Your SlideShare is downloading. ×
0
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Active Directory - best practices
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Active Directory - best practices

705

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
705
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. 03.10.2012 Active Directory Best Practices Oliver.Ryf@digicomp.ch
  • 2. 03.10.2012Umfrage!
  • 3. Was waren die wichtigsten Neuerungen in AD?03.10.2012  Management?  Maintenance?  Security?  Performance?  Stability?
  • 4. 03.10.2012 Blick zurück
  • 5. Windows 200803.10.2012  Auditing  Fine-Grained Password Policies  Read-Only Domain Controllers  Restartable Active Directory Domain Services  Database Mounting Tool (Snapshot Viewer or Snapshot Browser)  User Interface Improvements
  • 6. Windows 2008 R203.10.2012  Active Directory Recycle Bin  Active Directory module for Windows PowerShell  Active Directory Administrative Center  Active Directory Web Services  Authentication mechanism assurance  Offline domain join  Managed Service Accounts  Bridgehead Server Selection
  • 7. 03.10.2012 Und Windows 2012?
  • 8. 03.10.2012 ADAC Active Directory Administrative Center
  • 9. Active Directory Version «2012»?03.10.2012  Improved ADAC  Performance  Powershell History  GUIs  Recycle Bin  Fine-grained Password Policies
  • 10. 03.10.2012Demo
  • 11. Weitere Neuerungen03.10.2012  Off-Premises Domain Join  Ein Computer kann via Direct Access den Domain Join über das Internet machen  Ein Blob muss nach wie vor offline auf dem Computer bereitgestellt werden  Group Managed Service Accounts (gMSA)  Managed Service Accounts können jetzt für mehrere Server verwendet werden New-ADServiceAccount Set-ADServiceAccount
  • 12. Weitere Neuerungen03.10.2012  Active Directory based Activation  Kein KMS mehr  Windows 8  Office 2013  Nice to know: Gpupdate von GPMC aus
  • 13. Weitere Neuerungen03.10.2012  Nice to know: Gpupdate von GPMC aus
  • 14. Weitere Neuerungen03.10.2012  Group Policy Infrastructure Status
  • 15. 03.10.2012 Dynamic Access Control Session 11:15
  • 16. 03.10.2012 VDC Virtualized Domain Controller
  • 17. Virtuelle Domain Controller03.10.2012  Kein Microsoft Support bis dato wegen  USN Rollback  Die Update Sequence Number ist einer der Vektoren, welche für die Replikation von AD- Objekten verwendet wird  Läuft ein DC in einer virtuellen Umgebung können Snapshots erstellt werden  Würde ein DC auf einen Snapshot zurückgesetzt entsteht ein Problem in der Replikation  USN Reuse
  • 18. 03.10.2012
  • 19. Virtualization Support for DCs03.10.2012  Virtualisierung wird unterstützt!  USN Rollback wird automatisch erkannt
  • 20. VDC – Wie funktionierts?03.10.2012  Während der Installation eines DCs wird ein neues Attribut in der Datenbank gespeichert  VM GenerationID identifier  Wird durch die Hypervisor Architektur bereitgestellt (Hersteller unabhängig)  Wird ein VDC aus einem Snapshot wiederhergestellt wird der Wert des Attributes mit dem Wert in der Datenbank verglichen:  Unterschied – RID-Pool wird gelöscht  Identisch – Normale Transaktion
  • 21. 03.10.2012
  • 22. VDC Cloning03.10.2012  VDC cloning ist möglich (kein Sysprep)  Schnelle Erstellung von DCs  Einfacheres Disaster Recovery  Ideal für Private Clouds (Skalierbarkeit)  Schnelles Aufsetzen von Testumgebungen  Clone erkennt an der «anderen» VM GenerationID, dass er ein Clone ist  PDC Emulator muss Windows Server 2012 sein
  • 23. VDC Cloning03.10.2012 Existierender DC (VM) kopieren Cloning authorisieren Clone Configuration File erstellen DCCloneConfig.xml
  • 24. VDC Cloning03.10.2012  New-ADDCCloneConfigFile Cmdlet erstellt das DCCloneConfig.xml, welches das Cloning auslöst  Der vorbereitete DC (oder VDC) befindet sich in der Security Group «Cloneable Domain Controllers»  Get-ADDCCloningExcludedApplicationList holt aus einer Liste die Services, welche für Cloning nicht berücksichtigt werden müssen  Bestehenden VDC exportieren und als Kopie wieder importieren
  • 25. 03.10.2012 Functional Level 2012?
  • 26. What about Functional Levels?03.10.2012  Windows Server 2012 Forest Functional Level bietet keine neuen Features  Windows Server 2012 Domain Functional Level enthält  KDC support for  Claims  Compound authentication  Kerberos armoring - Flexible Authentication Secure Tunneling (FAST)  Neue Security Principals
  • 27. What about Functional Levels?03.10.2012  RID Master Verbesserungen  RID Issuance and Monitoring  Grenze von 1 Billion Objekte mit SIDs kann auf 2 Billionen erhöht werden Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"
  • 28. 03.10.2012 Upgrade? Better than ever!
  • 29. Upgrading to Windows 2012 AD DS03.10.2012  ADPREP.EXE ist in der Installation enthalten  Lokale und Remote Installationen/Upgrades über mehrere Server möglich  Prerequisite Tests
  • 30. 03.10.2012Demo
  • 31. 03.10.2012 Best Practices
  • 32. Lessons Learned - 103.10.2012  Aktivieren Sie Directory Service Access Auditing  Wenn es schon passiert ist, ist es zu spät
  • 33. Lessons Learned - 203.10.2012  Der Recycle Bin ist nur bedingt brauchbar!  Das Wiederherstellen gelöschter Objekte ist wesentlich einfacher als  Das Wiederherstellen mutierter Attribute  Verhindern Sie das «versehentliche Löschen» von wichtigen Objekten!  Verwenden Sie für Ihre Restore-Szenarien AD Snapshots oder 3rd Party Tools
  • 34. 03.10.2012 Demo Directory Service Comparison Tool
  • 35. Lessons Learned - 303.10.2012  Das «Empty-Root» bringt ausser Kosten kaum etwas  Der Forest ist die Security Boundary  Keep It Simple & Stupid (KISS)  Quiz: How many DCs? Site Bern (HQ) Site München Site Paris Site Beijing
  • 36. Lessons Learned - 403.10.2012  Delegieren Sie!  Wer Delegation im Griff hat und Tools wie ADUC und ADAC customized, kann auch die Mitarbeiter am Empfang Passwörter zurücksetzen lassen  Und das ist nur ein Beispiel!
  • 37. Lessons Learned - 503.10.2012  Haben Sie Software Assurance?  Dann brauchen Sie die Tools aus dem Microsoft Desktop Optimization Pack (MDOP)  Advanced Group Policy Management AGPM)  Microsoft Bitlocker Administration and Monitoring (MBAM)  Microsoft Diagnostics and Recovery Toolset (DaRT)  Microsoft User Experience Virtualization (UE-V)! Noch in Beta
  • 38. 03.10.2012Fragen?

×