Active Directory ist einer der am häufigsten verwendeten Dienste in Unternehmensnetzwerken. Neben den grundlegenden Authentifizierungs- und Autorisierungsdiensten bietet Active Directory so viele weitere Funktionen, dass seine Beliebtheit nicht verwundert.
Windows Server 2016 fügt den Active Directory-Domänendiensten (AD DS) und den Active Directory-Verbunddiensten (AD FS) einige wichtige neue Funktionen hinzu. Viele der in Windows Server 2016 hinzugefügten Funktionen zielen darauf ab, sich verstärkt auf Cloud-Anwendungen zu konzentrieren, unabhängig davon, ob diese öffentlich, privat oder hybrid sind.
Verzeichnisdienste
AD DS in Windows Server 2016 unterstützt das Ablaufen der Gruppenmitgliedschaft, sodass Sie einen Benutzer für einen bestimmten Zeitraum zu einer Gruppe hinzufügen können. Dies ist praktisch für viele Anwendungen, z. B. das zeitlich begrenzte Bereitstellen von Administratorrechten zum Installieren einer Anwendung oder das Hinzufügen von Schülern und Lehrern zu entsprechenden Gruppen für ein einzelnes Semester oder Schuljahr.
Ein Nachteil des Ablaufs der neuen Gruppenmitgliedschaft besteht darin, dass die Windows Server 2016-Funktionsebene erforderlich ist, deren Implementierung für große Organisationen möglicherweise schwierig ist, da Domänencontroller im gesamten Unternehmen aktualisiert werden müssen. Für Organisationen, die das Upgrade nicht durchführen können, empfiehlt Microsoft eine Problemumgehung mit einer Shadow-AD DS-Gesamtstruktur sowie einer Gesamtstrukturvertrauensstellung und universellen Sicherheitsgruppen, um diese Funktionalität zu erreichen. Kurz gesagt, eine Schattengesamtstruktur, die auf der Funktionsebene von Windows Server 2016 ausgeführt wird, behandelt die Gruppenmitgliedschaften und deren Ablauf. Diese universellen Gruppen verfügen wiederum über Mitgliedschaften in den entsprechenden Gruppen in der AD DS-Legacydomäne.
Federation Services
Viele der neuen Funktionen in Windows Server 2016 haben mit AD FS zu tun und damit, wie Cloud-Anwendungen und -Dienste bei Ihrem lokalen Verzeichnis authentifiziert werden können. Für den Anfang unterstützt AD FS in Windows Server 2016 alle LDAP v3-Verzeichnisse, nicht nur diejenigen, auf denen AD DS ausgeführt wird. Auf diese Weise können Unternehmen, die ein LDAP v3-Verzeichnis eines Drittanbieters verwenden, diese Identitäten unter anderem mit Azure AD und Office 365 zusammenführen. Die Anmelde-ID kann ein beliebiges Attribut sein, das für die Gesamtstruktur eindeutig ist, und der Authentifizierungsbereich kann auf eine bestimmte Organisationseinheit (OU) beschränkt sein. Die Unterstützung von LDAP v3 kann sogar als erster Schritt verwendet werden, um eine Authentifizierung aus einer nicht vertrauenswürdigen AD-Gesamtstruktur zuzulassen, z. B. bei einem Zusammenschluss oder einer Übernahme.
Die wahrscheinlich größte Neuerung in Windows Server 2016 AD FS ist die bedingte Zugriffssteuerung. Mit Windows Server 2016 können Sie Anforderungen konfigurieren, z. B. Authentifizierungsstärke durch Multifaktorauthentifizierung, Gerätekompatibilität, Benutzeridentität, Gruppenmitgliedschaft oder mehrere andere Faktoren. Diese Anforderungen können anwendungsspezifisch festgelegt werden, sodass auf einfache Weise eine erhöhte Sicherheit für vertrauliche Geschäftsanwendungen erforderlich ist, oder es können Anforderungen für Anwendungen vereinfacht werden, für die keine höheren Sicherheitsstufen erforderlich sind.
Mithilfe der bedingten Zugriffssteuerung können sogar nur Geräte zugelassen werden, die der Azure AD-Unternehmensinstanz beigetreten sind, oder Geräte, die von Microsoft Intune verwaltet werden. Die bedingte Zugriffssteuerung widerruft automatisch und sofort den Zugriff auf Geräte, bei denen die Authentifizierungsrichtlinie nicht mehr eingehalten wird. Der Benutzer muss den Anmeldevorgang erneut abschließen, um den Zugriff wiederherzustellen.
Die Unterstützung für OpenID Connect und Oauth wird in Windows Server 2016 AD FS eingeführt. Diese Unterstützung für standardbasierte Authentifizierung vereinfacht die Integration Ihrer vorhandenen Identitäten in Webanwendungen erheblich.
Die Leute bei Microsoft sagen, dass die Implementierung von Windows Server 2016 in Ihrer vorhandenen AD FS-Bereitstellung sehr einfach ist. Das Migrieren von AD FS von Windows Server 2012 R2 ist so einfach wie das Hinzufügen neuer Windows Server 2016-Server zur AD FS-Serverfarm. Sobald Ihre AD FS-Server vollständig aktualisiert wurden, können Sie die Farmversion auf AD FS 2016 aktualisieren.
Da die Verbindung zwischen AD FS und Azure AD so wichtig ist, führt Microsoft Azure AD Connect Health ein, das Telemetrie für Authentifizierungsanforderungen basierend auf Anwendung, Authentifizierungstypen, Netzwerkspeicherort oder Authentifizierungsfehlern bereitstellt. Sogar Informationen zu Benutzern mit schwachen Passwörtern werden angezeigt. Mit Azure AD Connect Health können Sie nicht nur Problembereiche identifizieren, sondern den Kapazitätsbedarf basierend auf der Anwendungsnutzung vorhersagen.
Zeitsynchronization
Einer der häufig übersehenen Aspekte von Active Directory für Ihr Unternehmen ist die Zeitsynchronisierung, die für so viele Aspekte Ihrer Infrastruktur von entscheidender Bedeutung ist. Windows Server 2016 bietet verschiedene Verbesserungen bei der Zeitsynchronisierung: Beseitigung von Rundungsfehlern, häufigere Anpassungen und Verbesserung der Genauigkeit von 100 Millisekunden bis 10 Mikrosekunden.
