Neuerungen in Active Directory Domain Services für Windows Server 2016

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Die folgenden neuen Features in Active Directory Domain Services (AD DS) verbessern die Fähigkeit von Organisationen, Active Directory-Umgebungen zu schützen und sie bei der Migration zu reinen Cloudbereitstellungen und Hybridbereitstellungen zu unterstützen, bei denen einige Anwendungen und Dienste in der Cloud gehostet werden und andere lokal gehostet werden. Die Verbesserungen umfassen:

Verwaltung privilegierter Zugriffe

Privileged Access Management (PAM) trägt dazu bei, Sicherheitsrisiken für Active Directory-Umgebungen zu minimieren, die durch Techniken zum Diebstahl von Anmeldeinformationen verursacht werden, z. B. Pass-the-Hash, Phishing-Phishing und ähnliche Arten von Angriffen. Es bietet eine neue Verwaltungszugriffslösung, die mithilfe von Microsoft Identity Manager (MIM) konfiguriert wird. PAM bietet eine Einführung in:

  • Eine neue geschützte Active Directory-Gesamtstruktur, die von MIM bereitgestellt wird. Die geschützte Gesamtstruktur verfügt über eine spezielle PAM-Vertrauensstellung mit einer vorhandenen Gesamtstruktur. Es bietet eine neue Active Directory-Umgebung, die bekanntermaßen frei von schädlichen Aktivitäten ist, und isolationiert von einer vorhandenen Gesamtstruktur für die Verwendung privilegierter Konten.

  • Neue Prozesse in MIM, um Administratorrechte sowie neue Workflows basierend auf der Genehmigung von Anforderungen anzufordern.

  • Neue Schattensicherheitsprinzipale (Gruppen), die in der geschützten Gesamtstruktur durch MIM als Reaktion auf Administratorberechtigungsanforderungen bereitgestellt werden. Die Schattensicherheitsprinzipale verfügen über ein Attribut, das auf die SID einer administrativen Gruppe in einer vorhandenen Gesamtstruktur verweist. Dadurch kann die Schattengruppe auf Ressourcen in einer vorhandenen Gesamtstruktur zugreifen, ohne Zugriffssteuerungslisten (ACCESS Control Lists, ACLs) zu ändern.

  • Ein ablaufendes Verknüpfungsfeature, das die zeitgebundene Mitgliedschaft in einer Schattengruppe ermöglicht. Ein Benutzer kann der Gruppe so lange hinzugefügt werden, wie es für die Durchführung einer Administrativen Aufgabe erforderlich ist. Die zeitgebundene Mitgliedschaft wird durch einen Gültigkeitsdauerwert (Time-to-Live, TTL) ausgedrückt, der an eine Kerberos-Ticketlebensdauer weitergegeben wird.

    Hinweis

    Ablaufende Links sind für alle verknüpften Attribute verfügbar. Die verknüpfte Member/MemberOf-Attributbeziehung zwischen einer Gruppe und einem Benutzer ist jedoch das einzige Beispiel, in dem eine vollständige Lösung wie PAM vorkonfiguriert ist, um das Ablauflinkfeature zu verwenden.

  • KDC-Erweiterungen sind in Active Directory-Domänencontroller integriert, um die Kerberos-Ticketgültigkeitsdauer auf den geringstmöglichen Gültigkeitsdauerwert (Time-to-Live, TTL) zu beschränken, wenn ein Benutzer über mehrere zeitgebundene Mitgliedschaften in Administrativen Gruppen verfügt. Wenn Sie z. B. einer zeitgebundenen Gruppe A hinzugefügt werden, entspricht die Gültigkeitsdauer des Kerberos-Ticketerteilungstickets (Kerberos Ticket Granting Ticket, TGT) der Zeit, die Sie in Gruppe A verbleiben. Wenn Sie auch Mitglied einer anderen zeitgebundenen Gruppe B sind, die über eine niedrigere Gültigkeitsdauer als Gruppe A verfügt, entspricht die TGT-Lebensdauer der Verbleibenden in Gruppe B.

  • Neue Überwachungsfunktionen, mit denen Sie leicht erkennen können, wer Zugriff angefordert hat, welcher Zugriff gewährt wurde und welche Aktivitäten ausgeführt wurden.

Anforderungen für privileged access management

  • Microsoft Identitäts-Manager

  • Active Directory-Gesamtstrukturfunktionsebene von Windows Server 2012 R2 oder höher.

Azure AD Join

Azure Active Directory Join verbessert die Identitätserfahrung für Unternehmens-, Geschäfts- und EDU-Kunden mit verbesserten Funktionen für unternehmensinterne und persönliche Geräte.

Vorteile:

  • Verfügbarkeit von modernen Einstellungen auf unternehmenseigenen Windows Geräten. Für die Dienste ist keine persönliche Microsoft-Konto mehr erforderlich: Sie führen jetzt die vorhandenen Arbeitskonten der Benutzer aus, um die Konformität sicherzustellen. Die Beratungsdienste funktionieren auf PCs, die in eine lokale Windows Domäne eingebunden sind, sowie auf PCs und Geräten, die ihrem Azure AD Mandanten ("Clouddomäne") "beigetreten" sind. Dies umfasst Folgendes:

    • Roaming oder Personalisierung, Barrierefreiheitseinstellungen und Anmeldeinformationen
    • Sichern und Wiederherstellen
    • Zugriff auf Microsoft Store mit einem Arbeitskonto
    • Livekacheln und Benachrichtigungen
  • Greifen Sie auf Organisationsressourcen auf mobilen Geräten (Smartphones, Tablets) zu, die nicht in eine Windows Domäne eingebunden werden können, unabhängig davon, ob sie unternehmenseigen oder BYOD sind.

  • Einmaliges Anmelden bei Office 365 und anderen Organisations-Apps, Websites und Ressourcen.

  • Fügen Sie auf BYOD-Gerätenein Geschäftskonto (aus einer lokalen Domäne oder Azure AD) zu einem persönlichen Gerät hinzu, und nutzen Sie SSO für Arbeitsressourcen, über Apps und im Web, um die Konformität mit neuen Funktionen wie bedingter Kontosteuerung und Integrität für Geräte Nachweis sicherzustellen.

  • Mit der MDM-Integration können Sie Geräte automatisch bei Ihrer MDM registrieren (Intune oder Drittanbieter).

  • Richten Sie den Kioskmodus und freigegebene Geräte für mehrere Benutzer in Ihrer Organisation ein.

  • Mit der Entwicklerumgebung können Sie Apps erstellen, die sowohl unternehmensweiten als auch persönlichen Kontexten mit einem freigegebenen Programmstapel gerecht werden.

  • Mit der Option "Imaging" können Sie zwischen der Imageerstellung wählen und Ihren Benutzern ermöglichen, unternehmenseigene Geräte direkt während der ersten Ausführung zu konfigurieren.

Weitere Informationen finden Sie unter Einführung in die Geräteverwaltung in Azure Active Directory.

Windows Hello for Business

Windows Hello for Business ist ein schlüsselbasierter Authentifizierungsansatz für Organisationen und Verbraucher, der über Kennwörter hinausgeht. Diese Form der Authentifizierung basiert auf Sicherheitsverletzungen, Diebstahl und phishingsicheren Anmeldeinformationen.

Der Benutzer meldet sich mit biometrischen Oder PIN-Anmeldeinformationen, die mit einem Zertifikat oder einem asymmetrischen Schlüsselpaar verknüpft sind, beim Gerät an. Die Identitätsanbieter (IDPs) überprüfen den Benutzer durch Zuordnen des öffentlichen Schlüssels des Benutzers zu IDLocker und stellen Anmeldeinformationen über Einmalkennwort (One Time Password, OTP), Telefon oder einen anderen Benachrichtigungsmechanismus bereit.

Weitere Informationen finden Sie unter Windows Hello for Business.

Veraltete Funktionsebenen des Dateireplikationsdiensts (File Replication Service, FRS) und Windows Server 2003

Obwohl der Dateireplikationsdienst (File Replication Service, FRS) und die Funktionsebenen Windows Server 2003 in früheren Versionen von Windows Server veraltet waren, wird wiederholt, dass das betriebssystem Windows Server 2003 nicht mehr unterstützt wird. Daher sollten alle Domänencontroller, die auf Windows Server 2003 ausgeführt werden, aus der Domäne entfernt werden. Die Domänen- und Gesamtstrukturfunktionsebene sollte mindestens auf Windows Server 2008 erhöht werden, um zu verhindern, dass der Umgebung ein Domänencontroller hinzugefügt wird, auf dem eine frühere Version von Windows Server ausgeführt wird.

Bei Windows Server 2008-Domänenfunktionsebenen (und höher) wird die DFS-Replikation (Distributed File Service) zum Replizieren von SYSVOL-Ordnerinhalten zwischen Domänencontrollern verwendet. Wenn Sie auf der Windows Server 2008-Domänenfunktionsebene (oder höher) eine neue Domäne erstellen, wird die DFS-Replikation automatisch zum Replizieren von SYSVOL verwendet. Wenn Sie die Domäne auf einer niedrigeren Funktionsebene erstellt haben, müssen Sie für SYSVOL anstatt des Dateireplikationsdiensts die DFS-Replikation verwenden. Für Migrationsschritte können Sie entweder diese Schritte ausführen oder die optimierten Schritte im Blog Storage Team File Cabinetlesen.

Die Domänen- und Gesamtstrukturfunktionsebenen Windows Server 2003 werden weiterhin unterstützt. Organisationen sollten die Funktionsebene jedoch auf Windows Server 2008 (oder höher, wenn möglich) heraufstufen, um die Kompatibilität und Unterstützung der SYSVOL-Replikation in Zukunft sicherzustellen. Darüber hinaus gibt es viele weitere Vorteile und Features, die auf höheren Funktionsebenen verfügbar sind. Weitere Informationen finden Sie in den folgenden Ressourcen: