Windows Server 2012: Identidad and Acceso

Módulo 1: Active Directory características y mejoras.

Manual del Modulo

Autor: Andrew Warren, Maestro de Contenido

Publicado: Septiembre 10 de 2012

La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web, está
sujeta a cambios sin previo aviso. A menos que se indique lo contrario, los ejemplos de compañías, organizaciones,
productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y eventos
mencionados son ficticios, y ninguna asociación con ninguna compañía, organización, producto, nombre de
dominio,-e dirección de correo electrónico, logotipo, persona, lugar o evento se pretende ni se debe inferir.
Cumplir con todas las leyes de derechos de autor aplicables es responsabilidad del usuario. Sin limitar los derechos
de autor, ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de
recuperación, o transmitida de ninguna forma ni por ningún medio (ya sea electrónico, mecánico, fotocopia,
grabación, o de otra manera), o por cualquier propósito, sin la autorización expresa por escrito de Microsoft
Corporation.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de
propiedad intelectual sobre los contenidos de este documento. Salvo que se prevea en un contrato escrito de
licencia de Microsoft, la posesión de este documento no le otorga ninguna licencia sobre estas patentes, marcas,
derechos de autor u otra propiedad intelectual.

® 2012 Microsoft Corporation. Todos los derechos reservados.

Microsoft es una marca comercial registrada o marca comercial de Microsoft Corporation en Estados Unidos y / u
otros países.

Los nombres de compañías y productos reales aquí mencionados pueden ser marcas comerciales de sus
respectivos propietarios.

Microsoft Virtual Academy Manual del Estudiante ii

Contenido
CONTENIDO............................................................................................................................................................................................................... III
MÓDULO 1: ACTIVE DIRECTORY CARACTERÍSTICAS Y MEJORAS. ....................................................................................................... 4
Visión General del módulo .............................................................................................................................................................................. 4
Lección 1: Mejoras en la Implementación ................................................................................................................................................. 5
Experiencia de Implementación mejorada ................................................................................................................................................ 6
Instalación desde media mejorada .............................................................................................................................................................. 8
AD FS 2.1 Se incluye como función de servidor ...................................................................................................................................... 9
Lección 2: EL AD DS Virtualizado ................................................................................................................................................................10
Virtualización Segura de controladores de dominio ...........................................................................................................................11
Clonación de Domain Controller Virtualizada .......................................................................................................................................13
Lección 3: Nuevas Características y Mejoras ..........................................................................................................................................15
Mejoras RID .........................................................................................................................................................................................................16
Creación de Índices diferida ..........................................................................................................................................................................18
Dominio de Ingreso fuera de las instalaciones......................................................................................................................................19
Cuentas Conectadas .........................................................................................................................................................................................20
Activación basada en Active Directory......................................................................................................................................................21
Cuentas de Servicio Manejadas en Grupo...............................................................................................................................................22
AD DS Replicación y Topología Cmdlets .................................................................................................................................................23
Lección 4: Mejoras de Gestión .....................................................................................................................................................................25
Papelera de Reciclaje de Active Directory ...............................................................................................................................................26
Desglose de Políticas de Contraseñas.......................................................................................................................................................27
Visualizador del historial de AD DS Windows PowerShell ................................................................................................................28
Acceso de Control Dinámico ........................................................................................................................................................................29
Mejoras de Políticas Grupales ......................................................................................................................................................................31
Kerberos Delegación Restringida ................................................................................................................................................................32
Recursos y Lecturas adicionales ..................................................................................................................................................................33

Microsoft Virtual Academy Manual del Estudiante iii

Module 1: Active Directory Features and Improvements.

Módulo 1: Active Directory características y mejoras.

Visión General del módulo

Este módulo presenta cada una de las nuevas características de Active Directory ® Domain Services
(AD DS). Explica los problemas que estas características de dirección y lo que se necesita para que
usted pueda implementarlo y utilizarlo. El módulo también explora las mejoras de AD DS, de
implementación y de virtualización, las nuevas características y mejoras en las características
existentes, así como mejoras en la gestión de AD DS.

Microsoft Virtual Academy Manual del Estudiante 4

Module 1: Active Directory Features and Improvements.

Lección 1: Mejoras en la Implementación

Esta lección presenta las mejoras que Windows Server ® 2012 aporta a la implementación de AD DS.

Microsoft Virtual Academy Manual del Estudiante 5

Module 1: Active Directory Features and Improvements.

Experiencia de Implementación mejorada

En versiones anteriores de Windows Server, el proceso que se utilizó para crear los controladores de
dominio podría ser confuso para los administradores. También es posible que los administradores
lancen el DCPromo.exe cuando el servidor en el que se lanzó el comando no cumpla con los
requisitos para la promoción.
En Windows Server 2012, el proceso que se utiliza para crear los controladores de dominio dentro de
la empresa han sido mejorado. En las secciones siguientes se describen dichas mejoras.

Pasos integrados de preparación

La implementación de AD DS de Windows Server 2012 integra todos los pasos necesarios para
implementar nuevos controladores de dominio en una única interfaz gráfica. Se requiere una sola
credencial de nivel empresarial, y se puede preparar el bosque o dominio focalizando remotamente
para las operaciones de funciones maestras. Tenga en cuenta que el proceso de Adprep.exe está
integrado en el proceso de instalación del AD DS, lo que reduce el tiempo que se requiere para
instalar el AD DS y reduce las posibilidades de errores que podrían bloquear la promoción del
controlador de dominio.

Microsoft Virtual Academy Manual del Estudiante 6

Module 1: Active Directory Features and Improvements.

Requisitos previos Antes de empezar Validado despliegue

El pre-requisito de validación se produce en el Asistente para configuración de AD DS. El asistente

identifica errores potenciales antes de que comience la instalación y, a continuación, puede corregir
las condiciones de error antes de que ocurran, sin las preocupaciones que se derivan de una mejora
parcial.

Integrado con Server Manager, Remote-able y construido en Windows PowerShell

El proceso de instalación de AD DS se basa en Windows PowerShell ™ 3.0, está integrado con el

Server Manager, pueden dirigirse a varios servidores, y de forma remota puede implementar
controladores de dominio. Esto da como resultado una experiencia de implementación que es más
simple, más consistente, y en menos tiempo. El asistente de instalación crea una secuencia de
comandos de Windows PowerShell que contiene las opciones que se especificaron durante la
instalación gráfica, lo que simplifica el proceso de implementación mediante la automatización de
instalaciones posteriores AD DS mediante scripts generados automáticamente de Windows
PowerShell.

Tenga en cuenta que usted puede completar la instalación del controlador de dominio y el
proceso de promoción en su totalidad con Windows PowerShell.

El Asistente de configuración se alinea con los escenarios de implementación más

comunes
Las páginas de configuración del asistente se agrupan en una secuencia que refleja las necesidades
de los escenarios más comunes de promoción, con opciones relacionadas agrupadas en un menor
número de páginas del asistente, lo que proporciona un mejor contexto, y a la vez le permite tomar
mejores opciones de instalación del controlador de dominio, y reduce el número de pasos y la
cantidad de tiempo que se requiere para completar la instalación del controlador de dominio.

Microsoft Virtual Academy Manual del Estudiante 7

Module 1: Active Directory Features and Improvements.

Instalación desde media mejorada

En versiones anteriores de Windows Server, cuando se quiere promover un servidor a la función de

controlador de dominio, es posible hacerlo a través de la instalación-desde-media (IFM), lo que le
permite crear medios de instalación desde la que se puede promover el servidor. Para crear este
medio de instalación, debe ejecutar la línea de comandos Ntdsutil.exe herramienta.

Sin embargo, como parte del proceso de creación de medios de comunicación, el comando
Ntdsutil.exe también realiza una desfragmentación sin conexión de la base de datos de AD DS. Esta
desfragmentación se obtiene un archivo de base de datos más pequeña, pero puede tomar mucho
tiempo para procesar.

En Windows Server 2012, puede optar por no llevar a cabo el paso de desfragmentación sin conexión,
lo que le permite crear los archivos multimedia con mayor rapidez. Tenga en cuenta que los archivos
resultantes de la instalación-desde-media pueden ser más grandes como resultado de pasar por el
proceso de desfragmentación, lo que podría dar como resultado tiempos más largos de copiado en
enlaces lentos que se conectan a los servidores de destino.

Microsoft Virtual Academy Manual del Estudiante 8

Module 1: Active Directory Features and Improvements.

AD FS 2.1 Se incluye como función de servidor

Muchas de las grandes organizaciones a nivel empresarial quieren ser capaces de compartir
información con otras empresas y / o consumidores. Por ejemplo, considere una empresa que quiere
permitir a sus clientes realizar pedidos directamente en su sistema de procesamiento de pedidos.
Active Directory Federation Services (AD FS) le permite a su organización implementar con éxito este
escenario, permitiendo los reclamos y fideicomisos necesarios para facilitarlo.

En versiones anteriores de Windows Server, debe descargar el AD FS como un componente separado

del sitio web de descargas de Microsoft, lo que ya no es necesario, ya que el AD FS 2.1 se incluye
como una función de servidor en Windows Server 2012. Puede instalar la función de Administrador
de servidores sin necesidad de descarga, lo que agiliza el proceso de implementación de AD FS.

Microsoft Virtual Academy Manual del Estudiante 9

Module 1: Active Directory Features and Improvements.

Lección 2: EL AD DS Virtualizado

Las organizaciones están buscando cada vez más la virtualización de cargas de trabajo para
optimizar su infraestructura de TI, lo paso a un entorno virtualizado abarca controladores de dominio.
La virtualización de entornos de AD DS ha sido constante durante un número de años. A partir de
Windows Server 2012, AD DS ofrece mayor soporte para la virtualización de los controladores de
dominio mediante la introducción de la virtualización, capacidades de seguridad y permitir un rápido
despliegue de los controladores de dominio virtuales a través de la clonación. Estas nuevas
características de virtualización proporcionar un mayor apoyo a las nubes públicas y privadas,
entornos híbridos, donde porciones de AD DS existentes en las instalaciones y en la nube, y AD DS
infraestructuras que se encuentran completamente en las instalaciones.

Microsoft Virtual Academy Manual del Estudiante

10
Module 1: Active Directory Features and Improvements.

Virtualización Segura de controladores de dominio

Replicación de AD DS utiliza un valor monótonamente creciente que se asigna a las transacciones en

cada controlador de dominio, lo que se conoce como un número de secuencia de actualización (USN).
Instancia de cada controlador de dominio de base de datos también se da una identidad, conocida
como un InvocationID. El InvocationID de un controlador de dominio y su USN juntos sirven como un
identificador único asociado con cada transacción de escritura que se realiza y debe ser único en el
bosque. La replicación de AD DS utiliza InvocationID y USN para determinar qué cambios deben ser
replicados a otros controladores de dominio. Sin embargo, si un administrador aplica una instantánea
que revierte un controlador de dominio a un punto en el tiempo, en ese controlador de dominio, las
USN podrían ser reutilizadas para una transacción completamente diferente, lo que puede dar lugar a
que la replicación no converja debido a que otros controladores de dominio se creen que ya han
recibido las actualizaciones que están asociadas con el USN re-utilizada.

En Windows Server 2012, el AD DS se basa en la plataforma de hipervisor para exponer un

identificador llamado Generation ID para detectar si una máquina virtual (VM) se ha desplegado en
el tiempo. El diseño utiliza un mecanismo independiente del hyperviso-agnosticr para la utilización de
la GenerationID VM en la máquina virtual.
Antes de completar cualquier transacción, el AD DS primero lee el valor de este identificador y lo
compara con el último valor que se almacena en el directorio. La falta de adecuación se interpreta
como un "rollback", y el controlador de dominio utiliza las salvaguardas AD DS que son nuevos en
Windows Server, y que consisten en restablecer el InvocationID y descartar el identificador relativo

Microsoft Virtual Academy Manual del Estudiante

11
Module 1: Active Directory Features and Improvements.

(RID) de la piscina. Desde este punto en adelante, todas las transacciones se asocian con
InvocationID nuevo el controlador de dominio. Otros controladores de dominio no reconocen la
InvocationID nuevo, por lo que se concluye que aún no lo han visto estos USN y aceptará las
actualizaciones que se identifican con la nueva y InvocationID USN, permitiendo al directorio a
converger.

Microsoft Virtual Academy Manual del Estudiante

12
Module 1: Active Directory Features and Improvements.

Clonación de Domain Controller Virtualizada

Clonación virtualizada del controlador de dominio le permite crear un clon de un controlador de

dominio virtualizado. Con la clonación virtual de controlador de dominio, ahora puede promover un
único controlador de dominio virtual por dominio y desplegar rápidamente todos los controladores de
dominio de réplica virtuales adicionales a través de la clonación. Usted ya no tendrá que desplegar
repetidamente una imagen del servidor sysprepped, promover el servidor a un controlador de
dominio y, a continuación, completar los requisitos adicionales de configuración para cada
controlador de dominio de réplica.
Requisitos
Para llevar a cabo la clonación de controlador de dominio, debe cumplir con los siguientes requisitos:
• Sus Windows Server 2012 controladores de dominio virtuales deben ser alojados en plataformas de
hipervisor que son conscientes de la ID Generación VM.
• El controlador de dominio principal de operaciones único papel principal debe estar ejecutando
Windows Server 2012 para autorizar la operación de clonación.
• El controlador de dominio de origen que clonar debe estar autorizado para la clonación.
• El archivo DCCloneConfig.XML debe estar presente en el controlador de dominio clonado en una de
las siguientes ubicaciones:
o El directorio que contiene el NTDS.DIT
o El directorio predeterminado DIT (% windir% \ NTDS)
o en un medio extraíble, como un disquete virtual, dispositivo de almacenamiento USB o similar

Microsoft Virtual Academy Manual del Estudiante

13
Module 1: Active Directory Features and Improvements.

Tenga en cuenta que lugares comunes de Windows Server 2012 de servicios que están co-
localizados con controladores de dominio son compatibles, por ejemplo: Sistema de Nombres de
Dominio (DNS), el Servicio de replicación de archivos (FRS) y replicación de sistema de archivos
distribuido (DFS-R).

Microsoft Virtual Academy Manual del Estudiante

14
Module 1: Active Directory Features and Improvements.

Lección 3: Nuevas Características y Mejoras

Esta lección explora algunos de los cambios adicionales realizados en AD DS en Windows Server
2012, incluyendo la capacidad de dominio a unirse a equipos que no están conectados a la red
corporativa, soporte para cuentas conectadas, y varias otras mejoras de AD DS.

Microsoft Virtual Academy Manual del Estudiante

15
Module 1: Active Directory Features and Improvements.

Mejoras RID

Los RID de AD DS se utilizan para identificar de forma única los objetos de la base de datos
distribuida AD DS. Cada controlador de dominio contiene un conjunto de RID y las utiliza para
identificar los objetos de nueva creación, como usuarios, grupos y equipos. El proceso de generación
de RID singulares es una operación de un solo maestro. Un controlador de dominio se asigna la
función de maestro RID, y se asigna una secuencia de RID a cada controlador de dominio del
dominio. Cuando una nueva cuenta de dominio o de grupo se crea en una réplica de controlador de
dominio de Active Directory, se le asigna un identificador de seguridad (SID). El RID para el nuevo
SID se ha tomado de la asignación del controlador de dominio de RID. Cuando el suministro de RID
comienza a agotarse, el controlador de dominio solicita otro bloque del maestro RID.

En versiones anteriores de Windows Server, que era posible que el conjunto de RID a agotarse
debido a una fuga. Por ejemplo, si un administrador ha intentado crear una cuenta nueva, pero la
creación de la cuenta fracasado debido a las propiedades de la cuenta que no cumplan con los
requisitos necesarios de AD DS de política de seguridad, el RID se asignó ya, pero no estaba
acostumbrado, el RID se había filtrado. En Windows Server 2012, el controlador de dominio
mantiene un contenedor en memoria de RID reutilizables, esta lista de RID reutilizables se utilizó por
primera vez, lo que reduce las fugas RID.

Microsoft Virtual Academy Manual del Estudiante

16
Module 1: Active Directory Features and Improvements.

Windows Server 2012 también identifica cuando el conjunto de RID es invalidado por la creación de
una entrada en el registro de eventos. El conjunto de RID puede llegar a ser invalidados mediante la
realización de una restauración de base de datos de AD DS. AD DS en Windows Server 2012 también
impone un límite máximo en el tamaño de bloque RID. Anteriormente, se podía configurar este valor
en el soporte del RID función de operaciones de maestro único editando el registro y el límite
superior no tenía límites, y en Windows Server 2012, el límite máximo es de 15.000.

Como RID se consumen, Windows Server 2012 produce advertencias periódicas y registra estos para
el registro del sistema. La advertencia tales primero se produce cuando hay un diez por ciento de
espacio restante global. Estos eventos se vuelven más frecuentes a medida que el espacio global se
agota más.

Por último, un techo blando de noventa por ciento del espacio RID global se establece en AD DS en
Windows Server 2012. Llegar a este valor provoca un evento. El administrador puede cambiar este
"techo" al restablecer el valor de SDS-RIDPoolAllocationEnabled en el soporte del RID función de
operaciones de maestro único.

Microsoft Virtual Academy Manual del Estudiante

17
Module 1: Active Directory Features and Improvements.

Creación de Índices diferida

Indexación de los atributos de los objetos de AD DS permite a los atributos que deben buscarse más
rápido. Sin embargo, el mantenimiento de los índices de estos atributos puede imponer una carga
sobre los controladores de dominio de su empresa.
En Windows Server 2012, puede implementar DSheuristic, valor que le permite controlar la creación
del índice, efectivamente se aplaza hasta el controlador de dominio se reinicia o bien recibe un mod
rootDSE UpdateSchemaNow.
Cualquier atributo que se encuentra en un estado índice diferido se registra en la salida de iniciar
cada día:
• • 2944: Índice aplazado por medio de registros una vez
• • 2945: Índice todavía pendiente-registrados cada 24 horas
• • 1137: Índice creado por medio de registros una vez (no es un evento nuevo)

Microsoft Virtual Academy Manual del Estudiante

18
Module 1: Active Directory Features and Improvements.

Dominio de Ingreso fuera de las instalaciones

En el pasado, los equipos que querían unirse al dominio de su organización tenían que ser
conectados a la red de la organización. AD DS en Windows Server 2012 le permite unirse a un
dominio en equipos que están fuera del establecimiento. Por ejemplo, puede conectar un usuario a
domicilio portátil al dominio de su empresa sin que el usuario tenga que llevar el ordenador en la
oficina, lo que se logra mediante el uso de tecnología de DirectAccess.

Microsoft Virtual Academy Manual del Estudiante

19
Module 1: Active Directory Features and Improvements.

Cuentas Conectadas

AD DS en Windows Server 2012 admite la posibilidad de vincular las cuentas de los usuarios con sus
cuentas de Microsoft, permitiendo a Windows ® 8 características y aplicaciones para aprovechar las
capacidades específicas en línea. Además, algunos aspectos del perfil de un usuario puede ser
vagaban entre equipos que comparten la misma cuenta de Microsoft.
Cuando usted piensa acerca de cómo implementar esta capacidad, tenga en cuenta los siguientes
puntos:
• Inicio de sesión de una cuenta de Microsoft a Windows con una cuenta de usuario de Active
Directory que no es compatible.
• SKUs Server no son compatibles con las cuentas conectadas.
• El administrador debe asociar la cuenta de Microsoft con la cuenta de destino.
• El usuario local conectada aparecerá en Usuarios y grupos locales.

Microsoft Virtual Academy Manual del Estudiante

20
Module 1: Active Directory Features and Improvements.

Activación basada en Active Directory

En las redes actuales, las licencias por volumen generalmente se controlan mediante el uso de claves
de gestión de servicios de servidores (KMS). KMS tiene una serie de desventajas: que usa llamadas
de procedimiento remoto (RPC), que no es compatible con cualquier tipo de autenticación, y no
proporciona una consola gráfica.

AD DS en Windows Server 2012 puede proporcionar la activación por volumen necesario sin el
requisito de KMS, aunque se puede configurar la convivencia con KMS para apoyar las activaciones
por volumen para las versiones anteriores de los sistemas operativos de Windows del cliente.
Las ventajas de usar basado en Active Directory activación son:
• No se requiere hardware adicional de servidor para proporcionar servicios de activación.
• Se elimina el requisito de RPCs utilizando Lightweight Directory Access Protocol (LDAP)
exclusivamente.
• Es compatible sólo lectura controladores de dominio.

Cuando usted piensa acerca del uso de Active Directory basado en la activación, tenga en cuenta que
sólo computadoras con Windows 8 y Windows Server 2012 pueden activar utilizando este servicio.
Para sistemas operativos anteriores, se debe utilizar KMS.

Microsoft Virtual Academy Manual del Estudiante

21
Module 1: Active Directory Features and Improvements.

Cuentas de Servicio Manejadas en Grupo

Manejo de Cuentas de Servicio Independientes, introducidos con el Windows Server 2008 R2 y

Windows 7, son gestionadas las cuentas de de dominio que proporcionan la administración de
contraseñas automático y el nombre de simplificada principal de servicio (SPN) gestión, incluida la
delegación de la gestión de a otros administradores.

El grupo logró cuenta de servicio proporciona la misma función en el dominio, pero también se
extiende esta funcionalidad a través de servidores múltiples. Cuando se conecte a un servicio de
alojada en un granja de servidores, como Equilibrio del carga de red, los protocolos de autenticación
que apoyan la autenticación de mutuo requieren que todos los las instancias de los servicios utilizan
el mismo principal. Cuando el grupo de cuentas de servicio administradas (gMSAs) se utilizan como
directores de servicio, el sistema operativo Windows administra la contraseña de la cuenta en lugar
de confiar en el administrador gestionar la contraseña.

Sólo se puede configurar y administrar gMSAs en equipos que ejecutan Windows Server 2012, pero
se pueden implementar como una solución de servicio único de identidad en dominios que todavía
tienen algunos controladores de dominio que ejecutan sistemas operativos anteriores a Windows
Server 2012. No hay dominio o requisitos funcionales de bosque de nivel.

Microsoft Virtual Academy Manual del Estudiante

22
Module 1: Active Directory Features and Improvements.

AD DS Replicación y Topología Cmdlets

Windows PowerShell para Active Directory en Windows Server 2012 incluye soporte para la
replicación y gestión de topología. Incluye la capacidad para administrar la replicación, sitios,
dominios y bosques, controladores de dominio y las particiones.

Funcionalidad similar está disponible mediante cmdlets de Windows PowerShell para que
previamente disponible en sitios de Active Directory y Servicios y Repadmin.exe. Además, los
cmdlets son compatibles con el actual de Windows PowerShell cmdlets de Active Directory, creando
así una experiencia simplificada y que le permite crear fácilmente secuencias de comandos de
automatización.

Por ejemplo, para obtener una lista de todos los sitios de AD DS, utilice el siguiente ejemplo de
código.
Get-ADReplicationSite-Filter *

Para crear un nuevo sitio, utilice el siguiente ejemplo de código.

Nueva ADReplicationSite BRANCH1

Microsoft Virtual Academy Manual del Estudiante

23
Module 1: Active Directory Features and Improvements.

Para crear un nuevo vínculo a sitios, utilice el siguiente ejemplo de código.

"CORPORATE-BRANCH1 '-SitesIncluded corporativa-ADReplicationSiteLink, BRANCH1-OtherAttributes
@ {" opciones "= 1}
Usted puede usar estos cmdlets, y otros, para llevar a cabo toda la replicación de AD DS y
mantenimiento de la topología que se realiza previamente a la consola gráfica.

Microsoft Virtual Academy Manual del Estudiante

24
Module 1: Active Directory Features and Improvements.

Lección 4: Mejoras de Gestión

AD DS en Windows Server 2012 ofrece una serie de mejoras de gestión. Esta lección explora estas
mejoras.

Microsoft Virtual Academy Manual del Estudiante

25
Module 1: Active Directory Features and Improvements.

Papelera de Reciclaje de Active Directory

El Centro de administración de Active Directory se ha mejorado para apoyar la gestión gráfica de la

Papelera de reciclaje de Active Directory. Antes de Windows Server 2012, utilizando la Papelera de
reciclaje de Active Directory significaba que estaban obligados la herramienta de edición de Active
Directory Interface (ADSI) Edit, que era engorroso y no intuitivo.

Microsoft Virtual Academy Manual del Estudiante

26
Module 1: Active Directory Features and Improvements.

Desglose de Políticas de Contraseñas

El Centro de administración de Active Directory también se ha modificado para dar soporte a la

creación y gestión al detalle de las políticas de contraseñas. Una vez más, en las versiones anteriores
de Windows Server, debe utilizar ADSI Edit para gestionar estas políticas de contraseñas detalladas.

Microsoft Virtual Academy Manual del Estudiante

27
Module 1: Active Directory Features and Improvements.

Visualizador del historial de AD DS Windows

PowerShell

Como parte del compromiso de Microsoft con la plataforma de Windows PowerShell, el Centro de
administración de Active Directory ahora proporciona un fácil acceso al visualizador del historial de
Windows PowerShell.
El visualizador del historial de Windows PowerShell muestra los comandos de Windows PowerShell
cuando una tarea se lleva a cabo a través de la interfaz de usuario.
Hay muchos cmdlets de Windows PowerShell para AD DS, pero uno de los retos para los
administradores de AD DS es que hay una curva de aprendizaje empinada relativa alrededor de
Windows PowerShell para AD DS. Incluso después de enterarse de ellos, es difícil recordar todos los
cmdlets y sus parámetros.

En Windows Server 2012, tal como ejecutar acciones en la interfaz de usuario, el equivalente de
Windows PowerShell para el comando de Active Directory, se muestra al usuario en el Visor del
Historiarial de Windows PowerShell. Estos comandos a su vez, se pueden copiar y reutilizar en tus
scripts. Esta mejora reduce el tiempo para aprender de Windows PowerShell para Active Directory.
También puede aumentar la confianza de sus usuarios en la corrección de sus scripts de
automatización.

Microsoft Virtual Academy Manual del Estudiante

28
Module 1: Active Directory Features and Improvements.

Acceso de Control Dinámico

El Acceso de Control Dinámico le permite crear y administrar el acceso central y directivas de

auditoría en AD DS, que luego se puede gestionar a través del Centro de administración de Active
Directory. Estas políticas se basan en expresiones condicionales que tener en cuenta quién es el
usuario, el dispositivo que está utilizando y qué datos están accediendo. A continuación, puede
traducir los requerimientos del negocio para la aplicación de políticas eficientes y reducir
considerablemente el número de grupos de seguridad necesarios para el control de acceso.
Para ayudar a las organizaciones a alcanzar el cumplimiento de datos, Microsoft se ha centrado en
las siguientes áreas:
• Identificar la información que debe ser gestionado para satisfacer los requerimientos del negocio y
el cumplimiento.
• Aplicar políticas adecuadas de acceso a la información.
• Auditar el acceso a la información.
• Cifrar la información.

Estas áreas de enfoque fueron traducidos a un conjunto de capacidades de Windows que permiten el
cumplimiento de datos en soluciones de socios y Windows-based.

El Acceso de Control Dinámico integra las reivindicaciones a la autenticación de Windows (Kerberos)

para que los usuarios y los dispositivos se puede describir no sólo por los grupos de seguridad a los

Microsoft Virtual Academy Manual del Estudiante

29
Module 1: Active Directory Features and Improvements.

que pertenecen, sino también por las declaraciones como "El usuario está en el departamento de
Finanzas" y "autorización de seguridad del usuario es de alta . "
La infraestructura de clasificación de archivos en Windows Server 2012 se ha integrado con control
de acceso dinámico para que los dueños de negocios y los usuarios a identificar (tag) sus datos de
forma que los administradores de TI pueden dirigir las políticas basadas en este etiquetado. Esta
habilidad funciona en paralelo con la capacidad de la infraestructura de clasificación de archivos para
clasificar automáticamente los archivos basándose en el contenido o cualquier otra característica.

Control de acceso dinámico también se integra con Rights Management Services para proteger
automáticamente (encriptar) la información sensible en servidores de modo que incluso cuando la
información sale del servidor, sigue estando protegido.

Microsoft Virtual Academy Manual del Estudiante

30
Module 1: Active Directory Features and Improvements.

Mejoras de Políticas Grupales

La Consola de Manejo de Políticas Grupales incluye nuevas capacidades que le permiten rastrear más
fácilmente replicación SYSVOL y su relación con la directiva de grupo y la fuerza de las
actualizaciones de directiva de grupo desde una ubicación central.

En versiones anteriores de Windows Server, si ha cambiado la configuración de directiva de grupo,

esos ajustes se tuvieron que aplicar a la computadora o cuentas de usuario en las unidades
organizativas apropiadas (OUs). Para la configuración de la directiva de equipo, el equipo cliente tuvo
que reiniciar para actualizar la directiva de grupo, o el comando gpupdate / force había que ejecutar
en el cliente local para actualizar la configuración.

En Windows Server 2012, puede hacerlo directamente desde la consola de administración de

directivas de grupo. Al hacer clic derecho y seleccionar una unidad organizativa actualización de
Directiva de grupo, todas las cuentas de equipo dentro del alcance de la OU se actualizará de
inmediato. Si se produce un error, un archivo de registro se creará automáticamente.

Microsoft Virtual Academy Manual del Estudiante

31
Module 1: Active Directory Features and Improvements.

Kerberos Delegación Restringida

La Delegación restringida de Kerberos (KCD) se introdujo con Windows Server 2003. KCD permite
una cuenta de servicios (front-end) para actuar en el nombre de los usuarios de aplicaciones de
varios niveles para un conjunto limitado de servicios back-end. Por ejemplo:
• Un usuario accede a un sitio web como usuario1.
• El usuario solicite información desde el sitio web (front-end) que requiere que el servidor web para
consultar un Microsoft ® SQL Server ® base de datos (back-end).
• El acceso a estos datos está autorizado de acuerdo con que accedió al front-end.

En este caso, el servicio web debe hacerse pasar por el usuario 1 al hacer la solicitud a SQL Server.

Para todo esto, debe configurar los servicios de front-end (por SPN) para que puede hacerse pasar
por usuarios. Además, la configuración y administración de dominio requieren privilegios de
administrador. Por último, la delegación KCD sólo funciona para los servicios de back-end en el
mismo dominio que el front-end de servicios-cuentas.

En Windows Server 2012, KCD mueve la decisión de autorización de los propietarios de los recursos.
Esto permite que el back-end para autorizar que front-end cuentas de servicio puede suplantar a los
usuarios en contra de sus recursos. Es compatible con varios dominios, entre bosques escenarios, ya
no se requieren privilegios de administrador de dominio para la configuración y administración, y
sólo requiere permisos de administrador para la cuenta de servicio de back-end.
Microsoft Virtual Academy Manual del Estudiante
32
Module 1: Active Directory Features and Improvements.

Recursos y Lecturas adicionales

Para obtener más información sobre los temas tratados en esta sesión, vea los siguientes recursos:
• What’s New in Active Directory Domain Services
• http://technet.microsoft.com/en-us/library/hh831477.aspx#BKMK_actdir_adba
• Windows Server Blogs
• http://blogs.technet.com/b/windowsserver
• Windows Server 2012 Home Page and Product Download
http://www.microsoft.com/en-us/server-cloud/windows-server/2012-default.aspx

Microsoft Virtual Academy Manual del Estudiante

33