Včera tady proběhla taková malá diskuze na téma novinky ve Windows 8. A tak že vás to zajímá, tak aspoň trošku přizpěju něčím veřejným - když se mrknete do tohoto oficiálního článku ohledně Well-known security identifiers, objevíte hned čtyři nové Windows skupiny:
- Remote Management Users
- Hyper-V Administrators
- Access Control Assistance Operators
a moje největší hitovka:
- Clonable Domain Controllers
Co se týče Hyper-V Administrators, tak to je myslím jasné. Na skupinu Access Control Assistance Operators se budeme muset ještě podívat podrobněji později, protože z jejího popisku - A Builtin Local group. Members of this group can remotely query authorization attributes and permissions for resources on this computer - se toho moc poznat nedá. Takže někdy příště.
Ale Remote Management Users je zajímavá. Týká se to vzdáleného přístupu do WMI. Normálně jen skupina Administrators může do WMI vzdáleně. Jak povolit vzdálený přístup do WMI pro jinou skupinu jsem psal už dříve tady. Takže nově tam může ještě i tahle skupina. Přístup bude fungovat jednoduše ale jen přes Windows Remote Management (WinRM). Je to tím, že skupina Remote Management Users má vzdálený přístup jen na WMI namespace. K tomu, aby se na počítač dostali vzdáleně musí mít ještě přístup na DCOM. Takže to stále vyžaduje můj předchozí článek, pokud chcete používat kompletně vzdálené WMI přes DCOM a ne WinRM.
Clonable Domain Controllers
To je žráááááádlóó! Co to asi je? Že by skupina s DCčky, které je možné klonovat? Že by se dal udělat imidž a rozlívat jenom jeho? Že by se třeba dal dokonce obnovit a kopírovat Hyper-V snapshot? Jsem MVP, takže kdybych vám to potvrdil, tak bych vás musel okamžitě zastřelit. Takže můžeme jenom spekulovat.
Kopírovat DCčka a jejich snapshoty dneska nejde. Nesmíte ani obnovit snapshot. Mohli byste si přivodit tzv. USN rollback. (detaily v nějakém dalším článku, už se na něho delší dobu chystám, nebo přijďte na TechEd). Tedy ve skutečnosti to lze. Museli byste po obnově snapshotu provést to, co zmiňuje oficiální článek Backup and Restore Considerations for Virtualized Domain Controllers.
Tedy zjednodušeně řeno, obnovit to bez sítě nebo do DSRM (Directory Services Restore Mode), zapsat do registrů hodnotu:
HKLM\System\CurrentControlSet\Services\NTDS\Parameters
Database Restored from Backup = DWORD = 1
a restartnout znovu do plného provozu. Při téhle akci si DC samo uvědomí, že bylo obnoveno a vygeneruje si nové Invocation ID. Tím dá vědět kamarádům, že je zastaralé a že se musí doreplikovat.
Že by tohle dělala ta klonovatelnost sama? Asi to zní logicky, že?
Ke klonování to bude potřebovat i další věci. Například, aby vám Hyper-V dalo vědět, že jste byli obnoveni ze snapshotu. Dneska se to s Hyper-V 2.0 nedozvíte. Našel jsem ale veřejný článek, kde to píšou - nový Hyper-V 3.0 vám dává tzv. VM-GenerationID. Takže se to DCčko dozví, i když ho jenom obnovíte a rovnou nastartujete.
Když klonujete počítače, tak to není jen tak. Musíte jim ještě změnit jméno, GUID a SID (a u DC ještě jeho replikační GUID). Takže to zřejmě ty klonovatelné DC umí! Že byste museli to DC vložit do skupiny Clonable Domain Controllers, aby to šlo provádět? Zkusím teda omrknout, jak to vypadá s veřejnou dokumentovatelností a třeba o tom něco dalšího napíšu.
Papa.