Нововведения в Active Directory в Windows Server 2008 R2
Windows Server 2008 R2 появился целый ряд новых серверных ролей для служб приложений, также стали доступными и несколько новых возможностей в Active Directory. И отличие от перехода с Windows NT на Active Directory десять лет назад, требовавшего серьезной реструктуризации доменных функций, новинки в Active Directory 2008 R2 являются скорее эволюционными, чем революционными. Несколько новых добавившихся функциональных возможностей в AD 2008 R2 могут как служить, так и не служить для организаций причиной для немедленного обновления до AD 2008 R2, но все же многие из организаций признают, что именно новые улучшения в Active Directory 2008 R2 как раз и стали для них главным поводом для проведения миграции.
Новые функциональные возможности в Active Directory 2008 R2
- Корзина Active Directory (Active Directory Recycle Bin). Корзина AD предоставляет администраторам возможность легко отменять удаление объектов в Active Directory. Раньше в случае непреднамеренного удаления администратором из Active Directory объекта, такого как пользователь, группа, контейнер организационной единицы и т.д., этот объект, по сути, исчезал, и администратору нужно было создавать его с нуля с соблюдением всех необходимых для его безопасности и уникальности принципов. Корзина AD теперь позволяет администратору просто запустить утилиту восстановления и отменить случайное удаление объектов.
- Управляемые учетные записи служб (Managed Service Accounts). Приложения в сети часто используют ассоциируемые с безопасностью учетные записи служб для запуска базы данных, проведения поиска данных и индексации или выполнения фоновых задач. Однако в случае изменения организацией пароля какой-то из этих учетных записей на всех серверах, где имеются приложения, использующие эту учетную запись, должен быть обязательно указан новый пароль, что может превратиться в настоящий кошмар для администраторов. При работе в режиме Active Directory R2 учетные записи служб можно идентифицировать и затем управлять ими так, чтобы изменение пароля для любой из них автоматически приводило к внесению соответствующих изменений на всех остальных серверах приложений в организации.
- Контроль механизма проверки подлинности (Authentication Mechanism Assurance). Еще одной новой функциональной возможностью в Active Directory 2008 R2 является улучшение процесса проверки подлинности на основе утверждений (claims-based authentication). Благодаря контролю механизма проверки подлинности, содержащаяся в маркере (token) информация может извлекаться всякий раз, когда пользователь пытается получить доступ к распознающему утверждения (claims-aware) приложению, и использоваться для определения применяемого способа авторизации на основании используемого пользователем метода регистрации.
- Автономное присоединение к домену (Offline Domain Join). Для администраторов, занимающихся созданием образов систем, трудностью является то, что система должна обязательно быть физически подключена к сети, прежде чем ее можно будет присоединить к домену. Функция автономного присоединения к домену позволяет производить предварительное присоединение системы к домену с помощью файла с записанными внутри него уникальными учетными данными системы.