Table of contents
TOC
Fechar a tabela de conteúdos
Expandir a tabela de conteúdos

O que & #39; s novo no Active Directory domínio serviços para o Windows Server 2016

Bill Mathers|Última Atualização: 10/03/2017
|
1 Contribuinte

Aplica-se a: Windows Server 2016

As seguintes funcionalidades novas nos serviços de domínio do Active Directory (AD DS) melhoram a capacidade para organizações de segurança ambientes do Active Directory e ajudar a migrar para implementações apenas da nuvem e implementações híbrido, algumas aplicações e serviços estão alojados na nuvem e outras pessoas estão alojadas no local onde. As melhorias incluem:

Gestão de acesso de privilégios

Gestão de acesso de privilégios (PAM) ajuda a reduzir a segurança técnicas de roubo de credenciais preocupações para os ambientes do Active Directory que são causadas por tais pass-a-hash, lança phishing e tipos de ataques semelhantes. Fornece uma solução de acesso administrativas novas que está configurada com o Gestor de identidade da Microsoft (MIM). Apresenta o PAM:

  • Um novo bastião floresta do Active Directory, que é fornecida por MIM. Floresta bastião tem uma relação de confiança PAM especial com uma floresta existente. Fornece um ambiente do Active Directory novo que é conhecido de ser gratuitas de qualquer atividade maliciosa e isolamento de uma floresta existente para a utilização de contas privilegiadas.

  • Novo processos em MIM para pedir privilégios administrativos, bem como novos fluxos de trabalho com base da aprovação de pedidos.

  • Novos sombra objetos de segurança (grupos) aprovisionados numa floresta bastião por MIM em resposta a pedidos de privilégios administrativos. As entidades de segurança de sombra têm um atributo que fizer referência o SID de um grupo administrativo em uma floresta existente. Isto permite que o grupo de sombra recursos de acesso de uma floresta existente sem alterar as listas de controlo de acesso (ACLs).

  • Uma funcionalidade de ligações com data de expiração, que permite a associação ao grupo ligados a hora de um grupo de sombra. Um utilizador pode ser adicionado ao grupo apenas suficiente tempo necessário para executar uma tarefa administrativa. A participação no limite de tempo é expresso por um valor time-to-live (TTL) que será propagado para um vida mais curto Kerberos bilhete.

    Nota

    Estão disponíveis em todos os atributos ligados ligações com data de expiração. Mas o atributo vinculada membro/membro relação entre um grupo e um utilizador é o único exemplo em que uma solução completa, tais como PAM é pré-configurado para utilizar a funcionalidade de ligações com data de expiração.

  • Melhoramentos de KDC integrados controladores de domínio do Active Directory para restringir o ciclo de vida do Kerberos bilhete para o preço mais baixo possível tempo-to-live (TTL) valor em casos em que um utilizador tem vários associações ligados a hora em grupos administrativos. Por exemplo, se tiver adicionado a um grupo de tempo destinados A, em seguida, quando inicia sessão no, o Kerberos concessão de permissão (TGT) ciclo de vida é igual a hora tiver restante na grupo. Se também for membro do grupo de tempo destinados outro B, que contém um TTL mais baixo do que um grupo, em seguida, o ciclo de vida TGT é igual o tempo que restante no grupo B.

  • Novas capacidades monitorização para ajudá-lo facilmente identificam quem solicitou acesso, que o acesso foi concedido e as atividades foram efetuadas.

Requisitos

  • Gestor de identidade da Microsoft

  • Nível funcional do Windows Server 2012 R2 ou superior da floresta do Active Directory.

Adesão a anúncios do Azure

Azure Active Directory Junte-se melhora as experiências de identidade para empresas, empresas e os clientes EDU - com capacidades melhoradas para dispositivos pessoais e empresariais.

Benefícios:

  • A disponibilidade das definições moderno da propriedade corp dispositivos Windows. Serviços de oxigênio já não necessitam de uma conta Microsoft pessoal: que agora executar desativar contas de trabalho existentes dos utilizadores para garantir a conformidade. Serviços de oxigênio funcionam em PCs que estiver associados a um domínio do Windows no local, e PCs e dispositivos que são "associados" a inquilino o Azure AD ("domínio na nuvem"). Estas incluem:

    • Roaming ou personalização, as definições de acessibilidade e credenciais

    • Cópia de segurança e restauro

    • Acesso à loja do Windows com a conta de trabalho

    • Mosaicos dinâmicos e notificações

  • Aceda a recursos organizacionais em dispositivos móveis (telefones, tablets) que não podem ser associados a um domínio do Windows, sejam elas da propriedade corp ou BYOD

  • No início de sessão-única para Office 365 e outras aplicações organizacionais, Web sites e recursos.

  • Em dispositivos BYOD, adicione uma conta profissional (de um domínio no local ou o Azure AD) a um dispositivo da propriedade pessoalmente e desfrute SSO para trabalhar em recursos, através de aplicações e na web, de forma a que ajuda a garantir a conformidade com os novos recursos, tais como a certificação controle conta e o estado de funcionamento do dispositivo.

  • Integração do MDM permite-lhe automático-se inscrever dispositivos para o MDM (Intune ou terceiros)

  • Configurar o modo "quiosque" e partilhadas dispositivos para vários utilizadores na sua organização

  • Experiência de programador permite criar aplicações que cuidar enterprise e contextos pessoais com uma pilha de programação partilhado.

  • Processamento de imagens opção permite-lhe escolher entre o processamento de imagens e permitir que os utilizadores configurar dispositivos da propriedade corp diretamente durante a experiência de primeira execução.

Para obter mais informações, consulte Windows 10 para a empresa: formas de utilizar dispositivos para o trabalho.

O Microsoft Passport

O Microsoft Passport é uma novo autenticação com base em chave aproximar-se as empresas e aos consumidores, que muito mais palavras-passe. Este formulário de autenticação baseia-se em violação, roubo e as credenciais de phishing resistente.

O utilizador iniciar sessão dispositivo com um PIN ou biometria registo nas informações que estão associados a um certificado ou um par de chaves assimétrica. Os fornecedores de identidade (IDPs) validar o utilizador por mapear a chave pública do utilizador para IDLocker e fornece registo sobre informações por um tempo de palavra-passe (OTP), Phonefactor ou um mecanismo de notificação diferente.

Para obter mais informações, consulte autenticação de identidades sem as palavras-passe através do Microsoft Passport

Substituição dos níveis funcionais de serviço de duplicação de ficheiros (FRS) e Windows Server 2003

Embora o serviço de duplicação de ficheiros (FRS) e os níveis funcionais do Windows Server 2003 foram preteridos em versões anteriores do Windows Server, é importante lembrar que o sistema operativo Windows Server 2003 já não é suportado. Como resultado, qualquer controlador de domínio com o Windows Server 2003 deve ser removido do domínio. O nível funcional de domínio e floresta deve ser aumentado para, pelo menos, Windows Server 2008 para impedir que um controlador de domínio que executa uma versão anterior do Windows Server de ser adicionado ao ambiente.

No Windows Server 2008 e superiores níveis funcionais de domínio, duplicação de serviço de ficheiros distribuído (DFS) é usada para duplicar o conteúdo da pasta SYSVOL entre os controladores de domínio. Se criar um novo domínio ao nível funcional de domínio do Windows Server 2008 ou superior, replicação DFS é utilizada automaticamente duplicar SYSVOL. Se tiver criado um domínio com um nível inferior funcional, terá de migração de utilizar o FRS para replicação DFS para SYSVOL. Para obter passos de migração, pode qualquer um dos seguintes a procedimentos no TechNet ou, pode consultar o simplificada conjunto de passos no blogue do armazenamento equipa ficheiro CAB.

Os Windows Server 2003 domínio e floresta níveis funcionais continuam a receber suporte, mas as empresas devem aumentar o nível funcional para o Windows Server 2008 (ou superior, se possível) para assegurar a compatibilidade de replicação SYSVOL e suporte no futuro. Além disso, existem muitas outras funcionalidades e benefícios disponíveis com os níveis funcionais superiores superiores. Consulte os seguintes recursos para obter mais informações:

© 2017 Microsoft