NOVITÀ DI ACTIVE DIRECTORY IN WINDOWS SERVER 2012 E MIGRAZIONE

Transcript

1

2 NOVITÀ DI ACTIVE DIRECTORY IN WINDOWS SERVER 2012 E MIGRAZIONE Ermanno Goletto MVP - MCITP - MCSA e.goletto@sysadmin.it Mario Serra MVP - MCITP - MCSDT m.serra@sysadmin.it

3 Agenda Active Directory Recycle Bin Interfaccia per Fine-Grained Password Policy Active Directory PowerShell enhancements Virtualization-safe technology: Domain Controller Cloning Dynamic Access Control Scenari di migrazione

4 ACTIVE DIRECTORY RECYCLE BIN Novità di Active Directory in Windows Server 2012 e migrazione

5 Situazione in WS2003 e WS2008 Strumenti Ripristino autorevole (tramite NTDSUTIL) Recupero di oggetti contrassegnati per la rimozione o Tumbstoned (tramite LDP o ADRestore) Opzione Proteggi oggetto da eliminazioni accidentali (Deny delete per Everyone) Limitazioni Downtime del DC Rischio d inconsistenza a causa di modifiche intercorse dopo il backup Non è possibile ripristinare gli attributi con valori di collegamento degli oggetti recuperati Account utente non riottengono le appartenenze ai gruppi e i diritti di accesso Disponibile nella GUI di WS2008 In WS2003 abilitabile via DSACLS

6 Ciclo di vita oggetti senza AD Recycle Bin WS2003/WS2008 oppure AD Recycle Bin disabilitato Tumbstoned Oggetto eliminato a livello logico e spostato nel contenitore CN=Deleted Objects (modifica del DN dell oggetto) Perde gli attributi di collegamento e la maggior parte degli attributi (tranne quelli con searchflags = 0x8 nello schema) Durata = attributo di foresta tombstonelifetime (per default 180 giorni)

7 Active Directory Recycle Bin Introdotto in WS2008 R2 FUNZIONALITÀ Ripristino degli oggetti nello stesso stato logico coerente in cui si trovavano Account utente riottengono appartenenze ai gruppi e i diritti di accesso all'interno del dominio e tra domini REQUISITI Richiede livello funzionale foresta WS2008 R2 o superiore Tutti i DC nella foresta devono essere WS2008R2 Disattivato per default e irreversibile

8 Ciclo di vita oggetti con AD Recycle Bin Deleted object (Eliminato) Attributo isdeleted a True (attributo presente su tutti gli oggetti introdotto con WS2000) Eliminato a livello logico e spostato nel contenitore CN=Deleted Objects (modifica del DN dell oggetto) Mantiene tutti attributi, compresi quelli di collegamento Durata = attributo di foresta msdsdeletedobjectlifetime (per default a null ovvero uguale a tombstonelifetime) Recycled object (Riciclato) Attributo isrecycled a True (attributo presente su tutti gli oggetti introdotto con WS2008 R2) Perde gli attributi di collegamento e la maggior parte degli attributi (tranne quelli con searchflags = 0x8 nello schema) Durata = attributo di foresta tombstonelifetime (per default a null ovvero 180 giorni)

9 AD Recycle Bin: Considerazioni Maggiore capacità di conservazione e recupero Eliminazione fisica 360 giorni (default) I Recycled Object sono recuperabili sono con Restore Autoritativo Validità backup AD è il valore minore tra tombstonelifetime e msds-deleteobjectlifetime Default 180 giorni All attivazione i Tombstoned objects diventano Recycled objects non visibili nel container Deleted Objects, ma non recuperabili tramite AD Recycle Bin Per recuperarli occorre un restore autoritativo da un backup precedente all attivazione Non è disattivabile

10 Attivazione AD Recycle Bin Raise livello funzionale foresta a 2008R2 o superiore Abilitazione Recycle Bin sul forest root domain E possibile eseguire raise e abilitazione tramite il Centro di amministrazione di Active Directory Valutare abilitazione GPO audit delete su AD¹ ¹Computer Configuration\Windows Settings\Security Settings\Advanced Audit Policy Configuration\System Audit Policies - Local Group Policy\ DS Access\Audit Directory Service Changes

11 Attivazione AD Recycle Bin via PowerShell #Raise livello funzionale foresta Set-ADForestMode Identity contoso.com - ForestMode Windows2008R2Forest #Abilitazione AD Recycle Bin Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=contoso,DC=com Scope ForestOrConfigurationSet Target contoso.com

12 M odifica Deleted e Recycled object lifetime #Impostazione msds-deletedobjectlifetime Set-ADObject -Identity CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com Partition CN=Configuration,DC=contoso,DC=com Replace:@{ msds-deletedobjectlifetime = 365} #Impostazione tombstonelifetime Set-ADObject -Identity CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com Partition CN=Configuration,DC=contoso,DC=com Replace:@{ tombstonelifetime = 365}

13 Restore via PowerShell #Restore singolo oggetto Get-ADObject -Filter {samaccountname -eq m.rossi"} -IncludeDeletedObjects Restore-ADObject #Restore elenco oggetti Get-ADObject Filter 'Name Like "*test*"' IncludeDeletedObjects Restore-ADObject #Restore elenco oggetti in posizione diversa Get-ADObject Filter 'Name Like "*test*"' IncludeDeletedObjects Restore-ADObject TargetPath "OU=OU1,DC=contoso,DC=com"

14 Novità in WS 2012 Restore tramite l interfaccia utente di ADAC (dsac.exe) E possibile eseguire il ripristino di un oggetto tramite Restore o tramite Restore To per il ripristino in posizione diversa dall originale Nel Centro di amministrazione di Active Directory è stato aggiunto il nodo Deleted Objects

15 DEMO

16 FINE-GRAINED PASSWORD POLICY Novità di Active Directory in Windows Server 2012 e migrazione

17 Situazione in WS2000 e WS2003 La Default Domain Policy definisce le password policies di default E possibile avere una sola password policy per l intero dominio, non è possibile avere password policy diverse per OU Le impostazioni della password policy non possono essere estese a meno di non utilizzare tool di terze parti La password policy del Root Domain non viene ereditata dai Child Domains (sono due password policy scorrelate)

18 Situazione in WS 2008 Introdotte le FGPP tramite due nuove classi di oggetti¹ Password Settings Container Password Settings Objects E richiesto livello funzionale di domino WS 2008 Password/Account lockout policies diverse per Gruppi di protezione Globali o Utenti (o oggetti inetorgperson se usati al posto degli oggetti utente) Per applicazione alle OU occorre usare gruppo shadow (gruppo protezione globale mappato su una OU) L impostazione richiede la modifica del DB di AD mediante ADSI Edit o ldifde² ¹ ² -

19 Situazione in WS 2008 R2 #Raise livello funzionale di dominio a WS2008 Set-ADDomainMode -Identity contoso.com -DomainMode 3 #Creazione FGPP e associazione New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true - LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" - LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" - ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1 #Visualizzazione FGPP Get-ADUserResultantPasswordPolicy test1 #Modifica FGPP: Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30" #Eliminazione FGPP: Set-ADFineGrainedPasswordPolicy Identity TestPswd ProtectedFromAccidentalDeletion $False Remove-ADFineGrainedPasswordPolicy TestPswd Confirm Gestione FGPP via PowerShell

20 Novità FGPP in WS2012 Creazione e gestione delle FGPP tramite ADAC (dsac.exe)

21 Creazione FGPP Le FPGP con precedenza più bassa hanno priorità su quelle con precedenza più alta Gruppi di protezione globali o utenti a cui viene applicata la FGPP

22 Impostazione FGPP

23 Verifica FGPP su Utente Se non vi sono FGPP assegnate FGPP risultante, nel caso di più FGPP viene applicata quella a precedenza inferiore

24 DEMO

25 ACTIVE DIRECTORY POWERSHELL ENHANCEMENTS Novità di Active Directory in Windows Server 2012 e migrazione

26 Situazione in Windows 2008 R2 Modulo AD per Windows PowerShell (*)

27 Novità in WS2012 In ADAC è stata aggiunta la sezione Windows PowerShell History Viewer dove vengono visualizzati i comandi PowerShell corrispondenti ai task eseguiti 135 Cmdlet per gestire AD DS Elenco cmdles:

