每当人们谈论“迁移到最新版本的Windows”时,我总是想澄清他们是否正在谈论将其应用程序服务器转移到最新版本,并且/或他们的活跃导演到最新版本,因为有很大的差异。要从“ Windows 2003”作为文件服务器移动到Windows 2008 R2作为文件服务器,这只是操作系统的变化。组织安装新应用程序时经常升级其操作系统,因此他们可能将Windows Server 2003作为其Exchange 2003服务器的基础操作系统,并且随着组织迁移到Exchange 2010,他们将Windows 2008 R2安装为基础操作E2010将继续运行的系统。
Upgrading the Active Directory is something that organizations don’t do as frequently as it does require the upgrading of the operating system of ALL of the organization’s domain controllers, which for large enterprises could take weeks to get around to all of the global catalog servers and domain controllers in the organization. And there’s that fear of “biting the bullet” and making the shift to a new version of AD as the whole “schema update” thing can be a scarey concept for many. A lot of that fear was instilled in us back when we went from Windows NT4 to Active Directory in the early days where the whole “you don’t want to have to update your schema too often” was mentioned early on, however in reality, organizations do update their schema sometimes in the middle fo the day without really thinking about it. As an example, any organization upgrading to Exchange 2007 Service Pack 2 actually perform a schema update, something that is in E2007 SP2 to update the schema to support the extensions needed for Exchange 2010. Or organizations that properly implement System Center Configuration Manager 2007 update their schema to support the tighter integration of SCCM into Active Directory. And the biggest challenge with updating the schema as part of updating to the latest version of Active Directory is that it happens all at once, you can’t “stage” the update. Once you update the schema, it happens immediately and there’s no simple “undo” button…
但是,由于对Active Directory的支持进行了一些尽职调查,因此这是一个相对简单的升级。我们发现的关键是,除非应用程序本身实际更新架构,否则广告更新很少会影响应用程序。因此,如果您有一个Web服务器,文件服务器,打印服务器,终端服务器等,则在安装时不会更新架构,那么在更新Active Directory版本时,这些应用程序(从不)会产生影响(我将“从不”放置in parenthesis because I’ve NEVER seen the problem in the past, but always hate to say “never” as testing is critical to make sure things work as planned). The apps that are impacted by AD updates are applications that require a schema update to be installed like Exchange, Distributed File System (DFS), System Center Configuration Mgr, Office Communications Server 2007, Cisco Unity voicemail, etc.
执行广告更新时,备份全局目录服务器之一有助于保护广告以具有“回滚”选项。广告回滚基本上是从备份或快照中恢复广告,并将广告带回最后工作的位置。进行广告回滚超出了本文的范围,但是实际上需要关闭所有Active Directory的副本,并恢复或重新插入未影响的AD的副本,ReatTaching Workstations / Servers / Servers / Servers,并将AD带回以前的状态失败。
至于升级到Active Directroy 2008 R2,正如我在之前的帖子中提到的那样,对于任何当前产品不需要AD/2008(或2008 R2)。我们有很多客户在本机模式下愉快地运行广告/2003,并运行所有最新,最出色的产品。但是,对于那些希望在AD中增强功能的人,Active Directory 2008 R2的大型是:
·回收箱(有效地允许您简单地恢复AD中的已删除对象,因此,如果fat Finger删除用户对象或意外地覆盖AD组,则可以简单地转到回收箱和Undelete的内容…)。
·离线域JON加入,您可以在AD中创建一个计算机帐户,转换XML文件,然后在计算机上安装Windows 7时,可以在Windows 7上运行DJOIN命令,并在此上“加入”域Win7计算机甚至没有Win7计算机连接到网络上!这样,您可以在实验室中构建系统并“加入它们”到AD,而无需实际 /实际将计算机连接到AD。
·我仍然对广告/2008中的兴奋的是精美的谷物密码策略。在AD/2003中,您每个域只能有1个密码策略(上情况,复杂的密码,每30天更改等,域中的每个人都必须相同)。使用添加到AD/2008的精细谷物密码(并运送到AD/2008 R2),您现在可以将密码策略设置为“每组”,以便您可以在人力资源中让人们或会计每30天更改密码以取悦监管机构,现场支持和销售人员可以更改他们的密码,说90天或其他东西。全部由小组完成,真的很光滑!!!
我在这里剪切/粘贴的书《 Windows Server 2008 R2释放》中的一些技术任务与最新版本的Active Directory相关:
使用Active Directory回收箱恢复已删除的AD DS对象
Windows Server 2008 R2实现AD DS的最重要的补充之一是Active Directory Recycle bin。Windows Server 2008 R2 Active Directory Forest和域现在允许恢复已删除的OUS,用户,组或其他广告对象。但是,在启用广告回收箱之前,必须满足一些先决条件:
AD DS森林和域必须在Windows Server 2008 R2功能级别中。
恢复对象时,必须首先还原它们以前存在的OU。如果物体驻留在嵌套的OU结构中,则必须首先恢复顶级OU,然后再恢复下一个最高的子OU,依此类推。
需要在企业管理员组中成员资格来启用广告回收箱。
启用AD回收箱的过程是不可逆的。
启用广告回收箱
要启用Active Directory回收箱,请执行以下步骤:
1.单击“开始”,所有程序,管理工具。右键单击Windows PowerShell的Active Directory模块,然后单击以管理员的身份运行。
2.从PowerShell提示符中,键入以下命令:
“启用-AdoptionalFeature - Identity'cn =回收箱功能,CN =可选功能,CN =目录服务,CN = Windows NT,CN =服务,CN = Services,CN =配置,DC = CompanyAbc,DC = COM'–Scope ForestorConfigurationset-targurationset –targurations-tarargetet –targurations –tararget'''''Companyabc.com'”
替换Companyabc.com和DC = CompanyAbc,DC = COM,用启用AD回收箱的适当名称。
3.提示时,键入y以确认并按Enter。
4.要验证启用回收箱是否已启用,请使用诸如Adsiedit之类的编辑器转到CN =分区容器。在详细信息窗格中,找到MSDSENABLEDFEATURE属性,并确认该值包括您在步骤2中键入的回收箱目标域名。
使用广告回收箱恢复已删除的项目
可以使用LDP.EXE实用程序恢复删除的对象,也可以使用Windows PowerShell恢复它们。PowerShell提供了一种更简单的方法来恢复已删除的物品,并且在大多数情况下建议使用。
要恢复已删除的对象,请使用Windows PowerShell的Active Directory模块使用Get-AdoBject cmdlet,请确保使用Run作为管理员选项打开模块。Get-AdoBject可用于查找对象,然后可以使用ReStore-AdoBject CMDLET恢复该对象。例如,以下语法恢复了用户zachary sefanov的删除用户帐户:
get-adobject –Filter {displayName –eq“ zachary sefanov”} - includedeletedObjects |还原标准
有关这些CMDLET的更多信息,请键入PowerShell的获取灵感恢复 - 预测的Get-Help Get-Adobject。
在域控制器上重新启动AD DS
Windows Server 2008最初引入了新功能,以启动或停止在域控制器上运行的目录服务而无需关闭。
这允许管理员在Active Directory数据库上执行维护或恢复,而无需重新启动到Directory Services还原模式。
除了允许维护和恢复外,在AD DC上关闭域控制器功能本质上是将域控制器变成成员服务器,从而使服务器在必要时很快从DC模式中带出。微软还取消了DC上的本地管理员的需求,也需要具有域管理权,这在需要DC服务器管理的地方提高了整体安全性,但不需要完整的域管理权。
要使Windows Server 2008 R2 DC离线,请执行以下步骤:
1.打开服务MMC(开始,所有程序,管理工具,服务)。
2.从服务MMC中,选择Active Directory域服务服务。右键单击它,然后选择“停止”。
3.当提示停止AD DS时,将停止其他相关服务,例如DNS,DFS,Kerberos和Sidere Intersite消息传递,请选择继续。
4.要重新启动AD DS,请右键单击AD DS服务,然后选择“开始”。还启动“间隔”消息传递服务和Kerberos密钥配电中心服务。
每个域实施多个密码策略
AD DS的另一个Windows Server 2008是能够在单个域上实现粒度密码策略的能力。以前,这只是森林中域控制器上安装的第三方密码更改实用程序的选择。使用Windows Server 2008或Windows Server 2008 R2,管理员可以定义哪些用户具有更复杂的密码策略,哪些将能够使用更宽松的策略。
在实施该技术之前,必须了解这项技术的一些关键点。这些观点列出如下:
域模式必须设置为Windows Server 2008或Windows Server 2008 R2级别,这意味着该域中的所有DC必须运行Windows Server 2008 R2或RTM。
细粒度的密码策略总是赢得域密码策略。
密码策略可以应用于组,但必须是全球安全组。
应用于用户的细粒密码策略总是胜过应用于组的设置。
密码设置对象(PSO)存储在AD中的密码设置容器中(即CN =密码设置容器,CN = System,DC = CompanyAbc,dc = com)。
只有一组密码策略可以应用于用户。如果应用多个密码策略,则具有较低数字优先级的策略获胜。
要为特定用户创建自定义密码策略,必须使用ADSIEDIT工具来创建密码设置对象(PSO),该工具用于低水平更改AD DS或AD LDS目录对象和属性。
警告
Adsiedit是一位非常强大的低级目录编辑器,在使用时应格外小心。使用编辑器非常谨慎,尤其是在删除对象时,因为Adsiedit可以在不采取护理的情况下轻松删除广告树的整个部分。
Windows Server 2008 RTM/R2随附的ADSIEDIT版本提供了一个粗体向导,允许创建PSO。向导可以自动创建PSO,并允许在PSO上设置与密码策略相关的特定属性。巫师促使创建的属性。所有属性必须以适当的格式输入,以创建PSO。请注意,只有向导没有提示MSDSPSOAPPLIESTO的属性,必须手动输入。