03.10.2012             Active Directory                Best Practices               Oliver.Ryf@digicomp.ch
03.10.2012Umfrage!
Was waren die wichtigsten Neuerungen in AD?03.10.2012              Management?              Maintenance?              S...
03.10.2012             Blick zurück
Windows 200803.10.2012              Auditing              Fine-Grained Password Policies              Read-Only Domain ...
Windows 2008 R203.10.2012              Active Directory Recycle Bin              Active Directory module for Windows Pow...
03.10.2012             Und Windows 2012?
03.10.2012                          ADAC             Active Directory Administrative Center
Active Directory Version «2012»?03.10.2012              Improved ADAC               Performance               Powershel...
03.10.2012Demo
Weitere Neuerungen03.10.2012              Off-Premises Domain Join               Ein  Computer kann via Direct Access de...
Weitere Neuerungen03.10.2012              Active Directory based Activation               Kein  KMS mehr               ...
Weitere Neuerungen03.10.2012              Nice to know: Gpupdate von GPMC aus
Weitere Neuerungen03.10.2012              Group Policy Infrastructure Status
03.10.2012             Dynamic Access Control                   Session 11:15
03.10.2012                       VDC             Virtualized Domain Controller
Virtuelle Domain Controller03.10.2012              Kein Microsoft Support bis dato wegen              USN Rollback      ...
03.10.2012
Virtualization Support for DCs03.10.2012              Virtualisierung wird unterstützt!              USN Rollback wird a...
VDC – Wie funktionierts?03.10.2012              Während der Installation eines DCs wird ein neues               Attribut ...
03.10.2012
VDC Cloning03.10.2012              VDC cloning ist möglich (kein Sysprep)               Schnelle   Erstellung von DCs   ...
VDC Cloning03.10.2012               Existierender                 DC (VM)                 kopieren                        ...
VDC Cloning03.10.2012              New-ADDCCloneConfigFile Cmdlet erstellt das               DCCloneConfig.xml, welches d...
03.10.2012             Functional Level             2012?
What about Functional Levels?03.10.2012              Windows Server 2012 Forest Functional Level bietet               kei...
What about Functional Levels?03.10.2012              RID Master Verbesserungen               RID  Issuance and Monitorin...
03.10.2012              Upgrade?             Better than ever!
Upgrading to Windows 2012 AD DS03.10.2012              ADPREP.EXE ist in der Installation enthalten              Lokale ...
03.10.2012Demo
03.10.2012             Best Practices
Lessons Learned - 103.10.2012              Aktivieren Sie Directory Service Access Auditing               Wenn   es scho...
Lessons Learned - 203.10.2012              Der Recycle Bin ist nur bedingt brauchbar!               Das Wiederherstellen...
03.10.2012                        Demo             Directory Service Comparison Tool
Lessons Learned - 303.10.2012              Das «Empty-Root» bringt ausser Kosten kaum               etwas               ...
Lessons Learned - 403.10.2012              Delegieren Sie!               Wer Delegation im Griff hat und Tools wie ADUC ...
Lessons Learned - 503.10.2012              Haben Sie Software Assurance?              Dann brauchen Sie die Tools aus de...
03.10.2012Fragen?
Upcoming SlideShare
Loading in …5
×

Active Directory - best practices

1,129 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,129
On SlideShare
0
From Embeds
0
Number of Embeds
20
Actions
Shares
0
Downloads
21
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Active Directory - best practices

  1. 1. 03.10.2012 Active Directory Best Practices Oliver.Ryf@digicomp.ch
  2. 2. 03.10.2012Umfrage!
  3. 3. Was waren die wichtigsten Neuerungen in AD?03.10.2012  Management?  Maintenance?  Security?  Performance?  Stability?
  4. 4. 03.10.2012 Blick zurück
  5. 5. Windows 200803.10.2012  Auditing  Fine-Grained Password Policies  Read-Only Domain Controllers  Restartable Active Directory Domain Services  Database Mounting Tool (Snapshot Viewer or Snapshot Browser)  User Interface Improvements
  6. 6. Windows 2008 R203.10.2012  Active Directory Recycle Bin  Active Directory module for Windows PowerShell  Active Directory Administrative Center  Active Directory Web Services  Authentication mechanism assurance  Offline domain join  Managed Service Accounts  Bridgehead Server Selection
  7. 7. 03.10.2012 Und Windows 2012?
  8. 8. 03.10.2012 ADAC Active Directory Administrative Center
  9. 9. Active Directory Version «2012»?03.10.2012  Improved ADAC  Performance  Powershell History  GUIs  Recycle Bin  Fine-grained Password Policies
  10. 10. 03.10.2012Demo
  11. 11. Weitere Neuerungen03.10.2012  Off-Premises Domain Join  Ein Computer kann via Direct Access den Domain Join über das Internet machen  Ein Blob muss nach wie vor offline auf dem Computer bereitgestellt werden  Group Managed Service Accounts (gMSA)  Managed Service Accounts können jetzt für mehrere Server verwendet werden New-ADServiceAccount Set-ADServiceAccount
  12. 12. Weitere Neuerungen03.10.2012  Active Directory based Activation  Kein KMS mehr  Windows 8  Office 2013  Nice to know: Gpupdate von GPMC aus
  13. 13. Weitere Neuerungen03.10.2012  Nice to know: Gpupdate von GPMC aus
  14. 14. Weitere Neuerungen03.10.2012  Group Policy Infrastructure Status
  15. 15. 03.10.2012 Dynamic Access Control Session 11:15
  16. 16. 03.10.2012 VDC Virtualized Domain Controller
  17. 17. Virtuelle Domain Controller03.10.2012  Kein Microsoft Support bis dato wegen  USN Rollback  Die Update Sequence Number ist einer der Vektoren, welche für die Replikation von AD- Objekten verwendet wird  Läuft ein DC in einer virtuellen Umgebung können Snapshots erstellt werden  Würde ein DC auf einen Snapshot zurückgesetzt entsteht ein Problem in der Replikation  USN Reuse
  18. 18. 03.10.2012
  19. 19. Virtualization Support for DCs03.10.2012  Virtualisierung wird unterstützt!  USN Rollback wird automatisch erkannt
  20. 20. VDC – Wie funktionierts?03.10.2012  Während der Installation eines DCs wird ein neues Attribut in der Datenbank gespeichert  VM GenerationID identifier  Wird durch die Hypervisor Architektur bereitgestellt (Hersteller unabhängig)  Wird ein VDC aus einem Snapshot wiederhergestellt wird der Wert des Attributes mit dem Wert in der Datenbank verglichen:  Unterschied – RID-Pool wird gelöscht  Identisch – Normale Transaktion
  21. 21. 03.10.2012
  22. 22. VDC Cloning03.10.2012  VDC cloning ist möglich (kein Sysprep)  Schnelle Erstellung von DCs  Einfacheres Disaster Recovery  Ideal für Private Clouds (Skalierbarkeit)  Schnelles Aufsetzen von Testumgebungen  Clone erkennt an der «anderen» VM GenerationID, dass er ein Clone ist  PDC Emulator muss Windows Server 2012 sein
  23. 23. VDC Cloning03.10.2012 Existierender DC (VM) kopieren Cloning authorisieren Clone Configuration File erstellen DCCloneConfig.xml
  24. 24. VDC Cloning03.10.2012  New-ADDCCloneConfigFile Cmdlet erstellt das DCCloneConfig.xml, welches das Cloning auslöst  Der vorbereitete DC (oder VDC) befindet sich in der Security Group «Cloneable Domain Controllers»  Get-ADDCCloningExcludedApplicationList holt aus einer Liste die Services, welche für Cloning nicht berücksichtigt werden müssen  Bestehenden VDC exportieren und als Kopie wieder importieren
  25. 25. 03.10.2012 Functional Level 2012?
  26. 26. What about Functional Levels?03.10.2012  Windows Server 2012 Forest Functional Level bietet keine neuen Features  Windows Server 2012 Domain Functional Level enthält  KDC support for  Claims  Compound authentication  Kerberos armoring - Flexible Authentication Secure Tunneling (FAST)  Neue Security Principals
  27. 27. What about Functional Levels?03.10.2012  RID Master Verbesserungen  RID Issuance and Monitoring  Grenze von 1 Billion Objekte mit SIDs kann auf 2 Billionen erhöht werden Dcdiag.exe /TEST:RidManager /v | find /i "Available RID Pool for the Domain"
  28. 28. 03.10.2012 Upgrade? Better than ever!
  29. 29. Upgrading to Windows 2012 AD DS03.10.2012  ADPREP.EXE ist in der Installation enthalten  Lokale und Remote Installationen/Upgrades über mehrere Server möglich  Prerequisite Tests
  30. 30. 03.10.2012Demo
  31. 31. 03.10.2012 Best Practices
  32. 32. Lessons Learned - 103.10.2012  Aktivieren Sie Directory Service Access Auditing  Wenn es schon passiert ist, ist es zu spät
  33. 33. Lessons Learned - 203.10.2012  Der Recycle Bin ist nur bedingt brauchbar!  Das Wiederherstellen gelöschter Objekte ist wesentlich einfacher als  Das Wiederherstellen mutierter Attribute  Verhindern Sie das «versehentliche Löschen» von wichtigen Objekten!  Verwenden Sie für Ihre Restore-Szenarien AD Snapshots oder 3rd Party Tools
  34. 34. 03.10.2012 Demo Directory Service Comparison Tool
  35. 35. Lessons Learned - 303.10.2012  Das «Empty-Root» bringt ausser Kosten kaum etwas  Der Forest ist die Security Boundary  Keep It Simple & Stupid (KISS)  Quiz: How many DCs? Site Bern (HQ) Site München Site Paris Site Beijing
  36. 36. Lessons Learned - 403.10.2012  Delegieren Sie!  Wer Delegation im Griff hat und Tools wie ADUC und ADAC customized, kann auch die Mitarbeiter am Empfang Passwörter zurücksetzen lassen  Und das ist nur ein Beispiel!
  37. 37. Lessons Learned - 503.10.2012  Haben Sie Software Assurance?  Dann brauchen Sie die Tools aus dem Microsoft Desktop Optimization Pack (MDOP)  Advanced Group Policy Management AGPM)  Microsoft Bitlocker Administration and Monitoring (MBAM)  Microsoft Diagnostics and Recovery Toolset (DaRT)  Microsoft User Experience Virtualization (UE-V)! Noch in Beta
  38. 38. 03.10.2012Fragen?

×