In this episode, we will work on Tiering in AD

1. Zabezpiecz swoje AD – Epizod 3
Jak prawidłowo wdrożyć Tiering w AD

2. On premise:
• AD (łącznie z powiązanymi serwisami),
• Security (Tiering, ESAE, PAW, Auth Policy etc.),
• Powershell
Cloud:
o Azure (Azure Governance, Migracje, Automatyzacja, IaaS)
o EMS
Kontakat:
• https://www.linkedin.com/in/przybylskirobert/
• https://www.azureblog.pl/
• https://github.com/przybylskirobert
Robert Przybylski
Team Leader
Senior Infrastructure
Consultant
Trochę o mnie:

3. Agenda Cyklu
Styczeń 2020 - Microsoft SCT i ACLight
Luty 2020 - LAPS oraz Break Glass Account
Kwiecień 2020 - Tiering
Maj 2020 - PAW
Czerwiec 2020 - Authentication Policies, Protected Users
oraz Restricted Admin Mode

4. Tiering
• Tier 0 – Domain & Enterprise
Admins
TIER 0
SCCM / WSUSDomain
controller
AD FS CA AD Connect
TIER 1
Application
Servers
Servers Cloud
Servers
• Tier 1 - Server Admins
• Tier 2 - Workstation & Device
Admins
TIER 2
Workstation Tablet PhoneLaptop
Dedykowany SCCM/WSUS dla Tier 0

5. Tier 0
Tier 0
Co do tego zaliczamy?
Konta oraz grupy posiadające:
o Dostęp do serwerów Tier 0
o Możliwość modyfikacji wszystkich / wiekszości obiektów w AD
o Możliwość resetu haseł do kont Tier 0
o Możliwość modyfikacji zasobów Tier 0
Konta Tier 0 są sobie równe
Serwery aplikacyjne posiadające agentów na Tier 0
Sprzęt fizyczny na którym jest infrastruktura Tier 0
Każdy kto ma dostep do sprzętu Tier 0
Każdy kto ma dostęp do maszyn wirtualnych Tier 0
Urządzenia na których są użyte poświadczenia Tier 0

6. Domain Admins
Enterprise Admins
Schema Admins
Built-inAdministrators
Server Operators
Account Operators (DC)
Backup Operators (DC)
SCCM Operators
IDM Admins
PKI Administrators
ADFS Administrators
AD Connect Administrators
Grupy Tier 0
Tier 0

7. Kontrolery Domeny
Serwery PKI
Serwery ADFS
Serwery SCCM / WSUS dla Tier 0
Servery ADConnect
Serwery Tier 0
Tier 0

8. Tier 1
Tier 1
Co uzwględnić?
Konta oraz grupy posiadające:
o Dostęp do serwerów Tier 1
o Możliwość resetu haseł do kont Tier 1
o Możliwość modyfikacji zasobów Tier 1
Konta Tier 1 nie są sobie równe
Serwery aplikacyjne posiadające agentów na serwerach Tier 1
Sprzęt fizyczny na którym jest infrastruktura Tier 1
Każdy kto ma dostep do sprzętu Tier 1
Każdy kto ma dostęp do maszyn wirtualnych Tier 1
Urządzenia na których są użyte poświadczenia Tier 1

9. Tier 2
Tier 2
Kogo dodać?
Konta oraz grupy posiadające:
o Członkostwo w dziale Help Desk / Service Desk
o Dostęp do komputerów I urządzeń Tier 2
o Możliwość resetu haseł do kont Tier 2
Wszystkie konta Tier 2 są równe sobie
Sprzęt fizyczny na którym jest infrastruktura Tier 2
Każdy kto ma fizyczny dostep do sprzętu Tier 2
Każdy kto ma dostęp do maszyn wirtualnych Tier 2
Urządzenia na których są użyte poświadczenia Tier 2
o Dekstopy
o Laptopy
o Tablety
o Telefony

10. Tiering vs. kontrola uprawnień
TIER 1
TIER 0
TIER 2
Domain
controller
Servers
Workstation

11. Nie taki PAW straszny
TIER 1
TIER 0
TIER 2
Domain
controller
Servers
Workstation
PAW
PAW
PAW

12. Dedykowany
sprzęt
• Odzielny sprzęt na
prace codzienna
• Oddzielnny sprzęt dla
Tier 0, Tier 1
• Fizyczny sprzęt jako
stacja Administracyjna
• Wirtualna maszyna do
pracy codziennej
• Fizyczny sprzęt do
pracy codziennej
• Dostęp do RDS farmy (
SH T0, SH T1) kontem
usera
• Dostęp z RDS Farmy
do zasobów (SH T0,
SH T1)
PAW nie jedno ma imię
Stacja
Administracyjna
Stacja
Administracyjna 2
Stacja
Administracyjna 3
• Fizyczny sprzęt jako
stacja Administracyjna
• Aplikacje do pracy
codziennej jako
RemoteAPP
A U

13. Demo

14. Podsumowanie

15. CDN…
Dziękuję za uwagę