Active Directory on Windows Server version(DFL, FFL) – new features

 

 List of changes with Domain and Forest functional levels

 

2008 Domain functional level:

  • Multiple password policies per domain
  • User-viewable last logon information
  • Increased Kerberos encryption
  • DFS replication for SYSVOL shares

 

2008 R2 Domain functional level:

  • Better and more automated service account management
  • Security logs and access lists based on authentication type

 

2008 R2 Forest functional level:

  •  AD „recycle bin“

 

2012 R2 Domain functional level:

  • Restricted admin mode – Mstsc /restrictedadmin (it is not store admin passwordon remote desktop to LSA)
  • LSA Protection
  • Protected user groups
  • Authentication Polices
  • Silos (management for authentication polices)
  • COMPOUND ID
  • Kerberos Armoring

 

2012 R2 Forest functional level:

  • nothing

2016 forest functional level:

All of the features that are available at the Windows Server 2012R2 forest functional level, and the following features, are available:

  • Privileged access management (PAM) using Microsoft Identity Manager (MIM) (Groups memebrship expiration – JIT, JEA)

2016 domain functional level:

All default Active Directory features, all features from the Windows Server 2012R2 domain functional level, plus the following features:

  • DCs can support rolling a public key only user’s NTLM secrets.
  • DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices.
  • Kerberos clients successfully authenticating with the PKInit Freshness Extension will get the fresh public key identity SID. – > https://datatracker.ietf.org/doc/rfc8070/?include_text=1

For more information see What’s New in Kerberos Authentication and What’s new in Credential Protection

 

AdminSDHolder – Co to je a k čemu ?

Toto je opravdu stručný článek o tom co je a k čemu slouží objekt v ActiveDirectory „AdminSDHolder (objekt v security/Advanced   nemá povolené dědění by default !)

AdminSDHolder je objekt, který najdete v Active Directory Users and Computers (ADUC) konzoli po povolení „Advanced Features“ ve view „zobrazit“, ale předpokládám, že moc z vás českou lokalizaci serveru nemá ….

AdminSDHolder má na starost chránit tzv. „protected groups“ před změnou v ACL. Na starost ho má FSMO PDC. Jestliže někdo změní na jmenované skupině oprávnění, přidá třeba domain user-ovi právo modify na Domain Admins skupinu, během následující hodiny se toto oprávnění odstraní. Každou hodinu se totiž by default kontoluje stav ACL a jestliže nesedí dle výchozího stavu, systém (PDC) ACL vrátí do původního stavu. Všechny objekty (user, groups), které jsou a nebo byly členy těchto skupin, mají hodnotu atributu AdminCount=1 (odstraňuje dědění na těchto objektech), tato hodnota s už sama od sebe nikdy nevrátí zpět. Toto má však za následek, že se při zapnutí dědění na objektu s hodnotou atributu AdminCount=1, nebudou správně dědit práva z nadřazených objektů. AdminCount můžete nastavit na <not set> přes ADSIEDIT nástroj, nebo  nástroj ADUC  přes tab Attribute Editor.

Windows 2000 Server RTM  Windows 2000 Server with SP4  Windows Server 2003 with SP1 ,SP2 Windows Server 2008,R2, Windows Server 2012, R2
Administrators Account Operators Account Operators Account Operators
Domain Admins Administrator Administrator Administrator
Enterprise Admins Administrators Administrators Administrators
Schema Admins Backup Operators Backup Operators Backup Operators
  Cert Publishers Domain Admins Domain Admins
  Domain Admins Domain Controllers Domain Controllers
  Domain Controllers Enterprise Admins Enterprise Admins
  Enterprise Admins Krbtgt Krbtgt
  Krbtgt Print Operators Print Operators
  Print Operators Replicator Read-only Domain Controllers
  Replicator Schema Admins Replicator
  Schema Admins Server Operators Schema Admins
  Server Operators   Server Operators

 

Malá ukázka: (opravdu jsem oprávnění send as, neodstranil ručně :)) – Ukázka, jak může nastat problém, jestliže používáte domain admin účet s mailboxem v MS Exchange a budete chtít někomu dovolit posílat za admina email (oprávnění send as)

adminSDholders_demo1

Toto je mimochodem způsob, jak kontrolu ACL, která je default jednou za hodinu, urychlit (v mém případě se ale stejně kontrola ACL projevila o něco později, než po akci viz.níže )

Použit nástroj ldp.exe

adminSDholders_demo2

Tady už vidíme, že uživatel user1 není v seznamu uveden.

adminSDholders_demo3latter

Více informací najdete zde: https://technet.microsoft.com/cs-cz/magazine/2009.09.sdadminholder(en-us).aspx

 

How change scope / jak změnit scope pro vyhledávání a práci s objekty(mailbox) v celém AD Forestu (AD, MS Exchange 2010/2013)

V případě členitého AD Forestu se nám při vyhledávání objektů (např. mailboxů) v jiné než v ROOT domain stane,  že objekt nebyl nalezen. Můžeme použít  Get-Mailbox -IgnoreDefaultScope,  ale ne vždy nám to problém vyřeší.

Pro změnu scope a odstranění překážek nám nejvíce pomůže příkaz

Set-AdServerSettings -ViewEntireForest $True

 

🙂