Apa yang baru dalam Active Directory Domain Services untuk Windows Server 2016

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Fitur baru berikut di Active Directory Domain Services (AD DS) meningkatkan kemampuan bagi organisasi untuk mengamankan lingkungan Direktori Aktif dan membantu mereka bermigrasi ke penyebaran khusus cloud dan penyebaran hibrid, di mana beberapa aplikasi dan layanan dihosting di cloud dan yang lain dihosting secara lokal. Penyempurnaan tersebut meliputi:

• Manajemen akses hak istimewa

• Memperluas kemampuan cloud ke perangkat Windows 10 melalui Azure Active Directory Join

• Koneksi perangkat yang bergabung dengan domain ke Azure AD untuk pengalaman Windows 10

• Mengaktifkan Windows Hello untuk Bisnis di organisasi Anda

• Penghentian tingkat fungsional Layanan Replikasi File (FRS) dan Windows Server 2003

Manajemen akses istimewa

Privileged access management (PAM) membantu mengurangi masalah keamanan untuk lingkungan Direktori Aktif yang disebabkan oleh teknik pencurian info masuk seperti pass-the-hash, phishing tombak, dan jenis serangan serupa. Ini menyediakan solusi akses administratif baru yang dikonfigurasi dengan menggunakan Microsoft Identity Manager (MIM). Pam memperkenalkan:

• Forest Direktori Aktif bastion baru, yang disediakan oleh MIM. Hutan bastion memiliki kepercayaan PAM khusus dengan hutan yang ada. Ini menyediakan lingkungan Direktori Aktif baru yang dikenal bebas dari aktivitas berbahaya apa pun, dan isolasi dari forest yang ada untuk penggunaan akun istimewa.

• Proses baru di MIM untuk meminta hak istimewa administratif, bersama dengan alur kerja baru berdasarkan persetujuan permintaan.

• Prinsip keamanan bayangan baru (grup) yang disediakan di forest bastion oleh MIM sebagai respons terhadap permintaan hak istimewa administratif. Prinsip keamanan bayangan memiliki atribut yang mereferensikan SID grup administratif di forest yang ada. Ini memungkinkan grup bayangan untuk mengakses sumber daya di forest yang ada tanpa mengubah daftar kontrol akses (ACL).

• Fitur tautan yang kedaluwarsa, yang memungkinkan keanggotaan terikat waktu dalam grup bayangan. Pengguna dapat ditambahkan ke grup hanya untuk waktu yang cukup yang diperlukan untuk melakukan tugas administratif. Keanggotaan terikat waktu dinyatakan oleh nilai time-to-live (TTL) yang disebarkan ke masa pakai tiket Kerberos.

  Catatan

  Tautan yang kedaluwarsa tersedia di semua atribut tertaut. Tetapi hubungan atribut tertaut member/memberOf antara grup dan pengguna adalah satu-satunya contoh di mana solusi lengkap seperti PAM telah dikonfigurasi sebelumnya untuk menggunakan fitur tautan yang kedaluwarsa.

• Penyempurnaan KDC dibangun ke pengontrol domain Active Directory untuk membatasi masa pakai tiket Kerberos ke nilai time-to-live (TTL) serendah mungkin jika pengguna memiliki beberapa keanggotaan terikat waktu dalam grup administratif. Misalnya, jika Anda ditambahkan ke grup A yang terikat waktu, maka saat Anda masuk, masa pakai tiket pemberian tiket (TGT) Kerberos sama dengan waktu Anda tetap berada di grup A. Jika Anda juga anggota grup B yang terikat waktu lain, yang memiliki TTL yang lebih rendah daripada grup A, maka masa pakai TGT sama dengan waktu yang Anda miliki tetap berada di grup B.

• Kemampuan pemantauan baru untuk membantu Anda dengan mudah mengidentifikasi siapa yang meminta akses, akses apa yang diberikan, dan aktivitas apa yang dilakukan.

Persyaratan untuk manajemen akses istimewa

• Microsoft Identity Manager

• Tingkat fungsi forest Direktori Aktif Windows Server 2012 R2 atau yang lebih tinggi.

Gabungan Microsoft Entra

Gabungan Microsoft Entra meningkatkan pengalaman identitas untuk pelanggan perusahaan, bisnis, dan pendidikan- dengan kemampuan yang ditingkatkan untuk perangkat perusahaan dan pribadi.

Keuntungan:

• Ketersediaan modern Pengaturan pada perangkat Windows milik corp. Kemampuan Windows inti tidak lagi memerlukan akun Microsoft pribadi: mereka sekarang menjalankan akun kerja pengguna yang ada untuk memastikan kepatuhan. Layanan ini akan bekerja pada PC yang bergabung ke domain Windows lokal, serta PC dan perangkat yang "bergabung" ke Microsoft Entra. Pengaturan ini meliputi:

  • Roaming atau personalisasi, pengaturan aksesibilitas dan kredensial
  • Pencadangan dan Pemulihan
  • Akses ke Microsoft Store dengan akun kerja
  • Petak peta langsung dan pemberitahuan

• Akses sumber daya organisasi di perangkat seluler (ponsel, tablet) yang tidak dapat digabungkan ke Domain Windows, baik milik corp maupun BYOD.

• Akses Menyeluruh ke Office 365 dan aplikasi organisasi, situs web, dan sumber daya lainnya.

• Di perangkat BYOD, tambahkan akun kerja (dari domain lokal atau Azure AD) ke perangkat milik pribadi dan nikmati SSO ke sumber daya kerja, melalui aplikasi dan di web, dengan cara yang membantu memastikan kepatuhan terhadap kemampuan baru seperti Kontrol Akun Bersyarat dan pengesahan Kesehatan Perangkat.

• Integrasi MDM memungkinkan Anda mengotomatiskan perangkat ke alat manajemen perangkat seluler (MDM) (Microsoft Intune atau pihak ketiga).

• Siapkan mode "kios" dan perangkat bersama untuk beberapa pengguna di organisasi Anda.

• Pengalaman pengembang memungkinkan Anda membangun aplikasi yang memenuhi konteks perusahaan dan pribadi dengan tumpukan pemrograman bersama.

• Opsi pencitraan memungkinkan Anda memilih antara pencitraan dan memungkinkan pengguna mengonfigurasi perangkat yang dimiliki corp secara langsung selama pengalaman pertama kali dijalankan.

Untuk informasi selengkapnya, lihat Pengenalan manajemen perangkat di Azure Active Directory.

Windows Hello untuk Bisnis

Windows Hello untuk Bisnis adalah pendekatan autentikasi berbasis kunci untuk organisasi dan konsumen yang melampaui kata sandi. Bentuk autentikasi ini bergantung pada kredensial pelanggaran, pencurian, dan tahan phish.

Pengguna masuk ke perangkat dengan informasi masuk biometrik atau PIN yang ditautkan ke sertifikat atau pasangan kunci asimetris. Penyedia Identitas (IDP) memvalidasi pengguna dengan memetakan kunci publik pengguna ke IDLocker dan memberikan informasi masuk melalui One Time Password (OTP), Telepon, atau mekanisme pemberitahuan yang berbeda.

Untuk informasi selengkapnya, lihat, Windows Hello untuk Bisnis.

Penghentian tingkat fungsional Layanan Replikasi File (FRS) dan Windows Server 2003

Meskipun Layanan Replikasi File (FRS) dan tingkat fungsional Windows Server 2003 tidak digunakan lagi di versi Windows Server sebelumnya, ini menanggung pengulangan bahwa sistem operasi Windows Server 2003 tidak lagi didukung. Akibatnya, pengendali domain apa pun yang menjalankan Windows Server 2003 harus dihapus dari domain. Tingkat fungsional domain dan forest harus dinaikkan ke setidaknya Windows Server 2008 untuk mencegah pengendali domain yang menjalankan versi Windows Server sebelumnya agar tidak ditambahkan ke lingkungan.

Pada tingkat fungsional Windows Server 2008 dan domain yang lebih tinggi, Replikasi Layanan File Terdistribusi (DFS) digunakan untuk mereplikasi konten folder SYSVOL di antara pengendali domain. Jika Anda membuat domain baru di tingkat fungsional domain Windows Server 2008 atau yang lebih tinggi, Replikasi DFS secara otomatis digunakan untuk mereplikasi folder SYSVOL. Jika Anda membuat domain pada tingkat fungsional yang lebih rendah, Anda harus bermigrasi dari menggunakan FRS ke replikasi DFS untuk folder SYSVOL. Untuk langkah-langkah migrasi, Anda dapat mengikuti langkah-langkah ini atau Anda dapat merujuk ke serangkaian langkah yang disederhanakan di blog Storage Team File Cabinet.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Memahami Tingkat Fungsi active Directory Domain Services (AD DS)
• Menaikkan Tingkat Fungsi domain
• Menaikkan Tingkat Fungsi forest