В наших статьях уже не раз говорилось о новых возможностях Active Directory (AD), реализованных в Windows Server 2012. ИТ-специалистам, отвечающим за AD, должно быть известно, что к обновлению AD могут побуждать не только явные усовершенствования самой службы, такие как возможность клонирования виртуальных контроллеров домена DC.

Как ни странно, AD не является центром ИТ-вселенной. Правильнее было бы говорить об этой службе как о критически важной составляющей ИТ-структуры, такой как, например, электроснабжение. Без этой составляющей невозможно обойтись, но замечают ее только тогда, когда она перестает работать. Продолжая аналогию, можно сказать, что AD позволяет одной кнопкой включать сразу все потолочное освещение на этаже вашего офиса, вместо того чтобы включать каждый плафон отдельно (однократная аутентификация – многократный доступ). Какие же новые или усовершенствованные возможности Server 2012 требуют обновления AD?

Как показывает мой опыт работы в корпоративных ИТ-средах, другие подразделения, рассматривая внедрение новой операционной системы или новых возможностей приложения, часто не знают о требованиях по обновлению AD в связи с реализацией этого проекта. Если же они об этом осведомлены, то не сообщают упомянутых требований группе AD. Когда же эти требования, наконец, попадают в группу AD, проект модернизации, как правило, уже находится на стадии исполнения, и специалисты из группы AD вынуждены разрабатывать и спешно реализовывать проект обновления, что создает предпосылки для незапланированных простоев.

Теперь взглянем на положительные аспекты этой ситуации. Если вы не можете обосновать переход на AD Server 2012, основываясь лишь на новых достоинствах самой службы, то требования по обновлению AD в связи с реализацией другого проекта, затрагивающего интересы бизнеса на более высоком уровне, могут послужить достаточным аргументом. Словом, в ваших интересах знать, какие новые возможности Server 2012 требуют обновления AD.

Динамический контроль доступа

Функцию Dynamic Access Control (DAC) следует рассматривать не как единичный компонент, но как комбинацию новых или усовершенствованных технологий Server 2012. Вместе они обеспечивают более высокий уровень контроля доступа и управления файловыми серверами Windows.

Относящиеся к AD требования DAC зависят от того, каков планируемый масштаб реализации данного компонента.

  • Если вы хотите использовать современные условные выражения (применение условий авторизации «И» вместо групп безопасности) или помощь при отказе в доступе, то вам достаточно выполнить обновление файловых серверов Windows до Server 2012.
  • Внедрение утверждений (заявок) в AD и Kerberos или централизованных политик доступа (которые требуют утверждений) потребует одного или нескольких DC Server 2012 (что означает обновление схемы). Необходимо также отредактировать политику контроллеров домена и разрешить им назначать утверждения (заявки), для чего следует включить поддержку DAC и защиты Kerberos в разделе PoliciesComputer ConfigurationAdministrative TemplatesSystemKDCDomain Controller.
  • Выбор одного из двух ограничительных параметров политики, Always provide claims («Всегда предоставлять утверждения») или Fail unarmored authentication requests («Отклонять незащищенные запросы аутентификации»), потребует обновления всех DC в домене до Server 2012 и повышения функционального уровня домена.

Службы федерации Active Directory 2.1

Сегодня службы федерации Active Directory (AD FS) – полноправная роль сервера, а не установленное извне средство. Если AD FS используется для управления на основе федеративных отношений доверия (вы должны использовать какое-либо решение по организации федерации, будь то AD FS, стороннее локальное программное обеспечение или IDaaS), то версия 2.1 предлагает более гибкие возможности применения утверждений (заявок). До Server 2012 утверждения создавались и хранились только в AD FS. Утверждения создавались по идентификаторам безопасности (SID) пользователей и групп в билете Kerberos или по LDAP-запросам AD FS к AD. В Server 2012 AD FS может воспринимать утверждения (заявки) пользователей и устройств AD, включаемые в билеты Kerberos в результате аутентификации в домене. Такая организация имеет большую степень интеграции и гибкости, чем у предыдущих версий. AD FS включает утверждения в токен SAML, выдаваемый клиенту и используемый веб-службами, таким как Salesforce.com.

Для реализации возможности использовать утверждения Kerberos в AD FS необходимо следующее:

  • конфигурация DAC должна предусматривать более одного DC Server 2012, чтобы утверждения присутствовали в токене Kerberos;
  • составной ID (то есть утверждения пользователя плюс устройства) для учетной записи службы AD FS;
  • Server 2012 AD FS.

Активация через Active Directory

В Server 2012 процедура активации продуктов интегрирована с активацией через Active Directory-Based Activation (ADBA). Попросту говоря, ADBA разрешает автоматическую активацию продукта с поддержкой общего ключа корпоративной лицензии Generic Volume License Key (GVLK) при его вхождении в лес, где активация осуществляется с помощью средства управления активацией корпоративных лицензий Volume Activation Management Tool (VAMT). Это значительное достижение в части интеграции ограничено тем, что к продуктам, распознающим GVLK, относятся только Windows 8 и Server 2012. Таким образом, ваша инфраструктура активации корпоративных лицензий станет проще... когда-нибудь. ADBA требует обновления схемы до Server 2012 (для обеспечения возможности хранить объекты активации в AD), но не требует DC.

DirectAccess

Вспомним, что DirectAccess – это сетевая технология Microsoft, открывающая клиенту, принадлежащему домену, доступ к корпоративной сети из любого места, где есть подключение к Интернету. В числе усовершенствований этой технологии в Server 2012 — возможность присоединения к домену клиента, находящегося за пределами корпоративной сети, на стадии загрузки. Это означает, что клиент может подключаться без запуска каких-либо соединений. DirectAccess требует обновления схемы.

Групповые управляемые учетные записи служб

Управляемые учетные записи служб Managed service account (MSA), введенные в Windows Server 2008 R2, были призваны решить проблему изменения паролей учетных записей служб, не влияя на использующие их службы. К сожалению, у MSA существовало ограничение, связанное с необходимостью их применения для каждого компьютера и каждой службы, что сильно тормозило внедрение. В Server 2012 введены групповые учетные записи служб gMSA, которые позволяют службам, работающим на нескольких хостах, использовать одну и ту же учетную запись gMSA. Кластеры Microsoft SQL Server – удачный сценарий для gMSA.

Кросс-доменное ограниченное делегирование Kerberos

Ограниченное делегирование Kerberos – это способность учетной записи службы действовать от имени пользователя в многозвенных приложениях для доступа к ограниченному набору внутренних служб. До Server 2012 делегирование работало только тогда, когда учетная запись внешней службы принадлежала тому же домену, что и внутренняя служба. В Server 2012 многозвенные приложения могут охватывать несколько доменов.

Для реализации этой возможности требуется следующее.

  • Как минимум, один DC Server 2012 должен принадлежать обоим доменам – внутреннему домену и внешнему домену (а это означает обновление схемы в каждом из них). Домен клиента не требует обновления.
  • Внешний сервер, обслуживающий учетную запись службы, должен работать под управлением Server 2012.

Функциональные уровни

Если говорить о функциональных уровнях домена AD и леса, то относящиеся к AD возможности в Server 2012 стали гораздо менее зависимы от этих параметров, чем в предыдущих версиях операционной системы. Раздел «Functional level features and requirements» статьи «Upgrade Domain Controllers to Windows Server 2012» (http://technet.microsoft.com/en-us/library/hh994618.aspx) содержит более подробную информацию о текущих требованиях и функциональных уровнях в целом.

Как уже говорилось выше, есть одно обстоятельство, которое может потребовать повышения функционального уровня домена. Если нужно, чтобы все DC объявляли о поддержке утверждений (с защитой или без обязательной защиты Kerberos и гибкой аутентификации по защищенному туннелю Flexible Authentication Secure Tunneling (FAST), согласно определению RFC 6113), то все они требуют обновления и последующего повышения функционального уровня домена.

Нет никаких конкретных возможностей, требующих функционального уровня домена Server 2012. Однако предусматривается, что любые вновь создаваемые новые домены автоматически будут на функциональном уровне домена Server 2012.

Начинайте упрощать

Аргументы в пользу перехода на AD Server 2012 могут оказаться недостаточно убедительными, если опираться только на новые достоинства этой службы (хотя данное обновление, безусловно, достойно реализации), но связанные с таким переходом улучшения в других областях прибавят вашим доводам веса. Группе по обеспечению безопасности понравятся gMSA, а бизнес-подразделения по достоинству оценят дополнительную гибкость, обеспечиваемую ограниченным делегированием. Кроме того, базовая реализация утверждений и выражений AD для контроля доступа позволит всем начать упрощение среды безопасности.