and Resource Administrator

• Możliwości

– Bezpieczne delegowanie uprawnień

– Centralny audyt i raportowanie zadań

zarządzania kontami

– Automatyzacja rutynownych

czynności

– Egzekwowanie polityk dla kont

• Korzyści

– Niższe koszty administrowania

– Wzrost wydajności administrowania

– Większe bezpieczeństwo

– Zgodność z wymogami przepisów


Bezpieczne delegowanie uprawnień NetIQ Directory and Resource Administrator

• What is it?

– Dramatically simplifies the

delegation of administrative

entitlements across Active

Directory

• Benefits

– Reduces the number of native

privileged accounts

– Delegate administrative tasks

out across the organization

– Using ActiveView technology,

administrators only see what

they are allowed to manage

Puts greater control over administrative capabilities, assuring the security of Active Directory


Centralny audyt administrowania NetIQ Directory and Resource Administrator

• What is it?

– Captures all account

management activities

– Identifies who did what, when,

and where

• Benefits

– Enforcement of activity auditing

– Capturing & centralizing

activities in a multi-master

environment

– AD security audit log

conciseness & interpretation

– Complete audit trail

Helps achieve regulatory compliance and security best practices


Raporty z działań NetIQ Directory and Resource Administrator

1. Right-click on an object

2. Select changes made to the object or by the object

3. Select date range

4. See results with before / after values


Elastyczność raportowania NetIQ Directory and Resource Administrator


Automatyzacja rutynowych zadań NetIQ Directory and Resource Administrator

• What is it?

– Facilitates the automation of

repetitive activities to reduce the

level of required human

interaction

• Benefits

– Assures that all steps are

carried out correctly, in order,

and completely

– Ability to integrate and launch

3rd-party applications and

scripts from within the console

– Examples: Mailbox creation,

disk quota reporting and more

Increases administrator efficiency


Egzekwowanie polityk dla kont NetIQ Directory and Resource Administrator

• What is it?

– Ensure policy is enforced across

administrative-related activities

• Benefits

– Content control through data

validation policies

– Data correctness and compliance

– Assures content consistency as

well as contextual control

– What and when changes are made

– Ability to review and rollback

deleted objects

Assures data integrity, accuracy, and improved control over changes

NetIQ Exchange Administrator


Zarządzanie AD w poczcie Exchange

• Support for Microsoft Exchange 2010

– Exchange Administrator can manage environments with

either Microsoft Exchange Server 2010 with Update Rollup 4

or Exchange Server 2010 Service Pack 1 installed.

– Cross-forest management possible via Exchange Access Account

– Credentials replicated to all servers via AD LDS

– DRA now only requires Power shell 2.0 and Windows Remote

Management (WinRM) 2.0 to be installed on the DRA server to remotely

manage Exchange Server 2010.


Zarządzanie AD w poczcie Exchange

• Support for Microsoft Exchange Server 2010 Features

– Reset Unified Messaging PIN feature

– Move Mailbox Status feature

– Group membership approval.

– Unified Messaging: Call Answering rules

– Support for disconnected mailboxes

– Setting delivery options for a group in web console

Omówienie i pokaz

NetIQ Group Policy Administrator


Group Policy Management Problemy i ryzyko z tym związane

• Managing Group Policy is challenging

– 54% of enterprises struggle with Group Policy Management

• Management challenges

– Managing change

– Preventing unauthorized change

– Troubleshooting

– Complying with regulations

– Sarbanes-Oxley

– HIPPA


Korzystanie z narzędziu Microsoftu Co możesz zrobić, a czego nie?

• Native management tools

– No off-line repository

– No test environment

– No roll-back feature

– Can’t deploy into un-trusted domains

• The impact

– Mistakes happen real-time in your production environment

– Business impact of changes unknowable until implemented

– Lack of approval process means unapproved changes occur

– Mistakes must be rewritten, rather than quickly rolled back


Co zapewnia rozwiązanie NetIQ? NetIQ Group Policy Administrator

• Features

– Off-line change management to

prevent unauthorized changes

– Change simulation to model and

predict business impacts

– Secure delegation of what changes

can be made

• Benefits

– Effective change control of Group

Policy Objects (GPOs)

– Easier Group Policy troubleshooting

– Increases administration efficiency

– Helps achieve compliance


Kontrola polityk grupowych NetIQ Group Policy Administrator

• Secure off-line environment

– Buffer for errors in production environment

• Workflow and delegation approval

– Delegated administration controls elevated permissions

• Analyze, compare, troubleshoot and test

– Before and after values

– Health check to ensure GPOs are not corrupt

• Centrally manage and migrate GPOs

• Roll-back to last known good version

• Comprehensive reporting


Proste naprawianie błędów w politykach grupowych NetIQ Group Policy Administrator

• Enterprise consistency checks

• Cross-trust GPO management

• Point-in-time analysis

– View the GPO environment over a specific period in time

• Advanced RSoP-based diagnostics

– Directly compare two Resultant State of Policy (RSoP) reports

• Automated version control and roll-back

– Version comparison, backup and restoration of GPOs

• GPO health checks

– Quickly reports on missing, erroneous, or corrupt data in GPOs


Wydajniejsze administrowanie NetIQ Group Policy Administrator

• GPMC compatibility

– Leverage existing GPO migration maps, backup files, and reports

• After hours GPO Deployment

– Schedule the enforcement of GPOs using Windows task scheduler

• Wizards and tasks for new users

– GPO Comparison Wizard

• Shortcuts for power users

– Offline Mirror

• Can enforce best practices

– Limited power for administrators with limited experience

– Workflow approval


Zgodność z przepisami NetIQ Group Policy Administrator

• Manage GPOs without giving Active Directory

permissions

– Report on who has access where

• Enterprise consistency checks and enforcement

– Run comparisons to verify that specific GPOs are

synchronized across one or more domains

– Easily synchronize GPO changes enterprise-wide with

one-click automation

• Point in Time Analysis

– Provides a view into the GPO environment over a specific

period in time, which is critical information for auditors


Integracja i kompatybilność NetIQ Group Policy Administrator

• Fully compatible with Windows

– Windows XP, Server 2003, Server 2008, Windows Vista, Windows 7

• Supports Group Policy labeling

– Manage and maintain GPO labels and comments

• Supports Group Policy Preference (GPP)

– Import, manage, assess, and export GPP

• Supports Centrify DirectControl GPOs

– Import, manage, and export Centrify Group Policy enhancements

• Compatible with SQL 2008

Podsumowanie, ceny i licencjonowanie


AD AD AD

DRA: zarządzanie obiektami AD

AD

DRA

DC logs DC logs DC logs

Impersonation

service

Reporting Managed

Changes

No direct access for supporting personnel needed to the AD environment and therefore no accounts need to be created in AD for the service provider personal.

Easy distinguish changes made to the AD environment by the allowed process or other people. This prevents a discussion around the responsibility of a specific change.

Flexible, role based supporting delegation model that can be changed at any time. The setup of roles and templates make this easy to manage.

Concise reporting available on actions/changes.

Enforce naming conventions and content/context control.

Four eye security for managing critical objects such as administrative accounts. This allows the implementation of an approval process.

Creation of views over objects that someone can manage.

Web based interface.

Automation scripts can be triggered before or after every action.


AD AD AD

GPA: zarządzanie politykami grupowymi

AD

DC logs DC logs DC logs

Impersonation

service

Approval process to bring Group Policy changes in the environment.

Off-line GPO management.

No direct permissions needed for users to prepare GPO’s offline.

Version control.

History reporting on changes.

What if analysis.

Process available to migrate GPO’s from development to pre-production and production environment.

Notifications on important GPO changes.

GPA

Managed

Changes


Licencjonowanie na użytkownika (per user) Sprzedaż w paczkach po 100 użytkowników Cennik • Licencja 1510 euro/100 users • Standard Maintenance 271 euro /100 users • Priority Maintenance 346 euro /100 users

Oddzielne SKU dla kont nieaktywnych • 0,94 euro dla 100 nieaktywnych kont użytkowników

NetIQ Directory & Resource Administrator: ceny i licencjonowanie

Więcej informacji o DRA: www.netiq.com/products/directory-resource-administrator

http://www.netiq.com/products/directory-resource-administrator/






NetIQ Group Policy Administrator: ceny i licencjonowanie



Więcej informacji o GPA: www.netiq.com/products/group-policy-administrator

http://www.netiq.com/products/group-policy-administrator






NetIQ Exchange Administrator : ceny i licencjonowanie



Więcej informacji o ExA: www.netiq.com/products/exchange-administrator

http://www.netiq.com/products/exchange-administrator




Dziękujemy za uwagę!

Wersję do testów lub ofertę cenową zamówisz na stronie www.novell.pl/formularz.html

http://www.novell.pl/formularz.html



© 2011 NetIQ Corporation. All rights reserved. 44

+48 22 537 5010 800 22 6685 (infolinia) [email protected] NetIQ.com

NetIQ w Polsce: Novell Sp. z o.o. Ul. Postępu 21 02-676 Warszawa

http://community.netiq.com

http://www.facebook.com/netiq

http://www.twitter.com/netiq

http://www.linkedin.com/groups?gid=2745833

mailto:[email protected]



http://www.netiq.com/

http://community.netiq.com/

http://community.netiq.com/

Zarządzanie środowiskiem Microsoft Active Directory - NetIQ · Zarządzanie środowiskiem...

Documents

Transcript of Zarządzanie środowiskiem Microsoft Active Directory - NetIQ · Zarządzanie środowiskiem...