Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Nové skupiny a klonování DC ve Windows 8
duben 14
Nové skupiny a klonování DC ve Windows 8

Včera tady proběhla taková malá diskuze na téma novinky ve Windows 8. A tak že vás to zajímá, tak aspoň trošku přizpěju něčím veřejným - když se mrknete do tohoto oficiálního článku ohledně Well-known security identifiers, objevíte hned čtyři nové Windows skupiny:

  • Remote Management Users
  • Hyper-V Administrators
  • Access Control Assistance Operators

a moje největší hitovka:

  • Clonable Domain Controllers

Co se týče Hyper-V Administrators, tak to je myslím jasné. Na skupinu Access Control Assistance Operators se budeme muset ještě podívat podrobněji později, protože z jejího popisku - A Builtin Local group. Members of this group can remotely query authorization attributes and permissions for resources on this computer - se toho moc poznat nedá. Takže někdy příště.

Ale Remote Management Users je zajímavá. Týká se to vzdáleného přístupu do WMI. Normálně jen skupina Administrators může do WMI vzdáleně. Jak povolit vzdálený přístup do WMI pro jinou skupinu jsem psal už dříve tady. Takže nově tam může ještě i tahle skupina. Přístup bude fungovat jednoduše ale jen přes Windows Remote Management (WinRM). Je to tím, že skupina Remote Management Users má vzdálený přístup jen na WMI namespace. K tomu, aby se na počítač dostali vzdáleně musí mít ještě přístup na DCOM. Takže to stále vyžaduje můj předchozí článek, pokud chcete používat kompletně vzdálené WMI přes DCOM a ne WinRM.

Clonable Domain Controllers

To je žráááááádlóó! Co to asi je? Že by skupina s DCčky, které je možné klonovat? Že by se dal udělat imidž a rozlívat jenom jeho? Že by se třeba dal dokonce obnovit a kopírovat Hyper-V snapshot? Jsem MVP, takže kdybych vám to potvrdil, tak bych vás musel okamžitě zastřelit. Takže můžeme jenom spekulovat.

Kopírovat DCčka a jejich snapshoty dneska nejde. Nesmíte ani obnovit snapshot. Mohli byste si přivodit tzv. USN rollback. (detaily v nějakém dalším článku, už se na něho delší dobu chystám, nebo přijďte na TechEd). Tedy ve skutečnosti to lze. Museli byste po obnově snapshotu provést to, co zmiňuje oficiální článek Backup and Restore Considerations for Virtualized Domain Controllers.

Tedy zjednodušeně řeno, obnovit to bez sítě nebo do DSRM (Directory Services Restore Mode), zapsat do registrů hodnotu:

HKLM\System\CurrentControlSet\Services\NTDS\Parameters
Database Restored from Backup = DWORD = 1

a restartnout znovu do plného provozu. Při téhle akci si DC samo uvědomí, že bylo obnoveno a vygeneruje si nové Invocation ID. Tím dá vědět kamarádům, že je zastaralé a že se musí doreplikovat.

Že by tohle dělala ta klonovatelnost sama? Asi to zní logicky, že?

Ke klonování to bude potřebovat i další věci. Například, aby vám Hyper-V dalo vědět, že jste byli obnoveni ze snapshotu. Dneska se to s Hyper-V 2.0 nedozvíte. Našel jsem ale veřejný článek, kde to píšou - nový Hyper-V 3.0 vám dává tzv. VM-GenerationID. Takže se to DCčko dozví, i když ho jenom obnovíte a rovnou nastartujete.

Když klonujete počítače, tak to není jen tak. Musíte jim ještě změnit jméno, GUID a SID (a u DC ještě jeho replikační GUID). Takže to zřejmě ty klonovatelné DC umí! Že byste museli to DC vložit do skupiny Clonable Domain Controllers, aby to šlo provádět? Zkusím teda omrknout, jak to vypadá s veřejnou dokumentovatelností a třeba o tom něco dalšího napíšu.

Papa. 

Comments

Re: Nové skupiny a klonování DC ve Windows 8

Tenhle web je hrozna vec, zase nesel odeslat komentar z mobilu, tak to musim psat znova :(

SID se pri klonovani pocitace menit nemusi, nemusi a 100x nemusi :) Dej dukaz, jestli na tom trvas :) Kdyz neco dela problem, tak to neni duplicitni SID, ale duplicitni jiny IDcko jinejch sluzeb, treba napriklad DTC.

Tak me napada, nevisis mi jeste flasku, za ty implicitne duplicitni SID vsech DCcek? :)
Borek on 18.4.2012 22:29

Re: Nové skupiny a klonování DC ve Windows 8

a) no zamakám na lepším vyplňování i s mailem apod. teprv do těch kustomizací šárepojntu pronikám, není žádnej med :-)

b) myslel sem tím SID objektu DC v ADčku. Rád bych připoměl, že já jsem ten, kdo roky tvrdí, že slavnej rusinovičův NewSID je na prd, až si pán velkej konečně sám všiml taky, že bez SYSPREPu je nahranej

c) flašku ti nicméně dlužím. Můžeš si ju vyzvednout na techedu.
Ondas on 19.4.2012 8:44

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments