260 likes | 380 Views
System Builder Windows Server 2008 R2. 10:00 - 11:00 Windows Server 2008 R2 - základní přehled 11:20 - 12:20 Windows Server 2008 R2 - novinky v oblasti virtualizace 13:30 - 14:30 Windows Server 2008 R2 - novinky v oblasti Active Directory
E N D
System Builder Windows Server 2008 R2 10:00 - 11:00 Windows Server 2008 R2 - základní přehled 11:20 - 12:20 Windows Server 2008 R2 - novinky v oblasti virtualizace 13:30 - 14:30 Windows Server 2008 R2 - novinky v oblasti Active Directory 14:50 - 15:50 Windows Server 2008 R2 - novinky v oblasti zabezpečení 16:15 - 17:30 Windows Server 2008 R2 - migrace z předchozích verzí
Windows Server 2008 R2 novinky v oblasti Active Directory Miroslav Knotek, Microsoft MVP IT Senior Consultant | KPCS CZ, s.r.o. knotek@kpcs.cz | www.konzultant.net | www.kpcs.cz
Agenda přednášky • PowerShell Cmdlets • Active Directory Administrative Center (ADAC) • Best Practice Analyzer • Koš pro AD • Managedservices accounts • Offline přidání do domény
Powershellpro Active DirectorySkripty příkazové řádky pro většinu úkolů • Původní omezení • 30+ nástrojů CMD pro administraci AD nejsou při správě konzistentní • Obtížná kombinace těchto nástrojů pro vykonání komplexních úkonů • Co je nového? • 85+ AD cmdletspro jasnou administraci a konfiguraci AD DS a AD LDS • Komunikace za pomoci Web Service protokolů • Možné použití k administraci Windows Server 2008 a 2003řadičů; po stažení AD Web Service
Výhody PowerShellu • Jednotná syntaxe a příkazy • Snadná orientace • Flexibilní formátování výstupu • Cmdlety mohou být kombinovány za pomoci tzv. pipes k provedení komplexní operace • End-to-End spravovatelnost s Group Policy, Exchange serverem etc.
PowerShell Provider Model • Poskytuje spojení, kontexty služeb, bezpečnosti a cest • Umožňuje sdílení best practice napříč spojením • Kombinace Cmdletů a providerů je známá uživatelům • Provádí v AD operace podobné souborovému systému nebo registrům – přejmenování, přesun apod.
Add-ADComputerServiceAccount Add-ADDomainControllerPasswordReplicationPolicy Add-ADFineGrainedPasswordPolicySubject Add-ADGroupMember Add-ADPrincipalGroupMembership Clear-ADAccountExpiration Disable-ADAccount Disable-ADOptionalFeature Enable-ADAccount Enable-ADOptionalFeature Get-ADAccountAuthorizationGroup Get-ADAccountResultantPasswordReplicationPolicy Get-ADComputer Get-ADComputerServiceAccount Get-ADDefaultDomainPasswordPolicy Get-ADDomain Get-ADDomainController Get-ADDomainControllerPasswordReplicationPolicy Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject Get-ADForest Get-ADGroup Get-ADGroupMember Get-ADObject Get-ADOptionalFeature Get-ADOrganizationalUnit Get-ADPrincipalGroupMembership Get-Command -CommandTypeCmdlet *-AD* • Set-ADAccountControl • Set-ADAccountExpiration • Set-ADAccountPassword • Set-ADComputer • Set-ADDefaultDomainPasswordPolicy • Set-ADDomain • Set-ADDomainMode • Set-ADFineGrainedPasswordPolicy • Set-ADForest • Set-ADForestMode • Set-ADGroup • Set-ADObject • Set-ADOrganizationalUnit • Set-ADServiceAccount • Set-ADUser • Uninstall-ADServiceAccount • Unlock-ADAccount • Get-ADServiceAccount • Get-ADUser • Get-ADUserResultantPasswordPolicy • Install-ADServiceAccount • Move-ADDirectoryServer • Move-ADDirectoryServerOperationMasterRole • Move-ADObject • New-ADComputer • New-ADFineGrainedPasswordPolicy • New-ADGroup • New-ADObject • New-ADOrganizationalUnit • New-ADServiceAccount • New-ADUser • Remove-ADComputer • Remove-ADComputerServiceAccount • Remove-ADDomainControllerPasswordReplicationPolicy • Remove-ADFineGrainedPasswordPolicy • Remove-ADFineGrainedPasswordPolicySubject • Remove-ADGroup • Remove-ADGroupMember • Remove-ADObject • Remove-ADOrganizationalUnit • Remove-ADPrincipalGroupMembership • Remove-ADServiceAccount • Remove-ADUser • Rename-ADObject • Reset-ADServiceAccountPassword • Restore-ADObject • Search-ADAccount
Administrative Center for ADVyšší produktivita při správě AD • Původní omezení • Neefektivní rozhraní bez jasné orientace • Příklad: nastavení nového hesla uživatele • Rozložení v MMC nebylo škálovatelné pro rozsáhlá nasazení • Co je nového? • Úkoly prováděny za pomoci PowerShell Cmdletů • Nový a přeskupený administrační model v GUI • Konzistence mezi CLI a GUI možnostmi správy • Navigace přizpůsobená podpoře multidoménových či multiforestových prostředí
Progresivní zobrazení • Orientace na úkoly • Založeno na Powershellu • Multi-domény, Multi-foresty
Best Practice Analyzer Detekuje odchylky od doporučených nastavení • Původní omezení • Nedostupný nástroj pro automatické ověření správného nasazení AD • Co je nového? • Analyzuje nastavení AD, které mohou způsobovat nejčastější problémy • Využívá PowerShell Cmdlets k získání dat • Doporučuje řešení v rámci daného nasazení • Dostupný přímo v Server Manageru
Best Practice Analyzer První použití • BPA verze 1.0 se zaměřuje hlavně na běžné DNS problémy • Ověřuje SRV záznamy pro DC vedené na jeho DNS serveru • A/AAAA záznamy DC jsou vedeny na jeho DNS serveru • DC má platné jméno • Schema Naming Master a Domain Naming Master FSMO jsou dle doporučení vedeny na stejném serveru • RID a PDC jsou dle doporučení na stejném serveru • Každá doména by měla mít alespoň dva DC
Windows Server 2008 Windows Server 2008 R2 Additions CLIENT GUI GUI ADUC/ADSS/ADDT BPA ADMUX CLI MMC WSH CLI ADSI AD PS MUX .NET .NET DS RPC-BasedProtocols LDAP WCF WPF SAM DSR … … .NET SERVER WCF AD Web Service .NET S.DS.P/S.DS.AM/S.DS.AD DS RPC-Based Protocols LDAP SAM DSR … … AD Core AD Core
Koš pro ADObnova vymazaného objektu • Původní omezení • Náhodně či omylem vymazané objekty z AD způsobovaly problémy, produkční omezení • Náhodné výmazy jsou hlavním důvodem pro AD Disaster/Recovery scénářů • Co je nového? • Koš (Recycle bin) pro AD DS a AD LDS objekty • Funguje pouze s nejvyšším forest functional levelem • Všechny řadiče ve forestu musí být Windows Server 2008 R2
Koš v životním cyklu AD objektů 180 dní Živý objekt Tombstone Object Odpad Windows Server 2008 Vrací tombstone LDAP OID 1.2.840.113556.1.4.417 Windows Server 2008 R2 se zapnutým košem (S vypnutým se chová jako WS2008) LDAP OID 1.2.840.113556.1.4.2064 Vrací smazáno Vrací smazané a recyklované Odpad Živý objekt Smazané objekty Tombstone Object 180 dní 180 dní
Managed Service AccountsJednoduchá správa účtů služeb • Původní omezení • Správa jednotlivých účtů je zdlouhavá a komplikovaná • Výpadky kvůli pravidelné údržbě • Příklad: výmaz hesla účtu pro službu • Co je nového? • Spravovatelné řešení pro izolaci služeb • Vylepšená správa SPN v WS2008 R2 doménovém režimu • Nižší TCO díky absenci výpadků kvůli správě daného účtu • Jen jeden účet pro služby na jednom serveru • Bez nutnosti zásahu při správě hesel!
Offline Domain JoinZjednodušuje nasazování doménových stanic • Původní omezení • Nutný restart po přidání stanice do domény • Nemožnost přidání stanice do domény offline • Co je nového? • Možnost před-přípravy účtu stanice v doméně a úprava OS image pro hromadné nasazení • Stanice/servery se přidají do domény při prvním startu • Redukuje úsilí a čas nutný k nasazení v datacentrech
Authentication assuranceKontrola zdrojů aplikacemi na základě metody ověření • Původní omezení • K ochraně dat nelze použít ty autentizace nebo její sílu • Příklad: kontrolovat přístup ke zdrojům na základě autentizace, např. pouze pro smart karty nebo šifrování 2048-bitovým certifikátem • Co je nového? • Správci mohou navázat vlastnosti, např. typ autentizace, k identitě • Na základě informací během ověřování se tyto identity přidají do Kerberos tiketu, který použijí aplikace • Funkce funguje v novém funkčním levelu • Všechny DC musí být WS2008 R2
Group Policy • Oprava z přechozích verzí • Možnost využití filtrů
Group Policy • Změna • Nasazení PowerShell skriptů na koncových stanicích
Group Policy • Podpora pro Powershell • Náhrada GPMC skriptů Powershellcmdlety (vytváření, linkování, zálohování, kopírování a mazání GPO)
Group Policy • Aktualizované ADM a ADMX rozhraní • Nové „tabulkové“ rozhranní
Group Policy • Starter GPO • Změna oproti Vista/WS2008 – automaticky předpřipravené politiky s doporučením (např. EnterpriseClient, atd.) • Změny v části „Preference“ • Nastavení spotřeby, naplánované úlohy, atd.
Group Policy • Applocker • Lepší možnosti pravidel • Povol všechny verze Adobe Reader 9 a vyšší, pokud jsou podepsány Adobe • Nastavení na uživatele/počítače • Pouze uživatelé z oddělení XY smějí spouštět aplikace YZ • Zcela nové a bezpečnější API • Ochrana proti útokům „Circumventing Group Policy as a Limited User“
Cesta k Windows Serveru 2008 R2 • Při upgrade klienta na Windows7 se stávajícími serverypoužijte: • Off-line domain join • Když je AD Web-service dostupná pro stávající servery, můžete po upgradu klientů na Windows 7 použít: • AD Powershell a ADACna všech serverech • Když změníte domain functional level na Windows Server 2008 R2, můžete použít: • Authentication Assurance • Managed service account s vylepšenou správou SPN • Když změníte functional level forestu na Windows Server 2008 R2, můžete použít: • AD Recyclebin