Talare: Samuel Devasahayam (Active Directory Product Group) och Ulf B. Simon-Weidner (Senior Consultant, Computacenter)
Presentation: SIA312
Anteckningarna nedan är mina anteckningar live från presentationen. Detta gör att det kan vara felstavningar, felsyftningar och liknande. Jag ber om ursäkt för alla eventuella felaktigheter.
Lämna gärna en kommentar i så fall så ser jag till att ändra. :)
Helt fullsatt. Till och med några som inte kommer in (rummet tar 1500 pers... Sjukt imponerande, inte minst med tanke på att det är första sessionen för dagen. Detta är dessutom ett av de absolut största rummen)
Har gjort en förändring kring behörigheter:
- File-Classification
- claims-based authorization
(läs mer om detta här: http://blogs.technet.com/b/windowsserver/archive/2012/05/22/introduction-to-windows-server-2012-dynamic-access-control.aspx
ADprep och DCpromo är borttagna och dessa ligger nu som en del i Server Manager och har därmed ett ordentligt GUI (alltså ett klassiskt windows GUI).
Med andra ord när man skapar en ny domänkontrollant så körs alla delarna av wizarden. Egentligen en sak som man tycker att Microsoft borde ha haft med från början, men det kan underlätta en del.
krav för att kunna köra nya AD-versionen:
- Måsta köra Windows server 2012 (duh!! :)
- Måste ha windows 2003 functional level eller högre.
ADFS v2.0 är släppt redan (laddas ned från www.microsoft.com)
I och med Windows server 2010 ingår AD FS version 2.1 (ligger med i Windows Sever 2012 Dynamic Access Control)
Det är nu supportat att köra snapshots på domänkontrollanter och göra en rollback på snapshots.
Det krävs dock att virtualiserings plattformen stödjer "VM-generation ID".
Idag verkar det som att att bara Hyper-V som har detta stöd, men som jag förstått det så kommer nästa version av VMware vSphere att ha stöd för detta (denna version bör släppas i Oktober)
Läs mer här: http://technet.microsoft.com/library/hh831734.aspx
Rekommendationen är precis som tidigare att ha en fysisk domänkontrollant per domän. Det är supporterat att köra Virtuellt så klart.
Stöd för att skapa kloner av Domänkontrollanter (användbart för testmiljöer, remotekontor mm.). För att det skall funga måste servern som har RID FSMO-roilen vara en windows server 2012. Virtualiseringsmotorn måste också ha stöd för VM-generation ID.
Alla applikationer som ligger på servern måste ha stöd för kloning.
Alla ändringar man vill göra i kloningsprocessen skrivs in i DCcloneconfig.xml
(typ nytt servernamn, nytt IP osv)
Samuel ägnade nu 5 minuter åt att tala om en bugg i RID-hanteringen som man hittat och löst. Denna fix är även utskickad till äldre versioner av Windows (2008 och 2008 R2) eftersom att det är en sån viktig bugg om den skulle inträffa.
En icke domänansluten klient kan tillåta inloggning med microsoft Live-konto om man vill. Då kommer användarens inställningar att synkas upp tll Live-kontot och även synkas ned till klienten så att upplevelsen blir likadan på alla datorer.
Men som sagt, om datorn är med i en domän så kan man INTE använda live-konton för inloggning.
Det går att aktivera och hantera papperskorgen i ADt ("Deletet Objects") direkt från vanliga Active Directory Adminstrative Center (det som tidigare var ADUC). Inte en dag för tidigt... :)
Ett önskemål som många haft är en "undo" funktion i ADUC. Men detta finns inte. Dock lovar Samuel att det ligger med på listan över features, så det kanske kommer :)
I ADAC så kan man se Powershell history som visar vilka powershell kommandon som faktiskt körts så det underlättar att lära sig powershell.
Nu kan vi från GUIt sätta olika lösenordspolicys för olika typer av konton. Så domänadminkonton kan ha en policy och vanliga användarkonton kan ha en annan policy, och systemkonton kan ha en helt egen policy.
Group managed Service Accounts (gMSA). Nu kan vi använda Managed Service Account på fler än en server (detta betyder att det blir användbart!).
stöd att användas i Windows Service Control Manager (SCM) och i IIS applikation pools. Det funkar ännu inte för sceduled tasks, men man tittar på detta.
Krävs en 2012 domänkontrollant, med andra ord så behöver inte hela domänen vara lyft.
Bara windows 2012 servrar (och Windows 8) kan använda gMSA-konton. :(
Inga kommentarer:
Skicka en kommentar