Docstoc

Windows Server 2008 R2-novinky v oblasti Active Directory

Document Sample
Windows Server 2008 R2-novinky v oblasti Active Directory Powered By Docstoc
					            System Builder
        Windows Server 2008 R2

10:00 - 11:00 Windows Server 2008 R2 - základní přehled
11:20 - 12:20 Windows Server 2008 R2 - novinky v oblasti virtualizace
13:30 - 14:30 Windows Server 2008 R2 - novinky v oblasti Active Directory
14:50 - 15:50 Windows Server 2008 R2 - novinky v oblasti zabezpečení
16:15 - 17:30 Windows Server 2008 R2 - migrace z předchozích verzí
Windows Server 2008 R2
novinky v oblasti Active Directory


  Miroslav Knotek, Microsoft MVP
  IT Senior Consultant | KPCS CZ, s.r.o.
  knotek@kpcs.cz | www.konzultant.net | www.kpcs.cz
Agenda přednášky
 – PowerShell Cmdlets
 – Active Directory Administrative Center (ADAC)
 – Best Practice Analyzer
 – Koš pro AD
 – Managed services accounts
 – Offline přidání do domény
Powershell pro Active Directory
Skripty příkazové řádky pro většinu úkolů
• Původní omezení
   – 30+ nástrojů CMD pro administraci AD nejsou při
     správě konzistentní
   – Obtížná kombinace těchto nástrojů pro vykonání
     komplexních úkonů
• Co je nového?
   – 85+ AD cmdlets pro jasnou administraci a konfiguraci
     AD DS a AD LDS
   – Komunikace za pomoci Web Service protokolů
   – Možné použití k administraci Windows Server 2008
     a 2003 řadičů; po stažení AD Web Service
Výhody PowerShellu

• Jednotná syntaxe a příkazy
• Snadná orientace
• Flexibilní formátování výstupu
• Cmdlety mohou být kombinovány za pomoci tzv.
  pipes k provedení komplexní operace
• End-to-End spravovatelnost s Group Policy,
  Exchange serverem etc.
PowerShell Provider Model
•   Poskytuje spojení, kontexty služeb, bezpečnosti a cest
•   Umožňuje sdílení best practice napříč spojením
•   Kombinace Cmdletů a providerů je známá uživatelům
•   Provádí v AD operace podobné souborovému systému
    nebo registrům – přejmenování, přesun apod.
Get-Command -CommandType Cmdlet *-AD*
Add-ADComputerServiceAccount                      Get-ADServiceAccount                                   Set-ADAccountControl
Add-ADDomainControllerPasswordReplicationPolicy   Get-ADUser                                             Set-ADAccountExpiration
Add-ADFineGrainedPasswordPolicySubject            Get-ADUserResultantPasswordPolicy                      Set-ADAccountPassword
Add-ADGroupMember                                 Install-ADServiceAccount                               Set-ADComputer
Add-ADPrincipalGroupMembership                    Move-ADDirectoryServer                                 Set-ADDefaultDomainPasswordPolicy
Clear-ADAccountExpiration                         Move-ADDirectoryServerOperationMasterRole              Set-ADDomain
Disable-ADAccount                                 Move-ADObject                                          Set-ADDomainMode
Disable-ADOptionalFeature                         New-ADComputer                                         Set-ADFineGrainedPasswordPolicy
Enable-ADAccount                                  New-ADFineGrainedPasswordPolicy                        Set-ADForest
Enable-ADOptionalFeature                          New-ADGroup                                            Set-ADForestMode
Get-ADAccountAuthorizationGroup                   New-ADObject                                           Set-ADGroup
Get-ADAccountResultantPasswordReplicationPolicy   New-ADOrganizationalUnit                               Set-ADObject
Get-ADComputer                                    New-ADServiceAccount                                   Set-ADOrganizationalUnit
Get-ADComputerServiceAccount                                                                             Set-ADServiceAccount
                                                  New-ADUser
Get-ADDefaultDomainPasswordPolicy
                                                  Remove-ADComputer                                      Set-ADUser
Get-ADDomain
                                                  Remove-ADComputerServiceAccount                        Uninstall-ADServiceAccount
Get-ADDomainController
                                                  Remove-                                                Unlock-ADAccount
Get-ADDomainControllerPasswordReplicationPolicy
                                                           ADDomainControllerPasswordReplicationPolicy
Get-ADFineGrainedPasswordPolicy
                                                  Remove-ADFineGrainedPasswordPolicy
Get-ADFineGrainedPasswordPolicySubject
                                                  Remove-ADFineGrainedPasswordPolicySubject
Get-ADForest
                                                  Remove-ADGroup
Get-ADGroup
Get-ADGroupMember                                 Remove-ADGroupMember
Get-ADObject                                      Remove-ADObject
Get-ADOptionalFeature                             Remove-ADOrganizationalUnit
Get-ADOrganizationalUnit                          Remove-ADPrincipalGroupMembership
Get-ADPrincipalGroupMembership                    Remove-ADServiceAccount
                                                  Remove-ADUser
                                                  Rename-ADObject
                                                  Reset-ADServiceAccountPassword
                                                  Restore-ADObject
                                                  Search-ADAccount
Administrative Center for AD
Vyšší produktivita při správě AD
• Původní omezení
  – Neefektivní rozhraní bez jasné orientace
       • Příklad: nastavení nového hesla uživatele
  – Rozložení v MMC nebylo škálovatelné pro rozsáhlá
    nasazení
• Co je nového?
  –   Úkoly prováděny za pomoci PowerShell Cmdletů
  –   Nový a přeskupený administrační model v GUI
  –   Konzistence mezi CLI a GUI možnostmi správy
  –   Navigace přizpůsobená podpoře multidoménových či
      multiforestových prostředí
•   Progresivní zobrazení
•   Orientace na úkoly
•   Založeno na Powershellu
•   Multi-domény, Multi-foresty
Best Practice Analyzer
Detekuje odchylky od doporučených nastavení

