Embed Size (px)
Citation preview
03.10.20
12
Umfrage!
03.10.20
12 Was waren die wichtigsten Neuerungen in AD?
Management?
Maintenance?
Security?
Performance?
Stability?
03.10.20
12
Blick zurück
03.10.20
12 Windows 2008
Auditing
Fine-Grained Password Policies
Read-Only Domain Controllers
Restartable Active Directory Domain Services
Database Mounting Tool (Snapshot Viewer or
Snapshot Browser)
User Interface Improvements
03.10.20
12 Windows 2008 R2
Active Directory Recycle Bin
Active Directory module for Windows PowerShell
Active Directory Administrative Center
Active Directory Web Services
Authentication mechanism assurance
Offline domain join
Managed Service Accounts
Bridgehead Server Selection
03.10.20
12
Und Windows 2012?
03.10.20
12
ADACActive Directory Administrative Center
03.10.20
12 Active Directory Version «2012»?
Improved ADAC
Performance
Powershell History
GUIs
Recycle Bin
Fine-grained Password Policies
03.10.20
12
Demo
03.10.20
12 Weitere Neuerungen
Off-Premises Domain Join
Ein Computer kann via Direct Access den Domain
Join über das Internet machen
Ein Blob muss nach wie vor offline auf dem
Computer bereitgestellt werden
Group Managed Service Accounts (gMSA)
Managed Service Accounts können jetzt für
mehrere Server verwendet werden
New-ADServiceAccountSet-ADServiceAccount
03.10.20
12 Weitere Neuerungen
Active Directory based Activation
Kein KMS mehr
Windows 8
Office 2013
Nice to know: Gpupdate von GPMC aus
03.10.20
12 Weitere Neuerungen
Nice to know: Gpupdate von GPMC aus
03.10.20
12 Weitere Neuerungen
Group Policy Infrastructure Status
03.10.20
12
Dynamic Access ControlSession 11:15
03.10.20
12
VDCVirtualized Domain Controller
03.10.20
12 Virtuelle Domain Controller
Kein Microsoft Support bis dato wegen
USN Rollback
Die Update Sequence Number ist einer der
Vektoren, welche für die Replikation von AD-
Objekten verwendet wird
Läuft ein DC in einer virtuellen Umgebung können
Snapshots erstellt werden
Würde ein DC auf einen Snapshot zurückgesetzt
entsteht ein Problem in der Replikation
USN Reuse
03.10.20
12
03.10.20
12 Virtualization Support for DCs
Virtualisierung wird unterstützt!
USN Rollback wird automatisch erkannt
03.10.20
12 VDC – Wie funktionierts?
Während der Installation eines DCs wird ein neues
Attribut in der Datenbank gespeichert
VM GenerationID identifier
Wird durch die Hypervisor Architektur
bereitgestellt (Hersteller unabhängig)
Wird ein VDC aus einem Snapshot
wiederhergestellt wird der Wert des Attributes mit
dem Wert in der Datenbank verglichen:
Unterschied – RID-Pool wird gelöscht
Identisch – Normale Transaktion
03.10.20
12
03.10.20
12 VDC Cloning
VDC cloning ist möglich (kein Sysprep)
Schnelle Erstellung von DCs
Einfacheres Disaster Recovery
Ideal für Private Clouds (Skalierbarkeit)
Schnelles Aufsetzen von Testumgebungen
Clone erkennt an der «anderen» VM GenerationID,
dass er ein Clone ist
PDC Emulator muss Windows Server 2012 sein
03.10.20
12 VDC Cloning
Existierender DC (VM) kopieren
Cloning authorisieren
Clone Configuration File erstellen
DCCloneConfig.xml
03.10.20
12 VDC Cloning
New-ADDCCloneConfigFile Cmdlet erstellt das
DCCloneConfig.xml, welches das Cloning auslöst
Der vorbereitete DC (oder VDC) befindet sich in der
Security Group «Cloneable Domain Controllers»
Get-ADDCCloningExcludedApplicationList holt aus
einer Liste die Services, welche für Cloning nicht
berücksichtigt werden müssen
Bestehenden VDC exportieren und als Kopie wieder
importieren
03.10.20
12
Functional Level
2012?
03.10.20
12 What about Functional Levels?
Windows Server 2012 Forest Functional Level bietet
keine neuen Features
Windows Server 2012 Domain Functional Level
enthält
KDC support for
Claims
Compound authentication
Kerberos armoring - Flexible Authentication
Secure Tunneling (FAST)
Neue Security Principals
03.10.20
12 What about Functional Levels?
RID Master Verbesserungen
RID Issuance and Monitoring
Grenze von 1 Billion Objekte mit SIDs kann auf 2
Billionen erhöht werden
Dcdiag.exe /TEST:RidManager /v | find /i"Available RID Pool for the Domain"
03.10.20
12
Upgrade?Better than ever!
03.10.20
12 Upgrading to Windows 2012 AD DS
ADPREP.EXE ist in der Installation enthalten
Lokale und Remote Installationen/Upgrades über
mehrere Server möglich
Prerequisite Tests
03.10.20
12
Demo
03.10.20
12
Best Practices
03.10.20
12 Lessons Learned - 1
Aktivieren Sie Directory Service Access Auditing
Wenn es schon passiert ist, ist es zu spät
03.10.20
12 Lessons Learned - 2
Der Recycle Bin ist nur bedingt brauchbar!
Das Wiederherstellen gelöschter Objekte ist
wesentlich einfacher als
Das Wiederherstellen mutierter Attribute
Verhindern Sie das «versehentliche Löschen» von
wichtigen Objekten!
Verwenden Sie für Ihre Restore-Szenarien AD
Snapshots oder 3rd Party Tools
03.10.20
12
DemoDirectory Service Comparison Tool
03.10.20
12 Lessons Learned - 3
Das «Empty-Root» bringt ausser Kosten kaum
etwas
Der Forest ist die Security Boundary
Keep It Simple & Stupid (KISS)
Quiz: How many DCs?
Site München
Site Bern (HQ)
Site Paris Site Beijing
03.10.20
12 Lessons Learned - 4
Delegieren Sie!
Wer Delegation im Griff hat und Tools wie ADUC
und ADAC customized, kann auch die Mitarbeiter
am Empfang Passwörter zurücksetzen lassen
Und das ist nur ein Beispiel!
03.10.20
12 Lessons Learned - 5
Haben Sie Software Assurance?
Dann brauchen Sie die Tools aus dem Microsoft
Desktop Optimization Pack (MDOP)
Advanced Group Policy Management AGPM)
Microsoft Bitlocker Administration and
Monitoring (MBAM)
Microsoft Diagnostics and Recovery Toolset
(DaRT)
Microsoft User Experience Virtualization (UE-V)!
Noch in Beta
03.10.20
12
Fragen?
