Nowości w usłudze Active Directory Windows Server 2012
Autor: Michał Ledwoch
Opublikowano: 2012-10-12
Usługa Katalogowa Active Directory towarzyszy użytkownikom systemu Windows Server od wersji 2000. Każda nowa wersja systemu Windows Server posiadała nowe funkcjonalności w usłudze katalogowej. Nie inaczej jest w Windows Server 2012. Nowości w usłudze katalogowej Active Directory w systemie Windows Server 2012 można podzielić na kilka obszarów. Pierwszy z nich to uproszczone wdrożenie. W ramach tego obszaru możemy wyszczególnić poniższe zmiany:
- integracja z konsolą Server Manager,
- integracja procesów przygotowania serwera oraz promocji kontrolera,
- weryfikacja środowiska przed wdrożeniem,
- współpraca interfejsu graficznego z poleceniami powershell (podczas wykonywania operacji w Active Directory generowane są odpowiednie polecenia),
- możliwość wykonywania operacji zdalnych.
Kolejny obszar zgodności z wirtualizacją:
- zdolność wirtualnych kontrolerów domeny do wykrywania, tworzenia migawki wirtualnej maszyny oraz tworzenia kopii wirtualnych maszyn,
- zdolność do tworzenia identyfikatorów (VM-generation-ID), które modyfikowane są podczas wykonywania zmian w maszynach wirtualnych,
- wykrywanie zmian oraz ochrona Active Directory w wirtualnym kontrolerze domeny za pomocą identyfikatora (VM-generation-ID). Ochrona obejmuje: odrzucenie Puli RID, resetowanie invocationID oraz wymaganie INITSYNC dla ról FSMO.
Mówiąc o nowościach w usłudze katalogowej należy również wspomnieć o obszarze zmian, które dotyczą klonowania kontrolerów domeny. Windows Server 2012 w tym obszarze oferuje:
- tworzenie nowych kontrolerów domen poprzez ich replikację. Tą czynność można wykonać, na przykład kopiując dysk wirtualnej maszyny bądź poprzez export oraz import maszyny wirtualnej,
- łatwiejsze wdrażanie kolejnych kontrolerów domen,
- łatwiejszą odbudowę struktury lasu,
- dużą elastyczność w administrowaniu chmurami.
Następny obszar, na który należy zwrócić uwagę to zmiany w platformie Active Directory:
- możliwość wykorzystania konta Live ID do uwierzytelnienia w systemie Windows,
- przenoszenie najważniejszych konfiguracji profilu użytkownika.
Omówione powyżej zamiany nie są jedynymi, które znajdują się w Windows Server 2012 w usłudze Active Directory. Kolejne zmiany można określić jako grupę zmian dotyczącą zarządzania – z podziałem na obszary:
- interfejs graficzny do kosza,
- Active Directory PowerShell History Viewer,
- Dynamic Access Control,
- usprawnienie Kerbersosa,
- Group Managed Service Accounts,
- interfejs graficzny Fine-Grained Password Policy,
- Active Directory Based Activation,
- Active Directory Replication & Topology Cmdlets.
Pierwszy obszar zmian tej grupy stanowią modyfikacje interfejsu graficznego. Do najważniejszych nowości należą:
- łatwiejsze odzyskiwanie usuniętych obiektów z wykorzystaniem kontenera Deleted Objects, znajdującego się w Active Directory Administrative Center,
- znaczne przyśpieszenie odtwarzania obiektów w porównaniu z poprzednią wersją systemu.
Omawiając zmiany w usłudze katalogowej Windows Sever 2012 należy również wspomnieć o nowym narzędziu, takim jak Active Directory Powershell History Viewer. Funkcja pozwala administratorom na generowanie kodu w PowerShell podczas wykonywania prac administracyjnych, np. dodawanie hosta do domeny. Wygenerowany kod można później użyć do tworzenia własnych skryptów.
Warto zwrócić uwagę na nowy mechanizm Dynamic Access Control i jego właściwości:
- wprowadzenie nowego modelu polis central access policies (CAP),
- wprowadzenie nowej platformy autoryzacji,
- wprowadzenie informacji o klasyfikacji zasobów przy autoryzacji,
- wprowadzenie przyjaźniejszego sposobu definiowania polis dostępowych oraz autowych.
Kolejnym obszarem, na jaki należy zwrócić uwagę podczas omawiania nowości w Active Directory jest usprawnienie protokołu Kerberosa. Do usprawnień należą poniższe zmiany:
- wsparcie technologii Flexible Authentication Secure Tunneling (FAST),
- zapewnienie chronionego kanału komunikacyjnego pomiędzy kontrolerem domeny a klientami domeny.
Kolejną nową technologią wprowadzoną w Windows Server 2012 jest Group Managed Service Accounts(gMSA). Ta technologia umożliwia między innymi:
- wprowadzenie nowego obiektu zabezpieczeń gMSA,
- używanie tego samego konta qMSA przez usługi działające na wielu serwerach,
- uzyskiwanie oraz aktualizację hasła przez GKDS dla systemów Windows Server 2012,
- uzyskanie domyślnego interwału zmiany hasła podczas tworzenia kont gMSA. Domyślny interwał wynosi 30 dni.
Szóstym obszarem, w którym wprowadzono zmiany jest obszar Interfejsu graficznego Fine-Grained Password Policy. Poniższa lista prezentuje zmiany, jakie zostały wprowadzone w omawianym obszarze:
- umożliwienie tworzenia, edytowania oraz przypisywania obiektów PSWO za pomocą Active Directory Administrative Center,
- łatwiejsze zarządzanie szczegółowymi politykami haseł.
Ostatnim obszarem grupy zarządzania, w którym wprowadzono zmiany, jest Active Directory Based Activation. Do zmian w tym obszarze należy:
- umożliwienie aktywacji klientów za pomocą infrastruktury Active Directory,
- omawianie zmiany, któr pozwala na: wykorzystywanie LDAP bez konieczności RPC,
- automatyczna aktywacja komputerów z systemem Windows 8.
Mówiąc o zmianach w usłudze Active Directory należy również wspomnieć o zamianach dotyczących w obszarze Active Directory Replication & Topology Cmdlets. W ramach tej technologii wprowadzono poniższe modyfikacje:
- umożliwianie zarządzania topologią i replikacją za pomocą Active Directory Windows PowerShell,
- umożliwienie tworzenia zaawansowanych skryptów,
- kompatybilność z innymi poleceniami Windows PowerShell.