1 / 78

Что нового в Windows Server 2012 Active Directory Domain Services

Что нового в Windows Server 2012 Active Directory Domain Services. Константин Леонтьев Архитектор Microsoft. Зачем Вам эта нужна сессия? Направления развития / Глобальные цели Новые возможности и улучшения (по очереди) Требования к функциональности. Содержание.

neil
Download Presentation

Что нового в Windows Server 2012 Active Directory Domain Services

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Чтоновогов Windows Server 2012 Active Directory DomainServices Константин Леонтьев Архитектор Microsoft

  2. Зачем Вам эта нужна сессия? Направления развития / Глобальные цели Новые возможностии улучшения (по очереди) Требования к функциональности Содержание

  3. Заповни АнкетуВиграй Призhttp://anketa.msswit.in.ua

  4. Дать понимание… полного набора функций которые мы улучшили и почему, бизнес илитехнические сложности приведшие к ним. Объяснить основы новых функций Active Directory и… определить ограничения и особенности их реализации указать на преимущества которые они дают для ваше ИТ-среды. Дать полный обзор нововведений… предоставив их технически глубокий и в тоже время полный обзор снабдить вас самодостаточными материалами для применения и понимания за пределами этой сессии Зачем Вам эта презентация?

  5. Упрощение развертывания Active Directory Построение оптимальной архитектуры как для частного так и для публичного облака Улучшить и унифицировать средства управления AD Повысить значимость AD для бизнеса путем тесной интеграции с: File-classification Infrastructure claims-based authorization и Dynamic Access Control Основные направления развития

  6. Глобальные цели • Виртуализация с которой AD просто работает • Все функции Active Directory работают одинаково как в физической среде, так и в виртуализованой • Упрощения развертывания Active Directory • Тесное объединение функций подготовки, инсталляции ролей и самой установки контроллера в едином мастере • Контроллеры теперь быстро устанавливать, легко восстанавливать и элементарно масштабировать их количество • Контроллеры теперь можно устанавливать одновременно на несколько удаленных хостов с единственной машины Windows 8/2012 • Целостное и универсальное управление всеми функциями AD посредством Windows PowerShell • Упрощение администрирования и управления Active Directory • Графический интерфейс упрощающий сложные задачи: восстановление объектов или создание парольных политик FGPP • Все действия графической консоли Active Directory Administrative Center в окне истории команд Windows PowerShell • Поддержка всех операций по управлению репликацией и топологией Active Directory из Windows PowerShell • Упрощение и возможность группового использования служебных (сервисных) учетных записей

  7. Новые функции и улучшения Управление Разнообразное Упрощенное развертывание Dynamic Access Control Графический интерфейс Recycle Bin Целостность при виртуализации Active Directory PowerShell History Viewer Активация черезActive Directory Ускоренное развертывание Графический интерфейс Fine-Grained Password Policy Улучшения Kerberos Изменения в ядре AD Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

  8. Новые функции и улучшения Разнообразное Упрощенное развертывание Целостность при виртуализации Ускоренное развертывание Изменения в ядре AD

  9. Исходная ситуация Добавление контроллера домена с новой ОС должно быть: длительно по времени проверено и вымучено личными ошибками сложным и тщательно спланированным Таким образом ранее, IT Pro вынуждены были: составить сложный план обновления и аварийного восстановления подготовить новую корректную версию ADPrep[32] интерактивно войти на контроллер (SM,IM) в каждом домене под разными правами Запустить инструменты проверки и подготовки с нужными ключами после каждого изменения дождаться завершения репликации Упрощенное развертывание

  10. Решение интегрировать подготовительные шаги в сам процесс промоушенаи… автоматизировать все предварительные шаги проверить все зависимости от окружения перед развертыванием интегрироваться с Server Manager построить все на базе Windows PowerShell и увязать с ГУИ обеспечить соответствие мастера самым ходовым сценариям развертывания Упрощенное развертывание

  11. Условия применения Windows Server 2012 Целевой лес не ниже Windows Server 2003 уровня функциональности Установка первого Windows Server 2012 DC требуетправ Enterprise Admin и Schema Admin ПоследующиеКДтребуют толькоправ Domain Admin в целевом домене Упрощенное развертывание

  12. Еще со времен Windows 2000, DCPromoне выдерживал сетевых сбоев и длительных задержек это приводило к сбою в промоушене если сеть (или вспомогательный КД) «подтормаживали» При развертывании Windows Server 2012 попытки наладить связь и реплицироваться будут бесконечными “бесконечными” потому что нет четких критериев, когда можно утверждать, что “попыток довольно” Таким образом «решение о сбое» перекладывается на администратора, см. логиdcpromo.log Упрощенное развертывание ++Механизм повторов DC Promotion

  13. Цель IFM  развертывать КА намного быстрее Раньше “IFM prep” в NTDSUTIL выполнял обязательную offline defragmentation базы По нашим данным обычно почти никто не использует эту операцию в промышленной среде Это приводило в существенному уменьшению размера DIT-файла (что здорово),но к очень большим затратам времени В Windows Server 2012, NTDSUTIL’s процедура IFMprepулучшена NTDSUTIL’s IFMprepтеперь позволяет отказаться от дефрагментации Это не по умолчанию, нужно явно указать ключ NoDefrag Исключает долгие часы (а иногда и дни) ожидания и требования свободного места в 110% от размера DIT Правда база DIT будет больше и копирование будет идти дольше Упрощенное развертывание ++Улучшенный механизм Install-From-Media (IFM)

  14. AD FS v2.0 выпущена отдельной ролью можно скачать с http://microsoft.com AD FS (v2.1) выпущена как серверная роль Windows Server 2012 Основное отличие от 2.0 - интеграция Windows Server 2012 Dynamic Access Control и поддержка трансляции Kerberos Claim Упрощенное развертывание ++AD FS V2.1 из коробки

  15. Новые функции и улучшения Разнообразное Упрощенное развертывание Целостность при виртуализации Ускоренное развертывание Изменения в ядре AD

  16. Исходная ситуация Типичные действия с виртуальными машинами: снятие снапшотов или копирование VMs/VHDs приводят к печальным последствиям Возникаютоткаты USN что приводит к постоянному наличию: lingering objects (лингеринг объектов) несовпадающих паролей несовпадающих значений атрибутов и что еще хуже несоответствий схемы, если вдруг будет откат для schema master Кроме того, весьма вероятна ситуация с дупликацией SID-ов в разных субъектов безопасности Целостность при виртуализации

  17. Решение Виртуальные контроллеры Windows Server 2012 способны выявлять: Когда применен snapshot Когда виртуальная машина скопирована Механизм построен на идентификаторе поколения VM(VM-generation ID), который изменяется как только средства виртуализации применяют «опасные» действия Виртуальный КД Windows Server 2012 отслеживает значнеиеVM-generation ID для защиты Active Directory Защита реализуется за счет: Отмены выделенного RID pool Сброса значенияinvocationID Инициации процесса INITSYNC для всех FSMO-ролей Целостность при виртуализации

  18. Чем плох для контроллера VM Snapshot? История событий DC2 DC1 ВремяT1 Снят Snapshot USN: 100 ID: A RID Pool: 500 - 1000 • USN rollback НЕ выявлен: Только 50 пользователей реплицированы между КД • Все остальные пользователи либо на одном, либо на другом КД • 100 объектовбезопасности с RIDs 500-599 имеют конфликтующие SIDs Добавлено 100 польз. USN: 200 ВремяT2 ID: A RID Pool: 600- 1000 DC2 получил обновл.: USNs >100 DC1(A)@USN = 200 ПримененT1Snapshot USN: 100 ID: A RID Pool: 500 - 1000 ВремяT3 USN: 250 ID: A RID Pool: 650 - 1000 DC2 получил обновл.: USNs >200 Создано еще 150 польз. ВремяT4 DC1(A)@USN = 250

  19. Условия применения Виртуальный КД Windows Server 2012 запущен на платформе гипервизора с поддержкой VM-Generation ID Есть открытая спецификация для поддержки этого механизма и любой ISV может ее реализовать Целостность при виртуализации

  20. Новые функции и улучшения Разнообразное Упрощенное развертывание Целостность при виртуализации Ускоренное развертывание Изменения в ядре AD

  21. Исходная ситуация Развертывание виртуального КДDCs столь же трудоемкий процесс, что и развертывание физического Однако, виртуализация дате преимущества при развертывании обычных серверов Вообще говоря в результате развертывания КД полявляется его копия (реплика) За исключением имени, IP-адреса, и т.п. Типичное развертывание включает в себя следующие шаги Подготовка и развертываниеимиджа механизмом sysprep Ручной промоушен КДDC с использованием: По сети: время и успешность зависят от размера базы и качества сети с применением IFM: подготовка «носителя» и его копирование усложняют ситуацию Требуются обязательные настройки после развертывания Ускоренное развертывание

  22. Решение Создание реплики виртуального КД клонируя существующий КД т.е. простоекопирование VHD-файлов используяметоды export/import гипервизора Существенное упрощение взаимодействий и зависимостей между администраторами AD и гипервизором обратите внимание, что авторизация клонированных машин требует прав Enterprise/Domain Admins Это решение вносит существенное изменение в принципы аварийного восстановления AD Достаточно всего одного виртуального КДWindows Server 2012 на домен, чтобы оперативно восстановить лес (не должен быть PDC) Последующие КД могут очень быстро быть восстановлены Это решение дает возможность в облачных сценариях повышать свойство эластичности платформы Ускоренное развертывание: клонирование

  23. Ускоренное развертывание: Клонирование Клонируемая VM Windows Server 2012 PDC Запуск NTDS IDL_DRSAddCloneDC Установить сетевые настройки Получить VM-GenID Проверка авторизации Найти КД с ролью PDC Если отличается от значения в DIT Создать новый объект КД скопировав исходный (NTDSDSA, Server, Computer instances) CN=Configuration |--CN=Sites |---CN=<site name> |---CN=Servers |---CN=<DC Name> |---CN=NTDS Settings Вызов _IDL_DRSAddCloneDC(name, site) Сбросить InvocationID, отменить RID pool Сохранить состояние клона (имя, пароль, сайт) Сгенерировать новую учетную запись КД и пароль Файл DCCloneConfig.xml доступен? Объявить себя репликой (на основе IFM) Dcpromo /fixclone Выполнить набор специализированных провайдеров sysprep Разобрать DCCloneConfig.xml Перезагрузка

  24. Условия применения Использование виртуального КД Windows Server 2012 гипервизоре с поддержкой VM-Generation-ID Роль FSMO PDC-E должна быть размещена на Windows Server 2012 для авторизации клонирования Исходный КД должен быть авторизован для клонирования Либо на уровне прав объекта в домене – “Allow DC to create a clone of itself” Либо добавлением в группу “Cloneable Domain Controllers” Файл DCCloneConfig.XML должен быть создан на КД в одном из мест: Папка содержащая NTDS.DIT Директория по умолчанию для файлов DIT (%windir%\NTDS) Съемный носитель (virtual floppy, USB, и т.п.) Сервисы и приложения размещенные на КД Windows Server 2012 должны поддерживаться (например: DNS, FRS, DFSR): Все дополнительные приложения/сервисы и задания по расписанию на исходном контроллере должны быть явно добавлены белый список Если будет найдено какое-то из приложений не из списка, то произойдет сбой и контроллер перейдет в DSRM Ускоренное развертывание: Клонирование

  25. Новые функции и улучшения Разнообразное Упрощенное развертывание Целостность при виртуализации Ускоренное развертывание Изменения в ядре AD

  26. Режимы использования RootDSE Отображает основные свойства NTDS (локально, в домене и лесу) Аналог вызовов RPC ADSI через LDAP (позволяет вызывать «методы») Конструируемые атрибуты Представляют собой динамически вычисляемые значения, генерируемые на основе некоторой информации Ядро обработки запросов NTDS не дает запрашивать ничего кроме простого фильтра с названием атрибута и обработкой поиска на первом базовом уровне (base-scoped) Эти атрибуты в большинстве своем не определены в схеме и документированы только в MSDN. Управляющие методы и правила LDAP Определяют как ядро обработки LDAP-запросов обрабатывает запросы (передается вместе с запросом) Например управляющие методы Return Deleted Objects и Return Recycled Object (1.2.840.113556.1.4.417,.2064) Побитовый поиск (правило соответствия)  (searchFlags:1.2.840.113556.1.5.807:=1userAccountControl:1.2.840.113556.1.5.807:=512) Ограниченный предел количества объектов в базе NTDS RIDs (можно посмотреть уже использованный пул) – 1Г DNTs (можно посмотреть уже использованный пул) – 2Г LIDs (нельзя никак увидеть текущее максимальное значение) 2Г Краткое напоминание технических основ

  27. Исходная ситуация В последнее время у некоторых очень крупных заказчиков стали возникать случаи исчерпания RID-space Несколько ошибок при обработке запросов на RID-pool было исправлено Исследования вопроса так же показали, что необходимо существенное кардинальное улучшение с ограничением в 1Г Улучшения процесса RIDManagement

  28. Каждая неудачная попытка создания учетной записи – потеря - 1 RID Единичный RID теяется при попытке создания пользователя несоответствующего политике В реальности старые оснастки поступают так – создают пользователя и присваивают ему минимальное количество атрибутов, а уже следующе операцией изменения вносят значения атрибутов Исправлено в Windows Server 2012 путем выделения временного пула RID в памяти и при необходимости повторного использования RID-ов. Учтите, что при перезагрузке КД список повторного использования теряется Список повторного использования только если в RID-pool есть блок нераспределенных RID Размер списка повторного использования определяется максимальным числом одновременных попыток приведших к неудачному созданию. Наши оценки показывают, что обычно этот размер исчисляется едеиницаи и потому нет необходимости как-то планировать его размеры. Ограничение на создание учетной записи компьютера рядовым пользователем Это еще один путь потери 1 RID-а при условии если рядовым пользователям не запрещено включение компьютеров в домен по стандартной квоте Решение в точности аналогично решению приятому при создании пользователя (см. выше) ИнвалидацияRID-pool-а приводит к потере пула целиком, при этом логируется событие. Инвалидация происходит вызовом специального «метода» RootDSE или ADSI Обычно это происходит при авторитарном восстановлении RID Master, клонировании или восстановлении снапшота контроллера домена Улучшения процесса RIDManagement

  29. Утрата корректного значения атрибута rIDSetReferencesприводит к исчерпанию всего RID pool Этот атрибут некорректно воссоздается в случае случайного удаления УЗ контроллера домена. КД выявляет эту ситуацию и пытается пересоздать УЗ. КД проверяет этот атрибут как указатель на его RID-pool Атрибут не заполнен корректно КД предполагает, что пул RID изчерпан и запрашивает новый пул КД получает новый пул и пытается его записать, однако его ждет неудача, потому как отсутствует корректное значение rIDSetReference Так повторяется каждые 30 секунд, КД запрашивает пул размером <RID block size> (обычно 500) Один единственный поврежденный КД полностью исчерпает весь RID-set примерно за 2 года при стандартном размере RID block size = 500 В Windows Server 2012 - это исправлено При восстановлении в атрибут rIDSetReferenceзаписывается теперь корректное значение Мы так же установили максимальный размер на RID Block Size ранее <RID block size> не имел ограничений на максимальный размер В Windows Server 2012 мы установили максимальный возможный размер на <RID block size> = 15000 (значения >15K == 15K) Улучшения процесса RIDManagement

  30. Мы ввели периодическое сообщение в журнал о текущем использовании RID. Когда объем свободных RID достигнет 10% от общего глобального блока – логируется первое событие Первое событие логируется когда потрачено 100,000,000 RIDs Следующее событие логируется при достижении 10% от остатка RID Остаток RID = 900,000,000 10% от остатка = 90,000,000 Второе событие логируется при исчерпании 190,000,000RID-ов. existing RID consumption plus 10% of remainder Так событие логируется все чаще и чаще по мере того как объем свободных RID уменьшается Улучшения процесса RIDManagement

  31. Роль RID Manager теперь имеет «интеллектуальную» защиту от исчерпания Представьте, что мы уже слишком близки к исчерпанию пула. RID Manager блокирует выделения новых пулов Когда это случается, система переводит атрибутmsDS-RIDPoolAllocationEnabledна объекте RID Manager$ в значение FALSE  только администратор может его перевести в значение TRUE Логируется событие, что выделение новых RID остановлено Дополнительное предупреждение логируется, когда исчерпывается 80% глобального пространства RID Этот атрибут система может установить только в значение FALSE (контролируется RID Manager-ом) Только Domain Admin может установит его в TRUE NOTE: очевидно, что по умолчанию этот атрибут имеет значение TRUE Граница когда срабатывает этот механизм - 90% общего пространства RID и это не настраивается Улучшения процесса RIDManagement

  32.  разблокировка 31-гобита для глобальногопространства RID Да, да, мы наконец сделали это!!! И не просто сделали, а протестировали в живой среде и … серьёзно, мы очень тщательно это протестировали Этот шаг увеличивает пространство в 2-а раза RID с 1Г до 2Г Кстати, это не обратимая операция, будьте внимательны Это даже невозможно авторитетно восстановить (ну если это не единственный контроллер в лесу) 31-йразблокируется через RootDSE операцию (требует Windows Server 2012 RID FSMO) Операция модификации - sidCompatibilityVersion:1 Все остальные КД должны быть Windows Server 2012 чтобы понять это Существуют планы по портированию этого функционала на Windows Server 2008 R2 КД не поддерживающие этот функционал будут получать пулы RID с установленным старшим битом, однако будут отказываться их использовать для создания объектов. Такие КД будут спокойно аутентифицировать и авторизоватьпользователей с RID более 1Г Улучшения процесса RIDManagement

  33. Добавление индексов для уже существующих атрибутов не простая задача. Это сильно загружает КД. КД получает обновление схемы по репликации Через 5 минут КДобновляет локальный кеш схемы в результате многие или даже все КД почти одновременно будут строить новые индексы. Windows Server 2012 добавляет новое поле вdSHeuristic 18-ыйбайт считая от 0 (некоторые скажут что 19-й) Установка его в 1 приводит к тому, что Windows Server 2012 КД откладывает построение индексов до: Получение команды UpdateSchemaNow(rootDSE mod). Перезагрузки (что требует перестроения кеша схемы) Любой атрибут, построение индекса которого отложено приводит к логированию события каждые 24 часа 2944: index deferred – логируется однажды 2945: index still pending – логируется каждые 24 часа 1137: index created – логируется однажды (старое событие) Отложенное создание индексов

  34. База данных Active DirectoryNTDS.DIT использует DNT DNT – Distinguished Name Tag – уникальный номер записи в БД NTDS Ограниченный набор номеров DNT == 2^31 (~2 миллиарда) DNT НЕ реплицируются (это локальные номера/идентификаторы) Не могут быть повторно использоваться (значение ТОЛЬКО увеличивается) DNT никогда не уменьшаются (не используются повторно) за исключением промоушена по сети Даже клонирование и инсталляция IFM не «сбрасывают счетчик» Если у КД кончились DNS то необходимо демоутить его промоутить заново по сети Ранее, чтобы выяснить не закончились ли в базе доступные DNT необходимо было делать дамп базы данных (операция RootDSE) Затраты времени, сил и места на диске. Windows Server 2012 Active Directory позволяет узнать текущее значение DNT: У объекта RootDSEесть конструируемый атрибут: approximateHighestInternalObjectID Так же можно использовать счетчик perfmon. Отображение DNTs вRootDSE

  35. Расширенное включение в домен без доступа к сети (Off-PremisesDomain Join)позволяет включить в состав передаваемых данных необходимую информацию для работы DirectAccess: Сертификаты Групповые политики Что же это дает? Компьютер может быть подключен к домену через интернет с включенным Direct Access-ом. Перенос необходимых данные в виде файла это по прежнему процесс требующий ручных действий. Включение в домен Off-Premises

  36. Новые функции и улучшения Управление Разнообразное Упрощенное развертывание Dynamic Access Control Графический интерфейс Recycle Bin Целостность при виртуализации Active Directory PowerShell History Viewer Активация черезActive Directory Ускоренное развертывание Графический интерфейс Fine-Grained Password Policy Улучшения Kerberos Изменения в ядре AD Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

  37. Новые функции и улучшения Управление Dynamic Access Control Графический интерфейс Recycle Bin Active Directory PowerShell History Viewer Активация черезActive Directory Графический интерфейс Fine-Grained Password Policy Улучшения Kerberos Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

  38. Исходная ситуация Функция Recycle Bin появилась в Windows Server 2008 R2 – она позволяет восстанавливать удаленные объекты со всеми их атрибутами Случаи когда требуется восстановить объект из Recycle Bin обычно имеют высокий приоритет: Восстановление после случайного удалений, которое парализует работу Отсутствие удобного графического интерфейса усложняет использование и замедлят процесс восстановления Графический интерфейс Recycle Bin

  39. Решение Упрощает восстановление объектов за счет графического элемента “Deleted Objects” в оснастке Active Directory Administrative Center Таким образом удаленные объекты теперь можно восстановить через графическую консоль Драматически снижает время необходимое на процедуру восстановления отображая список удаленных объектов, по которому можно перемещаться Графический интерфейс Recycle Bin

  40. Условия применения Существующие требования к работе Recycle Binдолжны быть соблюдены. Уровень Windows Server 2008 R2 forest functional level Включена опция Recycle Bin optional-feature Установлен Windows Server 2012 Active Directory Administrative Center Удаленный объект должен быть удален после включения Recycle Bin и до истечения срока Deleted Object Lifetime (DOL) 180 дней по умолчанию Графический интерфейс Recycle Bin

  41. Новые функции и улучшения Управление Dynamic Access Control Графический интерфейс Recycle Bin Active Directory PowerShell History Viewer Активация черезActive Directory Графический интерфейс Fine-Grained Password Policy Улучшения Kerberos Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

  42. Исходная ситуация на сегодняшний день трудно решит некоторые бизнес-задачи используя существующую модель управления доступом нет решений для централизованного администрирования существующий механизм описания прав делает сложным или невозможным полное описание некоторых требований растущие бизнес-потребности в соответствии требованиям регуляторов требуют эффективных и новых подходов Dynamic Access Control (DAC)

  43. Решение новая модель централизованного доступа к политикам (central access policies - CAP) новая платформа claim-based авторизации совершенствует, но не заменяет существующую модель user-claims и device-claims user+device claims = Compound Identity также включает стандартное членство в группах использование информации File Classification Infrastructure при принятии решении об авторизации современные авторизационные выражения, например: оценка условий по И (AND), ИЛИ (OR), НЕ (NOT) управление классификацией и свойствами источника в ACL Расширенные возможности для Access-Denied политики доступа и аудита могут быть определены гибко и просто, например: resource.Confidentiality = high THEN audit.Success WHEN user.EmployeeType = vendor Dynamic Access Control (DAC)

  44. Новые функции и улучшения Управление Dynamic Access Control Графический интерфейс Recycle Bin Active Directory PowerShell History Viewer Активация черезActive Directory Графический интерфейс Fine-Grained Password Policy Улучшения Kerberos Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

  45. Исходная ситуация Сегодня для Volume Licensing вWindows/Office требуетсясервер Key Management Service (KMS) Необходим минимальный уровень опыта Решение используется ~90% заказчиков Отсутствует графический интерфейс для управления Использует RPC траффик для взаимодействия Не поддерживает никакой аутентификации. Лицензия запрещает подключать KMS к внешним сетям По сути успешное подключение к KMS серверу по RPC уже гарантирует активацию Активация через Active Directory (AD BA)

  46. Решение Использовать существующую у вас Active Directory для активации Не требуется дополнительного оборудования и хостов Нет требования к сетевому взаимодействию как у RPC, используется только LDAP Можно применять и вместе с RODCs После инсталляции и выполнения настроек никаких данных больше не записывается в active directory Активация начального ключа CSVLK (customer-specific volume license key) требует: Однократное взаимодействие с Microsoft Activation Services по сети Internet (аналогично активации в retail версии) Ключ вводиться с использованием роли activation server или в командной строке. Активация повторяетсядля всех дополнительных лесов (до 6 штук по умолчанию). Объект ассоциированный с активацией храниться в конфигурационном разделе AD Подтверждает факт покупки Машина может быть членом любого домена в лесу. Все машины Windows 8 активируются автоматически Активация через Active Directory (AD BA)

  47. Условия применения Только машины с Windows 8 и Windows Server 2012 могут использовать AD BA Сервисы KMS и AD BA могут сосуществовать Вы по-прежнему должны использовать KMS если вы планируете активировать «старые» версии ОСпо программе volume-licensing Установка требует Windows 8 или Windows Server 2012 узла Требуется расширение схемы до уровня Windows Server 2012 но КД на Windows Server 2012 не требуются Активация через Active Directory (AD BA)

  48. Новые функции и улучшения Управление Dynamic Access Control Графический интерфейс Recycle Bin Active Directory PowerShell History Viewer Активация черезActive Directory Графический интерфейс Fine-Grained Password Policy Улучшения Kerberos Active Directory Replication & Topology Cmdlets Group Managed Service Accounts

  49. Исходная ситуация Windows PowerShell – ключевая технология создающая единый механизм управления всеми элементами Windows и связывающая графический интерфейс и командную строку. Windows PowerShell увеличивает производительность Но требует времени для изучения Active Directory PowerShell History Viewer

More Related