Mit Windows Server 2008R2 wurde das Active Directory Verwaltungscenter oder Administrative Center eingeführt. Es sollte das seit Windows 2000 bekannte Active Directory Users and Computers Snap-in ersetzen.
Das Verwaltungscenter in Windows 8 Server Beta kommt im Metro Style daher und ist Teil der ADDS Simplified Administration. Es bietet einige sehr nützliche Funktionen, unter anderem endlich eine grafische Oberfläche für PSO und den AD Papierkorb. Außerdem werden die neuen Dynamischen ACLs über das Verwaltungscenter konfiguriert.
Da es auf PowerShell aufsetzt, ist ein PowerShell History Viewer integriert.
Metro Style
Geöffnet wird das Administrative Center über “Tools” im Server Manager oder man führt “dsac.exe” aus.
“Reset Password” und “Global Search” sind schon aus dem ADAC von 2008R2 bekannt, neu ist die PowerShell History im unteren Bereich. Öffnet man diesen sieht man die PowerShell Befehle welche das ADAC zuletzt ausgeführte.
Active Directory Recycle Bin
Auch der AD Papierkorb wurde mit Windows Server 2008R2 eingeführt, die Verwendung war zwar etwas kompliziert (keine grafische Oberfläche), trotzdem war es eine nützliche Erweiterung. Mit Windows Server 8 gibt es ein GUI um gelöschte Objekte einfach zu finden und wiederherzustellen.
Sollte der AD Recycle Bin noch nicht aktiv sein, kann man ihn im ADAC gleich aktivieren. Dafür muss sich der Forest im “Windows Server 2008R2” Functional Level befinden.
Einfach auf “Enable Recycle Bin…” klicken und den Dialog bestätigen, schon ist der Recycle Bin aktiv. Natürlich muss die Änderung auf alle DCs repliziert werden, erst wenn dieser Vorgang abgeschlossen ist funktioniert er zuverlässig.
Im der PowerShell Histroy sieht man sofort welcher Befehl ausgeführt wurde:
Enable-ADOptionalFeature -Confirm:$false -Identity:"766ddcd8-acd0-445e-f3b9-a7f9b6744f2a" -Scope:"ForestOrConfigurationSet" -Target:"tomt.local"
Löscht man jetzt ein Objetk aus dem AD wird es in den neu erstellten Container “Deleted Objects” verschoben. Dort bleibt es (mit all seinen Attributen und Links) bis die Deleted Objects Lifetime (msDS-DeletedObjectLifetome)abgelaufen ist, dann wird es zum recycled Object. Nach Ablauf der Recylced Object Lifetime (tombstoneLifetime) wird es vom Garbage Collection Process endgültig aus der AD Datenbank gelöscht.
Im “Deleted Obejects” Container findet man gelöschte Objekte die nach aktiveren des Recylce Bin Features gelöscht wurden und deren Deleted Objects Lifetime noch nicht abgelaufen ist. Man kann in dem Container suchen und die Ansicht filtern um die gewünschten Objekte zu finden.
Hat man die Objekte gefunden kann man diese einzeln oder mehrere zusammen wiederherstellen. Einfach rechts auf das Objekt klicken und “Restore” oder “Restore To…” auswählen.
“Restore” stellt die Objekte an ihrem Ursprünglichen Ort wieder her (lastKnownParent), mit “Restore To…” erhält man folgenden Dialog und kann das Ziel auswählen.
Auch hier werden in der PowerShell History die ausgeführten Befehle angezeigt:
Restore-ADObject -Confirm:$false -Identity:"bb127a94-277f-4a7d-a09b-5893906cb16b" -Server:"WIN8CP-DC1.tomt.local"
Fine-Grained Password Policy
Fine-Grained Password Policies wurden mit Windows Server 2008 eingeführt, sie waren eine wichtige Neuerung und auch sie waren in der Verwendung nicht ganz einfach.
Mit dem neuen ADAC gibt es eine GUII für die sogenannten PSOs oder Password Setting Objects. Um ein neues PSO zu erstellen öffnet man den Container Password Settings (“CN=Password Settings Container,CN=System,DC=tomt,DC=local”) und klickt auf New, Password Settings.
Im Dialog “Create Password Settings” kann man die Fine-Grained Password Policy konfigurieren und diese gleich einer Gruppe oder einem Benutzer zuweisen. Ist ein Benutzer Mitglied in mehreren Gruppen auf die ein PSO angewendet wird, hat jenes mit dem niedrigerem Precedence Wert (msDS-PasswordSettingsPrecedence) Vorrang.
Und auch hier wieder die entsprechenden PowerShell Befehle:
New-ADFineGrainedPasswordPolicy -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -Name:"pso_group2" -PasswordHistoryCount:"24" -Precedence:"20" -ReversibleEncryptionEnabled:$false -Server:"WIN8CP-DC1.tomt.local" Set-ADObject -Identity:"CN=pso_group2,CN=Password Settings Container,CN=System,DC=tomt,DC=local" -ProtectedFromAccidentalDeletion:$true -Server:"WIN8CP-DC1.tomt.local"</code> Durch diese neuen grafischen Oberflächen wird das ADAC wahrscheinlich mehr Verwendung finden als sein Vorgänger. Auch an den Metro Style wird man sich gewöhnen (müssen). so long, Add-ADFineGrainedPasswordPolicySubject -Identity:"CN=pso_group1,CN=Password Settings Container,CN=System,DC=tomt,DC=local" -Server:"WIN8CP-DC1.tomt.local" -Subjects:"CN=group1,OU=groups,OU=tomt,DC=tomt,DC=local"
</p>
tom