Aflevering 58 - Erwin Derksen - Active Directory en zijn Toekomst

Het was in de beginjaren dat wij deze podcast zijn begonnen, dus alweer een tijdje geleden, dat we het onderwerp van deze uitzending besproken hebben.
We vonden het dus erg zinvol om het onderwerp weer eens door te nemen en hoe tof is het dat we dat dezelfde gast uit onze aflevering van 2019 weer bereid hebben gevonden om met ons de geschiedenis maar ook de toekomst te bespreken van Microsoft's Active Directory.

In deze aflevering hebben wij namelijk als (terugkerende) gast Erwin Derksen. Erwin zit al sinds 1999 in het ICT vak, is in 2017 voor zichzelf gestart met het bedrijf Derk-IT en is daarnaast ook één van de oprichters van Blue Identity. Erwin schuift zijn interesse voor Windows en Active Directory niet onder stoelen of banken en is mede daarom een graag geziene spreker op diverse evenementen in binnen en buitenland. Zijn handelsmerken zijn een uitgebreide dosis humor en de “bulletpoint-free presentation”, naast uiteraard zijn kennis over Microsoft in het algemeen en Active Directory in het bijzonder.

Erwin is vaker te gast geweest bij onze Come Get IT podcast, dat zijn altijd leuke gesprekken geweest en ook deze aflevering is weer erg leerzaam en vol humor.

 

 

 


Come Get IT Extra – Terugblik Microsoft Ignite 2020

Microsoft Ignite is een jaarlijkse conferentie voor ontwikkelaars en IT-professionals gehost door Microsoft. De eerste conferentie, toen bekend als TechEd, vond plaats in 1993 in Orlando, Florida. De naam Microsoft Ignite is vanaf 2015 geintroduceerd en dit jaar is de conferentie volledig digitaal georganiseerd. Voor ons de gelegenheid om deze versie bij te wonen.

Dit jaar hebben we weer 2 gasten uitgenodigd om hun bevindingen van deze editie van Ignite met ons te delen. Martijn Moorman is inmiddels een bekend gezicht bij de CGIT Podcast.

Onze 2e gast is een ras echte Microsoft IT-Professional. Hij heeft veel tijd vrij gemaakt om de sessies ook ‘s nachts te volgen. Jorgen de Gier is nog niet eerder te gast geweest, maar wat hij in de nachtelijke uurtjes heeft opgepikt kon hij niet aan ons laten voorbij gaan.

Kortom, twee uitstekende gasten om terug te blikken op Microsoft Ignite 2020 wat we gaan doen in deze CGIT Podcast Extra!

 


Podcast Aflevering 11 - Active Directory en zijn toekomst

Hierbij weer een nieuwe reguliere aflevering van de Come Get IT Podcast na een aantal extra podcasts tussendoor.

In deze aflevering hebben wij als gast Erwin Derksen. Erwin zit als sinds 1999 in het ICT-vak en is in 2017 voor zichzelf gestart met het bedrijf Derk-IT. Erwin schuift zijn interesse voor Windows 10 en Active Directory niet onder stoelen of banken en is mede daarom een graag geziene spreker op diverse evenementen in binnen en buitenland. Zijn handelsmerken zijn een uitgebreide dosis humor en de “bulletpoint-free presentation”, naast uiteraard zijn kennis over Microsoft in het algemeen en Active Directory in het bijzonder.

We hebben Erwin al eerder aan het woord gehad over Active Directory in onze aflevering over Experts Live! en recentelijk nog in onze aflevering met de terugblik op Microsoft Ignite. Inmiddels met recht een vriend van de show mogen we gerust zeggen.

Een aflevering voor zowel iedereen die alles al weet over de Active Directory als de mensen die de kennis over het onderwerp graag wil bijspijkeren!

 


De evolutie van de Active Directory

Wist je dat de Active Directory in het jaar 2019 20 jaar bestaat? De eerste contouren van Active Directory zijn in 1999 gepresenteerd tijdens de introductie van Windows 2000. In het jaartal 2019 kunnen we nog steeds niet zonder, sterker nog: we diepen de mogelijkheden steeds verder uit.

Wat is nu de Active Directory.

Eigenlijk is de Active Directory een samenvoeging van de functionaliteiten LDAP, Kerberos en DNS. Het protocol LDAP is ontwikkeld in 1975. De basis voor LDAP is X500, X500 zorgt ervoor dat we de hedendaagse Organizational Unit (OU) structuur kunnen gebruiken.

Onderhuids is Active Directory een database met een limitatie tot maximaal 16TB aan omvang en 2 miljoen objecten.

Windows 2003

In Windows Server 2003 is de Active Directory verder uitgediept en zijn er opnieuw functionaliteiten toegevoegd. Een belangrijke toevoeging was het vereenvoudigen van verschillende beheer werkzaamheden rondom Active Directory. Met de komst van Windows Server 2003 R2 is ook het beheer van Group Policies vereenvoudigd en sindsdien niet meer veranderd, los van diverse kleinere toevoegingen in functionaliteiten en mogelijkheden.

Windows Server 2008

In Windows server 2008 is Active Directory Federation Services toegevoegd. Hierdoor is het mogelijk geworden om een Single Sign-On ervaring aan te bieden. Een functionaliteit welke vandaag de dag bijna niet meer is weg te denken. Ook anno 2019 neemt het gebruik hiervan nog steeds toe.

