Bare en kort post som oppsummerer litt endringer i AD og relatert til AD i/med Windows Server 2008

  • Windows Server 2008 Core installasjoner kan være domain controllere.
  • Du kan sette opp Read-only-domain controllers. Dette er spesielt interessant på steder der den fysiske sikkerheten ikke er på topp. Domenet du setter dem opp i må være i 2003 forest functional level og du må ha minst en 2008 server DC i domenet. Ikke bare er de read-only, men du kan også sette opp hvilke brukeres passord som kan/skal synkes ut dit. Du kan også sette opp rollebasert administrasjon av en RODC, slik at en person lokalt kan drifte den uten full tilgang til resten av domenet. Siden RODC er read-only vil de ikke betjene LDAP oppdateringsforespørsler, da vil en "referral" til en "ordentlig"/full DC bli returnert. Greit å vite dersom du har applikasjoner der ute som bruker LDAP og ikke forstår Refferal svar.
  • DCPROMO er endret litt, spesielt med tanke på at den skal være litt enklere å bruke. For eksempel må du ikke oppgi brukernavn, den klarer å bruke credentials for innlogget bruker nå. Egen checkbox på første skjermbilde for å slå på Advanced mode er det blitt og. DCpromo foreslår også beste AD Site basert på IP adressen, men du kan også velge dette selv, kanskje spesielt nyttig ved automatisert oppsett. Med tanke på dette kan du også fra wizarden lagre enn unattended fil du kan kjøre med dcpromo siden.

 

  • Den (antagelig) mest etterspurte endringer er muligheten til å definere flere ulike passord policies i samme domain. Dette kalles nå Fine-grained password policies. Dette gjøres ved å lage et msDS-PasswordSettings objekt, PSO. Her angir du regelsettet, samt hvilke grupper eller brukere objektet gjelder for.
  • AD Servicen kan restartes uten å ta ned hele serveren. Kort forklart vil kommandoen "net stop ntds" gjøre som med andre servicer, den stopper. Det skjer derimot litt mer her, Local Security Authority, lsass, vil da unloade alle DLL'er relatert til AD og dermed kun opptre omtrent som på en member-server, ikke dc, og bare videresender AD autentiseringsforespørsler til en DC.  Denne unloadingen av DLL'er betyr også at AD Service relaterte patcher kan installeres. (NTDS / AD er ikke en helt ekte service på linje med de andre, den er for tett integrert i LSASS til det. Og LSASS kan ikke stoppes uten å ta ned maskina)
  • Om domenet ditt kjører i Server 2008 functionality mode kan du nå synkronisere SYSVOL med DFS-R istedet for File Replication Services som på hele 2003 plattformen. Dette gir en vesentlig mer robust løsning med bedre hastighet. Dette krever litt innsats ved første gangs oppsett: du må opprette AD objektene DFS-R trenger, ny filstruktur til SYSVOL, fjerne gamle SYSVOL og sette opp alle DC'er til å bruke den nye. Verktøyet for dette heter DFSRMIG.
  • Auditing har fire nye kategorier: DS Access, DS Changes, DS Replication og Detailed DS Replication. Hva som logges er også forbedret ytterligere. F.eks vil en audit hendelse for objekt endring opplyse om gammel verdi og ny verdi. Riktignok havner de i loggen som hver sin event men.

 

  • Active Directory Users and Computers er også såvidt endret. Kanskje spesielt nyttig er det hvis du skrur på Advancded Features, da vil du under properties for et objekt få opp Attribute Editor. Samme editor som brukes i ADSIedit og du kan se og endre alle attributter.
  • Annet småtteri:
    • En KDC i en 2008 forest vil bruke AES-256 bits kryptering.
    • Du kan slå på Accidental Deletion Prevention på objekter ved å krysse av i en boks på properties for objektet.
    • DC Locator funksjonen er nå satt opp til å søke etter DC i nærmeste site om den ikke finner i egen site. Kan styres via GPO.
    • NTDSUTIL støtter RODC og Shadow Copy Service snapshots av ad