Novedades de Active Directory Domain Services en Windows Server 2016
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Las nuevas características de Active Directory Domain Services (AD DS) descritas a continuación mejoran la capacidad de las organizaciones a la hora de proteger los entornos de Active Directory y ayudan a migrar a implementaciones de solo en la nube e implementaciones híbridas, donde algunas aplicaciones y servicios se hospedan en la nube y otros de forma local. Estas mejoras incluyen:
Privileged Access Management
Privileged Access Management (PAM) ayuda a mitigar los problemas de seguridad de los entornos de Active Directory que vienen provocados por técnicas de robo de credenciales como Pass-The-Hash, phishing de objetivo definido y tipos de ataques similares. Proporciona una nueva solución de acceso administrativo que se configura mediante Microsoft Identity Manager (MIM). PAM incluye lo siguiente:
Un nuevo bosque bastión de Active Directory, aprovisionado por MIM. El bosque bastión tiene una relación de confianza de PAM especial con un bosque existente. Proporciona un nuevo entorno de Active Directory que se sabe que está libre de cualquier actividad malintencionada, así como aislamiento de un bosque existente para el uso de cuentas con privilegios.
Nuevos procesos de MIM para solicitar privilegios administrativos, así como nuevos flujos de trabajo basados en la aprobación de solicitudes.
Nuevas entidades de seguridad (o grupos) de instantáneas que MIM aprovisiona en el bosque bastión en respuesta a las solicitudes de privilegios administrativos. Las entidades de seguridad de instantáneas tienen un atributo que hace referencia al SID de un grupo administrativo en un bosque existente. Esto permite que el grupo de instantáneas acceda a los recursos de un bosque existente sin cambiar ninguna lista de control de acceso (ACL).
Una característica de vínculos con fecha de expiración, que permite la pertenencia con límite de tiempo a un grupo de instantáneas. Esto permite agregar un usuario al grupo solo durante el tiempo que sea necesario para realizar una tarea administrativa. La pertenencia con límite de tiempo se expresa mediante un valor de período de vida (TTL) que se propaga a la vigencia de un vale Kerberos.
Nota
Los vínculos con fecha de expiración están disponibles en todos los atributos vinculados, pero la relación de los atributos vinculados member/memberOf entre un grupo y un usuario es el único ejemplo en el que una solución completa, como PAM, está preconfigurada para usar la característica de vínculos con fecha de expiración.
Se han integrado mejoras de KDC en los controladores de dominio de Active Directory para restringir la vigencia del vale Kerberos al valor de período de vida (TTL) más bajo posible en los casos en los que un usuario tiene varias pertenencias con límite de tiempo en grupos administrativos. Por ejemplo, si se le agrega a un grupo A con límite de tiempo, cuando inicie sesión, la duración del vale de concesión de vales (TGT) de Kerberos es igual al tiempo que le queda en el grupo A. Si también es miembro de otro grupo B con límite de tiempo, que tiene un TTL más bajo que el grupo A, la duración del TGT es igual al tiempo que le queda en el grupo B.
Nuevas capacidades de supervisión que ayudarán a identificar fácilmente quién ha solicitado el acceso, qué acceso se ha concedido y qué actividades se han realizado.
Requisitos de Privileged Access Management
Administrador de identidades de Microsoft
Nivel funcional de bosque de Active Directory de Windows Server 2012 R2 o superior.
Unión a Microsoft Entra
La unión de Microsoft Entra mejora las experiencias de identidad para clientes empresariales, de negocio y educativos, con capacidades mejoradas para dispositivos corporativos y personales.
Ventajas:
Disponibilidad de una configuración moderna en dispositivos Windows propiedad de la empresa. Las capacidades principales de Windows ya no requieren una cuenta personal de Microsoft: ahora se ejecutan en las cuentas profesionales existentes de los usuarios para garantizar el cumplimiento. Estos servicios funcionarán en equipos que estén unidos a un dominio de Windows local y en equipos y dispositivos que estén "unidos" a Microsoft Entra. Estas opciones incluyen:
- Itinerancia o personalización, configuración de accesibilidad y credenciales
- Copias de seguridad y restauración
- Acceso a Microsoft Store con una cuenta profesional
- Notificaciones e iconos dinámicos
Acceda a los recursos de la organización en dispositivos móviles (teléfonos, tabletas) que no se pueden unir a un dominio de Windows, ya sean propiedad de la empresa o BYOD.
Inicio de sesión único en Office 365 y otras aplicaciones, sitios web y recursos de la organización.
En dispositivos BYOD, agregue una cuenta profesional (desde un dominio local o Azure AD) a un dispositivo de propiedad personal y disfrute del inicio de sesión único en recursos de trabajo, a través de aplicaciones y en la web, de tal forma que le ayude a garantizar el cumplimiento de nuevas capacidades, como el control de cuentas condicional y la Atestación de estado de dispositivo.
La integración de MDM le permite inscribir automáticamente dispositivos en su herramienta de administración de dispositivos móviles (MDM) (Microsoft Intune o de terceros).
Configure el modo de pantalla completa y dispositivos compartidos para varios usuarios de la organización.
La experiencia de desarrollador permite crear aplicaciones que satisfacen contextos tanto empresariales como personales con una pila de programación común.
La opción de digitalización permite elegir entre la creación de imágenes y dejar que los usuarios configuren los dispositivos propiedad de la empresa directamente durante la experiencia de primera ejecución.
Para obtener más información, vea Introducción a la administración de dispositivos en Azure Active Directory.
Windows Hello para empresas
Windows Hello para empresas es un método de autenticación basado en claves dirigido a organizaciones y consumidores que no se limita a las contraseñas. Esta forma de autenticación se basa en la vulneración, el robo y credenciales resistentes al phishing (suplantación de identidad).
El usuario inicia sesión en el dispositivo con una información de inicio de sesión biométrica o de PIN que está vinculada a un certificado o a un par de claves asimétricas. Los proveedores de identidades (IDP) validan el usuario mediante la asignación de la clave pública del usuario a IDLocker, y proporcionan información de inicio de sesión mediante una contraseña de un solo uso (OTP), teléfono o un mecanismo de notificación diferente.
Para obtener más información, consulte Windows Hello para empresas.
Desuso del servicio de replicación de archivos (FRS) y los niveles funcionales de Windows Server 2003
Aunque el servicio de replicación de archivos (FRS) y los niveles funcionales de Windows Server 2003 ya estaban en desuso en versiones anteriores de Windows Server, no está de más reiterar que el sistema operativo Windows Server 2003 ya no es compatible. Como resultado, todos los controladores de dominio que ejecuten Windows Server 2003 deben quitarse del dominio. El nivel funcional de dominio y de bosque debe elevarse al menos a Windows Server 2008 para impedir que un controlador de dominio que ejecuta una versión anterior de Windows Server se agregue al entorno.
En los niveles funcionales de dominio de Windows Server 2008 y superior, se usa la Replicación del sistema de archivos distribuido (DFS) para replicar el contenido de la carpeta SYSVOL entre controladores de dominio. Si se crea un dominio en el nivel funcional de dominio de Windows Server 2008 o superior, se usará automáticamente la Replicación DFS para replicar la carpeta SYSVOL. Si se ha creado el dominio en un nivel funcional inferior, tendrá que cambiar de usar FRS a la replicación DFS en la carpeta SYSVOL. Para conocer los pasos de migración, puedes seguir este procedimiento o consultar el conjunto de pasos simplificado en el blog de contenedor de archivos del equipo de almacenamiento.
Para obtener más información, consulte los siguientes recursos: