Архив рубрики: Active Directory

>TechEd 2009. День третий, часть вторая.

>

Еще присутствовал на докладе по совместному использованию AD RMS & Exchange Server 2010. Вполне себе актуально, учитывая, что Exch2010 уже несколько дней доступен для скачивания, покупки и развертывания. Так как я не разбираюсь толком ни в том, ни в другом, то нового для меня было мало =))))

1) Основное: можно защищать с помощью RMS ту почту, которая соответствует некоторым критериям, без участия пользователя. Технически осуществляется с помощью транспортных правил. То есть даже если письмо с заголовком TopSecret не будет зашифровано пользователем, то сервер сделает это автоматически.

2) Разумеется, такое применение сервера увеличит нагрузку на этот сервер. Я был заверен, что соответствующие Capacity Planners разрабатываются.

3) Было сказано, что “вследствии тесной интеграции с UC теперь можно защищать голосовую почту”. Увы, я тут где-то отвлекся и не понял, в чем фишка и как это выглядит, а спросить потом забыл. =( Может быть, смогу на записи что-то разобрать, если желание будет.

4) Можно так же создавать правила на клиенте. То есть клиентское правило может, к примеру, автоматически защищать почту к CIO.

5) Prelicensing позволяет выдавать лицензии RMS заранее, чтобы клиент, находясь вдалеке от системы, мог работать.

6) Тот же функционал работает и в OWA. С учетом того, где работает OWA, получаем IE, FF, Safari, PC, Mac. Скорее всего и Linux, но не проверял.

7) Можно сконфигурировать серверы таким образом, чтобы защищенное письмо проверялось на вирусы или какие-то другие параметры. Второе, разумеется, в случае, если что-то другое умеет работать таким образом.

В общем, тоже интересно =)

Реклама

>Платформа 2009: начато голосование за доклады.

>

image Оно все-таки началось. Все, кто пойдут на мероприятие или будут смотреть его в прямом эфире или в записи могут проголосовать за доклады, которые они желают увидеть и услышать. Я даже настоятельно рекомендую это сделать, потому что это прекрасная возможность определить то, что будет рассказано и показано на Платформе.

В числе прочих затесалось и четыре моих темы, которые я мог бы и желаю рассказать. Три из них уже видела и слышала аудитория Московского MCP Клуба (впрочем, я не буду читать слово в слово, добавлю в них кое-что – Андрей Бешков подсказал пару идей), а четвертый будет нов даже для них. Так что голосуйте, если желаете послушать эти выступления в моем исполнении. Впрочем, если даже и не пожелаете – меня можно будет найти в секции “Спроси Эксперта”. =)

Мои доклады, которые уже известны узкой аудитории:

NAP: Введение в здоровую сеть.

Windows 2008 AD DS: Что нового?

Построение систем высокой доступности для начинающих.

И новый доклад:

Введение в ForeFront Threat Management Gateway.

>Детали о защите от случайного удаления в AD

>

В свое время, когда я делал доклад о новом в Windows Active Directory Directory Services в Windows 2008, и рассказывал об улучшениях интерфейса, была затронута тема о галочке "prevent from accidental deletion". Это новая фишкаimage в консоли Active Direstory Users and Computers (ADUC), которая не позволяет удалить объект до тех пор, пока не снята некая галочка в свойствах этого объекта. В этот момент меня спросили, является ли эта функция всего лишь деталью интерфейса (то есть, можно ли справиться с помеченным таким образом объектом с помощью других средств, например ldp?) или при ее установке в AD происходят какие-то изменения? В тот день я ответил (предположил), что это скорее всего только функция интерфейса (позор мне! =) ), но червячок сомнения остался и грыз меня больше полугода. Наконец-то (буквально вчера) я добрался до проверки ответа на этот вопрос. Естественно, я оказался не прав, иначе не было бы этого поста. Итак, ответ.

Если мы поставили эту галочку, то удалить объект не сняв отметку можно будет только после пляски с бубном. Причем, это работает даже при нахождении в Active Directory 2003 (для этого нужно только поставить RSAT на Vista, чтобы увидеть новый элемент интерфейса в ADUC), несмотря на то, что схема не изменена. Как же это работает, в таком случае? Да очень просто (как все гениальное, ага =) ).

Когда мы помечаем галочкой упомянутый выше чекбокс, на самом деле в image разрешениях на изменяемый/создаваемый объект AD выставляются разрешения Deny Delete & Deny Delete Subtree для группы Everyone. Теперь невозможно случайно удалить объект. Да что там случайно, даже для того, чтобы удалить его целенаправленно, придется попотеть:

1) если у Вас стоит RSAT, то нужно будет включить в ADUC «Advanced Features», потом открыть свойства объекта и снять галочку, после чего его можно будет удалить

2) если RSAT нет, то придется так же находить надоевший нам объект и править разрешения на вкладке Security

По умолчанию, когда создание объекта происходит в новой консоли, эта опция включена, что хорошо. Однако для старых объектов, созданных в старой консоли ADUC этого не происходит, потому или нужно быть осторожным или просто пройтись скриптом по дереву и пометить все это дело, как "защищенное от случайного удаления" ;)