Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez aussi afficher la version anglaise dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte.
Traduction
Anglais

What's New in Active Directory Domain Services (AD DS)

 

S'applique à: Windows Server 2012

Vous pouvez utiliser les services de domaine Active Directory (AD DS) dans Windows Server pour déployer plus rapidement et plus aisément des contrôleurs de domaine (à la fois en local et dans le nuage), augmenter la flexibilité lors de l’audit et de l’autorisation de l’accès aux fichiers, et pour effectuer plus facilement les tâches administratives dans les bonnes proportions, en local ou à distance, par le biais d’expériences de gestion de scripts et graphiques cohérentes.

Les améliorations apportées aux services AD DS dans Windows Server 2012 incluent :

  • Virtualisation qui fonctionne tout simplement

    Windows Server 2012 procure une meilleure prise en charge des fonctions des nuages publics et privés par le biais de technologies sécurisées et le déploiement rapide des contrôleurs de domaine virtuels via le clonage.

  • Déploiement simplifié et préparation de la mise à niveau

    Les processus de mise à niveau et de préparation (dcpromo et adprep) ont été remplacés par un nouvel Assistant de promotion de contrôleur de domaine rationalisé qui est intégré au Gestionnaire de serveur et repose sur Windows PowerShell. Il valide les conditions préalables, automatise la préparation de la forêt et du domaine, nécessite un seul jeu d’informations d’identification d’ouverture de session et peut installer à distance les services AD DS sur un serveur cible.

  • Gestion simplifiée

    Des exemples de gestion simplifiée incluent l’intégration de l’autorisation basée sur des revendications dans les services AD DS et la plateforme Windows, deux composants essentiels d’une fonctionnalité plus importante appelée contrôle d’accès dynamique. Le contrôle d’accès dynamique contient des stratégies d’accès centralisées, des attributs d’annuaire, le moteur de classification des fichiers Windows et des identités composées combinant l’identité de l’utilisateur et de l’ordinateur. En outre, le Centre d’administration Active Directory vous permet à présent d’effectuer des tâches graphiques qui génèrent automatiquement les commandes Windows PowerShell équivalentes. Les commandes peuvent être aisément copiées et collées dans un script, ce qui simplifie l’automatisation des actions d’administration répétitives.

  • Modifications de la plateforme des services de domaine Active Directory

    La plateforme des services de domaine Active Directory contient des fonctionnalités de base, notamment les comportements « en coulisse » qui régissent les composants sur lesquels repose le reste du service d’annuaire. Les mises à jour apportées à la plateforme des services AD DS incluent une meilleure allocation et adaptation des identificateurs relatifs, la création d’index différée, de nombreuses améliorations liées à Kerberos et la prise en charge des revendications Kerberos (voirContrôle d'accès dynamique) dans les services AD FS.

Active Directory et les services AD DS ont été au centre de l’infrastructure informatique pendant plus de 10 ans et leurs fonctionnalités, leur adoption et leur valeur commerciale n’ont cessé de croître version après version. Aujourd’hui, la majorité de cette infrastructure Active Directory demeure en local, mais il existe une tendance émergente vers l’informatique en nuage. L’adoption de l’informatique en nuage, toutefois, ne va pas se faire du jour au lendemain et la migration des applications ou charges de travail locales appropriées est un exercice incrémentiel et à long terme. De nouvelles infrastructures hybrides vont apparaître et il est essentiel que les services AD DS prennent en charge les besoins de ces nouveaux et uniques modèles de déploiement qui incluent des services hébergés entièrement dans le nuage, des services qui contiennent des composants de nuage et des composants locaux, et des services qui demeurent exclusivement en local. Ces modèles hybrides vont augmenter l’importance et la visibilité relatives à la sécurité et à la compatibilité, et vont compliquer l’exercice déjà complexe et long de vérification que l’accès aux services et données d’entreprise est audité convenablement et exprime de façon précise les intentions professionnelles.

Les sections suivantes décrivent la façon dont les services AD DS dans Windows Server 2012 répondent à ces besoins émergents.

Pour plus d’informations sur l’installation des services AD DS, voir Déployer les services de domaine Active Directory (AD DS) dans votre entreprise et Mettre à niveau des contrôleurs de domaine vers Windows Server 2012.

