System Builder Windows Server 2008 R2 10: :00 Windows Server 2008 R2 - základní přehled 11: :20 Windows Server 2008 R2 - novinky v oblasti virtualizace 13: :30 Windows Server 2008 R2 - novinky v oblasti Active Directory 14: :50 Windows Server 2008 R2 - novinky v oblasti zabezpečení 16: :30 Windows Server 2008 R2 - migrace z předchozích verzí
Windows Server 2008 R2 novinky v oblasti Active Directory Miroslav Knotek, Microsoft MVP IT Senior Consultant | KPCS CZ, s.r.o. | |
Agenda přednášky – PowerShell Cmdlets – Active Directory Administrative Center (ADAC) – Best Practice Analyzer – Koš pro AD – Managed services accounts – Offline přidání do domény
Powershell pro Active Directory Skripty příkazové řádky pro většinu úkolů Původní omezení – 30+ nástrojů CMD pro administraci AD nejsou při správě konzistentní – Obtížná kombinace těchto nástrojů pro vykonání komplexních úkonů Co je nového? – 85+ AD cmdlets pro jasnou administraci a konfiguraci AD DS a AD LDS – Komunikace za pomoci Web Service protokolů – Možné použití k administraci Windows Server 2008 a 2003 řadičů; po stažení AD Web Service
Výhody PowerShellu Jednotná syntaxe a příkazy Snadná orientace Flexibilní formátování výstupu Cmdlety mohou být kombinovány za pomoci tzv. pipes k provedení komplexní operace End-to-End spravovatelnost s Group Policy, Exchange serverem etc.
PowerShell Provider Model Poskytuje spojení, kontexty služeb, bezpečnosti a cest Umožňuje sdílení best practice napříč spojením Kombinace Cmdletů a providerů je známá uživatelům Provádí v AD operace podobné souborovému systému nebo registrům – přejmenování, přesun apod.
Get-Command -CommandType Cmdlet *-AD* Add-ADComputerServiceAccount Add-ADDomainControllerPasswordReplicationPolicy Add-ADFineGrainedPasswordPolicySubject Add-ADGroupMember Add-ADPrincipalGroupMembership Clear-ADAccountExpiration Disable-ADAccount Disable-ADOptionalFeature Enable-ADAccount Enable-ADOptionalFeature Get-ADAccountAuthorizationGroup Get-ADAccountResultantPasswordReplicationPolicy Get-ADComputer Get-ADComputerServiceAccount Get-ADDefaultDomainPasswordPolicy Get-ADDomain Get-ADDomainController Get-ADDomainControllerPasswordReplicationPolicy Get-ADFineGrainedPasswordPolicy Get-ADFineGrainedPasswordPolicySubject Get-ADForest Get-ADGroup Get-ADGroupMember Get-ADObject Get-ADOptionalFeature Get-ADOrganizationalUnit Get-ADPrincipalGroupMembership Get-ADServiceAccount Get-ADUser Get-ADUserResultantPasswordPolicy Install-ADServiceAccount Move-ADDirectoryServer Move-ADDirectoryServerOperationMasterRole Move-ADObject New-ADComputer New-ADFineGrainedPasswordPolicy New-ADGroup New-ADObject New-ADOrganizationalUnit New-ADServiceAccount New-ADUser Remove-ADComputer Remove-ADComputerServiceAccount Remove- ADDomainControllerPasswordReplicationPolicy Remove-ADFineGrainedPasswordPolicy Remove-ADFineGrainedPasswordPolicySubject Remove-ADGroup Remove-ADGroupMember Remove-ADObject Remove-ADOrganizationalUnit Remove-ADPrincipalGroupMembership Remove-ADServiceAccount Remove-ADUser Rename-ADObject Reset-ADServiceAccountPassword Restore-ADObject Search-ADAccount Set-ADAccountControl Set-ADAccountExpiration Set-ADAccountPassword Set-ADComputer Set-ADDefaultDomainPasswordPolicy Set-ADDomain Set-ADDomainMode Set-ADFineGrainedPasswordPolicy Set-ADForest Set-ADForestMode Set-ADGroup Set-ADObject Set-ADOrganizationalUnit Set-ADServiceAccount Set-ADUser Uninstall-ADServiceAccount Unlock-ADAccount
Administrative Center for AD Vyšší produktivita při správě AD Původní omezení – Neefektivní rozhraní bez jasné orientace Příklad: nastavení nového hesla uživatele – Rozložení v MMC nebylo škálovatelné pro rozsáhlá nasazení Co je nového? – Úkoly prováděny za pomoci PowerShell Cmdletů – Nový a přeskupený administrační model v GUI – Konzistence mezi CLI a GUI možnostmi správy – Navigace přizpůsobená podpoře multidoménových či multiforestových prostředí
Progresivní zobrazení Orientace na úkoly Založeno na Powershellu Multi-domény, Multi-foresty
Best Practice Analyzer Detekuje odchylky od doporučených nastavení Původní omezení – Nedostupný nástroj pro automatické ověření správného nasazení AD Co je nového? – Analyzuje nastavení AD, které mohou způsobovat nejčastější problémy – Využívá PowerShell Cmdlets k získání dat – Doporučuje řešení v rámci daného nasazení – Dostupný přímo v Server Manageru
