Neuerungen in Active Directory Domain Services in Windows Server 2016

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Mit den folgenden neuen Features in Active Directory Domain Services (AD DS) wird die Möglichkeit verbessert, Active Directory-Umgebungen zu schützen. Außerdem können Unternehmen eine Migration zu reinen Cloud- oder Hybridbereitstellungen vornehmen, bei denen einige Anwendungen und Dienste in der Cloud und andere Anwendungen und Dienste lokal gehostet werden. Die Verbesserungen umfassen:

• Privileged Access Management

• Erweitern von Cloudfunktionen auf Windows 10-Geräte über Azure Active Directory-Einbindung

• Verbinden von in eine Domäne eingebundenen Geräten mit Azure AD für Windows 10-Funktionen

• Aktivieren von Windows Hello for Business in der Organisation

• Dateireplikationsdienst und Windows Server 2003-Funktionsebenen veraltet

Privileged Access Management

Privileged Access Management (PAM) trägt dazu bei, Sicherheitsprobleme in Active Directory-Umgebungen zu entschärfen, die durch Techniken zum Diebstahl von Anmeldeinformationen wie Pass-the-Hash, Spearphishing und ähnliche Angriffstypen verursacht werden. Es bietet eine neue Verwaltungszugriffslösung, die mithilfe von Microsoft Identity Manager (MIM) konfiguriert wird. Mit PAM wird Folgendes eingeführt:

• Eine neue Active Directory-Bastionsgesamtstruktur, die von MIM bereitgestellt wird. Die Bastionsgesamtstruktur verfügt über eine spezielle PAM-Vertrauensstellung mit einer vorhandenen Gesamtstruktur. Sie bietet eine neue Active Directory-Umgebung, die bekanntermaßen frei von schädlicher Aktivität ist, und eine Isolation von einer vorhandenen Gesamtstruktur für die Verwendung privilegierter Konten.

• Neue Prozesse in MIM zum Anfordern von Administratorrechten sowie neue Workflows, die auf der Genehmigung von Anforderungen basieren.

• Neue Schattensicherheitsprinzipale (Gruppen), die in der Bastiongesamtstruktur von MIM als Reaktion auf Anforderungen von Administratorberechtigungen bereitgestellt werden. Die Schattensicherheitsprinzipale verfügen über ein Attribut, das auf die SID einer administrativen Gruppe in einer vorhandenen Gesamtstruktur verweist. Dadurch kann die Schattengruppe auf Ressourcen in einer vorhandenen Gesamtstruktur zugreifen, ohne Zugriffssteuerungslisten (Access Control Lists, ACLs) zu ändern.

• Ein Feature für ablaufende Links, das die zeitgebundene Mitgliedschaft in einer Schattengruppe ermöglicht. Ein Benutzer kann der Gruppe gerade so lange hinzugefügt werden, wie es für die Erledigung einer Verwaltungsaufgabe erforderlich ist. Die zeitgebundene Mitgliedschaft wird durch einen Gültigkeitsdauerwert (Time-to-Live, TTL) ausgedrückt, der an eine Kerberos-Ticketlebensdauer weitergegeben wird.

  Hinweis

  Ablaufende Links sind für alle verknüpften Attribute verfügbar. Aber die Beziehung zwischen einer Gruppe und einem Benutzer über ein verknüpftes Attribut (member/memberOf) ist das einzige Beispiel, bei dem eine Komplettlösung wie PAM so vorkonfiguriert ist, dass sie das Feature ablaufender Links verwendet.

• KDC-Erweiterungen sind in Active Directory-Domänencontroller integriert, um die Kerberos-Ticketlebensdauer auf den geringstmöglichen Wert für die Gültigkeitsdauer zu beschränken, wenn ein Benutzer mehrere zeitgebundene Mitgliedschaften in administrativen Gruppen hat. Wenn Sie beispielsweise zu der zeitgebundenen Gruppe A hinzugefügt werden, entspricht die Lebensdauer des Kerberos-TGT (Ticket-Granting Ticket) bei der Anmeldung der verbleibenden Zeit in Gruppe A. Wenn Sie auch Mitglied der zeitgebundenen Gruppe B sind, die eine niedrigere Gültigkeitsdauer als Gruppe A hat, entspricht die Lebensdauer des TGT der verbleibenden Zeit in Gruppe B.

• Neue Überwachungsfunktionen, mit denen Sie einfach erkennen können, wer Zugriff angefordert hat, welcher Zugriff gewährt wurde und welche Aktivitäten ausgeführt wurden.

Anforderungen für Privileged Access Management

• Microsoft Identitäts-Manager

• Active Directory-Gesamtstrukturfunktionsebene Windows Server 2012 R2 oder höher.

Azure AD Join

Die Azure Active Directory-Einbindung verbessert die Identitätserfahrung für Unternehmens-, Geschäfts- und EDU-Kunden mit verbesserten Funktionen für Unternehmens- und persönliche Geräte.

Vorteile:

• Verfügbarkeit moderner Einstellungen auf unternehmenseigenen Windows-Geräten. Für Oxygen Services ist kein persönliches Microsoft Konto mehr erforderlich. Sie werden jetzt über die bestehenden Geschäftskonten der Benutzer ausgeführt, um die Einhaltung von Vorschriften zu gewährleisten. Oxygen Services funktionieren auf PCs, die in eine lokale Windows-Domäne eingebunden sind, sowie auf PCs und Geräten, die in Ihren Azure AD-Mandanten (Clouddomäne) eingebunden sind. Zu diesen Einstellungen zählen:

  • Roamingbetrieb oder Personalisierung, Barrierefreiheitseinstellungen und Anmeldeinformationen
  • Sichern und Wiederherstellen
  • Zugriff auf Microsoft Store mit Geschäftskonto
  • Livekacheln und Benachrichtigungen

• Greifen Sie auf Organisationsressourcen auf mobilen Geräten (Smartphones, Tablets) zu, die nicht in einer Windows-Domäne eingebunden werden können, unabhängig davon, ob es sich um unternehmenseigene oder BYOD-Geräte handelt.

• Einmaliges Anmelden bei Office 365 und anderen Apps, Websites und Ressourcen der Organisation.

• Fügen Sie auf BYOD-Geräten einem persönlichen Gerät ein Geschäftskonto (aus einer lokalen Domäne oder Azure AD) hinzu, und nutzen Sie einmaliges Anmelden für Arbeitsressourcen über Apps und im Web, um Konformität mit neuen Funktionen wie bedingter Kontosteuerung und Integritätsnachweis für Geräte sicherzustellen.

• Dank MDM-Integration können Sie Geräte automatisch bei Ihrer MDM-Instanz registrieren (Intune oder Drittanbieter).

• Richten Sie einen Kioskmodus und freigegebene Geräte für mehrere Benutzer in Ihrer Organisation ein.

• In der Entwicklerumgebung können Sie mithilfe eines freigegebenen Programmierstapels Apps erstellen, die sowohl für Unternehmen als auch für Privatpersonen geeignet sind.

• Mit der Option Imageerstellung können Sie zwischen der Imageerstellung und der Möglichkeit wählen, dass Ihre Benutzer unternehmenseigene Geräte direkt während der ersten Ausführung konfigurieren dürfen.

Weitere Informationen finden Sie unter Einführung in die Geräteverwaltung in Azure Active Directory.

Windows Hello for Business

Windows Hello for Business ist ein schlüsselbasierter Authentifizierungsansatz für Unternehmen und Endkunden, der weit über Kennwörter hinausgeht. Diese Form der Authentifizierung basiert auf Anmeldeinformationen, die gegen Sicherheitsverletzungen, Diebstahl und Phishing resistent sind.

Der Benutzer meldet sich am Gerät mit biometrischen oder PIN-Anmeldeinformationen an, die mit einem Zertifikat oder einem asymmetrischen Schlüsselpaar verknüpft sind. Die Identitätsanbieter überprüfen den Benutzer, indem sie den öffentlichen Schlüssel des Benutzers IDLocker zuordnen, und bieten Anmeldeinformationen per Einmalkennwort (One Time Password, OTP), Telefon oder einen anderen Benachrichtigungsmechanismus.

Weitere Informationen finden Sie unter Windows Hello for Business.

Dateireplikationsdienst und Windows Server 2003-Funktionsebenen veraltet

Obwohl der Dateireplikationsdienst (File Replication Service, FRS) und die Windows Server 2003-Funktionsebenen schon in früheren Versionen von Windows Server veraltet waren, soll hier noch einmal betont werden, dass das Betriebssystem Windows Server 2003 nicht mehr unterstützt wird. Daher sollten alle Domänencontroller, die auf Windows Server 2003 ausgeführt werden, aus der Domäne entfernt werden. Die Domänen- und Gesamtstrukturfunktionsebene muss mindestens auf Windows Server 2008 erhöht werden, um zu verhindern, dass der Umgebung ein Domänencontroller hinzugefügt wird, auf dem eine frühere Version von Windows Server ausgeführt wird.

Bei Windows Server 2008-Domänenfunktionsebenen (und höher) wird die DFS-Replikation (Distributed File Service) zum Replizieren von SYSVOL-Ordnerinhalten zwischen Domänencontrollern verwendet. Wenn Sie auf der Domänenfunktionsebene Windows Server 2008 (oder höher) eine neue Domäne erstellen, wird die DFS-Replikation automatisch zum Replizieren des Ordners SYSVOL verwendet. Wenn Sie die Domäne auf einer niedrigeren Funktionsebene erstellt haben, müssen Sie für den Ordner SYSVOL anstatt des Dateireplikationsdiensts die DFS-Replikation verwenden. Für die Migrationsschritte können Sie entweder diese Schritte oder die optimierten Schritte im Storage Team File Cabinet-Blog befolgen.

Die Domänen- und Gesamtstrukturfunktionsebenen Windows Server 2003 werden weiterhin unterstützt, aber Organisationen sollten die Funktionsebene auf Windows Server 2008 (oder nach Möglichkeit höher) erhöhen, um Kompatibilität und Unterstützung der SYSVOL-Replikation in Zukunft sicherzustellen. Darüber hinaus gibt es viele weitere Vorteile und Features, die auf den höheren Funktionsebenen verfügbar sind. Weitere Informationen finden Sie in den folgenden Ressourcen:

• Grundlegendes zu Funktionsebenen von Active Directory-Domänendiensten (AD DS)
• Heraufstufen der Domänenfunktionsebene
• Heraufstufen der Gesamtstrukturfunktionsebene