28 Cmdlets per Replica e Topologia Estensione modulo AD con 25 cmdlets per gestione Replica e Topologia Precedentemente gestione tramite repadmin, ntdsutil e AD Site and Services con difficoltà di automazione #Informazioni sui siti Get-ADReplicationSite -Filter * #Stato replica Get-ADReplicationUpToDatenessVectorTable dc1.dom.com #Metadati di replica (repadmin.exe /showobjmeta) Get-ADReplicationAttributeMetadata -object "cn=domain admins,cn=users,dc=corp,dc=contoso,dc=com" -server dc1.dom.com

29 Esempio automazione via PowerShell #Rename the computer Rename-Computer SrvDC01 #Configurazione IPv4 statico e Gateway New-NetIPAddress -IPAddress InterfaceAlias "Ethernet" -DefaultGateway AddressFamily IPv4 -PrefixLength 24 #Impostazione server DNS Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses #Join computer a dominio e riavvio Add-Computer -DomainName corp.contoso.com Restart-Computer #Installazione AD DS e DNS e creazione nuovo dominio in una nova foresta Install-WindowsFeature AD-Domain-Services -IncludeManagementTools Install-ADDSForest -DomainName corp.contoso.com #Creazione DNS Reverse Lookup Zone Add-DnsServerPrimaryZone in-addr.arpa -ZoneFile in-addr.arpa.dns #Creazione nuovo account utente New-ADUser -SamAccountName User1 -AccountPassword (read-host "Set user password" -assecurestring) - name "User1" -enabled $true -PasswordNeverExpires $true -ChangePasswordAtLogon $false #Assegnazione Group membership ad un utente Add-ADPrincipalGroupMembership -Identity "CN=User1,CN=Users,DC=corp,DC=contoso,DC=com" -MemberOf "CN=Enterprise Admins,CN=Users,DC=corp,DC=contoso,DC=com","CN=Domain Admins,CN=Users,DC=corp,DC=contoso,DC=com"

30 DEMO

31 VIRTUALIZATION-SAFE TECHNOLOGY: DOM AIN CONTROLLER CLONING Novità di Active Directory in Windows Server 2012 e migrazione

32 Replica e DC virtuali Snapshot di DC non supportato in WS2008R2 e precedenti L applicazione di SnapShot può causare problemi alla replica dovuti allo shift temporale dal momento che la replica è gestita tramite l USN e l InvocationID Update Sequence Number Incrementato ad ogni modifica del DB di directory per sincronizzare la replica tra DC InvocationID GUID memorizzato nell attributo objectguid dell oggetto: cn=ntds Settings, cn=servername, cn=servers, cn=sitename, cn=sites, cn=configuration, dc=forestrootdomain Rappresenta la versione del DB di directory a cui Up-todateness vector e High water mark fanno riferimento Cambia solo se viene eseguito il restore del system state o se viene aggiunta o rimossa una partizione applicativa (repadmin /showrepl) Up-to-dateness vector Memorizza gli aggiornamenti ricevuti, viene offerto al DC sorgente perché invii solo gli attributi necessari High water mark (o direct up-to-dateness vector) memorizza gli aggiornamenti più recenti ricevuti da un DC per una partizione, impedisce che il DC origine invii modifiche già registrate sul DC destinazione

33 Rollback USN non rilevato USN DC1 > USN DC2 quindi non viene rilevato il Rollback USN DC2 La replica sincronizza su DC2 solo gli USN tra 30 e 40 Gli oggetti con USN tra 20 e 30 La replica sincronizza su DC2 le gli USN tra 20 e 30 non corrispondono sui due DC DC1 USN=20 IID=A USN=30 IID=A USN=20 IID=A USN=40 IID=A Read Only DC I RODC hanno copie RO delle partizioni AD e non replicano le modifiche ad altri DC. Non generano Rollback USN, ma possono subirli da altri DC Copia VHD Modifiche AD Ripristino Copia VHD Modifiche AD

34 DC Safe virtualization I DC WS2012 sono in grado di rilevare quando: Viene applicata una Snapshot Viene copiata una VM La rilevazione utilizza un VM-generation identifier (VM-generation ID) VM-generation ID viene modificato quando vengono utilizzate features come gli Snapshots Gli snapshots non sono supportati come alternativa al backup dei DC virtuali Utilizzare Windows Server Backup Una soluzione di backup VSS-writer-based

35 VM-generation identifier ID univoco di 128 bit fornito dall Hypervisor (tramite il VM BIOS) utilizzabile dal guest OS e applicazioni tramite un driver nella VM Modificato quando la VM usa un file di configurazione diverso (import VM, applicazione Snapshot, restore backup, failover replica target) Supportato da Hyper-V v3 in WS2012 Anche Vmware e Citrix lo supporteranno Durante l installazione di un DC il VM GenerationID viene memorizzato nell AD DB locale (DIT) tramite l attributo msds- GenerationID dell oggetto computer del DC WS2012 msds-generationid non viene replicato

36 Utilizzo VM -generation ID Evita riutilizzo USN Restore VM Snaphot Reboot VM Warning 2170 Directory Services Log VM Generation ID Confronto con esito negativo msds-generationid - Reset dell InvocationID - Svuotamento RID pool - Aggiornamento del DIT con nuovo valore del VM-generation ID - Sincronizzazione non autoritativa SYSVOL I DC che detengono ruoli FSMO ritardano l esecuzione delle funzionalità FSMO sino a quando il ciclo di replica non viene completato Information File Replication Services Log Information 4604 File Replication Services Log Evita roolback USN al reboot di snapshoot di VM arrestate

37 Clone VM DC PRE WS2012 Copia VHD con SYSPREP OS Promozione del server a DC Attesa replica AD DB (DIT) nel caso di DC aggiuntivo Nel caso di disaster recovery del primo DC applicazione dell ultimo backup del server Best practies per il clone di VM DC 2012 WS 2012 Clone di soli VM DC WS 2012 Il PDC emulator deve essere un DC WS2012 L uso di DC WS2012 richiede: Schema AD ver. >=56 (WS2012) Livello funzionale foresta WS2003 Native o superiore Non è possibile eseguire il cloning del DC PDC Emulator Installare i primi due DC e distribuire i ruoli FSMO tra loro Installare un terzo DC virtuale senza ruoli FSMO da utilizzare come master per il processo di cloning

38 Creazione VM DC master 1. Installazione VM DC con WS2012 su Hyper-V v3 (o Hypervisor con supporto a VM-Generation ID) 2. Autorizzare il DC ad essere utilizzato come sorgente per il processo di cloning aggiungendo il suo oggetto computer al nuovo gruppo Clonable Domain Controllers 3. Verificare la compatibilità dei servizi in esecuzione sul DC col processo di cloning tramite il cmdlet PowerShell Get-ADDCCloningExecutedApplicationList 4. Configurare il DC tramite il cmdlet PowerShell New-ADDCCloneConfigFile (IP, Site, Name) Crea il file DCCloneConfig.xml nella directory dell NTDS.DIT File d esempio in %windir%\system32\sample DCCloneConfig.xml 5. Shutdown VM, Export VM e copia dell esportazione

39 Deploy VM DC clone 1. Import della VM e generazione nuovo VM-Generation ID Import-VM Path -Copy GenerateNewId 2. Rename della VM e avvio VM 3. Controllo che il DC è un clone verificando: VM-Generation ID diverso da msds-generationid File DCCloneConfig.xml in una delle seguenti posizioni: Directory del file NTDS.DIT %windir%\ntds Root di un media drive removibile 4. Avvio processo cloning mediante provisioning come DC replica con le impostazioni in DCCloneConfig.xml 5. Richiesta al WS2012 PDC emulator di un nuovo machine identity, nuovo SID, nome, password

40 Cloning Flow: Boot VM DC

41 Cloning Flow: Provisioning VM DC Replica

42 DYNAMIC ACCESS CONTROL Novità di Active Directory in Windows Server 2012 e migrazione

43 Accesso file server pre WS2012 Accesso basato sul SID dell utente e sull elenco dei SID dei gruppi di appartenenza determinato al logon Sistema di autorizzazione basato su ACL (Share permissions e NTFS permissions) La gestione permissions basata su gruppi (in certi casi onerosa) A-GG-DLG-P Share Permissions NTFS Permissions Access Control Decision

44 Kerberos flow pre WS2012 Pre-2012 Token User Account User Groups [other stuff]

45 Dynamic Access Control Novità in WS2012 CARATTERISTICHE Soluzione Claim-Based Access Control Claim basati su attributi utente e/o del device in AD¹ Utilizzo delle informazioni di classificazione dei file Central Access Policies per la definizione di granulare delle condizioni di accesso Distribuzione CAP ai file server via GPO Gestibile tramite PowerShell REQUISITI Uno o più Domain controller WS2012 File server WS2012 Windows 8 per usare le Device Claim in quanto è richiesto il supporto al Kerberos Armoring (FAST) Per usare Access Denied Remedation occorre SMB 3.0 e quindi client W8 o WS2012 ¹Claim sono memorizzati nel Ticket Kerberos con il SID dell utente e delle group memberships

46 Novità nell autenticazione Flexible Authentication Secure Tunneling (FAST) RFC6113 Fornisce un canale protetto tra client e KDC per lo scambio di Authentication Service (AS) e Ticket-Granting Service (TGS) Protegge i dati di pre-autenticazione utente che sono vulnerabili ad attacchi a dizionario quando generati da una password Protegge le autenticazioni utente Kerberos dallo spoofing di errori KDC Kerberos per il downgrade a NTLM o a una crittografia più vulnerabile Kerberos armoring Implementazione di FAST in WS2012 Usa un TGT del device per proteggere lo scambio di AS col KDC (lo scambio AS del computer non è blindato), in seguito il TGT dell'utente è utilizzato per proteggerne gli scambi TGS con il KDC Richiede DC WS2012 Compound authentication Estensione della FAST per consentire a KDC WS2012 di creare TGS con dati di autorizzazione dispositivo per i servizi W8 che sfruttano tali dati Richiede DC WS2012 e client W8

47 Expression-based access policy DC WS2012 Client W8 File Server WS2012 User claims User.Department = Finance User.Clearance = High Device claims Device.Department = Finance Device.Managed = True Resource properties Resource.Department = Finance Resource.Impact = High Attributi AD Attributi AD Attributi Classificazione ACCESS POLICY Per accedere a file riservati del dipartimento Finance un utente deve: Appartenere al dipartimento Finance Avere autorizzazione Hight Accedere da un device del dipartimento Finance

48 Controllo d accesso Share Permissions NTFS Permissions Central Access Policy Access Control Decision Active Directory (cached in local Registry) Cached Central Access Policy Definition Cached Central Access Rule Cached Central Access Rule Cached Central Access Rule Share Permissions Share Security Descriptor NTFS Permissions File/Folder Security Descriptor Central Access Policy Reference Access Control Decision: 1) Access Check Share permissions if applicable 2) Access Check File permissions 3) Access Check Every matching Central Access Rule in Central Access Policy

49 Kerberos flow con client Pre-W8 Gestione delle sole User Claims 2012 Token User Account User Device Group s Claims Group s [other stuff]

50 Kerberos flow con Compound Identity Gestione delle User Claims & Device Claims 2012 Token User Account User Device Group s Claims Group s Claims [other stuff]

51 Configurazione delle Claims Configurazione su DC 2012 tramite Active Directory Administrative Center Claim Types Classificazione utenti Department Country Resources Properties Classificazione dei file Department_MS Country (US, JP) Resource Property List Aggiunta a ResourceProperty List Global Resource Property List Central Access Rule Condizioni per accesso al file Target Resources Exists Department AND Exists Country Permissions Central Access policy Gruppo di rule che verranno applicate ai file Abilita DAC L impostazione di default crea solo audit log entries Use following permissions as current, Principal: Authenticated - Full Control User Departement=Resource Departement AND User Country=Resource Country

52 Deploy Central Access Policy Configurazione su DC 2012 tramite Group Policy Object Creazione GPO di dominio per i File Server Computer Configuration/Policies/Windows Settings/SecuritySettings/File System/Central Access Policies Group Policy Object Nella security della GPO rimuovere Authenticated Users e inserire solo i file server interessati Central Access Policy La GPO pubblica la CAP, tramite più GPO è possibile pubblicare più CAP

53 Abilitazione Kerberos Armoring Configurazione su DC 2012 tramite Group Policy Object Computer Configuration/Policies/Administrative Templates/System/KDC/KDC Support for claims, compound authentication and Kerberos armoring Computer Configuration/Policies/Administrative Templates/System/Kerberos/Kerberos client support for claims, compound authentication and Kerberos armoring

