//
você está lendo...
MICROSOFT AD, Sem categoria

O que há de novo no Active Directory Domain Serviços Windows Server 2016

Olá amigos leitores, hoje estamos trazendo mais um conteúdo de AD no Windows Server 2016, com grandes mudanças voltadas principalmente para Cloud, Segurança, Acl, Nova Roupagem de Floresta, dentre outros, conforme abaixo.

Os novos recursos do Active Directory Domain Services (AD DS) melhoram a capacidade das organizações para proteger ambiente Active Directory e ajudá-los a migrar para implantações em nuvem e implementações híbridas, onde alguns aplicativos e serviços estão hospedados na nuvem e outros estão hospedados em seu ambiente On-Premise.

Aqui estão eles:

Gerenciamento de acesso privilegiado:

Gerenciamento de acesso privilegiado (PAM – Privileged Access Management) ajuda a diminuir as preocupações de segurança para ambientes do Active Directory que geralmente são causados por técnicas de roubo de credenciais como pass-the-hash, spear phishing e outros tipos similares de ataques. Ele fornece uma nova solução de acesso administrativo que é configurado usando o MIM (Microsoft Identity Manager). O PAM introduz:

1 – A nova floresta conhecida como Bastion Forest Active Directory é provisionada por MIM (Microsoft Indentity Management). A forest Bastion tem uma relação de confiança PAM especial com uma floresta existente. Ela fornece um novo ambiente Active Directory que é conhecido por ser livre de qualquer atividade maliciosa e conta também com isolamento de uma floresta existente para o uso de contas privilegiadas.

2 – Novos processos em MIM para solicitar privilégios administrativos, juntamente com os novos fluxos de trabalho com base na aprovação dos pedidos.

3 – Novas entidades de segurança sombra (grupos) que são configuradas na Forest Bastion pelo MIM em resposta a pedidos de privilégios administrativos. As entidades de segurança sombra tem um atributo que referencia o SID de um grupo administrativo em uma floresta existente. Isso permite ao grupo de sombra acessar recursos em uma floresta existente sem alterar as listas de controle de acesso (ACLs).

4 – A função de Expiting Links permite a adesão de tempo-limite em um grupo de sombra. Um usuário pode ser adicionado ao grupo apenas no tempo suficiente necessário para executar uma tarefa administrativa. A associação tempo-limite é expresso por um time-to-live (TTL) que é propagada para uma vida inteira de bilhetes Kerberos.

5 – Melhorias KDC são construídos para controladores de domínio do Active Directory para restringir Kerberos vida bilhete para o valor mais baixo possível time-to-live (TTL) nos casos em que um usuário tem várias associações com prazos em grupos administrativos. Por exemplo, se você estiver adicionado a um grupo A com prazos ja estipulados, quando você fizer logon, o tempo de vida da concessão do ticket Kerberos (TGT) é igual ao tempo restante no grupo A. Se você também é um membro de um outro grupo B com prazos ja estipulados e esse possui um TTL inferior ao grupo A o tempo de vida TGT é igual ao tempo restante no grupo B.

6 – Novas capacidades de monitoramento para ajudar a identificar facilmente quem solicitou o acesso, qual acesso foi concedido, e quais atividades foram realizadas.

Requisitos:

– Microsoft Identity Manager;
– Nível funcional da floresta do Active Directory deve ser Windows Server 2012 R2 ou superior;

Azure AD Join

Melhora nas experiências de integração de identidade do Azure Active Directory para empresas, negócios e EDU clientes com capacidades melhoradas para dispositivos corporativos e pessoais.

Benefícios:

Disponibilidade de ambientes modernos em dispositivos Windows de propriedade da empresa. Oxygen Services já não necessitam de uma conta pessoal Microsoft: eles agora podem rodar contas de trabalho existentes dos usuários para garantir a funcionalidade e compliance.

Oxygen Services irá funcionar em PCs que fazem parte de um domínio local do Windows e PCs, dispositivos que estão “ingressados” para o seu AD Azure Cloud (“domínio nuvem”).

Essas configurações incluem:

– Roaming ou personalização, configurações de acessibilidade e credenciais
– Backup e Restauração
– O acesso à loja do Windows com conta de trabalho
– Live tiles e notificações:

*Recursos organizacionais de acesso em dispositivos móveis (telefones, tablets) que não pode ser associado a um domínio do Windows, sejam eles de propriedade da empresa ou BYOD

*Single-Sign On para o Office 365 e outros aplicativos organizacionais, sites e recursos.

*Em dispositivos BYOD, adicione uma conta de trabalho (a partir de um domínio local ou AD Azure) para um dispositivo de propriedade pessoal e entao desfrute do SSO para trabalhar recursos de dominio através de aplicações na web de uma forma que ajude a garantir a conformidade com novas capacidades tais como Conditional account control e Devide Health Attestation.

*Integração MDM permite registrar automaticamente dispositivos ao seu MDM (Intune ou de terceiros)

*Set up “kiosk” mode and shared devices para vários usuários em sua organização

*Developer experience permite criar aplicativos que atendem ambos, empresas e contextos pessoais com a programação compartilhada.

*Imaging option permite escolher entre imagens e permite que seus usuários configurar dispositivos de propriedade da empresa diretamente durante a primeira experiência.

Microsoft Passport

Microsoft Passport é uma nova abordagem de autenticação para as empresas e clientes baseadas em chave, que vai além de somente senhas. Esta forma de autenticação baseia-se na violação, roubo e credenciais phish-resistant.

O usuário faz o logon no dispositivo com um registo biométrico ou PIN com a informação que está ligado a um certificado ou um par de chaves assimétricas. Os Provedores de Identidade (IDPs) valida o usuário, mapeando a chave pública do usuário para IDLocker e fornece o acesso as informações através de uma senha única (OTP), PhoneFactor ou um mecanismo de notificação diferente.

A depreciação do serviço de replicação de arquivos (FRS) os níveis de funcionalidade do Windows Server 2003

Embora o serviço de duplicação de arquivos (FRS) e os níveis funcionais Windows Server 2003 foram depreciados em versões anteriores do Windows Server, é importante lembrar que o sistema operacional Windows Server 2003 não é mais suportado. Como resultado, qualquer controlador de domínio que executa o Windows Server 2003 deve ser removido do domínio. O nível funcional domínio e da floresta devem ser aumentados para pelo menos Windows Server 2008 para evitar um controlador de domínio que executa uma versão anterior do Windows Server seja adicionado ao ambiente.

Nos níveis funcionais do domínio Windows Server 2008 ou superior, Distributed File Service (DFS) é usado para replicar o conteúdo da pasta SYSVOL entre controladores de domínio. Se você criar um novo domínio com nível funcional de domínio do Windows Server 2008 ou superior, a Replicação DFS é automaticamente usado para replicar SYSVOL. Se você criou o domínio a um nível inferior funcional, você terá de migrar de FRS para a replicação DFS da pasta SYSVOL.

Os níveis funcionais de domínio e floresta do Windows Server 2003 continuarão a ser suportados, mas as organizações devem aumentar o nível funcional para pelo menos Windows Server 2008 (ou superior se possível) para assim garantir a compatibilidade de replicação SYSVOL. Além disso, existem muitos outros benefícios e recursos disponíveis nos níveis funcionais mais elevadas superiores.

Grande abraço FOL

Sobre Fábio FOL

Profissional com mais de 17 anos de experiência em empresas Multinacionais, de Petróleo,Governo Federal,Ministério de Minas e Energia e Centros Autorizados Microsoft.Experiência em ambientes 24/7 e de missão crítica,Site de Contingência, Relacionamento com parceiros.Atuação,Implantação e gerenciamento em projetos de Infraestrutura física e lógica, Wireless Corporativa e outros.Certificados da Microsoft, Itil e Pmbook (Projetos),todos relacionados com infraestrutura, Gerenciamento, Soluções voltadas para estações de trabalho, Clientes Corporativos e Servidores High End.Forte em liderança de pessoas, Itil Melhores Práticas em TI, Gerenciamento e Gestão de projetos, Mapeamento de processos.Conhecimentos avançados no pacote Office da Microsoft e produtos voltados para colaboradores corporativos como: SharePoint e Mensagem Instantânea. Criação de Projetos Básicos e SOX (Alinhamento de Processos). Conhecimento Avançados em Sistemas operacionais Server Windows e File Server Linux, Hardware de Computadores, Desenhos Técnicos, Cobit, tendo como foco Administração de Redes e Gestão. Enfim, ser sempre visionário e estar preparado para todos os recursos que a empresa possuir, sempre procurando agregar conhecimentos na busca incessante pela boa formação profissional, ainda, caso se faça necessário ajudar à integração e valoração da equipe, para que os benefícios venham como conseqüência, contudo, sinto-me preparado para o cargo em que no momento vislumbro junto à empresa a fim de contribuir com a sua trajetória, sendo parte integrante da mesma.

Discussão

Nenhum comentário ainda.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

%d blogueiros gostam disto: