מה חדש ב-Active Directory ב- Windows server 2012 R2

11 בנובמבר 2013

image מאת: שגיא והבי, מיקרוסופט ישראל

 

לפני שנדבר על החידושים ב-Windows Server 2012 R2 בהקשר של ה-Active Directory בוא נזכר בקצרה בתוספות המרכזיות של ה-Active Directory ב-Windows Server 2012 :

 

New Promotion Process בעבר הכנת הסביבה לשדרוג ה-Forest וה-Domain היתה כרוכה בהרצת adprep.exe /forestprep על ה-Schema Master , הרצת adprep.exe /domainprep על Infrastructure Master ו- adprep.exe /rodcprep על Domain Naming Master ( אופציונלי ). בסוף היה צריך לוודא רפליקציה לפני שממשיכים. ב- Windows Server 2012 הכל אוטומטי כחלק מ- Active Directory Domain Services Configuration Wizard. אם תהליך הרפליקציה לא הסתיים בזמן סביר, ה- Wizard יתריע זאת.

image

image

 

Simplified deployment and upgrade preparation– ביי ביי DCPROMO, שלום שלום Server Manager ו- PowerShell.

פשוט מאד, פותחים את ה- Server Manager, לוחצים על Manage, מוסיפים את ה-Role שלנו –  Active Directory Domain Services .

image

( ניתן להריץ גם על מספר שרתים מרוחקים בו-זמנית, על ידי מעבר ל All Servers ! ).

בסוף, לוחצים על הדגל, לוחצים על More… ו – Promote this server to a domain controller   וממשיכים ב-Wizard.

image

או שפותחים PowerShell 3, אפילו לא צריך לייבא את המודלים (Import-Module ADDSDeployment) , ה- PowerShell 3 יעשה זאת עבורנו, ומריצים:

Install-ADDSForest -CreateDNSDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "Win2012" -DomainName "contoso.com" -DomainNetBIOSName "CONTOSO" -ForestMode "Win2012" -InstallDNS:$true -LogPath "C:\Windows\NTDS" –NoRebootOnCompletion:$false -SYSVOLPath "C:\Windows\SYSVOL" -Force:$true

מכניסים סיסמא ל-Directory Services Restore Mode – וזהו!

image

 

Active Directory Recycle Bin User Interface – ב-Windows Server 2008 R2 הצגנו את ה- Active Directory Recycle Bin, אך את ההפעלה של התכונה ושחזור האובייקטים בפועל היה ניתן לבצע רק דרך PowerShell.

ב- Windows Server 2012 ניתן להפעיל את התכונה דרך ה- Active Directory Administrative Center כמו גם את שחזור האובייקטים בפועל.

image

image

 

Fine-Grained Password Policy User Interface –גם ה-FGPP כבר הוצג בעבר (ב- Windows Server 2008) אבל הגדרת FGPP הייתה די מורכבת (http://technet.microsoft.com/en-us/library/cc754544.aspx).

ב- Windows Server 2012 ניתן להפעיל את התכונה דרך ה- Active Directory Administrative Center. על מנת להגדיר Password Policy חדש יש לנווט ל System>Password Setting Container, ליצור Password Settings חדש ולשייך לקבוצות או משתמשים.

image

image

 

· ניתן גם לראות איזה Password Policy חל בפועל על משתמש מסויים, רלוונטי בעיקר שיש מספר Policies שונים. פשוט ליחצו על המשתמש view resultant password setting

image

Windows PowerShell History Viewer – מי מכם שהוא גם Exchange admins לבטח מכיר את ה-PS History מה- Exchange 2010…

בסעיף הקודם בדקנו את ה- Password policy של משתמש (View resultant password settings) , רוצים לבדוק את ה- password setting של כל המשתמשים בעזרת powershell ולא יודעים מהי הפקודה? פשוט מאד, פתחו את ה Windows PowerShell History והעתיקו את הפקודה ל-PowerShell !

בעצם על כל פעולה שבוצעה דרך הממשק תופיע גם הפקודת PowerShell ב Windows PowerShell History.

image

image

Safer virtualization of domain controllers– חזרה מ-Snap או Clone של DC וירטואלי היו הסיבות העיקריות ל-USN Rollbacks ו- Lingering Objects.

( עוד מידע על Lingering Objects תוכל למצוא במאמר שלי : http://blogs.microsoft.co.il/blogs/ilcts/archive/2013/08/04/active-directory-lingering-objects-part-1.aspx ).

Windows 2012 Domain controller על Windows Server 2012 with the Hyper-V או על גרסת ה ESX המתאימה, מאפשר חזרה בטוחה לאחור תודות לערך VM-GenerationID שנמצא ב-RAM של ה-DC הוירטואלי ול-ms-DS-Generation-Id attribute שנמצא ב Active Directory database.