Onderhuids werd ook de naam veranderd van Active Directory (AD) Active Directory Domain Services (ADDS), weliswaar een kleine nuance, wel een belangrijke - De kapstok waar Microsoft meerdere functionaliteiten kan aanhangen gerelateerd aan Active Directory

De inmiddels bekende Active Directory Prullenbak is toegevoegd aan Windows Server 2008 R2.

En verder

Na de naamswijziging (ADDS) is de Active Directory eigenlijk alleen nog maar belangrijker geworden.  Tegenwoordig hoef ik bijna niet meer uit te leggen wat de functie van de Active Directory is. De mogelijkheden zijn steeds uitgebreider. We verplaatsen dat maffe ding zelfs naar de Cloud.

Veiligheid

Bescherming van je Active Directory is van cruciaal belang. Het is de kern van je gehele bedrijfsnetwerk! Met een aantal eenvoudige en niet kostbare applicaties is het mogelijk om wachtwoorden te verkrijgen.
En dan zijn de gevolgen niet meer te overzien.

Tips:

  • Overweeg een Windows Server Core installatie van de domain controller.
    De stappen heb ik hier
  • Gebruik firewall regels, of externe firewalls om de domain controller te ontsluiten in je interne LAN.
  • Gebruik een managementserver (Ook wel bekend al, Steppingstone en/of Jumpserver) voor het beheer van de Active Directory.
  • Geef niet meer autorisaties uit dan nodig. Dat klinkt logisch maar ik zie nog bij te veel organisaties dat dit niet, of in ieder geval niet voldoende gebeurd.
    Bijvoorbeeld het niet scheiden van admin en “normale” medewerkers AD accounts.
    Zelfs bij grote organisaties kom ik dit nog teveel tegen.
  • Last but not least, gebruik een domain controller als een domain controller.
    Met andere woorden, voeg geen onnodige rollen toe of zelfs extra internet browsers.
    Dit maakt je omgeving alleen maar kwetsbaarder.

 


Hoe voorkom ik impact op mijn gebruikers bij een Active Directory migratie?

Active Directory is tegenwoordig bijna meer dan alleen een dienst van Microsoft. Het is een ‘backbone’ geworden voor veel programmatuur. Diverse bedrijven migreren er dan ook naar, maar je wil de impact op je gebruikers natuurlijk zo klein mogelijk houden. Hoe doe je dat?

Active Directory is van oudsher een verzameling van gebruikersobjecten, computerobjecten en groepen binnen Microsoft-netwerken. Het regelt bijvoorbeeld de authenticatie en autorisatie voor gebruikers, zodat ze andere objecten als printers kunnen benaderen vanuit hun werkomgeving. Daardoor kan het geheel gestructureerd met elkaar communiceren.

Daarnaast zorgt het er voor dat het beleid van het bedrijf wordt afgedwongen. Heb je dus specifieke regels over wachtwoorden? Dan zorgt Active Directory er voor dat die worden nageleefd. En dat geldt ook voor het beleid over wie er wel en niet bij bepaalde data mag komen.

Tegenwoordig zijn er nog meer functies bijgekomen. Met Active Directory kun je er ook voor zorgen dat iemand bijvoorbeeld op afstand met een ander apparaat bij zijn mail mag en kan komen. “Of in het geval van KLM, waar ik nu werk, mensen hun uren in kunnen vullen”, vertelt Sander Bruijs van SBC Solutions.

Migreren

Diverse bedrijven migreren dan ook naar Active Directory, waaronder KLM en Air France. Bruijs helpt de bedrijven daarbij, onder meer om de impact op gebruikers zo klein mogelijk te houden.

Daarvoor moet je de zogenaamde SID History-filtering uitzetten. “Elk object heeft een soort identifier. Bij een gebruiker staat er dus een e-mailadres, een wachtwoord en een gebruikersnaam, maar ook een heel lang nummer. Dat nummer is uniek. Wordt jouw account dus weggegooid en wordt er een nieuwe aangemaakt, dan is dat nummer anders.”

Dit kan grote gevolgen hebben voor gebruikers. “Bij de migratie waar ik nu mee bezig ben, moeten mensen nog wel bij bepaalde resources kunnen in het oude domein.” Dat kan niet als een gebruiker een nieuw nummer krijgt en het oude systeem je niet meer herkent.

“Daarom hebben we het nummer van het oude domein op het nieuwe account geplakt. Wil een gebruiker dan iets benaderen, dan kent het oude domein diegene niet. Maar misschien kent het domein je nog wel van vroeger. Dan kijkt hij naar de SID History en herkent hij het nummer en laat hij de gebruiker toe.”

Machine herstarten

Op die manier wordt de impact op de gebruiker zo laag mogelijk gehouden. Die kan namelijk nog steeds overal bij en doorgaan met zijn werk. De omgeving ziet er bovendien exact hetzelfde uit.

“Ook synchroniseren we de wachtwoorden, de groeplidmaatschappen en het beleid dat is ingesteld”, sluit Bruijs af. “Bij onze migratie is de impact op de gebruiker letterlijk dat de machine een keer moet herstarten. En dan is het klaar. De bedoeling is dan ook dat de gebruiker het gevoel heeft dat er niets veranderd is.”