5. Windows 2008
03.10.2012
Auditing
Fine-Grained Password Policies
Read-Only Domain Controllers
Restartable Active Directory Domain Services
Database Mounting Tool (Snapshot Viewer or
Snapshot Browser)
User Interface Improvements
6. Windows 2008 R2
03.10.2012
Active Directory Recycle Bin
Active Directory module for Windows PowerShell
Active Directory Administrative Center
Active Directory Web Services
Authentication mechanism assurance
Offline domain join
Managed Service Accounts
Bridgehead Server Selection
11. Weitere Neuerungen
03.10.2012
Off-Premises Domain Join
Ein Computer kann via Direct Access den Domain
Join über das Internet machen
Ein Blob muss nach wie vor offline auf dem
Computer bereitgestellt werden
Group Managed Service Accounts (gMSA)
Managed Service Accounts können jetzt für
mehrere Server verwendet werden
New-ADServiceAccount
Set-ADServiceAccount
12. Weitere Neuerungen
03.10.2012
Active Directory based Activation
Kein KMS mehr
Windows 8
Office 2013
Nice to know: Gpupdate von GPMC aus
17. Virtuelle Domain Controller
03.10.2012
Kein Microsoft Support bis dato wegen
USN Rollback
Die Update Sequence Number ist einer der
Vektoren, welche für die Replikation von AD-
Objekten verwendet wird
Läuft ein DC in einer virtuellen Umgebung können
Snapshots erstellt werden
Würde ein DC auf einen Snapshot zurückgesetzt
entsteht ein Problem in der Replikation
USN Reuse
19. Virtualization Support for DCs
03.10.2012
Virtualisierung wird unterstützt!
USN Rollback wird automatisch erkannt
20. VDC – Wie funktionierts?
03.10.2012
Während der Installation eines DCs wird ein neues
Attribut in der Datenbank gespeichert
VM GenerationID identifier
Wird durch die Hypervisor Architektur
bereitgestellt (Hersteller unabhängig)
Wird ein VDC aus einem Snapshot
wiederhergestellt wird der Wert des Attributes mit
dem Wert in der Datenbank verglichen:
Unterschied – RID-Pool wird gelöscht
Identisch – Normale Transaktion
22. VDC Cloning
03.10.2012
VDC cloning ist möglich (kein Sysprep)
Schnelle Erstellung von DCs
Einfacheres Disaster Recovery
Ideal für Private Clouds (Skalierbarkeit)
Schnelles Aufsetzen von Testumgebungen
Clone erkennt an der «anderen» VM GenerationID,
dass er ein Clone ist
PDC Emulator muss Windows Server 2012 sein
24. VDC Cloning
03.10.2012
New-ADDCCloneConfigFile Cmdlet erstellt das
DCCloneConfig.xml, welches das Cloning auslöst
Der vorbereitete DC (oder VDC) befindet sich in der
Security Group «Cloneable Domain Controllers»
Get-ADDCCloningExcludedApplicationList holt aus
einer Liste die Services, welche für Cloning nicht
berücksichtigt werden müssen
Bestehenden VDC exportieren und als Kopie wieder
importieren
26. What about Functional Levels?
03.10.2012
Windows Server 2012 Forest Functional Level bietet
keine neuen Features
Windows Server 2012 Domain Functional Level
enthält
KDC support for
Claims
Compound authentication
Kerberos armoring - Flexible Authentication
Secure Tunneling (FAST)
Neue Security Principals
27. What about Functional Levels?
03.10.2012
RID Master Verbesserungen
RID Issuance and Monitoring
Grenze von 1 Billion Objekte mit SIDs kann auf 2
Billionen erhöht werden
Dcdiag.exe /TEST:RidManager /v | find /i
"Available RID Pool for the Domain"
29. Upgrading to Windows 2012 AD DS
03.10.2012
ADPREP.EXE ist in der Installation enthalten
Lokale und Remote Installationen/Upgrades über
mehrere Server möglich
Prerequisite Tests
32. Lessons Learned - 1
03.10.2012
Aktivieren Sie Directory Service Access Auditing
Wenn es schon passiert ist, ist es zu spät
33. Lessons Learned - 2
03.10.2012
Der Recycle Bin ist nur bedingt brauchbar!
Das Wiederherstellen gelöschter Objekte ist
wesentlich einfacher als
Das Wiederherstellen mutierter Attribute
Verhindern Sie das «versehentliche Löschen» von
wichtigen Objekten!
Verwenden Sie für Ihre Restore-Szenarien AD
Snapshots oder 3rd Party Tools
34. 03.10.2012
Demo
Directory Service Comparison Tool
35. Lessons Learned - 3
03.10.2012
Das «Empty-Root» bringt ausser Kosten kaum
etwas
Der Forest ist die Security Boundary
Keep It Simple & Stupid (KISS)
Quiz: How many DCs?
Site Bern (HQ)
Site München Site Paris Site Beijing
36. Lessons Learned - 4
03.10.2012
Delegieren Sie!
Wer Delegation im Griff hat und Tools wie ADUC
und ADAC customized, kann auch die Mitarbeiter
am Empfang Passwörter zurücksetzen lassen
Und das ist nur ein Beispiel!
37. Lessons Learned - 5
03.10.2012
Haben Sie Software Assurance?
Dann brauchen Sie die Tools aus dem Microsoft
Desktop Optimization Pack (MDOP)
Advanced Group Policy Management AGPM)
Microsoft Bitlocker Administration and
Monitoring (MBAM)
Microsoft Diagnostics and Recovery Toolset
(DaRT)
Microsoft User Experience Virtualization (UE-V)!
Noch in Beta