• Původní omezení
  – Nedostupný nástroj pro automatické ověření
    správného nasazení AD
• Co je nového?
  – Analyzuje nastavení AD, které mohou způsobovat
    nejčastější problémy
  – Využívá PowerShell Cmdlets k získání dat
  – Doporučuje řešení v rámci daného nasazení
  – Dostupný přímo v Server Manageru
Best Practice Analyzer
První použití
• BPA verze 1.0 se zaměřuje hlavně na běžné DNS problémy
   – Ověřuje SRV záznamy pro DC vedené na jeho DNS serveru
   – A/AAAA záznamy DC jsou vedeny na jeho DNS serveru
   – DC má platné jméno
   – Schema Naming Master a Domain Naming Master FSMO jsou dle
     doporučení vedeny na stejném serveru
   – RID a PDC jsou dle doporučení na stejném serveru
   – Každá doména by měla mít alespoň dva DC
    GUI
C                                                                                               GUI
                   ADUC/ADSS/ADDT                                      BPA             ADMUX
L                                               CLI
          MMC                                         WSH
I
                                                                CLI
E                                        ADSI                          AD PS             MUX
N               DS RPC-Based Protocols
                                                                .NET                            .NET
                                            LDAP                        WCF              WPF
T                SAM    DSR   …     …




                                                                                                .NET
                                                                                 WCF
S
                                                                             AD Web Service
E
                                                                .NET
R                                                                      S.DS.P/S.DS.AM/S.DS.AD

V               DS RPC-Based Protocols                            LDAP
E
                  SAM   DSR   …     …




                                                      AD Core
                                                      AD Core
R
Koš pro AD
Obnova vymazaného objektu
• Původní omezení
  – Náhodně či omylem vymazané objekty z AD
    způsobovaly problémy, produkční omezení
  – Náhodné výmazy jsou hlavním důvodem pro AD
    Disaster/Recovery scénářů
• Co je nového?
  – Koš (Recycle bin) pro AD DS a AD LDS objekty
  – Funguje pouze s nejvyšším forest functional levelem
     • Všechny řadiče ve forestu musí být Windows Server 2008 R2
    Koš v životním cyklu AD objektů
                                                                        180 dní


