Платформа 2010 Новые возможности Active Directory в Windows Server 2008 R2 Архитектор/Microsoft Константин ЛеонтьевВладимир Проворов Консультант/Microsoft

Платформа 2010 Десять лет Active Directory !!!

Платформа 2010 Развитие функциональных уровней Active Directory Windows 2000Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Уровень домена Универсальные группы безопасности Вложенные группы SID History Преобразование групп безопасности и рассылки Групповые политики для домена, сайта или ОП Организационные подразделения 64-битная Active Directory Переименование контроллеров домена lastLogonTimestamp Перенаправление контейнеров Users и Computers Поддержка хранения политик AzMan Выборочная аутентификация для доверительных отношений к лесу Возможно установить пароль для InetOrgPerson Группы больше чем 5000 членов DFS репликация папки SYSVOL Поддержка AES 128 и 256 для Kerberos Гранулированные политики паролей Хранение информации о последнем интерактивном входе на компьютер Read-Only Domain Controller Authentication mechanism assurance Управляемые учётные записи служб Уровень леса Транзитивные доверительные отношения child- parent Репликация с множеством мастеров Доверительные отношения между лесами Переименование доменов Возможна установка RODC Улучшенные алгоритмы KCC и ISTG Деактивация объектов схемы Улучшенные алгоритмы репликации Новый класс InetOrgPerson Корзина Active Directory

Платформа 2010 Client Server LDAP Web Services S.DS.P / S.DS.AM / S.DS.AD AD PowerShell MUX WCF.NET WPF.NET WCF.NET ADUC/ADSS/ADDTADUC/ADSS/ADDTWSHWSH ADSI LDAP MMCMMC … GUI DS RPC-Based Protocols … DRSSAM CLI Active Directory Core DS RPC-Based Protocols … … DRS SAM Administrative Center GUI BPA CLI

Платформа 2010 Новые возможности AD DS Administrative Center Recycle Bin Offline Domain Join Managed Service Accounts Authentication Mechanism Assurance Web Services PowerShell for Active Directory Module

Платформа 2010 Веб-службы Active Directory Универсальный интерфейс для взаимодействия с AD Сценарии использования Средства управления AD Active Directory Administrative Center Active Directory module for PowerShell Интерфейс для взаимодействия с AD для сторонних разработчиков Не требует IIS, доступ по TCP/9389

Платформа 2010 Модуль Active Directory для PowerShell PowerShell - общее средство управления для всех серверных продуктов Microsoft Модуль может быть установлен на Windows Server 2008 R2 или рабочую станцию администратора под управлением Windows 7 Поддерживается управление контроллерами домена Windows Server 2003 и 2008 при установке на них веб-служб

Платформа 2010 Модуль Active Directory для PowerShell Возможность использования стандартных команд для навигации по AD (PowerShell Provider Model) cd dir rename, move, remove…... cmdlets

Платформа различных команд!!!

Платформа 2010 Центр управления Active Directory Основные функции собраны в одной консоли Продуманный настраиваемый интерфейс Сделан на PoweShell Построитель запросов Поддержка нескольких лесов и доменов

Платформа 2010 Administrative Center

Платформа 2010 Константин Леонтьев Microsoft Consulting Services Демонстрация: Центр Управления Active Directory Новые возможности Active Directory в Windows Server 2008 R2 Владимир Проворов

Платформа 2010 Анализатор конфигурации Active Directory Проверяет настройки Active Directory на соответствие рекомендуемым конфигурациям (Best Practices) Анализирует всю инфраструктуру Active Directory Active Directory Domain Services Active Directory Certification Services DNS Time Service Поддерживает GUI и PowerShell

Платформа 2010 Анализатор конфигурации Active Directory Выполняемые проверки Конфигурация DNS Доступность и корректность размещения серверов FSMO Минимальное количество контроллеров домена Необходимые служб на контроллерах домена Конфигурация репликации Конфигурация службы синхронизации времени Правила использования контроллеров домена в виртуальных машинах Правила резервного копирования

Платформа 2010 Запуск анализа через Server Manager Запуск анализа при помощи PowerShell Import-Module BestPractices Invoke-BpaModel Microsoft/BestPractices/DirectoryServices Get-BpaResult Microsoft/BestPractices/DirectoryServices Анализатор конфигурации Active Directory

Платформа 2010 Константин Леонтьев Microsoft Consulting Services Демонстрация: Анализатор конфигурации Active Directory Новые возможности Active Directory в Windows Server 2008 R2 Владимир Проворов

Платформа 2010 Управляемые учётные записи служб Что такое управляемые учётные записи служб Новый класс учётных записей Используется исключительно для служб Полная замена устаревших подходов к управлению учётными записями служб Автоматическое управление паролями Преимущества Снижение административной нагрузки Повышение безопасности Одна учётная запись используется для одной службы на одном сервере

Платформа 2010 Управляемые учётные записи служб Пароли генерируются используя функцию CryptGenRandom Длина пароля 240 байт Автоматически меняет пароль в соответствии с политикой безопасности NETLOGON MaximumPasswordAge Возможна принудительная смена пароля PS C:\> reset-ADServiceAccountPassword PS C:\> nltest /sc_change_pwd:

Платформа 2010 Authentication Mechanism Assurance Авторизация доступа к ресурсам в зависимости от метода аутентификации Динамическое членство в группах безопасности в зависимости от предъявленного сертификата Новые SID-ы в PAC билета Kerberos которые могут использоваться в claim- aware приложениях

Платформа 2010 Authentication Mechanism Assurance Требуется уровень леса Windows Server 2008 R2 Требует использование Kerberos Требования к используемым группам безопасности Не должны содержать членов Только универсальные группы Настройка AMA при помощи PowerShell set-IssuancePolicyToGroupLink.ps1 get-IssuancePolicy.ps1 Скрипты и подробное описание использования AMA доступны на TechNet:

Платформа 2010 Константин Леонтьев Владимир Проворов Microsoft Consulting Services Демонстрация: Authentication Mechanism Assurance Новые возможности Active Directory в Windows Server 2008 R2

Платформа 2010 Offline Domain Join Позволяет ввести компьютер в домен без наличия сетевого подключения к контроллеру домена Сокращает количество перезагрузок необходимое на развёртывание ОС из образа Подключить к домену можно автономные компьютеры под управлением Windows 7 и Windows Server 2008 R2 Для работы достаточно контроллеров домена Windows Server 2003

Платформа 2010 Offline Domain Join rws001.txt

Платформа 2010 Offline Domain Join # Запрос на подключение к домену # (выполняется с рабочей станции администратора) djoin /provision /domain /machine /savefile # Ввод в домен образа рабочей станции # (выполняется на выключенной рабочей станции) djoin /requestODJ /loadfile /windowspath # Ввод в домен автономной рабочей станции # (выполняется на включенной рабочей станции) djoin /requestODJ /loadfile /windowspath /localos

Платформа 2010 Константин Леонтьев Владимир Проворов Microsoft Consulting Services Демонстрация: Автономный ввод компьютера в домен Новые возможности Active Directory в Windows Server 2008 R2

Платформа 2010 История ситуации с ошибочным удалением объектов Метод восстановления при помощи ntdsutil и авторитативного восстановления (от получаса до двух часов) Восстановление из Deleted Objects$ с потерей значимых атрибутов В Windows 2008 объекты защищены от случайного удаления Полноценная корзина в Windows 2008 R2!!!

Платформа 2010 Корзина Active Directory Позволяет восстанавливать удалённые объекты Active Directory Объекты восстанавливаются со всеми атрибутами Не требуется использовать authoritative restore Требования Уровень леса Windows 2008 R2 По умолчанию возможность отключена Для восстановления необходимы права администратора домена

Платформа 2010 Корзина Active Directory Tombstone Object Windows Server Без функции Корзины Windows Server Без функции Корзины Garbage Collection Live Object Recycled Object Deleted Object Windows Server 2008 R2 с включённой Корзиной Windows Server 2008 R2 с включённой Корзиной Garbage Collection Live Object

Платформа 2010 Как включить Корзину Active Directory Обновление схемы Повышение уровня леса до Windows Server 2008 R2 Set-ADForestMode –Identity contoso.com -ForestMode Windows2008R2Forest Включение корзины Enable-ADOptionalFeature –Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=contoso,DC=com –Scope ForestOrConfigurationSet –Target contoso.com

Платформа 2010 Как восстановить объект? При помощи ldp.exe PowerShell Get-ADObject Restore-ADObject а ещё ADRestore от WinInternals

Платформа 2010 Константин Леонтьев Microsoft Consulting Services Демонстрация: Корзина Active Directory Новые возможности Active Directory в Windows Server 2008 R2 Владимир Проворов

Платформа 2010Ресурсы Рекомендуем посетить доклады Платформы 2010: W7 202: Построение эффективной инфраструктуры филиалов на основе Windows 7 и Windows Server 2008 R2 R2 208: Практика проектов виртуализации R2 304: Автоматизация административных задач с помощью System Center и PowerShell R2 306: Обзор возможностей Windows Server 2008 R2 Remote Desktop Services и Virtual Desktop Infrastructure R2 307: Построение высоконадежных систем: как выгоднее? R2 203: Hyper-V в Windows Server 2008 R2 / Hyper-V Server 2008 R2 R2 205: Пути миграции на Windows 7 и Windows Server 2008 R2 W7 308: Перевод рабочих станций с Windows XP на Windows 7 при помощи бесплатного пакета Microsoft Deployment Toolkit 2010

Платформа 2010Ресурсы Functional level features: us/library/cc771132(WS.10).aspx us/library/cc771132(WS.10).aspx What's New in Active Directory Domain Services us/library/dd378796(WS.10).aspx us/library/dd378796(WS.10).aspx Identity and Access in R2 ver2008/en/us/ida-r2.aspx ver2008/en/us/ida-r2.aspx Scripting for Active Directory us/scriptcenter/dd aspx us/scriptcenter/dd aspx

Платформа 2010Вопросы Константин Леонтьев архитектор Владимир Проворов консультант Вы сможете задать вопросы докладчикам в зоне «Спроси эксперта» в течение часа после завершения этого доклада