Best Practice Analyzer První použití BPA verze 1.0 se zaměřuje hlavně na běžné DNS problémy – Ověřuje SRV záznamy pro DC vedené na jeho DNS serveru – A/AAAA záznamy DC jsou vedeny na jeho DNS serveru – DC má platné jméno – Schema Naming Master a Domain Naming Master FSMO jsou dle doporučení vedeny na stejném serveru – RID a PDC jsou dle doporučení na stejném serveru – Každá doména by měla mít alespoň dva DC
AD Core ADUC/ADSS/ADDTADUC/ADSS/ADDT LDAPLDAP WSH ADSI LDAP DS RPC-Based Protocols MMCMMC AD Web Service S.DS.P/S.DS.AM/S.DS.AD CLI AD PS CLI WCF.NET MUXMUX WPF.NET ……DSR SAM GUI WCF.NET DS RPC-Based Protocols ……DSRSAM AD MUX GUI BPABPA AD Core
Koš pro AD Obnova vymazaného objektu Původní omezení – Náhodně či omylem vymazané objekty z AD způsobovaly problémy, produkční omezení – Náhodné výmazy jsou hlavním důvodem pro AD Disaster/Recovery scénářů Co je nového? – Koš (Recycle bin) pro AD DS a AD LDS objekty – Funguje pouze s nejvyšším forest functional levelem Všechny řadiče ve forestu musí být Windows Server 2008 R2
Koš v životním cyklu AD objektů Živý objektSmazané objektyTombstone Object 180 dní Odpad Živý objekt Windows Server 2008 Windows Server 2008 R2 se zapnutým košem (S vypnutým se chová jako WS2008) Windows Server 2008 R2 se zapnutým košem (S vypnutým se chová jako WS2008) LDAP OID LDAP OID Vrací tombstone Vrací smazané a recyklované Vrací smazáno
Managed Service Accounts Jednoduchá správa účtů služeb Původní omezení – Správa jednotlivých účtů je zdlouhavá a komplikovaná – Výpadky kvůli pravidelné údržbě Příklad: výmaz hesla účtu pro službu Co je nového? – Spravovatelné řešení pro izolaci služeb – Vylepšená správa SPN v WS2008 R2 doménovém režimu – Nižší TCO díky absenci výpadků kvůli správě daného účtu – Jen jeden účet pro služby na jednom serveru Bez nutnosti zásahu při správě hesel!
Offline Domain Join Zjednodušuje nasazování doménových stanic Původní omezení – Nutný restart po přidání stanice do domény – Nemožnost přidání stanice do domény offline Co je nového? – Možnost před-přípravy účtu stanice v doméně a úprava OS image pro hromadné nasazení – Stanice/servery se přidají do domény při prvním startu – Redukuje úsilí a čas nutný k nasazení v datacentrech
Authentication assurance Kontrola zdrojů aplikacemi na základě metody ověření Původní omezení – K ochraně dat nelze použít ty autentizace nebo její sílu Příklad: kontrolovat přístup ke zdrojům na základě autentizace, např. pouze pro smart karty nebo šifrování 2048-bitovým certifikátem Co je nového? – Správci mohou navázat vlastnosti, např. typ autentizace, k identitě – Na základě informací během ověřování se tyto identity přidají do Kerberos tiketu, který použijí aplikace – Funkce funguje v novém funkčním levelu Všechny DC musí být WS2008 R2
Group Policy Oprava z přechozích verzí – Možnost využití filtrů
Group Policy Změna – Nasazení PowerShell skriptů na koncových stanicích
Group Policy Podpora pro Powershell – Náhrada GPMC skriptů Powershell cmdlety (vytváření, linkování, zálohování, kopírování a mazání GPO)
Group Policy Aktualizované ADM a ADMX rozhraní – Nové „tabulkové“ rozhranní
Group Policy Starter GPO – Změna oproti Vista/WS2008 – automaticky předpřipravené politiky s doporučením (např. Enterprise Client, atd.) Změny v části „Preference“ – Nastavení spotřeby, naplánované úlohy, atd.
Group Policy Applocker – Lepší možnosti pravidel Povol všechny verze Adobe Reader 9 a vyšší, pokud jsou podepsány Adobe – Nastavení na uživatele/počítače Pouze uživatelé z oddělení XY smějí spouštět aplikace YZ – Zcela nové a bezpečnější API Ochrana proti útokům „Circumventing Group Policy as a Limited User“Circumventing Group Policy as a Limited User
AppLocker
Cesta k Windows Serveru 2008 R2 Při upgrade klienta na Windows 7 se stávajícími servery použijte: – Off-line domain join Když je AD Web-service dostupná pro stávající servery, můžete po upgradu klientů na Windows 7 použít: – AD Powershell a ADAC na všech serverech Když změníte domain functional level na Windows Server 2008 R2, můžete použít: – Authentication Assurance – Managed service account s vylepšenou správou SPN Když změníte functional level forestu na Windows Server 2008 R2, můžete použít: – AD Recycle bin