             Živý objekt                                            Tombstone Object                      Odpad

Windows Server 2008                                               Vrací tombstone


                                                  LDAP OID 1.2.840.113556.1.4.417

Windows Server 2008 R2 se zapnutým košem
(S vypnutým se chová jako WS2008)
                                                  Vrací smazáno        LDAP OID 1.2.840.113556.1.4.2064

                                                                  Vrací smazané a recyklované




            Živý objekt             Smazané objekty                    Tombstone Object                   Odpad



                                    180 dní                             180 dní
Managed Service Accounts
Jednoduchá správa účtů služeb
• Původní omezení
   – Správa jednotlivých účtů je zdlouhavá a komplikovaná
   – Výpadky kvůli pravidelné údržbě
        • Příklad: výmaz hesla účtu pro službu
• Co je nového?
   –   Spravovatelné řešení pro izolaci služeb
   –   Vylepšená správa SPN v WS2008 R2 doménovém režimu
   –   Nižší TCO díky absenci výpadků kvůli správě daného účtu
   –   Jen jeden účet pro služby na jednom serveru
        • Bez nutnosti zásahu při správě hesel!
Offline Domain Join
Zjednodušuje nasazování doménových stanic

• Původní omezení
  – Nutný restart po přidání stanice do domény
  – Nemožnost přidání stanice do domény offline
• Co je nového?
  – Možnost před-přípravy účtu stanice v doméně a úprava
    OS image pro hromadné nasazení
  – Stanice/servery se přidají do domény při prvním startu
  – Redukuje úsilí a čas nutný k nasazení v datacentrech
Authentication assurance
Kontrola zdrojů aplikacemi na základě metody ověření
• Původní omezení
   – K ochraně dat nelze použít ty autentizace nebo její sílu
       • Příklad: kontrolovat přístup ke zdrojům na základě autentizace, např.
         pouze pro smart karty nebo šifrování 2048-bitovým certifikátem
• Co je nového?
   – Správci mohou navázat vlastnosti, např. typ autentizace, k identitě
   – Na základě informací během ověřování se tyto identity přidají do
     Kerberos tiketu, který použijí aplikace
   – Funkce funguje v novém funkčním levelu
       • Všechny DC musí být WS2008 R2
Group Policy
• Oprava z přechozích verzí
   – Možnost využití filtrů
Group Policy
• Změna
  – Nasazení PowerShell skriptů na koncových stanicích
Group Policy
• Podpora pro Powershell
   – Náhrada GPMC skriptů Powershell cmdlety (vytváření, linkování,
     zálohování, kopírování a mazání GPO)
Group Policy
• Aktualizované ADM a ADMX rozhraní
   – Nové „tabulkové“ rozhranní
Group Policy
• Starter GPO
   – Změna oproti Vista/WS2008 – automaticky předpřipravené
     politiky s doporučením (např. Enterprise Client, atd.)
• Změny v části „Preference“
   – Nastavení spotřeby, naplánované úlohy, atd.
Group Policy
• Applocker
  – Lepší možnosti pravidel
    • Povol všechny verze Adobe Reader 9 a vyšší, pokud
      jsou podepsány Adobe
  – Nastavení na uživatele/počítače
    • Pouze uživatelé z oddělení XY smějí spouštět
      aplikace YZ
  – Zcela nové a bezpečnější API
    • Ochrana proti útokům „Circumventing Group Policy
      as a Limited User“
AppLocker
Cesta k Windows Serveru 2008 R2
• Při upgrade klienta na Windows 7 se stávajícími servery použijte:
    – Off-line domain join
• Když je AD Web-service dostupná pro stávající servery, můžete po
  upgradu klientů na Windows 7 použít:
    – AD Powershell a ADAC na všech serverech
• Když změníte domain functional level na Windows Server 2008 R2,
  můžete použít:
    – Authentication Assurance
    – Managed service account s vylepšenou správou SPN
• Když změníte functional level forestu na Windows Server 2008 R2,
  můžete použít:
    – AD Recycle bin

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:0
posted:5/9/2013
language:
pages:26