לפני כל כתיבה ל-AD, ה DC משווה בין הערכים. במידה והם לא זהים ה-DC מבין שהוא הוחזר לאחור ומטפל בהתאם על מנת למנוע מצב של USN Rollbacks ואו- Lingering Objects.

יש עוד מספר חידושים ,כגון: Group Managed Service Accounts (gMSA) , Kerberos Armoring (FAST) , Rapid deployment with cloning , Relative ID (RID) Improvements , Dynamic Access Control  ועודעליהם תוכל לקרוא ב: http://technet.microsoft.com/en-us/library/hh831477.aspx#BKMK_actdir_adba

 

החידושים המרכזיים ל- Active Directory ב-Windows 2012 Server R2:

בשנה האחרונה התמקדו בקבוצת המוצר של ה-Active directory במתן כלים וטכנולוגיה לארגונים על מנת שיוכלו לצעוד בבטחה לטרנד המתפתח בעולם – BYOD.

BYOD – זהו אחד הטרנדים החמים בעולם היום (Bring Your Own Device), עובדים שמשתמשים בסמארטפון לצרכי עבודה או מביאים את הטאבלט הפרטי שלהם למשרד לצרכי עבודה. 

מדובר ב- Win-Win Situation לעובד ולחברה.

העובד לא צריך להיסחב למשרד עם הלפטופ המשרדי והטאבלט הפרטי, חלק מהטאבלטים מהירים וחזקים יותר מהציוד שהארגון מספק, העובד כבר יודע איך לתפעל את הטאבלט ולא צריך ללמוד סביבת עבודה חדשה.

הארגונים, מצידם, תומכים ברעיון ומעידים על הקטנת ההוצאות התפעוליות, שכן אין צורך לרכוש מחשבים ניידים יקרים לעובדים.

מסקר פנימי שערכה אינטל בנושא ה-BYOD בחברה, נמצא כי עובדי אינטל שיפרו את הפרודקטיביות שלהם בכ-57 דקות כל יום בממוצע בזכות מהלך זה, והשיפור בפרודיקטיביות של העובדים הוערך עקב כך ב-2.75 מיליון שעות עבודה שנחסכו לארגון.

http://newsroom.intel.com/community/intel_newsroom/blog/2012/09/17/chip-shot-intel-s-employees-achieve-275-million-hour-productivity-gain-in-2012-due-to-byod-program

יועצי חברת גרטנר מנבאים שעד 2016 38% מהמעסיקים יפסיקו לרכוש מחשבים לעובדים ושעד 2017 מחצית מהמעסיקים ידרשו מהעובדים להשתמש במכשירים הפרטיים שלהם לצרכי עבודה.

http://www.gartner.com/newsroom/id/2466615.

image

Source: Gartner Group, April 4, 2013

האתגר הגדול היה ונשאר, ניהול ואבטחת המכשירים הפרטיים, נושא שמדיר שינה ממנהלי ה-IT בארגונים.

מיקרוסופט זיהתה את האתגר והציגה סט של כלים ב 2012 R2 שיאפשרו למשתמש הקצה להשתמש במכשיר הפרטי מכל מקום על מנת להתחבר לארגון ולמנהלי ה-IT את הכלים והטכנולוגיה הנדרשים על מנת לשלוט בגישה לאפליקציות ולמידע בין אם הם בתוך הארגון ובין אם הם בענן, בהתבסס על שלושה קריטריונים:

1. זהות המשתמש.

2. המכשיר הספציפי של המשתמש.

3. הרשת שממנה מתחבר המשתמש.

המכשירים הנתמכים הם Windows 8,Windows RT, Windows 8 Phone פרטיים, אייפונים, אייפדים ומכשירי Android.

 

Workplace Join– תכונה חדשה ב- Active Directory המאפשרת לעובד להירשם בצורה מאובטחת עם המכשיר הפרטי לארגון. תהליך הרישום מתבצע עם תעודה המשמשת לזיהוי כאשר המשתמש נכנס למשאבי הארגון.

אפשר להגדיר זאת כתהליך "קל" של צירוף ל-Domain אבל של מכשירי סמארטפון פרטיים.

למעשה על המכשיר מותקנת תעודה user@device שמקושרת לאובייקט של המכשיר ב-AD.

בדרך זו, אנו מאפשרים שימוש בתשתית ה-AD הקיימת לטובת ניהול מכשירים ניידים. דבר המאפשר לנו לשלוט על מלאי המכשירים והמשתמשים בהם ולנטר אותם.

התעודה שהונפקה למכשיר מכילה את זהותם המכשיר והמשתמש והגישה למשאבים תיהיה בהתאם לתעודה שהונפקה.

חשוב לציין שעצם צירוף המכשיר ל-Active Directory לא מאפשר השתלטות על המכשיר בשום צורה. Workplace Join מאפשר רק שליטה על הגישה למקורות המידע ואיפשור SSO.

 

Work Folders– מאפשר למשתמשים לסנכרן לטאבלט / מחשב ארגוני, קבצים ארגוניים.

אתם בטח שואלים במה נבדל הפתרון מפתרונות אחרים כמו SkyDrive, SkyDrive Pro, folders redirection…

התשובה היא ש-Work Folders מאפשר גישה מהטאבלט ( והמחשב הארגוני ) לשרתי קבצים בארגון ללא היכולת לשתף את המידע ( להבדיל SkyDrive Pro שמספק גישה לקבצים ב- SharePoint ומאפשר לשתף את המידע ).

image

* מצריך הורדה של האפליקציה.

נכון לרגע זה אין תמיכה לאנדרויד.

Single Sign-On –SSO בהקשר הזה, היא היכולת להפחית את כמות הפעמים שהמשתמש צריך להכניס סיסמא ב- "Workplace Joined" טאבלט, בגישה למשאבים שונים בארגון. מנהל ה-IT יכול לחייב הכנסת סיסמא בגישה למשאבים מסויימים.

לסיכום, כך אנו בעצם מאפשרים לאנשי ה-IT לספק גישה למשתמשים מכל מקום בצורה קלה ומאובטחת.

SPN and UPN Uniqueness– אנו חוסמים כתיבה של UPN ו-SPN כפולים ב- 2012 R2 Domain controllers. אם ביצירת אובייקט חדש, ו/או בעדכון אובייקט קיים ( גם דרך Adsiedit ).

image

ה-DC יחסום גם שחזור אובייקט מה- Deleted Items שמכיל UPN או SPN שקיים כבר לאובייקט חדש שנוצר ביינתים.

image

חשוב לציין כי החסימה תתבצע רק בכתיבה ל- 2012 R2 Domain controllers , הגדרת UPN או SPN בחיבור ל-DC ישן מ 2012 R2 תצליח ( והאובייקט ירופלק גם ל 2012 R2 Domain controllers ).

 

LDAP search enhancements– היכולת לחפש ב–Active directory מהווה אחד משירותי הליבה של ה Domain controller. המון מערכות ואפליקציות מסתמכות על חיפוש ב-AD.

ב- Windows server 2012 R2 שופר ויועל אלגוריתים החיפוש ב-LDAP על ידי מיפוי LDAP search filters לתוצאות שכבר אונדקסו ב Database. כתוצאה אנחנו רואים שיפור ביצועים ותשובות מהירות בהרבה בשאילתות מורכבות.

שימו לב לדוגמא הנ"ל, שאילתת LDAP מורכבת מול Domain controller 2012 הסתיימה תוך 44 שניות. אותה שאילתה אל מול Domain controller 2012R2 הסתיימה בפחות משנייה!

image

· בקרוב מאד ישחורר תיקון ל LDAP Search ל Windows 2008 R2.

 

Winlogon ARSO (Automatic Restart Sign-on) – Lock Screen apps- למי שעדיין לא מכיר, ב-Windows 8 ניתן להגדיר אילו אפליקציות יציגו נתונים כאשר המחשב נעול- Lock screen apps .

image

image

מן הסתם, על מנת שה- Lock screen apps יופיעו צריך לעשות Login לפני.

על מנת להציג את ה-Lock screen apps ללא צורך ב-Login אחרי Restart של Windows update, הוספנו ב-Windows 8.1/Windows 2012 R2 את ה- Automatic Restart Sign-on ( או בקיצור Winlogon ARSO ).

אחרי ה- Restart מתבצע Login אוטומטי של המשתמש שהיה מחובר + נעילת המחשב.

הסיבה הנוספת ל Winlogon ARSO, מלבד הצגת ה- Lock screen apps היא שישנם עדכונים שהתקנתם מסתיימת רק לאחר ה-Login.

  

ולמי שלא הספיק להתנסות המוצרים החדשים ששוחררו:

System Center 2012 R2 לחץ כאן

Windows Server 2012 R2 לחץ כאן

 

שגיא והבי, הוא מהנדס בכיר במחלקת פרימייר במיקרוסופט ישראל (GBS)  

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

3 תגובות

  1. Futloultkip19 בדצמבר 2013 ב 15:06

    מעניין מאד
    תודה!

    הגב
    1. Guy24 בפברואר 2014 ב 16:41

      מאמר יפה מאוד.

      עכשיו רק נותר לעבור לסביבת 2008r2 native , ולאחר מכן ל 2012r2 native .

      🙂

      הגב
  2. אריאל25 בינואר 2014 ב 21:32

    תודה רבה!

    הגב