Novidades no Active Directory Domain Services para Windows Server 2016
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Os novos recursos a seguir no AD DS melhoram a capacidade das organizações protegerem ambientes do Active Directory e os ajudam a migrar para implantações apenas na nuvem e implantações híbridas, pois alguns aplicativos e serviços são hospedados na nuvem e outros são hospedados localmente. As melhorias incluem:
Gerenciamento de acesso privilegiado
O PAM (gerenciamento de acesso privilegiado) ajuda a mitigar preocupações com segurança em ambientes do Active Directory que são causadas por técnicas de roubo de credenciais, como a técnica pass-the-hash, spear phishing e tipos semelhantes de ataques. Ele fornece uma nova solução de acesso administrativo configurada usando o Microsoft Identity Manager (MIM). O PAM apresenta:
Uma nova floresta do Bastion do Active Directory, que é provisionada pelo MIM. A floresta do Bastion tem uma relação de confiança especial do PAM com uma floresta existente. Ela fornece um novo ambiente do Active Directory que é conhecido por estar livre de qualquer atividade mal-intencionada, e o isolamento de uma floresta existente para o uso de contas privilegiadas.
Novos processos no MIM para solicitar privilégios administrativos, junto aos novos fluxos de trabalho com base na aprovação de solicitações.
Novas entidades de segurança de sombra (grupos)que são provisionadas na floresta do Bastion pelo MIM em resposta a solicitações de privilégio administrativo. As entidades de segurança de sombra têm um atributo que faz referência ao SID de um grupo administrativo em uma floresta existente. Isso permite que o grupo de sombra acesse recursos em uma floresta existente sem alterar as ACLs (listas de controle de acesso).
Um recurso de links em expiração, que permite a associação com limite de tempo em um grupo de sombras. Um usuário pode ser adicionado ao grupo pelo tempo necessário para executar uma tarefa administrativa. A associação com limite de tempo é expressa por um valor TTL (vida útil) propagado para um tempo de vida do tíquete Kerberos.
Observação
Os links em expiração estão disponíveis em todos os atributos vinculados. Mas a relação de atributo vinculado member/memberOf entre um grupo e um usuário é o único exemplo em que uma solução completa, como o PAM, é pré-configurada para usar o recurso de links em expiração.
Os aprimoramentos do KDC são integrados aos controladores de domínio do Active Directory para restringir o tempo de vida do tíquete Kerberos ao menor valor de TTL (vida útil possível) nos casos em que um usuário tem várias associações com limite de tempo em grupos administrativos. Por exemplo, se você for adicionado a um grupo A com tempo limite, quando fizer logon, o tempo de vida do TGT (tíquete de concessão de tíquete Kerberos) será igual ao tempo que resta do grupo A. Se você também for membro de outro grupo B com limite de tempo, que tem um TTL inferior ao do grupo A, o tempo de vida do TGT será igual ao tempo restante do grupo B.
Novos recursos de monitoramento para ajudar a identificar facilmente quem solicitou acesso, qual acesso foi concedido e quais atividades foram executadas.
Requisitos para o gerenciamento de acesso privilegiado
Gerenciador de Identidades da Microsoft
Nível funcional da floresta do Active Directory do Windows Server 2012 R2 ou superior.
Ingresso no AD do Azure
O Ingresso no Azure Active Directory aprimora as experiências de identidade de clientes corporativos, empresariais e EDU com recursos aprimorados para dispositivos corporativos e pessoais.
Benefícios:
Disponibilidade de configurações modernas em dispositivos Windows de propriedade corporativa. Os Serviços do Oxygen não exigem mais uma conta pessoal da Microsoft: agora eles executam as contas corporativas existentes dos usuários para garantir a conformidade. Os Serviços do Oxygen funcionarão em computadores ingressados em um domínio local do Windows e em computadores e dispositivos que estão "ingressados" no locatário do Azure AD ("domínio de nuvem"). Essas configurações incluem:
- Roaming ou personalização, configurações de acessibilidade e credenciais
- Backup e restauração
- Acesso à Microsoft Store com conta corporativa
- Blocos dinâmicos e notificações
Acesso a recursos organizacionais em dispositivos móveis (telefones, tablets) que não podem ser conectados a um domínio do Windows, sejam eles de propriedade corporativa ou BYOD.
Logon único para o Office 365 e outros aplicativos, sites e recursos organizacionais.
Em dispositivos BYOD, adicione uma conta corporativa (de um domínio local ou do Azure AD) a um dispositivo de propriedade pessoal e aproveite o SSO para trabalhar com recursos, por meio de aplicativos e na Web, de uma forma que ajude a garantir a conformidade com novas funcionalidades, como o Controle de Conta Condicional e o Atestado de Integridade do Dispositivo.
A integração do MDM permite registrar automaticamente dispositivos no MDM (Intune ou terceiros).
Configurar o modo de "quiosque" e dispositivos compartilhados para vários usuários na organização.
A experiência do desenvolvedor permite que você crie aplicativos que atendam a contextos corporativos e pessoais com uma pilha de programação compartilhada.
A opção Geração de imagens possibilita escolher entre imagens e permitir que os usuários configurem dispositivos de propriedade corporativa diretamente durante a experiência de primeira execução.
Para saber mais, confira Introdução ao gerenciamento de dispositivos no Azure Active Directory.
Windows Hello for Business
O Windows Hello para Empresas é uma nova abordagem de autenticação com base em chave para empresas e consumidores que vai além de senhas. Essa forma de autenticação depende de credenciais resistentes a phishing, violação e roubo.
O usuário faz logon no dispositivo com informações biométricas ou PIN que são vinculadas a um certificado ou a um par de chaves assimétricas. Os IDPs (Provedores de identidade) validam o usuário mapeando a chave pública do usuário para o IDLocker e fornecem informações de logon por meio de OTP (senha de uso único), Telefone ou um mecanismo de notificação diferente.
Para saber mais, confira Windows Hello para Empresas
Substituição dos níveis funcionais do FRS (serviço de replicação de arquivos) e do Windows Server 2003
Embora o FRS e os níveis funcionais do Windows Server 2003 tenham sido preteridos em versões anteriores do Windows Server, vale repetir que não há mais suporte para o sistema operacional do Windows Server 2003. Como resultado, qualquer controlador de domínio que execute o Windows Server 2003 deve ser removido do domínio. O nível funcional de domínio e floresta deve ser elevado para pelo menos o Windows Server 2008 para impedir que um controlador de domínio executando uma versão anterior do Windows Server seja adicionado ao ambiente.
Nos níveis funcionais de domínio do Windows Server 2008 e superior, a replicação do DFS (serviço de arquivos distribuído) é usada para replicar o conteúdo da pasta SYSVOL entre controladores de domínio. Se você criar um novo domínio no nível funcional de domínio do Windows Server 2008 ou superior, a Replicação do DFS será usada automaticamente para replicar a pasta SYSVOL. Se você criou o domínio em um nível funcional inferior, será necessário migrar o uso do FRS para a Replicação do DFS para a pasta SYSVOL. Para ver as etapas de migração, siga estas etapas ou consulte o conjunto de etapas simplificadas no blog Gabinete de Arquivos da Equipe de Armazenamento.
Os níveis funcionais de domínio e floresta do Windows Server 2003 continuam com suporte, mas as organizações devem elevar o nível funcional para o Windows Server 2008 (ou superior, se possível) para garantir a compatibilidade e o suporte à replicação SYSVOL no futuro. Além disso, há muitos outros benefícios e recursos disponíveis nos níveis funcionais superiores. Para saber mais, consulte os recursos a seguir: