Новые возможности служб домен Active Directory для Windows Server 2016

  • Статья

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Следующие новые функции в службах домен Active Directory (AD DS) позволяют организациям защитить среды Active Directory и помочь им перенестися в облачные развертывания и гибридные развертывания, где некоторые приложения и службы размещаются в облаке, а другие — локально. В них сочетаются все лучшие возможности веб-заданий, а также добавлены некоторые улучшения, среди которых:

Управление привилегированным доступом

Управление привилегированным доступом (PAM) помогает устранить проблемы безопасности для сред Active Directory, вызванных методами кражи учетных данных, такими методами сквозного хэша, фишинга копья и аналогичных типов атак. Он предоставляет новое решение для административного доступа, настроенное с помощью Microsoft Identity Manager (MIM). В paM представлено:

  • Новый лес Бастиона Active Directory, подготовленный MIM. Лес бастиона имеет особое доверие PAM с существующим лесом. Он предоставляет новую среду Active Directory, которая, как известно, свободна от вредоносных действий и изоляции от существующего леса для использования привилегированных учетных записей.

  • Новые процессы в MIM для запроса прав администратора вместе с новыми рабочими процессами на основе утверждения запросов.

  • Новые теневые субъекты безопасности (группы), подготовленные в лесу бастиона MIM в ответ на запросы прав администратора. Субъекты безопасности тени имеют атрибут, ссылающийся на идентификатор безопасности административной группы в существующем лесу. Это позволяет теневой группе получать доступ к ресурсам в существующем лесу без изменения списков управления доступом (ACL).

  • Функция с истекающим сроком действия ссылок, которая обеспечивает членство в теневой группе с ограничением времени. Пользователь может быть добавлен в группу в течение достаточного времени, необходимого для выполнения административной задачи. Членство, связанное с временем, выражается значением времени жизни (TTL), которое распространяется на время существования билета Kerberos.

    Примечание.

    Ссылки с истекающим сроком действия доступны для всех связанных атрибутов. Но связь атрибута member/memberOf между группой и пользователем является единственным примером, в котором предварительно настроено полное решение, например PAM, для использования функции просроченных ссылок.

  • Усовершенствования KDC встроены в контроллеры домена Active Directory, чтобы ограничить время существования билета Kerberos самым низким значением времени в реальном времени (TTL) в случаях, когда пользователь имеет несколько членства в административных группах с несколькими временными ограничениями. Например, если вы добавляете в группу A с ограничением времени, то при входе время существования билета Kerberos (TGT) равно времени, оставшегося в группе A. Если вы также являетесь членом другой группы B с ограничением времени, которая имеет более низкий срок жизни, чем группа A, то время существования TGT равно времени, оставшегося в группе B.

  • Новые возможности мониторинга помогут вам легко определить, кто запрашивал доступ, какой доступ был предоставлен, и какие действия были выполнены.

Требования к управлению привилегированным доступом

  • Диспетчер удостоверений (Майкрософт)

  • Функциональный уровень леса Active Directory Windows Server 2012 R2 или более поздней версии.

Присоединение к Azure AD

Присоединение к Azure Active Directory улучшает возможности идентификации для корпоративных, бизнес-клиентов и EDU с улучшенными возможностями для корпоративных и персональных устройств.

Преимущества:

  • Доступность современных Параметры на корпоративных устройствах Windows. Службы кислорода больше не требуют личной учетной записи Майкрософт: теперь они запускают существующие рабочие учетные записи пользователей для обеспечения соответствия требованиям. Службы кислорода будут работать на компьютерах, присоединенных к локальному домену Windows, а компьютеры и устройства, присоединенные к клиенту Azure AD ("облачный домен"). К этим параметрам относятся:

    • Перемещение или персонализация, параметры специальных возможностей и учетные данные
    • Резервное копирование и восстановление
    • Доступ к Microsoft Store с рабочей учетной записью
    • Живые плитки и уведомления

  • Доступ к ресурсам организации на мобильных устройствах (телефонах, планшетах), которые не могут быть присоединены к домену Windows, независимо от того, являются ли они корпоративными или BYOD.

  • Единый вход в Office 365 и другие корпоративные приложения, веб-сайты и ресурсы.

  • На устройствах BYOD добавьте рабочую учетную запись (из локального домена или Azure AD) на личное устройство и пользуются единым входом для работы ресурсов с помощью приложений и в Интернете, чтобы обеспечить соответствие новым возможностям, таким как проверка работоспособности условных учетных записей и работоспособности устройств.

  • Интеграция MDM позволяет автоматически регистрировать устройства в MDM (Intune или стороннем).

  • Настройте режим киоска и общие устройства для нескольких пользователей в организации.

  • Возможности разработчика позволяют создавать приложения, обслуживающие как корпоративные, так и личные контексты с общим стеком программирования.

  • Параметр "Образ" позволяет выбирать между образами и разрешить пользователям настраивать корпоративные устройства непосредственно во время первого запуска.

Дополнительные сведения см. в статье "Общие сведения об управлении устройствами в Azure Active Directory".

Windows Hello для бизнеса

Windows Hello для бизнеса — это подход к проверке подлинности на основе ключей для организаций и потребителей, которые выходят за рамки паролей. Эта форма проверки подлинности зависит от нарушений, кражи и фишинговых учетных данных.

Пользователь входит на устройство с информацией о входе биография или ПИН-кода, связанной с сертификатом или асимметричной парой ключей. Поставщики удостоверений (ПОСТАВЩИКИ удостоверений) проверяют пользователя, сопоставляя открытый ключ пользователя с IDLocker и предоставляя сведения о входе с помощью одного пароля (OTP), Телефон или другого механизма уведомлений.

Дополнительные сведения см. в Windows Hello для бизнеса

Нерекомендуемая служба репликации файлов (FRS) и функциональные уровни Windows Server 2003

Хотя служба репликации файлов (FRS) и функциональные уровни Windows Server 2003 устарели в предыдущих версиях Windows Server, она повторяет, что операционная система Windows Server 2003 больше не поддерживается. В результате все контроллеры домена, работающие под управлением Windows Server 2003, необходимо удалить из домена. Уровень функциональных возможностей домена и леса должен вызываться по крайней мере до Windows Server 2008, чтобы предотвратить добавление в среду более ранней версии Windows Server контроллера домена.

В режимах работы домена Windows Server 2008 и более новых версий для репликации содержимого папки SYSVOL между контроллерами домена используется репликация службы распределенных файловых систем (DFS). Если вы создаете новый домен на функциональном уровне домена Windows Server 2008 или более поздней версии, репликация DFS автоматически используется для реплика te папки SYSVOL. Если вы создали домен на более низком функциональном уровне, необходимо перейти от использования FRS в DFS реплика tion для папки SYSVOL. Для действий по миграции можно выполнить следующие действия или ознакомиться с упрощенным набором шагов в блоге служба хранилища Team File Cabinet.

Функциональные уровни домена и леса Windows Server 2003 по-прежнему поддерживаются, но организации должны повысить функциональный уровень до Windows Server 2008 (или более поздней версии), чтобы обеспечить совместимость и поддержку sysVOL реплика tion в будущем. Кроме того, существует множество других преимуществ и функций, доступных на более высоких функциональных уровнях. Дополнительные сведения см. на следующих ресурсах: