Noutati in Active Directory Domain Services in Windows Server 2016

• 08/07/2018
• 5 minute de citit

• • M

  • v

  • eu

  • e

  • D

In acest articol

Se aplica la: Windows Server 2016

Urmatoarele caracteristici noi din Active Directory Domain Services (AD DS) imbunatatesc capacitatea organizatiilor de a securiza mediile Active Directory si le ajuta sa migreze catre implementari numai in cloud si implementari hibride, unde unele aplicatii si servicii sunt gazduite in cloud si altele sunt gazduite in incinta. Imbunatatirile includ:

• Gestionarea accesului privilegiat

• Extinderea capabilitatilor cloud la dispozitivele Windows 10 prin Azure Active Directory Join

• Conectarea dispozitivelor unite la domeniu la experientele Azure AD pentru Windows 10

• Activati Microsoft Passport for Work in organizatia dvs.

• Deprecarea nivelului functional al serviciului de replicare a fisierelor (FRS) si Windows Server 2003

Gestionarea accesului privilegiat

Gestionarea accesului privilegiat (PAM) ajuta la atenuarea problemelor de securitate pentru mediile Active Directory cauzate de tehnicile de furt de acreditari, cum ar fi trecerea la hash, spear phishing si tipuri similare de atacuri. Ofera o noua solutie de acces administrativ care este configurata utilizand Microsoft Identity Manager (MIM). PAM introduce:

• O noua padure bastion Active Directory, care este asigurata de MIM. Padurea bastion are o incredere PAM speciala cu o padure existenta. Ofera un nou mediu Active Directory despre care se stie ca este lipsit de orice activitate daunatoare si izolat de o padure existenta pentru utilizarea conturilor privilegiate.

• Noi procese in MIM pentru a solicita privilegii administrative, impreuna cu noi fluxuri de lucru bazate pe aprobarea cererilor.

• Noi directori (grupuri) de securitate din umbra care sunt furnizati in padurea bastion de catre MIM ca raspuns la solicitarile de privilegii administrative. Principalele de securitate din umbra au un atribut care face referire la SID-ul unui grup administrativ dintr-o padure existenta. Acest lucru permite grupului umbra sa acceseze resursele dintr-o padure existenta fara a modifica listele de control al accesului (ACL).

• O caracteristica a legaturilor care expira, care permite calitatea de membru al unui grup umbra. Un utilizator poate fi adaugat la grup pentru suficient timp necesar pentru a efectua o sarcina administrativa. Calitatea de membru legat de timp este exprimata printr-o valoare de timp de viata (TTL) care se propaga la durata de viata a unui bilet Kerberos.

  Nota

  Linkurile expirante sunt disponibile pentru toate atributele conectate. Dar relatia de atribut membru / membru legat intre un grup si un utilizator este singurul exemplu in care o solutie completa, cum ar fi PAM, este preconfigurata pentru a utiliza caracteristica de expirare a legaturilor.

• Imbunatatirile KDC sunt incorporate in controlerele de domeniu Active Directory pentru a restrictiona durata de viata a biletului Kerberos la cea mai mica valoare a timpului de viata (TTL) in cazurile in care un utilizator are mai multe abonamente in grupuri administrative. De exemplu, daca sunteti adaugat la un grup legat de timp A, atunci cand va conectati, durata de viata a biletului de acordare a biletelor Kerberos (TGT) este egala cu timpul ramas in grupul A. Daca sunteti si membru al un alt grup B legat de timp, care are un TTL mai mic decat grupul A, atunci durata de viata TGT este egala cu timpul ramas in grupul B.

• Noi capacitati de monitorizare pentru a va ajuta sa identificati cu usurinta cine a solicitat accesul, ce acces a fost acordat si ce activitati au fost efectuate.

Cerinte pentru gestionarea accesului privilegiat

• Microsoft Identity Manager

• Nivelul functional padure Active Directory al Windows Server 2012 R2 sau mai mare.

Alaturati-va Azure AD

Azure Active Directory Join imbunatateste experientele de identitate pentru clientii de intreprindere, afaceri si EDU – cu capacitati imbunatatite pentru dispozitive corporative si personale.

Beneficii:

• Disponibilitatea setarilor moderne pe dispozitivele Windows detinute de corporatii. Serviciile Oxygen nu mai necesita un cont Microsoft personal: acum elimina conturile de lucru existente ale utilizatorilor pentru a asigura conformitatea. Serviciile de oxigen vor functiona pe computerele care sunt conectate la un domeniu Windows local si pe computerele si dispozitivele care sunt „conectate” la chiriasul dvs. Azure AD („domeniul cloud”). Aceste setari includ:

  • Roaming sau personalizare, setari de accesibilitate si acreditari
  • Backup si restaurare
  • Acces la Magazinul Microsoft cu cont de serviciu
  • Placi si notificari live

• Accesati resursele organizationale de pe dispozitivele mobile (telefoane, tablete) care nu pot fi conectate la un domeniu Windows, indiferent daca sunt detinute de corporatii sau BYOD.

• Conectare unica la Office 365 si alte aplicatii organizationale, site-uri web si resurse.

• Pe dispozitivele BYOD , adaugati un cont de lucru (de la un domeniu local sau Azure AD) la un dispozitiv detinut personal si bucurati-va de resurse SSO pentru a lucra resurse, prin aplicatii si pe web, intr-un mod care ajuta la asigurarea conformitatii cu noile capabilitati, cum ar fi ca atestare conditionata a controlului contului si a sanatatii dispozitivului.

• Integrarea MDM va permite sa va inregistrati automat dispozitivele la MDM (Intune sau terta parte).

• Configurati modul „chiosc” si dispozitive partajate pentru mai multi utilizatori din organizatia dvs.

• Experienta dezvoltatorului va permite sa creati aplicatii care sa raspunda atat contextului de intreprindere, cat si contextului personal, cu o stiva de programare partajata.

• Optiunea Imaging va permite sa alegeti intre imagistica si sa permiteti utilizatorilor sa configureze dispozitivele detinute de corpuri direct in timpul primei experiente.

Pentru mai multe informatii, consultati, Introducere in gestionarea dispozitivelor in Azure Active Directory.

Windows Hello for Business

Windows Hello for Business este o organizatie si consumatori care abordeaza autentificarea bazata pe cheie, care depaseste parolele. Aceasta forma de autentificare se bazeaza pe acreditari de incalcare, furt si rezistenta la phish.

Utilizatorul se conecteaza la dispozitiv cu informatii biometrice sau de logare PIN conectate la un certificat sau o pereche de chei asimetrica. Furnizorii de identitate (IDP) valideaza utilizatorul prin maparea cheii publice a utilizatorului la IDLocker si furnizeaza informatii de conectare prin parola One Time (OTP), telefon sau un alt mecanism de notificare.

Pentru mai multe informatii, consultati Windows Hello for Business

Deprecarea nivelului functional al serviciului de replicare a fisierelor (FRS) si Windows Server 2003

Desi File Replication Service (FRS) si nivelurile functionale Windows Server 2003 au fost depreciate in versiunile anterioare de Windows Server, este necesar sa se repete ca sistemul de operare Windows Server 2003 nu mai este acceptat. Ca urmare, orice controler de domeniu care ruleaza Windows Server 2003 ar trebui eliminat din domeniu. Nivelul functional de domeniu si padure ar trebui sa fie ridicat la cel putin Windows Server 2008 pentru a impiedica adaugarea in mediu a unui controler de domeniu care ruleaza o versiune anterioara de Windows Server.

La nivelurile functionale ale domeniului Windows Server 2008 si mai mare, Replicarea serviciului de fisiere distribuite (DFS) este utilizata pentru a replica continutul folderului SYSVOL intre controlerele de domeniu. Daca creati un domeniu nou la nivelul functional al domeniului Windows Server 2008 sau superior, Replicarea DFS este utilizata automat pentru a reproduce SYSVOL. Daca ati creat domeniul la un nivel functional inferior, va trebui sa migrati de la utilizarea replicarii FRS la replicarea DFS pentru SYSVOL. Pentru pasii de migrare, puteti urma acesti pasi sau puteti consulta setul de pasi simplificati pe blogul Storage Team File Cabinet.

Domeniile Windows Server 2003 si nivelurile functionale ale padurilor continua sa fie acceptate, dar organizatiile ar trebui sa ridice nivelul functional la Windows Server 2008 (sau mai mare, daca este posibil), pentru a asigura compatibilitatea si suportul replicarii SYSVOL in viitor. In plus, exista multe alte beneficii si caracteristici disponibile la nivelurile functionale superioare. Consultati urmatoarele resurse pentru mai multe informatii:

• Intelegerea nivelurilor functionale ale serviciilor de domeniu Active Directory (AD DS)
• Ridicati nivelul functional al domeniului
• Ridicati nivelul functional al padurii