Les services AD DS dans Windows Server 2012 vous permettent de déployer des contrôleurs de domaine virtuels répliqués en « clonant » des contrôleurs de domaine virtuels existants. Vous pouvez promouvoir un seul contrôleur de domaine virtuel en utilisant l’interface de promotion du contrôleur de domaine dans le Gestionnaire de serveur, puis déployer rapidement d’autres contrôleurs de domaine virtuels au sein du même domaine via le clonage.

Le processus de clonage implique la création d’une copie d’un contrôleur de domaine virtuel existant, l’autorisation de cloner le contrôleur de domaine source dans les services AD DS et l’exécution d’applets de commande Windows PowerShell pour créer un fichier de configuration qui contient des instructions de promotion détaillées (nom, adresse IP, serveurs DNS [Domain Name System], etc.). Vous pouvez également laisser le fichier de configuration vide, ce qui permet au système de remplir automatiquement les informations. Le clonage réduit le nombre des étapes et le temps nécessaires en éliminant les tâches de déploiement répétitives, et il vous permet de déployer pleinement d’autres contrôleurs de domaine qui sont autorisés et configurés pour le clonage par l’administrateur de domaine Active Directory.

Pour plus d’informations sur le clonage des contrôleurs de domaine virtualisés, voir Virtualisation des services de domaine Active Directory (AD DS).

Les services AD DS sont virtualisés depuis plusieurs années, mais des fonctionnalités présentes dans la plupart des hyperviseurs peuvent invalider de solides hypothèses émises par les algorithmes de réplication Active Directory. Pour l’essentiel, les horloges logiques qui sont utilisées par les contrôleurs de domaine pour déterminer les niveaux relatifs de convergence ne font qu’avancer dans le temps. Dans Windows Server 2012, un contrôleur de domaine virtuel utilise un identificateur unique qui est exposé par l’hyperviseur. Il est désigné sous le nom d’ID de génération d’ordinateur virtuel. L’ID de génération d’ordinateur virtuel est modifié chaque fois que l’ordinateur virtuel est confronté à un événement qui affecte sa position dans le temps. L’ID de génération d’ordinateur virtuel est exposé à l’espace d’adressage de l’ordinateur virtuel dans son BIOS et il est mis à la disposition du système d’exploitation et des applications par le biais d’un pilote dans Windows Server 2012.

Pendant le démarrage et avant d’effectuer toute transaction, un contrôleur de domaine virtuel exécutant Windows Server 2012 compare la valeur actuelle de l’ID de génération d’ordinateur virtuel à la valeur stockée dans l’annuaire. Une incompatibilité est interprétée comme un événement de « restauration » et le contrôleur de domaine utilise des mécanismes de protection des services AD DS qui sont nouveaux dans Windows Server 2012. Ces mécanismes de protection autorisent le contrôleur de domaine virtuel à converger avec d’autres contrôleurs de domaine et empêchent le contrôleur de domaine virtuel de créer des principaux de sécurité dupliqués. Pour que les contrôleurs de domaine virtuels Windows Server 2012 obtiennent ce niveau supplémentaire de protection, le contrôleur de domaine virtuel doit être hébergé sur un hyperviseur prenant en charge l’ID de génération d’ordinateur virtuel, tel que Windows Server 2012 avec le rôle Hyper-V.

Pour plus d’informations sur la fonctionnalité de la technologie sécurisée pour la virtualisation, voir Virtualisation des services de domaine Active Directory (AD DS).

Le déploiement des services AD DS dans Windows Server 2012 intègre toutes les étapes requises pour déployer de nouveaux contrôleurs de domaine dans une seule interface graphique. Il nécessite uniquement les informations d’identification de niveau entreprise et il peut préparer la forêt ou le domaine en ciblant à distance les rôles de maître d’opérations appropriés. Le nouveau processus de déploiement procède à des tests de validation des conditions préalables poussés qui réduisent les risques d’erreurs susceptibles autrement de bloquer ou ralentir l’installation. Le processus d’installation des services AD DS repose sur Windows PowerShell, est intégré au Gestionnaire de serveur, peut cibler plusieurs serveurs et déployer à distance des contrôleurs de domaine, ce qui aboutit à une expérience de déploiement plus simple, plus cohérente et moins chronophage. La figure suivante illustre l’Assistant Configuration des services de domaine Active Directory dans Windows Server 2012.

Examiner les options

Figure 1   Assistant Configuration des services de domaine Active Directory

Une installation des services AD DS comprend les fonctionnalités suivantes :

  • Intégration d’Adprep.exe dans le processus d’installation AD DS. Réduit le temps nécessaire à l’installation des services AD DS et le risque d’erreurs susceptibles de bloquer la promotion du contrôleur de domaine.

  • Installation du rôle serveur des services AD DS, qui repose sur Windows PowerShell et peut s’exécuter à distance sur plusieurs serveurs. Réduit la probabilité d’erreurs d’administration et le temps total requis pour l’installation, en particulier lorsque vous déployez plusieurs contrôleurs de domaine sur des régions et domaines globaux.

  • Validation des conditions préalables dans l’Assistant Configuration des services de domaine Active Directory. Les erreurs potentielles sont identifiées avant le début de l’installation. Vous pouvez corriger les conditions d’erreur avant qu’elles ne se produisent et éviter ainsi les problèmes résultant d’une mise à niveau partiellement terminée.

  • Les pages de configuration sont regroupées en une séquence qui reflète les exigences des options de promotion les plus courantes avec des options associées regroupées dans un nombre réduit de pages de l’Assistant. Le contexte dans lequel s’opère la sélection des options d’installation s’en trouve amélioré. Cela permet également de réduire le nombre d’étapes et la durée nécessaires pour effectuer l’installation du contrôleur de domaine.

  • L’Assistant exporte également un script Windows PowerShell qui contient toutes les options qui ont été spécifiées pendant l’installation graphique. Il simplifie le processus par l’automatisation des installations de services de domaine Active Directory ultérieures au moyen de scripts Windows PowerShell générés automatiquement.

Pour plus d’informations sur l’intégration des services de domaine Active Directory au Gestionnaire de serveur, voir Déployer les services de domaine Active Directory (AD DS) dans votre entreprise.

Il est aujourd’hui difficile de traduire les intentions professionnelles à l’aide du modèle d’autorisation existant. Avec les fonctions existantes des entrées de contrôle d’accès, il est difficile voire impossible d’exprimer totalement des exigences. En outre, il n’existe pas de fonction d’administration centrale. Enfin, l’intensification actuelle des exigences d’une mise en conformité par rapport à des pratiques professionnelles ou à des obligations légales aggrave davantage le problème.

Les services AD DS Windows Server 2012 relèvent ces défis en introduisant les éléments suivants :

  • Nouvelle plateforme d’autorisation basée sur des revendications qui améliore sans remplacer le modèle existant et qui inclut :

    • Revendications utilisateur et de périphérique

    • Revendications utilisateur+périphérique (ou identité composée)

  • Nouveau modèle de stratégies d’accès central

  • Utilisation des informations de classification des fichiers pour gérer les autorisations

  • Expérience de mise à jour de l’accès refusé plus simple

  • Stratégies d’accès et d’audit qui peuvent être définies avec souplesse et simplement :

    • IF resource.Confidentiality = high THEN audit.Success WHEN user.EmployeeType = vendor

Spécifications

  • Un ou plusieurs contrôleurs de domaine Windows Server 2012

  • Serveur de fichiers Windows Server 2012

  • Activer la stratégie de revendication dans la stratégie des contrôleurs de domaine par défaut

  • Centre d’administration Active Directory Windows Server 2012

  • Pour les revendications de périphérique, l’identité composée doit être activée au niveau du compte de service cible à l’aide de la stratégie de groupe ou en modifiant directement l’objet

Pour plus d’informations sur le contrôle d’accès dynamique, voir la section Contrôle d’accès dynamique de la bibliothèque technique.

La fonctionnalité de jonction de domaine hors connexion qui a été ajoutée aux services AD DS dans Windows Server 2008 R2 permet de manière effective aux ordinateurs clients d’être joints à un domaine sans nécessiter de connectivité réseau à un contrôleur de domaine, mais l’ordinateur client ne peut pas non plus être préconfiguré pour DirectAccess dans le cadre de la jonction de domaine.

