top of page
Writer's pictureHamizi Jamaluddin

Apa yang baharu dengan Active Directory untuk Windows Server 2008 R2

Active Directory Recycling Bin

Microsoft menjangkakan ciri ini mempunyai kesan utama ke atas perancangan pemulihan bencana untuk AD, majoriti yang diberi tumpuan di sekitar objek yang secara tidak sengaja delete. Sebilangan besar daripada anda tahu, apabila objek delete di Active Directory, ia menjadi tombstoned sehingga kebanyakan atributnya dilucutkan. Pemulihan objek ini secara tradisinya sangat sukar, dan sementara admin boleh menggunakan alat pihak ketiga untuk mengambil atribut yang hilang, ia biasanya memerlukan jumlah downtime dan resources.

AD Recycling Bin di R2, bagaimanapun, direka untuk memudahkan proses pemulihan dan diharapkan dapat menyelesaikan masalah tersebut. Ia berfungsi seperti Desktop RecycleBin, apabila objek didalam Active Directory deleted, ia tidak akan hilang, ia hanya dipindahkan ke dalam bin sebagai objek yang deleted. Maksudnya di sini walaupun tidak seperti objek tombstoned, objek yang deleted mengekalkan semua atribut penting yang ada di AD.

Sebagai contoh, katakan anda mempunyai unit organisasi yang mengandungi beberapa OU lain, di mana setiap masing-masing mempunyai lima pengguna. Sekiranya anda secara tidak sengaja delete top level OU, semua maklumat di dalamnya akan hilang. Walaubagaimanapun, jika anda restore semula top level dari Recycling Bin, semua atributnya akan kembali juga.

Kini perlu diingatkan bahawa R2 tidak akan menghilangkan tombstone lifetime sama sekali. Recycling Bin hanya tahap perlindungan yang pertama. Semua deleted objek diletakkan di dalam Recycling Bin untuk 180 hari secara default, selepas itu ia kemudiannya dimasukkan ke dalam tombstone selama 180 hari sebelum lenyap sepenuhnya. Kedua-dua tempoh masa ini boleh diselaraskan juga, dimana boleh membantu mereka yang berada dalam organisasi yang besar.


Active Directory Administrative Center (ADAC)

Microsoft pada dasarnya ingin menggantikan AD Users and Computer dengan ciri baru ini. Maklum balas daripada pengguna mengenai tiga alat utama AD iaitu AD Users and Computers, AD Sites and Services dan AD Domains and Trust dan agak mengecewakan dimana untuk mengunakan setiap satu ini bersama command line tools untuk melaksanakan tugas yang lebih kompleks. Pada asasnya, idea untuk ADAC adalah untuk memudahkan perkara ke dalam satu alat. ADAC dibina di dalam PowerShell 2.0. Ini bermakna semasa anda melakukan tugas di ADAC, alat ini sebenarnya melaksanakan commands PowerShell pada backend untuk anda.

Secara kebetulan, terdapat satu ton cmdlet PowerShell yang baru di Active Directory untuk R2, yang diarahkan ke beberapa tugas AD yang biasa, seperti memindahkan domain AD tertentu, dumping objek dari direktori, dan lain-lain. Ini hanya permulaan, Graham berkata syarikat itu merancang untuk memanfaatkan PowerShell lebih jauh lagi dengan OS seterusnya selepas R2.


Offline Domain Join

Offline Domain Join dicipta untuk mereka yang bertanggungjawab untuk menggunakan dekstop, kerana ia membolehkan penggunaan desktop secara offline yang bersambung ke AD. Kebiasaannya, ditujukan kepada persekitaran yang besar dengan beberapa tahap perlindungan, yang dapat membuat desktop deployment yang agak susah jika langkah-langkah keselamatan tersebut mengakibatkan kekurangan sambungan ke Active Directory.

Idea di sini adalah anda boleh membuat pre-stage domain akaun di AD, kemudian mengeksport akaun tersebut dan mengimportnya ke dalam automated desktop deployment process anda (melalui Sysprep, sebagai contoh). Apabila desktop disambungkan melalui alat-alat ini, mereka kemudiannya secara automatik bergabung ke domain menggunakan offline AD credentials,apabila mereka connect kepada network pada waktu yang lain, mereka kemudian menjadi full member Active Directory.


Managed Service Accounts

Managed Service Accounts direka untuk melindungi aplikasi daripada kegagalan pengesahan. Idea utama adalah untuk memastikan bahawa akaun Active Directory yang digunakan untuk mengesahkan perkhidmatan yang run pada server aplikasi atau server anggota lain yang tidak sengaja dikunci, dilumpuhkan, dan lain-lain.

Pada dasarnya, untuk admin yang merasakan bahawa akaun yang biasa yang digunakan untuk pengesahan perkhidmatan pada kebanyakan server tidak menyediakan pengasingan perkhidmatan yang cukup, alat ini direka untuk anda.

The Managed Service Accounts direka untuk memberi pentadbir pengasingan dan pengurusan kata laluan yang mereka perlukan, supaya mereka tidak perlu khawatir tentang aplikasi down kerana kegagalan pengesahan. Menurut Graham, ia melakukan ini dengan menyediakan pengurusan kata laluan kepada akaun perkhidmatan tersebut supaya kata laluan diubah secara automatik, dengan harapan tidak hanya mengurangkan jumlah aplikasi yang down, tetapi juga waktu yang diperlukan untuk admin backup dan running mereka semula.

Ini adalah sebahagian besar perubahan besar dalam AD untuk mengetahui dengan Windows Server 2008 R2. Terdapat juga beberapa perubahan yang dibuat untuk AD Lightweight Directory Services (ADAM di Windows Server 2008), di mana saya berharap dapat untuk post pada akhir minggu ini.

5 views0 comments

Commenti


bottom of page