Nowości w usłudze Active Directory Windows Server 2012  Udostępnij na: Facebook

  • Artykuł

Autor: Michał Ledwoch

Opublikowano: 2012-10-12

Usługa Katalogowa Active Directory towarzyszy użytkownikom systemu Windows Server od wersji 2000. Każda nowa wersja systemu Windows Server posiadała nowe funkcjonalności w usłudze katalogowej. Nie inaczej jest w Windows Server 2012. Nowości w usłudze katalogowej Active Directory w systemie Windows Server 2012 można podzielić na kilka obszarów. Pierwszy z nich to uproszczone wdrożenie. W ramach tego obszaru możemy wyszczególnić poniższe zmiany:

  • integracja z konsolą Server Manager,
  • integracja procesów przygotowania serwera oraz promocji kontrolera,
  • weryfikacja środowiska przed wdrożeniem,
  • współpraca interfejsu graficznego z poleceniami powershell (podczas wykonywania operacji w Active Directory generowane są odpowiednie polecenia),
  • możliwość wykonywania operacji zdalnych.

 Kolejny obszar zgodności z wirtualizacją:

  • zdolność wirtualnych kontrolerów domeny do wykrywania, tworzenia migawki wirtualnej maszyny oraz tworzenia kopii wirtualnych maszyn,
  • zdolność do tworzenia identyfikatorów (VM-generation-ID), które modyfikowane są podczas wykonywania zmian w maszynach wirtualnych,
  • wykrywanie zmian oraz ochrona Active Directory w wirtualnym kontrolerze domeny za pomocą identyfikatora (VM-generation-ID). Ochrona obejmuje: odrzucenie Puli RID, resetowanie invocationID oraz wymaganie INITSYNC dla ról FSMO.

Mówiąc o nowościach w usłudze katalogowej należy również wspomnieć o obszarze zmian, które dotyczą klonowania kontrolerów domeny. Windows Server 2012 w tym obszarze oferuje:

  • tworzenie nowych kontrolerów domen poprzez ich replikację. Tą czynność można wykonać, na przykład kopiując dysk wirtualnej maszyny bądź poprzez export oraz import maszyny wirtualnej,
  • łatwiejsze wdrażanie kolejnych kontrolerów domen,
  • łatwiejszą odbudowę struktury lasu,
  • dużą elastyczność w administrowaniu chmurami.

Następny obszar, na który należy zwrócić uwagę to zmiany w platformie Active Directory:

  • możliwość wykorzystania konta Live ID do uwierzytelnienia w systemie Windows,
  • przenoszenie najważniejszych konfiguracji profilu użytkownika.

Omówione powyżej zamiany nie są jedynymi, które znajdują się w Windows Server 2012 w usłudze Active Directory. Kolejne zmiany można określić jako grupę zmian dotyczącą zarządzania – z podziałem na obszary:

  • interfejs graficzny do kosza,
  • Active Directory PowerShell History Viewer,
  • Dynamic Access Control,
  • usprawnienie Kerbersosa,
  • Group Managed Service Accounts,
  • interfejs graficzny Fine-Grained Password Policy,
  • Active Directory Based Activation,
  • Active Directory Replication & Topology Cmdlets.

Pierwszy obszar zmian tej grupy stanowią modyfikacje interfejsu graficznego. Do najważniejszych nowości należą:

  • łatwiejsze odzyskiwanie usuniętych obiektów z wykorzystaniem kontenera Deleted Objects, znajdującego się w Active Directory Administrative Center,
  • znaczne przyśpieszenie odtwarzania obiektów w porównaniu z poprzednią wersją systemu.

Omawiając zmiany w usłudze katalogowej Windows Sever 2012 należy również wspomnieć o nowym narzędziu, takim jak Active Directory Powershell History Viewer. Funkcja pozwala administratorom na generowanie kodu w PowerShell podczas wykonywania prac administracyjnych, np. dodawanie hosta do domeny. Wygenerowany kod można później użyć do tworzenia własnych skryptów.

Warto zwrócić uwagę na nowy mechanizm Dynamic Access Control i jego właściwości:

  • wprowadzenie nowego modelu polis central access policies (CAP),
  • wprowadzenie nowej platformy autoryzacji,
  • wprowadzenie informacji o klasyfikacji zasobów przy autoryzacji,
  • wprowadzenie przyjaźniejszego sposobu definiowania polis dostępowych oraz autowych.

Kolejnym obszarem, na jaki należy zwrócić uwagę podczas omawiania nowości w Active Directory jest usprawnienie protokołu Kerberosa. Do usprawnień należą poniższe zmiany:

  • wsparcie technologii Flexible Authentication Secure Tunneling (FAST),
  • zapewnienie chronionego kanału komunikacyjnego pomiędzy kontrolerem domeny a klientami domeny.

Kolejną nową technologią wprowadzoną w Windows Server 2012 jest Group Managed Service Accounts(gMSA). Ta technologia umożliwia między innymi:

  • wprowadzenie nowego obiektu zabezpieczeń gMSA,
  • używanie tego samego konta qMSA przez usługi działające na wielu serwerach,
  • uzyskiwanie oraz aktualizację hasła przez GKDS dla systemów Windows Server 2012,
  • uzyskanie domyślnego interwału zmiany hasła podczas tworzenia kont gMSA. Domyślny interwał wynosi 30 dni.

Szóstym obszarem, w którym wprowadzono zmiany jest obszar Interfejsu graficznego Fine-Grained Password Policy. Poniższa lista prezentuje zmiany, jakie zostały wprowadzone w omawianym obszarze:

  • umożliwienie tworzenia, edytowania oraz przypisywania obiektów PSWO za pomocą Active Directory Administrative Center,
  • łatwiejsze zarządzanie szczegółowymi politykami haseł.

Ostatnim obszarem grupy zarządzania, w którym wprowadzono zmiany, jest Active Directory Based Activation. Do zmian w tym obszarze należy:

  • umożliwienie aktywacji klientów za pomocą infrastruktury Active Directory,
  • omawianie zmiany, któr pozwala na: wykorzystywanie LDAP bez konieczności RPC,
  • automatyczna aktywacja komputerów z systemem Windows 8.

Mówiąc o zmianach w usłudze Active Directory należy również wspomnieć o zamianach dotyczących w obszarze Active Directory Replication & Topology Cmdlets. W ramach tej technologii wprowadzono poniższe modyfikacje:

  • umożliwianie zarządzania topologią i replikacją za pomocą Active Directory Windows PowerShell,
  • umożliwienie tworzenia zaawansowanych skryptów,
  • kompatybilność z innymi poleceniami Windows PowerShell.