Quais as novidades do Active Directory do Windows Server 2012
Aplica-se a:
Windows Server 2012, Active Directory
Nota: Este artigo refere-se a um produto ainda não lançado, podendo sofrer alterações antes de seu lançamento.
Introdução
O Active Directory (AD) é uma parte fundamental do sistema do Windows Server, e quaisquer alterações devem abordar três grandes grupos e requisitos. O primeiro requisito é definido para todo o ecossistema do Windows Server que depende dela para autenticação e controle de acesso. Quer se trate de Exchange Server, System Center, Hyper-V, SQL Server, ou muitos outros produtos dentro e fora da Microsoft, milhares de soluções de software empresarial dependem do AD.
O segundo conjunto de requisitos é para proprietários de serviços no AD, os Administradores de Sistemas que realmente gerenciam a aplicação distribuída em toda a sua extensão de controladores de domínio (DCs). Embora o AD tenha feito vários avanços no gerenciamento desde os primórdios, ainda permanece complexo.
O terceiro, é claro, é para os milhões de usuários literalmente ao redor do mundo que trabalham com AD, direta ou indiretamente para o controle de acesso a vários recursos em seu domínio. Como será o envelhecimento do modelo de controle de acesso usuários/grupos para atender às complexas de segurança e requisitos de conformidade com o que vivemos hoje, e amadurecer para amanhã certamente expandir as necessidades? Como Nathan Muggli da Microsoft comentou, “Projetar alterações no Active Directory é como pedir uma pizza para um milhão de pessoas, todo mundo quer uma coisa diferente.”
Para o Windows Server 2012 a equipe de AD não alterou o produto de forma dramática. Não há um banco de dados do serviço de diretório baseado no SQL Server, e nem uma série de DC com mais de uma partição de domínio (por que você precisa mais, quando você pode criar um outro DC virtual?). Em vez disso, a equipe de concentrou em três objetivos principais que atendam a todas as suas partes interessadas em graus variados.
Primeiro, o AD precisa dar suporte a virtualização, segundo, o AD deve ser simples de implementar e finalmente, o AD deve ser simples de gerenciar.
AD Virtualizado – agora Simplesmente Funciona
Garantir que a virtualização do AD simplesmente funcione deve ser um grande alívio para muitos administradores de sistemas, porque mesmo que as regras para um AD virtualizado com segurança não são tão difíceis, a responsabilidade por isso está espalhada por várias equipes. Isto significa que guardar um AD em um ambiente virtual não é apenas um problema técnico, é um problema de pessoas ou organizacional. E as consequências para faze-lo podem ser grave, como ilustrado em artigos da Microsoft sobre “USN e USN Rollback”.
O que causa problemas para o AD antes do Windows 8 Server em um ambiente virtualizado é que a aplicação distribuída não tem conhecimento qualquer sobre ações de virtualização específica tomadas por baixo nível do host. Especificadamente, você pode confundir o AD e, potencialmente, induzir uma condição insalubre conhecida como reversão do USN se você restaurar um DC virtualizado, a partir de um backup instantâneo ou imagem. Tudo isso porque um aplicativo distribuído como o AD tem muitas dependências de uma instância única. Quando um DC foi restaurado a partir de um backup de imagem, ele aparece magicamente como se fosse de uma hora mais cedo, mas de forma incompleta, pois nem os seus parceiros, nem o próprio DC restaurado o reconhece.
Em contraste, o Windows 8 garante que o Controlador de Dominio Virtual (VDC) seja capaz de detectar quando instantâneos são aplicados ou o VDC foi copiado. A detecção dessas mudanças é construído sobre o que é conhecido com um VM generation ID (gen ID) para detectar alterações e proteger o AD, ou tomar medidas corretivas. Isso exige mudanças para o Hyper-V e a Microsoft está trabalhando com outros fornecedores de virtualização para se certificar que esta tecnologia estará na versão mais recente do seu hypervisor. É do seu interesse faze-lo, pois até então a Microsoft tem uma vantagem competitiva em seu próprio Hyper-V.
Clonagem do AD Domain Controller
Segundo meta do time do AD, simples de implementar, foi possível graças a tecnologia ID gen. Por causa disso, é fácil e seguro criar um clone virtual do DC com o Windows Server8. Do ponto de vista do Administrador, o processo é bastante simples: você copia/cola/renomeia a fonte de arquivos virtuais em discos VHD para criar uma segunda cópia no disco. E depois realoca-lo na pasta de destino que você desejar. Use o Hyper-V Manager ou o Virtual Machine Manager para criar uma nova VM, e associar o VHD copiado com a nova VM. Em seguida basta inicia-lo.
Realizar Upgrades de Domínios e Florestas de forma simples – Melhorias do DCPROMO
Além de ser capaz de clonar VDCs, o processo de atualização e promoção foi completamente reformulado e agora é feito de forma mais simples. No AD no Windows Server 2012, você pode atualizar seus domínios e florestas a partir de uma versão anterior ao Windows Server 2012 inteiramente a partir do Server Manager. Ao contrário de versões anteriores, você não tem que fazer logon em diferentes DCs com diferentes conjuntos de credenciais, encontrar a versão correta do ADPREP, FORESTPREP na floresta em em cada domínio, e escolher o momento para atualizar o SYSVOL, tudo já é automaticamente cuidado para você (Caso você queira é possível executar uma etapa de atualização passo a passo, ainda está disponível). O processo do DCPROMO também foi simplificado e inclui uma significante mudança na resolução de problemas, porque esta área foi um dos geradores de maior apelo para a Divisão de Serviço de Suporte aos Clientes da Microsoft (CSS).
Centro Administrativo do Active Directory – Visualizador do histórico do Power Shell
A terceira meta do AD do Windows Server 2012 é torna-lo mais fácil de gerenciar. Agora é possível fazer praticamente qualquer tarefa administrativa no AD com o Power Shell. Desde que o Power Shell aumentou sua cobertura de tarefas administrativas de 200 para mais de 2.300 cmdlets, isso realmente faz sua vida mais fácil, porque ao invés de ter uma série de cmdlets Power Shell para fazer algo, você pode muito provavelmente encontrar um cmdlet dedicado para o que você quer fazer.
Embora as ações do AD foram inseridas no Power Shell, curiosamente a lixeira do AD ganhou uma interface gráfica.
Além disso, o Centro Administrativo do AD (ADAC) tem um novo painel na parte inferior chamado Visualizador de histórico Power Shell. Apesar de oculto por padrão, você pode expandir o painel para ver o que os comandos executados no Power Shell executam “sob as cobertas”, como resultado das ações que estamos tomando no ADAC. Desta forma, você pode aprender a sintaxe de cmdlets Power Shell relacionados por ve-los por fluxo. Você também pode facilmente copiar os cmdlets para coloca-los em um roteiro de sua preferencia, ou combinar cmdlets em tarefas com o recurso de Tarefas no painel. O histórico é mantido entre as sessões ADAC, para que você possa voltar os dias e encontrar a sintaxe de um comando específico que você executou um tempo atrás. O console Active Directory Users and Computers (ADUC) não vai desaparecer tão cedo porque tem extensibilidade que atualmente carece no ADAC, mas a ADUC não está sendo reforçada.
AD – Ativação de produto integrada
Outra característica que cai no âmbito do “fácil gerenciar” é algo que simplesmente faz sentido: A ativação do produto agora usa o AD em vez de uma infraestrutura separada. Ele usa LDAP para a comunicação com seus clientes em vez de RPC, e nenhum dado é escrito de volta para o diretório. Você não irá se livrar do KMS por um tempo, porém, como ainda é necessário para baixo nível (por exemplo, tudo que está em produção hoje) de licenciamento.
AD FS dá mais um passo rumo à integração
O Active Directory Federation Services (AD FS) tornou-se um pouco mais integrado aos bits de servidor do que as versões anteriores. No Windows Server 2012, o AD FS é instalado como um papel no Server Manager, em vez de um add-on para download. Ainda não foi dado um passo arquitetônico para se tornar um componente do AD, mas é um passo na direção certa. Com a adição de reivindicações para o token Kerberos, O AD FS será capaz de extrair e utilizar estas informações do token, e também utilizar reivindicações de dispositivos estáticos.
Active Directory e controle de acesso dinâmico
Finalmente, o Windows Server 2012 AD é um componente integral de um recurso de enorme novidades na identidade e na área de segurança para o sistema operacional: Controle de Acesso Dinâmico, uma maneira muito mais poderosa, flexível e natural de gerenciar o acesso a arquivos em volumes NTFS.
O Windows Server 8 Active Directory fez uma série de melhorias muito apreciada em virtualização, implementação e gestão concebido para facilitar as dores de cabeça, frustrações e apoio a dezenas de milhares de profissionais de TI que não são especialistas dedicados ao AD. Eles ajudam a melhorar e “diminuir o atrito de implantação” do Windows Server. E muitas mudanças menores para o AD são bases para ampla variedade de novas funcionalidades no sistema operacional. Quando o produto entrar em beta vai ser interessante ver o que os ajustes e adaptações serão feitas para um dos aplicativos mais amplamente implantado da Microsoft.
Nota de migração: este artigo foi migrado do TechNet Wiki em ingles, segue o link onde voce pode conferir a autoria e os comentários. http://social.technet.microsoft.com/wiki/contents/articles/5388.quais-as-novidades-do-active-directory-do-windows-server-2012-pt-br.aspx