54 KDC Support for claims, compound authentication and Kerberos armoring Computer Configuration/Policies/Administrative Templates/System/KDC Not supported (default) Claims non disponibile Compound authentication non supportata Kerberos armoring non supportata Supported Claims disponibile su richiesta Compound authentication su richiesta se la risorsa lo supporta Kerberos armoring supportata Always provide claims Claims sempre disponibili Compound authentication su richiesta se la risorsa lo supporta Kerberos armoring supportata e Flexible Authentication via Secure Tunneling (RFC FAST) supportata Fail unarmored authentication requests Claims sempre disponibili Richiede DC 2012 per servire le richieste client Il dominio non deve avere DC2003 Richiede livello funzionale dominio WS2012 Richiede livello funzionale dominio WS2012 e compatibilità con FAST dei dispositivi (W8) Compound authentication su richiesta se la risorsa lo supporta Rifiuto dei messaggi Kerberos unarmored e Flexible Authentication via Secure Tunneling (RFC FAST) supportata GPO applicata ai DC 2012

55 Deploy File server Configurazione File Server WS 2012 tramite File and Storage Services Modifica Proprietà della Folder Tab Classification Visualizza le Resource Properties definite Update-FSRMClassificationPropertyDefinition per forzare l update delle classificazioni Impostazione delle Resource Security Tab Advanced Central Policy selezionare la CAP Effective Access Tab Resources Properties Department=Finance Country = US Central Access Policy Verifica degli accessi in base NTFS Rules e Central Policy

56 SCENARI DI MIGRAZIONE Novità di Active Directory in Windows Server 2012 e migrazione

57 Novità deploy e upgrade DEPLOY NUOVO DC Tutti gli step in un unica GUI Dcpromo dismesso Utilizzabile con answer file Utilizzabile per demote Processo di installazione basato su PowerShell Esecuzione su server multipli Deploy remoto di DC Wizard di esportazione script per installazione con le opzioni specificate nella GUI UPGRADE DI AD Integrazione di Adprep.exe nel processo di installazione Può ancora essere eseguito da command line Reperibile in media\support\adprep Non esiste una versione a 32 bit di Adprep in WS2012 Validazione dei prerequisiti Gli RSAT per WS2012 richiedono W8 Per eseguire VM WS2012 su HV WS2008R2 occorre la KB

58 Deploy DC WS2012 Prerequisiti per deploy di DC 2012 Livello funzionale foresta Windows Server 2003 o superiore Privilegi Enterprise Admin, Schema Admin e Domain Admins La promozione a DC di un WS2012 esegue retry indefiniti In questo modo tolleranza a problemi di rete Sarà l Amministratore a decidere l eventuale failure Installazione locale o remota tramite Server Manager Aggiunta features Active Directory Domain Services Avvio del Task Promote this server to a domain controller DNS e GPMC installati automaticamente Inst. nuova foresta: Upgrade DC a WS2012:

59 Upgrade in-place e AD WS2012 Requisiti per l upgrade in-place dei DC OS upgrade in-place path supportato Il drive che contiene il DB di AD (NTDS.DIT) deve avere almeno il 20% di spazio libero DC Upgrade in-place WS 2012 STD WS2012 DC WS2008R2 STD WS2008R2 ENT WS2008R2 DC WS2008 STD WS2008 ENT WS2008 DC WS2003/WS2003R2 Domain functional level WS2012 Dynamic Access Control administrative template policy Kerberos armoring KDC administrative template policy Forest functional level WS2012 Non aggiunge nuove funzionalità AD Schema version 13 Windows Windows Windows 2003 R2 44 Windows Windows 2008 R2 56 Windows 2012

60 Migrazione AD da WS Join a dominio di un computer WS Promozione a DC del computer WS Spostamento ruoli FSMO sul DC WS Rimozione DNS da DC WS Rimozione ruolo Domain Controller sul DC WS Pulizia eventuali record DNS relativi a DC WS Configurazione replica DFS per la cartella SYSVOL SYSVOL Replication Migration Guide: FRS to DFS Replication:

61 DEMO

62 QUESTIONS & ANSWERS

63 Links Torino Technologies Group SysAdmin.it Windows Server 2012 Virtual Labs

64 Grazie.