Les services AD DS Windows Server 2012 procurent les améliorations suivantes :

  • Étendent la jonction de domaine hors connexion en permettant à l’objet Blob de prendre en compte les conditions préalables DirectAccess

    • Certificats

    • Stratégies de groupe

  • Qu’est-ce que cela signifie ?

    • Un ordinateur peut désormais être membre d’un domaine sur Internet si DirectAccess est activé sur le domaine

    • Le placement de l’objet Blob sur l’ordinateur qui n’est pas membre d’un domaine est un processus hors connexion qui relève de la responsabilité de l’administrateur

Spécifications

  • Contrôleurs de domaine Windows Server 2012

Pour plus d’informations, voir Jonction de domaine hors connexion DirectAccess.

AD FS v2.0 n’est pas livré avec la version de Windows Server. Dans Windows Server 2012, AD FS (v2.1) est intégré en tant que rôle serveur. Ces services fournissent :

  • une configuration d’approbation simplifiée et une gestion de la relation d’approbation automatique ;

  • une prise en charge du protocole SAML ;

  • un magasin d’attributs extensible ;

  • la possibilité pour les revendications de provenir de n’importe où dans l’entreprise ;

  • les fournisseurs de services d’annuaire AD LDS (Active Directory Lightweight Directory Services) et de magasins d’attributs SQL prêts à l’emploi.

Spécifications

  • Windows Server 2012

Pour plus d’informations sur les services AD FS dans Windows Server 2012, voir AD FS.

Windows PowerShell est une technologie clé dans la création d’une expérience cohérente entre la ligne de commande et l’interface utilisateur graphique. Windows PowerShell augmente la productivité, mais nécessite également un investissement pour apprendre à l’utiliser.

Pour minimiser l’investissement dans l’apprentissage, Windows Server 2012 inclut la nouvelle Visionneuse de l’historique de Windows PowerShell. Les avantages sont les suivants :

  • Permettre aux administrateurs d’afficher les commandes Windows PowerShell exécutées lors de l’utilisation du Centre d’administration Active Directory. Par exemple :

    • L’administrateur ajoute un utilisateur à un groupe

    • L’interface utilisateur affiche la commande Windows PowerShell pour Active Directory équivalente

    • L’administrateur copie la syntaxe produite et l’intègre dans un script

    • La courbe d’apprentissage de Windows PowerShell est réduite

    • La confiance dans les scripts est meilleure

    • La détectabilité de Windows PowerShell est encore améliorée

Spécifications

  • Centre d’administration Active Directory Windows Server 2012

Pour plus d’informations sur la Visionneuse de l’historique de Windows PowerShell, voir Introduction aux améliorations du Centre d’administration Active Directory.

La fonctionnalité de la Corbeille Active Directory introduite avec Windows Server® 2008 R2 offrait une architecture permettant une récupération complète des objets. Les scénarios qui nécessitent une récupération des objets à l’aide de la Corbeille Active Directory ont généralement une priorité haute, comme la récupération après une suppression accidentelle, qui peut par exemple aboutir à des échecs d’ouvertures de sessions ou à des arrêts de l’activité. Toutefois, l’absence d’une riche interface utilisateur graphique a compliqué son utilisation et ralenti la récupération.

Pour relever ce défi, les services AD DS Windows Server 2012 ont une interface utilisateur pour la Corbeille Active Directory qui offre les avantages suivants :

  • Simplifie la récupération des objets par l’inclusion d’un nœud Objets supprimés dans le Centre d’administration Active Directory

    • Les objets supprimés peuvent à présent être récupérés dans l’interface utilisateur graphique

  • Réduit le temps de récupération en fournissant une vue cohérente et détectable de l’objet supprimé

Spécifications

  • Les conditions requises relatives à la Corbeille doivent être satisfaites :

    • Niveau fonctionnel de forêt Windows Server 2008 R2

    • La fonctionnalité facultative de la Corbeille doit être activée

  • Centre d’administration Active Directory Windows Server 2012

  • Les objets nécessitant une récupération doivent avoir été supprimés au cours de la durée de vie de l’objet supprimé

    • Par défaut, la durée de vie de l’objet supprimé est de 180 jours

Pour plus d’informations sur l’interface utilisateur pour la Corbeille des services AD DS, voir Introduction aux améliorations du Centre d’administration Active Directory.

La fonction de stratégie de mot de passe affinée introduite avec Windows Server 2008 a fourni une gestion plus précise des stratégies de mot de passe. Afin de tirer parti de la fonctionnalité, les administrateurs devaient créer manuellement des objets PSO (Password Settings Object). Il s’est révélé difficile de garantir que les valeurs de stratégies définies manuellement adoptaient le comportement souhaité, ce qui aboutissait à des tâtonnements qui prenaient beaucoup de temps.

Dans Windows Server 2012 :

  • La création, la modification et l’affectation des objets PSO sont à présent gérées par le biais du Centre d’administration Active Directory

  • La gestion des objets PSO est considérablement simplifiée

Spécifications

  • Les conditions requises relatives à la stratégie de mot de passe affinée doivent être satisfaites :

    • Niveau fonctionnel de domaine Windows Server® 2008

  • Centre d’administration Active Directory Windows Server 2012

Pour plus d’informations sur l’interface utilisateur pour les stratégies de mot de passe affinées, voir Introduction aux améliorations du Centre d’administration Active Directory.

Les administrateurs nécessitent plusieurs outils pour gérer la topologie du site Active Directory

  • repadmin

  • ntdsutil

  • Sites et Services Active Directory

L’utilisation de plusieurs outils aboutit à une expérience incohérente qui est difficile à automatiser.

En utilisant les services AD DS Windows Server 2012, les administrateurs peuvent :

  • Gérer la réplication et la topologie de site avec Windows PowerShell

    • Créer et gérer des sites, liens de sites, ponts entre liens de sites, sous-réseaux et connexions

    • Répliquer des objets entre les contrôleurs de domaine

    • Afficher les métadonnées de réplication sur les attributs d’objet

    • Afficher les échecs de réplication

  • Tirer parti d’une expérience cohérente et facilement scriptable

  • Être compatibles et fonctionner avec d’autres applets de commande Windows PowerShell

Spécifications

  • Service Web Active Directory (également appelé Passerelle de gestion Active Directory pour Windows Server 2003 ou Windows Server 2008)

  • Contrôleur de domaine Windows Server 2012 ou Windows Server 2012 avec les Outils d’administration de rôles pour les services AD DS et AD LDS installés

Pour plus d’informations sur les applets de commande Windows PowerShell pour gérer la topologie et la réplication Active Directory, voir Gestion de la topologie et de la réplication Active Directory avec Windows PowerShell.

Aujourd’hui, les licences en volume pour Windows et Office nécessitent des serveurs du service de gestion des clés (KMS, Key Management Service). Cette solution requiert un minimum de formation et représente une solution clés en main qui couvre environ 90 % des déploiements.

Toutefois, cette solution est complexe en raison du manque d’une console d’administration graphique. La solution requiert le trafic RPC sur le réseau, ce qui complique les choses, et ne prend en charge aucun type d’authentification. Le contrat de licence utilisateur final (CLUF) empêche le client de connecter le serveur KMS à un réseau externe. Par exemple, la connectivité seule au service est égale à activated.

Dans Windows Server 2012, l’activation basée sur Active Directory procure les améliorations suivantes :

  • Utilise votre infrastructure Active Directory existante pour activer vos clients

    • Aucun autre ordinateur requis

    • Aucune exigence RPC ; utilise exclusivement LDAP

    • Contrôleurs de domaine en lecture seule compris

  • Au-delà des exigences spécifiques au service et à l’installation, aucune donnée n’est réécrite sur l’annuaire

    • L’activation de la clé de produit de licence en volume spécifique au client (CSVLK) initiale nécessite :

      • Contact unique avec les services d’activation Microsoft sur Internet (identique à l’activation de la version commerciale)

      • Clé entrée en utilisant le rôle serveur d’activation en volume ou la ligne de commande

      • Processus d’activation à répéter pour d’autres forêts, jusqu’à 6 fois par défaut

  • Objet d’activation géré dans la partition de configuration

    • Représente une preuve d’achat

    • Les ordinateurs peuvent être membres de tout domaine de la forêt

  • Tous les ordinateurs Windows 8 sont automatiquement activés

Spécifications

  • Seuls les ordinateurs Windows 8 peuvent tirer parti de l’activation basée sur Active Directory (AD BA)

  • KMS et AD BA peuvent coexister

    • Vous avez toujours besoin de KMS si vous voulez des licences en volume de niveau inférieur

  • Requiert le schéma Active Directory Windows Server 2012, et non les contrôleurs de domaine Windows Server 2012

Pour plus d’informations sur l’activation basée sur Active Directory (AD BA), voir ce qui suit :

Les comptes de service administrés ont été introduits avec Windows Server 2008 R2. Les services en cluster ou à charge équilibrée qui devaient partager un principal de sécurité unique n’étaient pas pris en charge. Par conséquent, les comptes de service administrés ne pouvaient pas être utilisés dans de nombreux scénarios voulus.

Windows Server 2012 contient les modifications suivantes :

  • Introduit un nouveau type de principal de sécurité connu sous le nom de compte de service administré de groupe

  • Les services exécutés sur plusieurs hôtes peuvent être exécutés sous le même compte de service administré de groupe

  • Un ou plusieurs contrôleurs de domaine Windows Server 2012 requis

    • Les comptes de service administrés de groupe peuvent s’authentifier sur tous les contrôleurs de domaine qui exécutent une version de Windows Server

    • Mots de passe calculés par le service de distribution de clés de groupe exécuté sur tous les contrôleurs de domaine Windows Server 2012

  • Les hôtes Windows Server 2012 utilisant des comptes de service administrés de groupe obtiennent un mot de passe et des mises à jour de mot de passe auprès du service de distribution de clés de groupe

    • Récupération du mot de passe limitée aux ordinateurs autorisés

  • Intervalle de modification de mot de passe défini au moment de la création du compte de service administré de groupe (30 jours par défaut)

  • Comme les comptes de service administrés, les comptes de service administrés de groupe sont pris en charge uniquement par le Gestionnaire de contrôle des services Windows et les pools d’applications IIS

Spécifications

  • Schéma Active Directory Windows Server 2012 mis à jour dans les forêts contenant des comptes de service administrés de groupe

  • Un ou plusieurs contrôleurs de domaine Windows Server 2012 pour fournir le calcul et la récupération du mot de passe

  • Seuls les services exécutés sur Windows Server 2012 peuvent utiliser des comptes de service administrés de groupe

Pour plus d’informations sur les comptes de service administrés de groupe, voir Vue d’ensemble des comptes de service administrés de groupe.

De nombreuses modifications ont été apportées à la plateforme en matière d’extensibilité, de limitation et de sécurité. Ces zones de modifications sont notamment les suivantes :

AD FS v2.0 est en mesure de générer des revendications utilisateur directement depuis des jetons Windows NT. AD FS v2.0 était également en mesure de développer davantage les revendications selon des attributs dans les services AD DS et d’autres magasins d’attributs.

Dans Windows Server 2012, les tickets Kerberos peuvent être remplis avec des attributs d’utilisateur et de périphérique servant de revendications. AD FS 2.0 ne peut pas lire les revendications des tickets Kerberos. Par conséquent, un appel LDAP séparé à Active Directory doit être passé pour fournir les revendications d’attributs d’utilisateur. Par contre, AD FS 2.0 ne peut tirer aucun parti des revendications d’attributs de périphérique.

AD FS v2.1 dans Windows Server 2012 est en mesure de remplir les jetons SAML avec des revendications utilisateur et de périphérique provenant directement du ticket Kerberos.

Spécifications

  • Contrôle d’accès dynamique activé et configuré

  • L’identité composée doit être activée pour le compte de service des services fédérés Active Directory (AD FS)

  • AD FS v2.1 Windows Server 2012

Pour plus d’informations sur les services AD FS dans Windows Server 2012, voir AD FS.

Les améliorations liées à l’ID relatif (RID) suivantes dans Windows Server 2012 permettent de mieux réagir à toute insuffisance potentielle de l’espace de pool RID global :

  • Avertissement lié à la consommation de l’ID relatif (RID) périodique

    • À 10 % de l’espace global restant, le système consigne un événement d’information

      • Premier événement lorsque 100 000 000 ID relatifs sont utilisés, second événement consigné à 10 % des ID relatifs restants

        • ID relatifs restants = 900 000 000

        • 10 % des ID relatifs restants = 90 000 000

      • Second événement consigné à 190 000 000

        • Consommation des ID relatifs (RID) existants plus 10 % des ID relatifs restants

    • Les événements deviennent plus fréquents à mesure que l’espace global se réduit

  • Mécanisme de protection du plafond artificiel du gestionnaire RID

    • Un plafond souple qui représente 90 % de l’espace RID global et n’est pas configurable

    • Le plafond souple est considéré comme « atteint » lorsqu’un pool RID contenant les 90 % de l’espace RID est émis

    • Bloque les allocations supplémentaires de pools RID

      • Lorsque le plafond est atteint, le système affecte à l’attribut msDS-RIDPoolAllocationEnabled de l’objet RID Manager$ la valeur FALSE. Un administrateur doit lui réaffecter la valeur TRUE pour l’annuler.

    • Un événement est consigné pour indiquer que le plafond est atteint

      • Un avertissement initial est consigné lorsque l’espace RID global atteint 80 %

    • L’attribut peut uniquement recevoir la valeur FALSE de SYSTEM et est masterisé par le maître RID (par exemple, son écriture sur le maître RID)

      • L’administrateur de domaine peut lui réaffecter la valeur TRUE

        System_CAPS_noteRemarque

        Il a la valeur TRUE par défaut

  • Augmentation de l’espace RID global par domaine, ce qui double le nombre de principaux de sécurité qui peuvent être créés pendant la durée de vie d’un domaine (de 1 milliard à 2 milliards).

Spécifications

  • Maître RID Windows Server 2012

  • Contrôleurs de domaine Windows Server 2012

Pour plus d’informations sur les améliorations liées à l’ID relatif (RID), voir Gestion de l'émission RID.

Auparavant, la création d’index pouvait avoir un impact négatif sur les performances des contrôleurs de domaine.Windows Server 2012 introduit une nouvelle fonctionnalité qui permet aux administrateurs de forêts de différer la création d’index à un moment de leur choix. Par défaut, les contrôleurs de domaine créent des index lorsqu’ils reçoivent la modification de schéma appropriée par réplication. Dans Windows Server 2012, un nouvel indicateur DSheuristic a été introduit pour contrôler si les contrôleurs de domaine diffèrent ou non la création d’index. Les détails sont les suivants :

  • L’affectation de la valeur 1 au 19è octet a pour conséquence que chaque contrôleur de domaine Windows Server 2012 (les contrôleurs de domaine qui exécutent des systèmes d’exploitation antérieurs ignorent ce paramètre) diffère la création d’index jusqu’à :

    • ce qu’il reçoive la modification rootDSE UpdateSchemaNow (qui déclenche la reconstruction du cache de schéma)

    • ce qu’il soit redémarré (ce qui nécessite la recréation du cache de schéma et, à leur tour, des index différés)

  • Tout attribut qui est dans un état d’index différé sera consigné dans le journal des événements toutes les 24 heures

    • 2944 : Index différé – consigné une seule fois

    • 2945 : Index toujours en attente – consigné toutes les 24 heures

    • 1137 : Index créé – consigné une seule fois (pas un nouvel événement)

Spécifications

  • Contrôleurs de domaine Windows Server 2012

La délégation Kerberos contrainte (KCD) a été introduite avec Windows Server 2003. La délégation KCD permet à un compte de service (frontal) d’agir de la part des utilisateurs dans des applications intermédiaires pour un ensemble limité de services principaux. Par exemple :

  1. L’utilisateur accède au site Web sous le nom user1

  2. L’utilisateur demande des informations au site Web (frontal) qui demande au serveur Web d’interroger une base de données SQL (principale)

  3. L’accès à ces données est accordé en fonction de la personne qui a accédé au site frontal

  4. Dans ce cas, le service Web doit emprunter l’identité de l’utilisateur user1 lors de sa demande à SQL

Le frontal devait être configuré avec les services, par le nom de principal du service (SPN), pour lesquels il peut emprunter l’identité des utilisateurs. L’installation et l’administration nécessitent des informations d’identification d’administrateur du domaine. La délégation KCD fonctionne uniquement pour les services principaux dans le même domaine que les comptes de service frontaux.

La délégation KCD dans Windows Server 2012 transfère la décision d’autorisation aux propriétaires des ressources, ce qui procure les avantages suivants :

  • Permet à la base de données principale de décider quels comptes de service frontaux sont autorisés à emprunter l’identité des utilisateurs par rapport à leurs ressources

  • Prend en charge les scénarios entre domaines et entre forêts

  • Ne nécessite plus de privilèges d’administrateur du domaine

    • Nécessite uniquement une autorisation d’administration sur le compte de service principal

Spécifications

  • Clients exécutant Windows XP ou version ultérieure

  • Contrôleurs du domaine du client exécutant Windows Server 2003 ou version ultérieure

  • Serveur frontal exécutant Windows Server 2012

  • Un ou plusieurs contrôleurs de domaine dans le domaine frontal exécutant Windows Server 2012

  • Un ou plusieurs contrôleurs de domaine dans le domaine principal exécutant Windows Server 2012

  • Compte de serveur principal configuré avec les comptes autorisés pour l’emprunt d’identité

    • Pas d’exposition par le biais du Centre d’administration Active Directory

    • Configuration via Windows PowerShell :

      • New/Set-ADComputer [-name] <string> [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]

      • New/Set-ADServiceAccount [-name] <string> [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]

  • Mise à jour de schéma Windows Server 2012 dans la forêt du serveur principal

  • Serveur d’applications principal exécutant Windows Server 2003 ou version ultérieure

Pour plus d’informations sur la délégation Kerberos contrainte, voir la section Kerberos de la bibliothèque technique.

Aujourd’hui, une attaque par dictionnaire hors connexion sur des ouvertures de session basées sur un mot de passe est possible. Il existe un problème relativement bien connu relatif à des erreurs Kerberos usurpées. Les clients peuvent :

  • se replier sur des protocoles hérités moins sécurisés ;

  • diminuer les chiffrements et/ou la force de leurs clés de chiffrement.

Kerberos dans Windows Server 2012 prend en charge FAST (Flexible Authentication Secure Tunneling)

  • Défini par la RFC 6113

  • Parfois désigné sous le nom de blindage Kerberos

  • Fournit un canal protégé entre un client membre d’un domaine et un contrôleur de domaine

    • Protège les données de pré-authentification pour les messages AS_REQ de l’utilisateur

      • Utilise la clé LSK (Logon Session Key) du ticket TGT de l’ordinateur comme secret partagé

      • Notez que l’authentification de l’ordinateur n’est PAS blindée

    • Permet aux contrôleurs de domaine de retourner les erreurs Kerberos authentifiées, ce qui les protège contre l’usurpation

  • Une fois que tous les contrôleurs de domaine et clients Kerberos prennent en charge FAST (décision à prendre par l’administrateur)

    • Le domaine peut être configuré pour demander un blindage Kerberos ou l’utiliser sur demande

      • Vérifier d’abord que tous les contrôleurs de domaine (ou un nombre suffisant d’entre eux) exécutent Windows Server 2012

      • Activer la stratégie appropriée

        • « Prendre en charge CBAC et le blindage Kerberos »

        • « Tous les contrôleurs de domaine peuvent prendre en charge CBAC et exiger le blindage Kerberos »

Spécifications

  • Serveurs Windows Server 2012

  • Vérifier tous les domaines utilisés par le client, y compris les domaines de référence en transit :

    • Activer la stratégie « Prendre en charge CBAC et le blindage Kerberos » pour tous les contrôleurs de domaine Windows Server 2012

    • Disposer d’un nombre suffisant de contrôleurs de domaine Windows Server 2012 pour prendre en charge FAST

  • Activer la stratégie « Exiger FAST » sur les clients pris en charge

  • L’interopérabilité FAST conforme au document RFC exige le niveau fonctionnel de domaine Windows Server 2012

Afficher: