Novedades de Active Directory Domain Services para Windows Server 2016What's new in Active Directory Domain Services for Windows Server 2016

Se aplica a: Windows Server 2016Applies To: Windows Server 2016

Las siguientes características nuevas de Active Directory Domain Services (AD DS) mejoran la capacidad para que las organizaciones protejan Active Directory entornos y les ayuden a migrar a implementaciones solo en la nube e implementaciones híbridas, donde algunas aplicaciones y servicios se hospedan en la nube y otros se hospedan de forma local.The following new features in Active Directory Domain Services (AD DS) improve the ability for organizations to secure Active Directory environments and help them migrate to cloud-only deployments and hybrid deployments, where some applications and services are hosted in the cloud and others are hosted on premises. Estas mejoras incluyen:The improvements include:

Privileged Access ManagementPrivileged access management

Privileged Access Management (PAM) ayuda a mitigar los problemas de seguridad de los entornos de Active Directory causados por técnicas de robo de credenciales, como Pass-The-hash, Spear phishing y otros tipos similares de ataques.Privileged access management (PAM) helps mitigate security concerns for Active Directory environments that are caused by credential theft techniques such pass-the-hash, spear phishing, and similar types of attacks. Proporciona una nueva solución de acceso administrativo que se configura mediante Microsoft Identity Manager (MIM).It provides a new administrative access solution that is configured by using Microsoft Identity Manager (MIM). PAM presenta:PAM introduces:

  • Un nuevo bosque de Active Directory bastión, aprovisionado por MIM.A new bastion Active Directory forest, which is provisioned by MIM. El bosque bastión tiene una confianza de PAM especial con un bosque existente.The bastion forest has a special PAM trust with an existing forest. Proporciona un nuevo entorno de Active Directory que se sabe que está libre de cualquier actividad malintencionada y el aislamiento de un bosque existente para el uso de cuentas con privilegios.It provides a new Active Directory environment that is known to be free of any malicious activity, and isolation from an existing forest for the use of privileged accounts.

  • Nuevos procesos en MIM para solicitar privilegios administrativos, junto con nuevos flujos de trabajo en función de la aprobación de las solicitudes.New processes in MIM to request administrative privileges, along with new workflows based on the approval of requests.

  • Nuevas entidades de seguridad de instantáneas (grupos) que MIM aprovisiona en el bosque bastión en respuesta a solicitudes de privilegios administrativos.New shadow security principals (groups) that are provisioned in the bastion forest by MIM in response to administrative privilege requests. Las entidades de seguridad de sombra tienen un atributo que hace referencia al SID de un grupo administrativo en un bosque existente.The shadow security principals have an attribute that references the SID of an administrative group in an existing forest. Esto permite que el grupo de instantáneas tenga acceso a los recursos de un bosque existente sin cambiar las listas de control de acceso (ACL).This allows the shadow group to access resources in an existing forest without changing any access control lists (ACLs).

  • Característica de vínculos que van a expirar, que permite la pertenencia enlazada a tiempo en un grupo de instantáneas.An expiring links feature, which enables time-bound membership in a shadow group. Se puede Agregar un usuario al grupo durante el tiempo necesario para realizar una tarea administrativa.A user can be added to the group for just enough time required to perform an administrative task. La pertenencia enlazada a tiempo se expresa mediante un valor de período de vida (TTL) que se propaga a la duración de un vale de Kerberos.The time-bound membership is expressed by a time-to-live (TTL) value that is propagated to a Kerberos ticket lifetime.

    Nota

    Los vínculos que van a expirar están disponibles en todos los atributos vinculados.Expiring links are available on all linked attributes. Pero la relación de atributo miembro y miembro de vinculación entre un grupo y un usuario es el único ejemplo en el que una solución completa como PAM está preconfigurada para usar la característica de vínculos que expiran.But the member/memberOf linked attribute relationship between a group and a user is the only example where a complete solution such as PAM is preconfigured to use the expiring links feature.

  • Las mejoras de KDC están integradas en Active Directory controladores de dominio para restringir la duración de los vales Kerberos al valor de período de vida (TTL) más bajo posible en los casos en los que un usuario tiene varias pertenencias enlazadas a tiempo en grupos administrativos.KDC enhancements are built in to Active Directory domain controllers to restrict Kerberos ticket lifetime to the lowest possible time-to-live (TTL) value in cases where a user has multiple time-bound memberships in administrative groups. Por ejemplo, si se agrega a un grupo enlazado a tiempo a, al iniciar sesión, la vigencia del vale de concesión de vales (TGT) de Kerberos es igual a la hora restante en el grupo A. Si también es miembro de otro grupo de límites de tiempo B, que tiene un TTL menor que el grupo A, la duración del TGT es igual al tiempo restante en el grupo B.For example, if you are added to a time-bound group A, then when you log on, the Kerberos ticket-granting ticket (TGT) lifetime is equal to the time you have remaining in group A. If you are also a member of another time-bound group B, which has a lower TTL than group A, then the TGT lifetime is equal to the time you have remaining in group B.

  • Nuevas capacidades de supervisión para ayudarle a identificar fácilmente quién solicitó acceso, qué acceso se ha concedido y qué actividades se han realizado.New monitoring capabilities to help you easily identify who requested access, what access was granted, and what activities were performed.

Requisitos para privileged Access ManagementRequirements for Privileged access management

  • Administrador de identidades de MicrosoftMicrosoft Identity Manager

  • Active Directory nivel funcional del bosque de Windows Server 2012 R2 o posterior.Active Directory forest functional level of Windows Server 2012 R2 or higher.

Azure AD JoinAzure AD Join

Azure Active Directory join mejora las experiencias de identidad de los clientes empresariales, empresariales y de EDU, con capacidades mejoradas para dispositivos corporativos y personales.Azure Active Directory Join enhances identity experiences for enterprise, business and EDU customers- with improved capabilities for corporate and personal devices.

Ventajas:Benefits:

  • Disponibilidad de la configuración moderna en dispositivos Windows de la empresa.Availability of Modern Settings on corp-owned Windows devices. Los servicios de oxígeno ya no requieren un cuenta de Microsoft personal: ahora se ejecutan en las cuentas de trabajo existentes de los usuarios para garantizar el cumplimiento.Oxygen Services no longer require a personal Microsoft account: they now run off users' existing work accounts to ensure compliance. Los servicios de oxígeno funcionarán en equipos Unidos a un dominio de Windows local y equipos y dispositivos que están "Unidos" a su inquilino de Azure AD ("dominio en la nube").Oxygen Services will work on PCs that are joined to an on-premises Windows domain, and PCs and devices that are "joined" to your Azure AD tenant ("cloud domain"). Esta configuración incluye:These settings include:

    • Itinerancia o personalización, configuración de accesibilidad y credencialesRoaming or personalization, accessibility settings and credentials
    • Copias de seguridad y restauraciónBackup and Restore
    • Acceso a Microsoft Store con cuenta profesionalAccess to Microsoft Store with work account
    • Iconos dinámicos y notificacionesLive tiles and notifications
  • Acceder a recursos de la organización en dispositivos móviles (teléfonos, tabletas) que no se pueden unir a un dominio de Windows, tanto si son de propiedad corporativa como de BYOD.Access organizational resources on mobile devices (phones, tablets) that can't be joined to a Windows Domain, whether they are corp-owned or BYOD.

  • Inicio de sesión único en Office 365 y otras aplicaciones, sitios web y recursos de la organización.Single-Sign On to Office 365 and other organizational apps, websites and resources.

  • En los dispositivos BYOD, agregue una cuenta profesional (desde un dominio local o Azure ad) a un dispositivo de propiedad personal y disfrute del inicio de sesión único en los recursos de trabajo, a través de aplicaciones y en la web, de forma que ayude a garantizar el cumplimiento de nuevas capacidades, como el control de cuentas condicional y la atestación de estado del dispositivo.On BYOD devices, add a work account (from an on-premises domain or Azure AD) to a personally-owned device and enjoy SSO to work resources, via apps and on the web, in a way that helps ensure compliance with new capabilities such as Conditional Account Control and Device Health attestation.

  • La integración de MDM le permite inscribir automáticamente dispositivos en su MDM (Intune o de terceros).MDM integration lets you auto-enroll devices to your MDM (Intune or third-party).

  • Configure el modo "quiosco" y los dispositivos compartidos para varios usuarios de su organización.Set up "kiosk" mode and shared devices for multiple users in your organization.

  • La experiencia del desarrollador le permite crear aplicaciones que satisfagan los contextos empresariales y personales con una pila de programas compartida.Developer experience lets you build apps that cater to both enterprise and personal contexts with a shared programing stack.

  • La opción de creación de imágenes permite elegir entre imágenes y permitir que los usuarios configuren dispositivos corporativos directamente durante la primera ejecución.Imaging option lets you choose between imaging and allowing your users to configure corp-owned devices directly during the first-run experience.

Para obtener más información, consulte Introducción a la administración de dispositivos en Azure Active Directory.For more information see, Introduction to device management in Azure Active Directory.

Windows Hello para empresasWindows Hello for Business

Windows Hello para empresas es un enfoque de autenticación basado en claves para organizaciones y consumidores que va más allá de las contraseñas.Windows Hello for Business is a key-based authentication approach organizations and consumers, that goes beyond passwords. Esta forma de autenticación se basa en credenciales de infracción, robo y resistente a phish.This form of authentication relies on breach, theft, and phish-resistant credentials.

El usuario inicia sesión en el dispositivo con una información de inicio de sesión biométrica o PIN que está vinculada a un certificado o un par de claves asimétricas.The user logs on to the device with a biometric or PIN log on information that is linked to a certificate or an asymmetrical key pair. Los proveedores de identidades (IDP) validan al usuario mediante la asignación de la clave pública del usuario a IDLocker y proporcionan información de inicio de sesión a través de una contraseña de una hora (OTP), un teléfono o un mecanismo de notificación diferente.The Identity Providers (IDPs) validate the user by mapping the public key of the user to IDLocker and provides log on information through One Time Password (OTP), Phone or a different notification mechanism.

Para obtener más información, consulte Windows Hello para empresas .For more information see, Windows Hello for Business

Desuso del servicio de replicación de archivos (FRS) y los niveles funcionales de Windows Server 2003Deprecation of File Replication Service (FRS) and Windows Server 2003 functional levels

Aunque el servicio de replicación de archivos (FRS) y los niveles funcionales de Windows Server 2003 estaban en desuso en versiones anteriores de Windows Server, se repite que el sistema operativo Windows Server 2003 ya no se admite.Although File Replication Service (FRS) and the Windows Server 2003 functional levels were deprecated in previous versions of Windows Server, it bears repeating that the Windows Server 2003 operating system is no longer supported. Como resultado, todos los controladores de dominio que ejecuten Windows Server 2003 deben quitarse del dominio.As a result, any domain controller that runs Windows Server 2003 should be removed from the domain. El nivel funcional de dominio y bosque debe elevarse al menos a Windows Server 2008 para evitar que un controlador de dominio que ejecuta una versión anterior de Windows Server se agregue al entorno.The domain and forest functional level should be raised to at least Windows Server 2008 to prevent a domain controller that runs an earlier version of Windows Server from being added to the environment.

En los niveles funcionales de dominio de Windows Server 2008 y superior, se usa la Replicación del sistema de archivos distribuido (DFS) para replicar el contenido de la carpeta SYSVOL entre controladores de dominio.At the Windows Server 2008 and higher domain functional levels, Distributed File Service (DFS) Replication is used to replicate SYSVOL folder contents between domain controllers. Si creas un nuevo dominio en el nivel funcional del dominio de Windows Server 2008 o superior, se usa automáticamente Replicación DFS para replicar SYSVOL.If you create a new domain at the Windows Server 2008 domain functional level or higher, DFS Replication is automatically used to replicate SYSVOL. Si has creado el dominio en un nivel funcional inferior, tendrás que migrar del uso de FRS a la replicación DFS para SYSVOL.If you created the domain at a lower functional level, you will need to migrate from using FRS to DFS replication for SYSVOL. En el caso de los pasos de migración, puede seguir estos pasos o puede consultar el conjunto de pasos simplificado en el blog del archivo. cab del equipo de almacenamiento.For migration steps, you can either follow these steps or you can refer to the streamlined set of steps on the Storage Team File Cabinet blog.

Los niveles funcionales del dominio y del bosque de Windows Server 2003 siguen siendo compatibles, pero las organizaciones deben elevar el nivel funcional a Windows Server 2008 (o superior si es posible) para garantizar la compatibilidad con la replicación de SYSVOL y la compatibilidad en el futuro.The Windows Server 2003 domain and forest functional levels continue to be supported, but organizations should raise the functional level to Windows Server 2008 (or higher if possible) to ensure SYSVOL replication compatibility and support in the future. Además, hay muchas otras ventajas y características disponibles en los niveles funcionales más altos.In addition, there are many other benefits and features available at the higher functional levels higher. Consulta los recursos siguientes para obtener más información:See the following resources for more information: