2. Agenda
Les nouveautés Windows 2008 R2
Les nouveautés Active Directory R2
PowerShell v2 et Active Directory
La nouvelle console DSAC (Directory Services Administrative Console)
Best Practice Analyzer
Offline Domain Join (ODJ)
Active Directory Recycle Bin (Corbeille)
Démo
3. Les nouveautés Windows 2008 R2
• La plateforme web
• Internet Information Services 7.5 (IIS)
• ASP.Net sur Serveur Core
• Administration directe de SQL dans la console IIS 7.5
• Virtualisation
• HyperV 2.0
• Live Migration
• Support jusqu’à 32 CPU sur la machine hôte
• VHD Hot-Plug pour les machines invités
• Allocation mémoire Dynamique entre les VMs
• Terminal Services
• Terminal Service devient RDS (Remote Desktop Services)
• Autres
• Support 64 Bits uniquement
• Supporte jusqu’à 256 cœurs
• Support de Processor Management (gestion de l’énergie amélioré)
• DAM (DirectAccess)
• Best Practice Analyzer
4. Les nouveautés Active Directory R2
• PowerShell v2
• DSAC (Directory Services Administrative
Center)
•Server Manager v2 (Administration distante
des serveurs)
• Best Practice Analyzer
• Offline Domain Join (ODJ) (Windows 7 uniquement)
• Fonctionnalité de Corbeille Active Directory
5. PowerShell v2 et Active Directory
Ligne de commande pour l’administration, la configuration et les taches de
diagnostiques.
Communication via un Web Service
Peut-être utilisé pour gérer des contrôleurs de domaines sous Windows 2008 et
Windows 2003 avec le service Web téléchargeable prochainement.
Get-Command -CommandType Cmdlet *-AD*
Get‐ADServiceAccount Set‐ADAccountControl
Add-ADComputerServiceAccount
Get‐ADUser Set‐ADAccountExpiration
Add-ADDomainControllerPasswordReplicationPolicy
Get‐ADUserResultantPasswordPolicy Set‐ADAccountPassword
Add-ADFineGrainedPasswordPolicySubject Install‐ADServiceAccount
Add-ADGroupMember Set‐ADComputer
Move‐ADDirectoryServer
Add-ADPrincipalGroupMembership Move‐ADDirectoryServerOperationMasterRole Set‐ADDefaultDomainPasswordPolicy
Clear-ADAccountExpiration Move‐ADObject Set‐ADDomain
Disable-ADAccount New‐ADComputer Set‐ADDomainMode
Disable-ADOptionalFeature New‐ADFineGrainedPasswordPolicy Set‐ADFineGrainedPasswordPolicy
Enable-ADAccount New‐ADGroup Set‐ADForest
Enable-ADOptionalFeature New‐ADObject Set‐ADForestMode
New‐ADOrganizationalUnit
Get-ADAccountAuthorizationGroup Set‐ADGroup
New‐ADServiceAccount
Get-ADAccountResultantPasswordReplicationPolicy Set‐ADObject
New‐ADUser
Get-ADComputer Set‐ADOrganizationalUnit
Remove‐ADComputer
Get-ADComputerServiceAccount Remove‐ADComputerServiceAccount Set‐ADServiceAccount
Get-ADDefaultDomainPasswordPolicy Remove‐ADDomainControllerPasswordReplicationPolicy Set‐ADUser
Get-ADDomain Remove‐ADFineGrainedPasswordPolicy Uninstall‐ADServiceAccount
Get-ADDomainController Remove‐ADFineGrainedPasswordPolicySubject Unlock‐ADAccount
Get-ADDomainControllerPasswordReplicationPolicy Remove‐ADGroup
Get-ADDomainControllerPasswordReplicationPolicyUsage Remove‐ADGroupMember
Get-ADFineGrainedPasswordPolicy Remove‐ADObject
Get-ADFineGrainedPasswordPolicySubject Remove‐ADOrganizationalUnit
Remove‐ADPrincipalGroupMembership
Get-ADForest
Remove‐ADServiceAccount
Get-ADGroup
Remove‐ADUser
Get-ADGroupMember
Rename‐ADObject
Get-ADObject Reset‐ADServiceAccountPassword
Get-ADOptionalFeature Restore‐ADObject
Get-ADOrganizationalUnit Search‐ADAccount
Get-ADPrincipalGroupMembership
Get-ADRootDSE
6. DSAC (Directory Services Administrative Center)
• Totalement basé sur PowerShell 2.0
• Permet la gestion des objets à travers les
domaines et les forêts dans la même instance
de la console
• Création d’objet (Utilisateurs, groupes, OU,
Ordinateurs)
• Réinitialisation rapide des mot de passe
• Recherche d’objets plus simple avec le concepteur riche
• Recherche dans le Catalogue Global
• Disponible sur les futures versions de Windows 7
• Inclut dans RSAT Windows 2008 R2
• Utilisable avec les instances AD LDS dans une version future
7.
8. Best Practice Analyzer
Version 1.0 de BPA met le focus sur les problèmes communs
DNS
Vérification des SRV pour les DCs
Enregistrements A/AAAA des DCs sont correctement enregistrés
Les DCs ont des noms d’hôte valide
Maitre de Schéma et de nommage recommandé sur la même
machine
RID et PDC recommandé sur la même machine
Chaque domaine devrait avoir au moins deux DCs
9. Offline Domain Join (ODJ)
Facilite l’intégration des machines dans le domaine
Limitations des versions précédentes
Reboot nécessaire après la jonction au domaine
Impossible de préparer une machine si elle ne peut
pas contacter le domaine
Nouvelles fonctionnalités
Possibilité de provisionner le compte machine lors de
la préparation du master de l’image pour les
déploiement en masse
Les machines sont jointes au domaine lors du boot
initiale
Réduit les étapes et le temps nécessaire pour le
déploiement des machines
10. Active Directory 2008 R2 Recycle Bin
Sans Windows 2008 R2…
• L’objet est conservé dans l’annuaire pendant un certains temps (Tombstone)
• Celui-ci est, malheureusement, dépouillé de certains attributs (Appartenance au
groupe notamment)
En cas de suppression…
• Recréation d’un objet!!! (Pertes du SID, appartenance aux groupes, etc…)
• Nécessite la restauration à partir d’une sauvegarde (Redémarrage obligatoire!)
• L’utilisation d’un outils Tiers (Facile mais payant!)
Avec Windows 2008 R2
• Utiliser la fonctionnalité de corbeille
Avantages:
• Minimise les temps d’arrêt pour la restauration
Inconvénients:
• Tous les DC en Windows 2008 R2
• Niveau fonctionnel de forêt en Windows 2008 R2
• Activation de la fonctionnalité irréversible
11. Corbeille pour les objets AD
180 Days
Objet vivant Tombstone Garbage collection
Returns Tombstones
Windows Server 2008
LDAP OID 1.2.840.113556.1.4.417
Windows Server 2008 R2 corbeille activée
Returns Deleted LDAP OID 1.2.840.113556.1.4.2064
Returns Deleted and Recycled
Objet vivant Objet Objet restauré Garbage collection
180 Days 180 Days