Dieser Artikel ist Teil unseres Guides: Profi-Tipps zu Windows Server 2016

Neue Möglichkeiten des Active Directory mit Windows Server 2016

Windows Server 2016 bietet auch im Bereich Active Directory einige Neuerungen. Ein Überblick zu AD FS, LDAP, OAuth und OpenID.

Kurz vor der finalen Veröffentlichung von Windows Server 2016 steigt auch die Zahl der Unternehmen, die Microsofts neueste Servergeneration einer Prüfung unterziehen. Auch wenn viele der neuen Möglichkeiten derzeit eine große Aufmerksamkeit erfahren – man denke nur an Container –, bieten auch die grundlegenden Rollen von Windows Server 2016, einschließlich des Active Directory, mehr als nur hinreichenden Anlass für einen genaueren Blick.

Vielen System-Administratoren dürfte dieses Szenario bekannt vorkommen: Zugriffsrechte eines bestimmten Anwenders auf eine Datei oder Ressource werden nur für einen begrenzten Zeitraum benötigt. Beispiele finden sich etwa bei extern beauftragten Mitarbeitern, Zeitarbeitsfirmen oder auch im universitären Umfeld, in dem Studierende je nach Kursbelegung oder Teilzeitstellen kommen und gehen.

Früher verließen sich Administratoren zur Handhabung solcher Gruppenmitgliedschaften entweder auf spezielle Software zur Verwaltung des Identity-Lifecycles, oder aber sie nutzten einen schwerfälligen Prozess mitsamt dynamischen Objekten und spezifischen Time-to-live-Einträgen.

Auslaufende Gruppenmitgliedschaften

An dieser Stelle setzt das Privileged Access Management (PAM) an. Dabei handelt es sich um eine neue Möglichkeit in Windows Server 2016, mit der Administratoren mit einer simplen PowerShell-Option die Dauer einer Gruppenmitgliedschaft festlegen können. Die Nutzung von PAM setzt voraus, dass innerhalb der Domäne, in der sich die zeitlich begrenzten Gruppenmitgliedschaften befinden, die optionalen Features von Active Directory aktiviert werden:

Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target yourdomain.com

Anschließend wird einer bestehenden Gruppe ein Mitglied hinzugefügt und die Dauer der Mitgliedschaft über die Option -MemberTimeToLive angegeben:

Add-ADGroupMember -Identity 'Color Printer Users' -Members 'ssmith' -MemberTimeToLive (New-TimeSpan -Days 90)

Das ist schon alles. Bereits jetzt können die Gruppenmitglieder überprüft werden, um herauszufinden, wie lange es noch dauert, bis diese Mitgliedschaft abläuft. Hierfür wird der folgende PowerShell-Befehl verwendet:

Get-ADGroup 'Color Printer Users' -Property member –ShowMemberTimeToLive

Allerdings bringt diese Funktion auch zwei Stolpersteine mit sich: Zunächst muss das System mindestens auf Windows Server 2016 oder der funktionalen Ebene von Windows 10 laufen. Zudem kann dieses Feature nicht mehr abgeschaltet werden, wenn es einmal aktiviert wurde.

Verbesserungen an der Zeitsynchronisation

Die Zeitsynchronisation ist zumeist sicherlich nur ein kleineres Detail, kann sich aber zu einem echten Problem für die Authentifizierung und Funktionsfähigkeit des gesamten Active-Directory-Deployments auswachsen. Zu den Aufgaben der Zeitsynchronisation gehört es, alle Mitglieder einer Domäne mit akkuraten, synchronisierten Zeitinformationen der Domänencontroller zu versorgen und sicherzustellen, dass diese Domänencontroller mit einer zuverlässigen Quelle synchronisiert werden.

Es gibt mitunter einen ganzen Reigen von Problemen, die die Zeitsynchronisation innerhalb einer Domäne beeinflussen können: Eine falsch gehende Uhr der virtuellen Maschine, scheiternde Anfragen zur Synchronisation der Zeit, Mitglieder der Domäne, deren Einstellungen sich auf Server beziehen, die gar nicht mehr verfügbar sind, mobile Maschinen wie firmeneigene Laptops, die sich nur selten mit der Domäne verbinden und eine Zeitsynchronisation erhalten und viele weitere mehr.

Windows Server 2016 verfügt über mehrere Updates der Zeitsynchronisation innerhalb der Domäne, die einige dieser Probleme in den Griff zu bekommen versprechen. Darunter:

  • Eliminierung von sich summierenden Rundungsfehlern, die über die Zeit hinweg zu Synchronisationsfehlern beitragen.
  • Erhöhung der Anpassungsfrequenz, wodurch sich falsche Zeitstände nicht mehr zu großen Synchronisationsfehlern aufsummieren sollten.
  • Höhere Genauigkeit der Synchronisation bis auf zehntel Millisekunden, womit selbst bei falschen Zeitständen das Problem durch häufige präzise Anpassungen ausgemerzt wird.

Neues bei den Active Directory Federation Services

Schließlich gibt es auch viele Verbesserungen an den Active Directory Federation Services (AD FS), der Software für die Authentifizierung und Autorisierung von Identitäten über Sicherheitsgrenzen hinweg:

  • Conditional Access Control: Gibt Administratoren die Möglichkeit, an die Hand zu konfigurieren, inwieweit Maschinen einer minimalen Sicherheitsgrundanforderung entsprechen müssen, bevor ihnen eine Verbindung und der Zugang zu jedweden Unternehmensressourcen gewährt werden. Diese Bedingungen können Multifaktor-Authentifizierung, Mitgliedschaft in bestimmten Gruppen oder auch der Zustand eines Gerätes (Patching und Malware-Schutz) sein. Mit Ausnahme der Absicherung des Übertragungsweges gleicht dieses Feature der Network Access Protection und wird zwecks einer granulareren Steuerung auf Anwendungsebene eingesetzt.
  • LDAP3-Directories mit AD FS verwenden: Früher mussten IT-Abteilungen zur Nutzung von AD FS ein spezielles AD FS Deployment aufsetzen, das beispielsweise aus einem Read-Only-Domänencontroller oder vielleicht einer Active Directory Application Mode Domäne bestehen konnte. Dies verursachte einen hohen Mehraufwand und war – insbesondere bei Firmenzukäufen und -verschmelzungen oder bei der Arbeit mit Fremdfirmen – den Aufwand meist einfach nicht wert. Mit Windows Server 2016 kann jetzt aber jedes beliebige Directory – einschließlich Open-Source-Directories – verwendet werden, das LDAP3 unterstützt. Damit wird die Integration von Office-365-Anwendungen in einem föderierten, verwalteten Status in bestehende Angebote sehr viel einfacher.
  • Unterstützung für OAuth/OpenID Connect: Webanwendungen wie Salesforce, Microsoft Dynamics, Social-Media-Software oder andere Konzernanwendungen nutzen für Schutz und Verwaltung von Identitäten nahezu immer irgendeine Art von OAuth oder OpenID. AD FS unterstützt OAuth und OpenID in Windows Server 2016, um diese Webanwendungen in bestehende Deployments von Systemen zur Verwaltung von Identitäten viel direkter integrieren zu können.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close