Windows Server 2012: Identidad and Acceso Mdulo 1: Active Directory caractersticas y mejoras.

Manual del Modulo

Autor: Andrew Warren, Maestro de Contenido

Publicado: Septiembre 10 de 2012

La informacin contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web, est sujeta a cambios sin previo aviso. A menos que se indique lo contrario, los ejemplos de compaas, organizaciones, productos, nombres de dominio, direcciones de correo electrnico, logotipos, personas, lugares y eventos mencionados son ficticios, y ninguna asociacin con ninguna compaa, organizacin, producto, nombre de dominio,-e direccin de correo electrnico, logotipo, persona, lugar o evento se pretende ni se debe inferir. Cumplir con todas las leyes de derechos de autor aplicables es responsabilidad del usuario. Sin limitar los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperacin, o transmitida de ninguna forma ni por ningn medio (ya sea electrnico, mecnico, fotocopia, grabacin, o de otra manera), o por cualquier propsito, sin la autorizacin expresa por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de propiedad intelectual sobre los contenidos de este documento. Salvo que se prevea en un contrato escrito de licencia de Microsoft, la posesin de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u otra propiedad intelectual. 2012 Microsoft Corporation. Todos los derechos reservados. Microsoft es una marca comercial registrada o marca comercial de Microsoft Corporation en Estados Unidos y / u otros pases. Los nombres de compaas y productos reales aqu mencionados pueden ser marcas comerciales de sus respectivos propietarios.

Microsoft Virtual Academy Manual del Estudiante

ii

Contenido
CONTENIDO............................................................................................................................................................................................................... III MDULO 1: ACTIVE DIRECTORY CARACTERSTICAS Y MEJORAS. ....................................................................................................... 4 Visin General del mdulo .............................................................................................................................................................................. 4 Leccin 1: Mejoras en la Implementacin ................................................................................................................................................. 5 Experiencia de Implementacin mejorada ................................................................................................................................................ 6 Instalacin desde media mejorada .............................................................................................................................................................. 8 AD FS 2.1 Se incluye como funcin de servidor ...................................................................................................................................... 9 Leccin 2: EL AD DS Virtualizado ................................................................................................................................................................10 Virtualizacin Segura de controladores de dominio ...........................................................................................................................11 Clonacin de Domain Controller Virtualizada .......................................................................................................................................13 Leccin 3: Nuevas Caractersticas y Mejoras ..........................................................................................................................................15 Mejoras RID .........................................................................................................................................................................................................16 Creacin de ndices diferida ..........................................................................................................................................................................18 Dominio de Ingreso fuera de las instalaciones......................................................................................................................................19 Cuentas Conectadas .........................................................................................................................................................................................20 Activacin basada en Active Directory......................................................................................................................................................21 Cuentas de Servicio Manejadas en Grupo...............................................................................................................................................22 AD DS Replicacin y Topologa Cmdlets .................................................................................................................................................23 Leccin 4: Mejoras de Gestin .....................................................................................................................................................................25 Papelera de Reciclaje de Active Directory ...............................................................................................................................................26 Desglose de Polticas de Contraseas.......................................................................................................................................................27 Visualizador del historial de AD DS Windows PowerShell ................................................................................................................28 Acceso de Control Dinmico ........................................................................................................................................................................29 Mejoras de Polticas Grupales ......................................................................................................................................................................31 Kerberos Delegacin Restringida ................................................................................................................................................................32 Recursos y Lecturas adicionales ..................................................................................................................................................................33

Microsoft Virtual Academy Manual del Estudiante

iii

Module 1: Active Directory Features and Improvements.

Mdulo 1: Active Directory caractersticas y mejoras. Visin General del mdulo

Este mdulo presenta cada una de las nuevas caractersticas de Active Directory Domain Services (AD DS). Explica los problemas que estas caractersticas de direccin y lo que se necesita para que usted pueda implementarlo y utilizarlo. El mdulo tambin explora las mejoras de AD DS, de implementacin y de virtualizacin, las nuevas caractersticas y mejoras en las caractersticas existentes, as como mejoras en la gestin de AD DS.

Microsoft Virtual Academy Manual del Estudiante

Module 1: Active Directory Features and Improvements.

Leccin 1: Mejoras en la Implementacin

Esta leccin presenta las mejoras que Windows Server 2012 aporta a la implementacin de AD DS.

Microsoft Virtual Academy Manual del Estudiante

Module 1: Active Directory Features and Improvements.

Experiencia de Implementacin mejorada

En versiones anteriores de Windows Server, el proceso que se utiliz para crear los controladores de dominio podra ser confuso para los administradores. Tambin es posible que los administradores lancen el DCPromo.exe cuando el servidor en el que se lanz el comando no cumpla con los requisitos para la promocin. En Windows Server 2012, el proceso que se utiliza para crear los controladores de dominio dentro de la empresa han sido mejorado. En las secciones siguientes se describen dichas mejoras.

Pasos integrados de preparacin

La implementacin de AD DS de Windows Server 2012 integra todos los pasos necesarios para implementar nuevos controladores de dominio en una nica interfaz grfica. Se requiere una sola credencial de nivel empresarial, y se puede preparar el bosque o dominio focalizando remotamente para las operaciones de funciones maestras. Tenga en cuenta que el proceso de Adprep.exe est integrado en el proceso de instalacin del AD DS, lo que reduce el tiempo que se requiere para instalar el AD DS y reduce las posibilidades de errores que podran bloquear la promocin del controlador de dominio.

Microsoft Virtual Academy Manual del Estudiante

Module 1: Active Directory Features and Improvements.

Requisitos previos Antes de empezar Validado despliegue

El pre-requisito de validacin se produce en el Asistente para configuracin de AD DS. El asistente identifica errores potenciales antes de que comience la instalacin y, a continuacin, puede corregir las condiciones de error antes de que ocurran, sin las preocupaciones que se derivan de una mejora parcial.

Integrado con Server Manager, Remote-able y construido en Windows PowerShell

El proceso de instalacin de AD DS se basa en Windows PowerShell 3.0, est integrado con el Server Manager, pueden dirigirse a varios servidores, y de forma remota puede implementar controladores de dominio. Esto da como resultado una experiencia de implementacin que es ms simple, ms consistente, y en menos tiempo. El asistente de instalacin crea una secuencia de comandos de Windows PowerShell que contiene las opciones que se especificaron durante la instalacin grfica, lo que simplifica el proceso de implementacin mediante la automatizacin de instalaciones posteriores AD DS mediante scripts generados automticamente de Windows PowerShell.

Tenga en cuenta que usted puede completar la instalacin del controlador de dominio y el proceso de promocin en su totalidad con Windows PowerShell. El Asistente de configuracin se alinea con los escenarios de implementacin ms comunes

Las pginas de configuracin del asistente se agrupan en una secuencia que refleja las necesidades de los escenarios ms comunes de promocin, con opciones relacionadas agrupadas en un menor nmero de pginas del asistente, lo que proporciona un mejor contexto, y a la vez le permite tomar mejores opciones de instalacin del controlador de dominio, y reduce el nmero de pasos y la cantidad de tiempo que se requiere para completar la instalacin del controlador de dominio.

Microsoft Virtual Academy Manual del Estudiante

Module 1: Active Directory Features and Improvements.

Instalacin desde media mejorada

En versiones anteriores de Windows Server, cuando se quiere promover un servidor a la funcin de controlador de dominio, es posible hacerlo a travs de la instalacin-desde-media (IFM), lo que le permite crear medios de instalacin desde la que se puede promover el servidor. Para crear este medio de instalacin, debe ejecutar la lnea de comandos Ntdsutil.exe herramienta. Sin embargo, como parte del proceso de creacin de medios de comunicacin, el comando Ntdsutil.exe tambin realiza una desfragmentacin sin conexin de la base de datos de AD DS. Esta desfragmentacin se obtiene un archivo de base de datos ms pequea, pero puede tomar mucho tiempo para procesar. En Windows Server 2012, puede optar por no llevar a cabo el paso de desfragmentacin sin conexin, lo que le permite crear los archivos multimedia con mayor rapidez. Tenga en cuenta que los archivos resultantes de la instalacin-desde-media pueden ser ms grandes como resultado de pasar por el proceso de desfragmentacin, lo que podra dar como resultado tiempos ms largos de copiado en enlaces lentos que se conectan a los servidores de destino.

Microsoft Virtual Academy Manual del Estudiante

Module 1: Active Directory Features and Improvements.

AD FS 2.1 Se incluye como funcin de servidor

Muchas de las grandes organizaciones a nivel empresarial quieren ser capaces de compartir informacin con otras empresas y / o consumidores. Por ejemplo, considere una empresa que quiere permitir a sus clientes realizar pedidos directamente en su sistema de procesamiento de pedidos. Active Directory Federation Services (AD FS) le permite a su organizacin implementar con xito este escenario, permitiendo los reclamos y fideicomisos necesarios para facilitarlo. En versiones anteriores de Windows Server, debe descargar el AD FS como un componente separado del sitio web de descargas de Microsoft, lo que ya no es necesario, ya que el AD FS 2.1 se incluye como una funcin de servidor en Windows Server 2012. Puede instalar la funcin de Administrador de servidores sin necesidad de descarga, lo que agiliza el proceso de implementacin de AD FS.

Microsoft Virtual Academy Manual del Estudiante

Module 1: Active Directory Features and Improvements.

Leccin 2: EL AD DS Virtualizado

Las organizaciones estn buscando cada vez ms la virtualizacin de cargas de trabajo para optimizar su infraestructura de TI, lo paso a un entorno virtualizado abarca controladores de dominio. La virtualizacin de entornos de AD DS ha sido constante durante un nmero de aos. A partir de Windows Server 2012, AD DS ofrece mayor soporte para la virtualizacin de los controladores de dominio mediante la introduccin de la virtualizacin, capacidades de seguridad y permitir un rpido despliegue de los controladores de dominio virtuales a travs de la clonacin. Estas nuevas caractersticas de virtualizacin proporcionar un mayor apoyo a las nubes pblicas y privadas, entornos hbridos, donde porciones de AD DS existentes en las instalaciones y en la nube, y AD DS infraestructuras que se encuentran completamente en las instalaciones.

Microsoft Virtual Academy Manual del Estudiante

10

Module 1: Active Directory Features and Improvements.

Virtualizacin Segura de controladores de dominio

Replicacin de AD DS utiliza un valor montonamente creciente que se asigna a las transacciones en cada controlador de dominio, lo que se conoce como un nmero de secuencia de actualizacin (USN). Instancia de cada controlador de dominio de base de datos tambin se da una identidad, conocida como un InvocationID. El InvocationID de un controlador de dominio y su USN juntos sirven como un identificador nico asociado con cada transaccin de escritura que se realiza y debe ser nico en el bosque. La replicacin de AD DS utiliza InvocationID y USN para determinar qu cambios deben ser replicados a otros controladores de dominio. Sin embargo, si un administrador aplica una instantnea que revierte un controlador de dominio a un punto en el tiempo, en ese controlador de dominio, las USN podran ser reutilizadas para una transaccin completamente diferente, lo que puede dar lugar a que la replicacin no converja debido a que otros controladores de dominio se creen que ya han recibido las actualizaciones que estn asociadas con el USN re-utilizada. En Windows Server 2012, el AD DS se basa en la plataforma de hipervisor para exponer un identificador llamado Generation ID para detectar si una mquina virtual (VM) se ha desplegado en el tiempo. El diseo utiliza un mecanismo independiente del hyperviso-agnosticr para la utilizacin de la GenerationID VM en la mquina virtual. Antes de completar cualquier transaccin, el AD DS primero lee el valor de este identificador y lo compara con el ltimo valor que se almacena en el directorio. La falta de adecuacin se interpreta como un "rollback", y el controlador de dominio utiliza las salvaguardas AD DS que son nuevos en Windows Server, y que consisten en restablecer el InvocationID y descartar el identificador relativo Microsoft Virtual Academy Manual del Estudiante 11

Module 1: Active Directory Features and Improvements. (RID) de la piscina. Desde este punto en adelante, todas las transacciones se asocian con InvocationID nuevo el controlador de dominio. Otros controladores de dominio no reconocen la InvocationID nuevo, por lo que se concluye que an no lo han visto estos USN y aceptar las actualizaciones que se identifican con la nueva y InvocationID USN, permitiendo al directorio a converger.

Microsoft Virtual Academy Manual del Estudiante

12

Module 1: Active Directory Features and Improvements.

Clonacin de Domain Controller Virtualizada

Clonacin virtualizada del controlador de dominio le permite crear un clon de un controlador de dominio virtualizado. Con la clonacin virtual de controlador de dominio, ahora puede promover un nico controlador de dominio virtual por dominio y desplegar rpidamente todos los controladores de dominio de rplica virtuales adicionales a travs de la clonacin. Usted ya no tendr que desplegar repetidamente una imagen del servidor sysprepped, promover el servidor a un controlador de dominio y, a continuacin, completar los requisitos adicionales de configuracin para cada controlador de dominio de rplica. Requisitos Para llevar a cabo la clonacin de controlador de dominio, debe cumplir con los siguientes requisitos: Sus Windows Server 2012 controladores de dominio virtuales deben ser alojados en plataformas de hipervisor que son conscientes de la ID Generacin VM. El controlador de dominio principal de operaciones nico papel principal debe estar ejecutando Windows Server 2012 para autorizar la operacin de clonacin. El controlador de dominio de origen que clonar debe estar autorizado para la clonacin. El archivo DCCloneConfig.XML debe estar presente en el controlador de dominio clonado en una de las siguientes ubicaciones: o El directorio que contiene el NTDS.DIT o El directorio predeterminado DIT (% windir% \ NTDS) o en un medio extrable, como un disquete virtual, dispositivo de almacenamiento USB o similar Microsoft Virtual Academy Manual del Estudiante

13

Module 1: Active Directory Features and Improvements. Tenga en cuenta que lugares comunes de Windows Server 2012 de servicios que estn colocalizados con controladores de dominio son compatibles, por ejemplo: Sistema de Nombres de Dominio (DNS), el Servicio de replicacin de archivos (FRS) y replicacin de sistema de archivos distribuido (DFS-R).

Microsoft Virtual Academy Manual del Estudiante

14

Module 1: Active Directory Features and Improvements.

Leccin 3: Nuevas Caractersticas y Mejoras

Esta leccin explora algunos de los cambios adicionales realizados en AD DS en Windows Server 2012, incluyendo la capacidad de dominio a unirse a equipos que no estn conectados a la red corporativa, soporte para cuentas conectadas, y varias otras mejoras de AD DS.

Microsoft Virtual Academy Manual del Estudiante

15

Module 1: Active Directory Features and Improvements.

Mejoras RID

Los RID de AD DS se utilizan para identificar de forma nica los objetos de la base de datos distribuida AD DS. Cada controlador de dominio contiene un conjunto de RID y las utiliza para identificar los objetos de nueva creacin, como usuarios, grupos y equipos. El proceso de generacin de RID singulares es una operacin de un solo maestro. Un controlador de dominio se asigna la funcin de maestro RID, y se asigna una secuencia de RID a cada controlador de dominio del dominio. Cuando una nueva cuenta de dominio o de grupo se crea en una rplica de controlador de dominio de Active Directory, se le asigna un identificador de seguridad (SID). El RID para el nuevo SID se ha tomado de la asignacin del controlador de dominio de RID. Cuando el suministro de RID comienza a agotarse, el controlador de dominio solicita otro bloque del maestro RID. En versiones anteriores de Windows Server, que era posible que el conjunto de RID a agotarse debido a una fuga. Por ejemplo, si un administrador ha intentado crear una cuenta nueva, pero la creacin de la cuenta fracasado debido a las propiedades de la cuenta que no cumplan con los requisitos necesarios de AD DS de poltica de seguridad, el RID se asign ya, pero no estaba acostumbrado, el RID se haba filtrado. En Windows Server 2012, el controlador de dominio mantiene un contenedor en memoria de RID reutilizables, esta lista de RID reutilizables se utiliz por primera vez, lo que reduce las fugas RID.

Microsoft Virtual Academy Manual del Estudiante

16

Module 1: Active Directory Features and Improvements.

Windows Server 2012 tambin identifica cuando el conjunto de RID es invalidado por la creacin de una entrada en el registro de eventos. El conjunto de RID puede llegar a ser invalidados mediante la realizacin de una restauracin de base de datos de AD DS. AD DS en Windows Server 2012 tambin impone un lmite mximo en el tamao de bloque RID. Anteriormente, se poda configurar este valor en el soporte del RID funcin de operaciones de maestro nico editando el registro y el lmite superior no tena lmites, y en Windows Server 2012, el lmite mximo es de 15.000. Como RID se consumen, Windows Server 2012 produce advertencias peridicas y registra estos para el registro del sistema. La advertencia tales primero se produce cuando hay un diez por ciento de espacio restante global. Estos eventos se vuelven ms frecuentes a medida que el espacio global se agota ms. Por ltimo, un techo blando de noventa por ciento del espacio RID global se establece en AD DS en Windows Server 2012. Llegar a este valor provoca un evento. El administrador puede cambiar este "techo" al restablecer el valor de SDS-RIDPoolAllocationEnabled en el soporte del RID funcin de operaciones de maestro nico.

Microsoft Virtual Academy Manual del Estudiante

17

Module 1: Active Directory Features and Improvements.

Creacin de ndices diferida

Indexacin de los atributos de los objetos de AD DS permite a los atributos que deben buscarse ms rpido. Sin embargo, el mantenimiento de los ndices de estos atributos puede imponer una carga sobre los controladores de dominio de su empresa. En Windows Server 2012, puede implementar DSheuristic, valor que le permite controlar la creacin del ndice, efectivamente se aplaza hasta el controlador de dominio se reinicia o bien recibe un mod rootDSE UpdateSchemaNow. Cualquier atributo que se encuentra en un estado ndice diferido se registra en la salida de iniciar cada da: 2944: ndice aplazado por medio de registros una vez 2945: ndice todava pendiente-registrados cada 24 horas 1137: ndice creado por medio de registros una vez (no es un evento nuevo)

Microsoft Virtual Academy Manual del Estudiante

18

Module 1: Active Directory Features and Improvements.

Dominio de Ingreso fuera de las instalaciones

En el pasado, los equipos que queran unirse al dominio de su organizacin tenan que ser conectados a la red de la organizacin. AD DS en Windows Server 2012 le permite unirse a un dominio en equipos que estn fuera del establecimiento. Por ejemplo, puede conectar un usuario a domicilio porttil al dominio de su empresa sin que el usuario tenga que llevar el ordenador en la oficina, lo que se logra mediante el uso de tecnologa de DirectAccess.

Microsoft Virtual Academy Manual del Estudiante

19

Module 1: Active Directory Features and Improvements.

Cuentas Conectadas

AD DS en Windows Server 2012 admite la posibilidad de vincular las cuentas de los usuarios con sus cuentas de Microsoft, permitiendo a Windows 8 caractersticas y aplicaciones para aprovechar las capacidades especficas en lnea. Adems, algunos aspectos del perfil de un usuario puede ser vagaban entre equipos que comparten la misma cuenta de Microsoft. Cuando usted piensa acerca de cmo implementar esta capacidad, tenga en cuenta los siguientes puntos: Inicio de sesin de una cuenta de Microsoft a Windows con una cuenta de usuario de Active Directory que no es compatible. SKUs Server no son compatibles con las cuentas conectadas. El administrador debe asociar la cuenta de Microsoft con la cuenta de destino. El usuario local conectada aparecer en Usuarios y grupos locales.

Microsoft Virtual Academy Manual del Estudiante

20

Module 1: Active Directory Features and Improvements.

Activacin basada en Active Directory

En las redes actuales, las licencias por volumen generalmente se controlan mediante el uso de claves de gestin de servicios de servidores (KMS). KMS tiene una serie de desventajas: que usa llamadas de procedimiento remoto (RPC), que no es compatible con cualquier tipo de autenticacin, y no proporciona una consola grfica. AD DS en Windows Server 2012 puede proporcionar la activacin por volumen necesario sin el requisito de KMS, aunque se puede configurar la convivencia con KMS para apoyar las activaciones por volumen para las versiones anteriores de los sistemas operativos de Windows del cliente. Las ventajas de usar basado en Active Directory activacin son: No se requiere hardware adicional de servidor para proporcionar servicios de activacin. Se elimina el requisito de RPCs utilizando Lightweight Directory Access Protocol (LDAP) exclusivamente. Es compatible slo lectura controladores de dominio. Cuando usted piensa acerca del uso de Active Directory basado en la activacin, tenga en cuenta que slo computadoras con Windows 8 y Windows Server 2012 pueden activar utilizando este servicio. Para sistemas operativos anteriores, se debe utilizar KMS.

Microsoft Virtual Academy Manual del Estudiante

21

Module 1: Active Directory Features and Improvements.

Cuentas de Servicio Manejadas en Grupo

Manejo de Cuentas de Servicio Independientes, introducidos con el Windows Server 2008 R2 y Windows 7, son gestionadas las cuentas de de dominio que proporcionan la administracin de contraseas automtico y el nombre de simplificada principal de servicio (SPN) gestin, incluida la delegacin de la gestin de a otros administradores. El grupo logr cuenta de servicio proporciona la misma funcin en el dominio, pero tambin se extiende esta funcionalidad a travs de servidores mltiples. Cuando se conecte a un servicio de alojada en un granja de servidores, como Equilibrio del carga de red, los protocolos de autenticacin que apoyan la autenticacin de mutuo requieren que todos los las instancias de los servicios utilizan el mismo principal. Cuando el grupo de cuentas de servicio administradas (gMSAs) se utilizan como directores de servicio, el sistema operativo Windows administra la contrasea de la cuenta en lugar de confiar en el administrador gestionar la contrasea. Slo se puede configurar y administrar gMSAs en equipos que ejecutan Windows Server 2012, pero se pueden implementar como una solucin de servicio nico de identidad en dominios que todava tienen algunos controladores de dominio que ejecutan sistemas operativos anteriores a Windows Server 2012. No hay dominio o requisitos funcionales de bosque de nivel.

Microsoft Virtual Academy Manual del Estudiante

22

Module 1: Active Directory Features and Improvements.

AD DS Replicacin y Topologa Cmdlets

Windows PowerShell para Active Directory en Windows Server 2012 incluye soporte para la replicacin y gestin de topologa. Incluye la capacidad para administrar la replicacin, sitios, dominios y bosques, controladores de dominio y las particiones. Funcionalidad similar est disponible mediante cmdlets de Windows PowerShell para que previamente disponible en sitios de Active Directory y Servicios y Repadmin.exe. Adems, los cmdlets son compatibles con el actual de Windows PowerShell cmdlets de Active Directory, creando as una experiencia simplificada y que le permite crear fcilmente secuencias de comandos de automatizacin. Por ejemplo, para obtener una lista de todos los sitios de AD DS, utilice el siguiente ejemplo de cdigo. Get-ADReplicationSite-Filter * Para crear un nuevo sitio, utilice el siguiente ejemplo de cdigo. Nueva ADReplicationSite BRANCH1

Microsoft Virtual Academy Manual del Estudiante

23

Module 1: Active Directory Features and Improvements.

Para crear un nuevo vnculo a sitios, utilice el siguiente ejemplo de cdigo. "CORPORATE-BRANCH1 '-SitesIncluded corporativa-ADReplicationSiteLink, BRANCH1-OtherAttributes @ {" opciones "= 1} Usted puede usar estos cmdlets, y otros, para llevar a cabo toda la replicacin de AD DS y mantenimiento de la topologa que se realiza previamente a la consola grfica.

Microsoft Virtual Academy Manual del Estudiante

24

Module 1: Active Directory Features and Improvements.

Leccin 4: Mejoras de Gestin

AD DS en Windows Server 2012 ofrece una serie de mejoras de gestin. Esta leccin explora estas mejoras.

Microsoft Virtual Academy Manual del Estudiante

25

Module 1: Active Directory Features and Improvements.

Papelera de Reciclaje de Active Directory

El Centro de administracin de Active Directory se ha mejorado para apoyar la gestin grfica de la Papelera de reciclaje de Active Directory. Antes de Windows Server 2012, utilizando la Papelera de reciclaje de Active Directory significaba que estaban obligados la herramienta de edicin de Active Directory Interface (ADSI) Edit, que era engorroso y no intuitivo.

Microsoft Virtual Academy Manual del Estudiante

26

Module 1: Active Directory Features and Improvements.

Desglose de Polticas de Contraseas

El Centro de administracin de Active Directory tambin se ha modificado para dar soporte a la creacin y gestin al detalle de las polticas de contraseas. Una vez ms, en las versiones anteriores de Windows Server, debe utilizar ADSI Edit para gestionar estas polticas de contraseas detalladas.

Microsoft Virtual Academy Manual del Estudiante

27

Module 1: Active Directory Features and Improvements.

Visualizador del historial de AD DS Windows PowerShell

Como parte del compromiso de Microsoft con la plataforma de Windows PowerShell, el Centro de administracin de Active Directory ahora proporciona un fcil acceso al visualizador del historial de Windows PowerShell. El visualizador del historial de Windows PowerShell muestra los comandos de Windows PowerShell cuando una tarea se lleva a cabo a travs de la interfaz de usuario. Hay muchos cmdlets de Windows PowerShell para AD DS, pero uno de los retos para los administradores de AD DS es que hay una curva de aprendizaje empinada relativa alrededor de Windows PowerShell para AD DS. Incluso despus de enterarse de ellos, es difcil recordar todos los cmdlets y sus parmetros. En Windows Server 2012, tal como ejecutar acciones en la interfaz de usuario, el equivalente de Windows PowerShell para el comando de Active Directory, se muestra al usuario en el Visor del Historiarial de Windows PowerShell. Estos comandos a su vez, se pueden copiar y reutilizar en tus scripts. Esta mejora reduce el tiempo para aprender de Windows PowerShell para Active Directory. Tambin puede aumentar la confianza de sus usuarios en la correccin de sus scripts de automatizacin.

Microsoft Virtual Academy Manual del Estudiante

28

Module 1: Active Directory Features and Improvements.

Acceso de Control Dinmico

El Acceso de Control Dinmico le permite crear y administrar el acceso central y directivas de auditora en AD DS, que luego se puede gestionar a travs del Centro de administracin de Active Directory. Estas polticas se basan en expresiones condicionales que tener en cuenta quin es el usuario, el dispositivo que est utilizando y qu datos estn accediendo. A continuacin, puede traducir los requerimientos del negocio para la aplicacin de polticas eficientes y reducir considerablemente el nmero de grupos de seguridad necesarios para el control de acceso. Para ayudar a las organizaciones a alcanzar el cumplimiento de datos, Microsoft se ha centrado en las siguientes reas: Identificar la informacin que debe ser gestionado para satisfacer los requerimientos del negocio y el cumplimiento. Aplicar polticas adecuadas de acceso a la informacin. Auditar el acceso a la informacin. Cifrar la informacin. Estas reas de enfoque fueron traducidos a un conjunto de capacidades de Windows que permiten el cumplimiento de datos en soluciones de socios y Windows-based. El Acceso de Control Dinmico integra las reivindicaciones a la autenticacin de Windows (Kerberos) para que los usuarios y los dispositivos se puede describir no slo por los grupos de seguridad a los Microsoft Virtual Academy Manual del Estudiante

29

Module 1: Active Directory Features and Improvements. que pertenecen, sino tambin por las declaraciones como "El usuario est en el departamento de Finanzas" y "autorizacin de seguridad del usuario es de alta . " La infraestructura de clasificacin de archivos en Windows Server 2012 se ha integrado con control de acceso dinmico para que los dueos de negocios y los usuarios a identificar (tag) sus datos de forma que los administradores de TI pueden dirigir las polticas basadas en este etiquetado. Esta habilidad funciona en paralelo con la capacidad de la infraestructura de clasificacin de archivos para clasificar automticamente los archivos basndose en el contenido o cualquier otra caracterstica. Control de acceso dinmico tambin se integra con Rights Management Services para proteger automticamente (encriptar) la informacin sensible en servidores de modo que incluso cuando la informacin sale del servidor, sigue estando protegido.

Microsoft Virtual Academy Manual del Estudiante

30

Module 1: Active Directory Features and Improvements.

Mejoras de Polticas Grupales

La Consola de Manejo de Polticas Grupales incluye nuevas capacidades que le permiten rastrear ms fcilmente replicacin SYSVOL y su relacin con la directiva de grupo y la fuerza de las actualizaciones de directiva de grupo desde una ubicacin central. En versiones anteriores de Windows Server, si ha cambiado la configuracin de directiva de grupo, esos ajustes se tuvieron que aplicar a la computadora o cuentas de usuario en las unidades organizativas apropiadas (OUs). Para la configuracin de la directiva de equipo, el equipo cliente tuvo que reiniciar para actualizar la directiva de grupo, o el comando gpupdate / force haba que ejecutar en el cliente local para actualizar la configuracin. En Windows Server 2012, puede hacerlo directamente desde la consola de administracin de directivas de grupo. Al hacer clic derecho y seleccionar una unidad organizativa actualizacin de Directiva de grupo, todas las cuentas de equipo dentro del alcance de la OU se actualizar de inmediato. Si se produce un error, un archivo de registro se crear automticamente.

Microsoft Virtual Academy Manual del Estudiante

31

Module 1: Active Directory Features and Improvements.

Kerberos Delegacin Restringida

La Delegacin restringida de Kerberos (KCD) se introdujo con Windows Server 2003. KCD permite una cuenta de servicios (front-end) para actuar en el nombre de los usuarios de aplicaciones de varios niveles para un conjunto limitado de servicios back-end. Por ejemplo: Un usuario accede a un sitio web como usuario1. El usuario solicite informacin desde el sitio web (front-end) que requiere que el servidor web para consultar un Microsoft SQL Server base de datos (back-end). El acceso a estos datos est autorizado de acuerdo con que accedi al front-end. En este caso, el servicio web debe hacerse pasar por el usuario 1 al hacer la solicitud a SQL Server. Para todo esto, debe configurar los servicios de front-end (por SPN) para que puede hacerse pasar por usuarios. Adems, la configuracin y administracin de dominio requieren privilegios de administrador. Por ltimo, la delegacin KCD slo funciona para los servicios de back-end en el mismo dominio que el front-end de servicios-cuentas. En Windows Server 2012, KCD mueve la decisin de autorizacin de los propietarios de los recursos. Esto permite que el back-end para autorizar que front-end cuentas de servicio puede suplantar a los usuarios en contra de sus recursos. Es compatible con varios dominios, entre bosques escenarios, ya no se requieren privilegios de administrador de dominio para la configuracin y administracin, y slo requiere permisos de administrador para la cuenta de servicio de back-end. Microsoft Virtual Academy Manual del Estudiante 32

Module 1: Active Directory Features and Improvements.

Recursos y Lecturas adicionales

Para obtener ms informacin sobre los temas tratados en esta sesin, vea los siguientes recursos: Whats New in Active Directory Domain Services http://technet.microsoft.com/en-us/library/hh831477.aspx#BKMK_actdir_adba Windows Server Blogs http://blogs.technet.com/b/windowsserver Windows Server 2012 Home Page and Product Download http://www.microsoft.com/en-us/server-cloud/windows-server/2012-default.aspx

Microsoft Virtual Academy Manual del Estudiante

33