Active Directory

Аудит. Все изменения объектов Active Directory записываются, поэтому известно, что именно изменилось, какое значение имеет измененный атрибут сейчас и какое значение он имел ранее.

Точная настройка политики паролей. Политики паролей можно настроить для отдельных групп внутри домена. Правило, согласно которому для каждой учетной записи домена используется одна и та же политика паролей, больше не действует.

Контроллер домена только для чтения. Контроллер домена с доступной только для чтения версией базы данных Active Directory можно развертывать в средах, где невозможно гарантировать безопасность контроллера домена, например в офисах филиалов, где не обеспечивается физическая безопасность контроллера домена или контроллеры домена выполняют дополнительные роли, для которых пользователи должны входить в систему. Использование контроллеров домена только для чтения защищает лес AD от распространения изменений, сделанных в офисах филиалов, при репликации. Также исчезает необходимость в использовании промежуточного сайта для контроллеров домена офисов филиала и не требуется отправлять в офис филиала администратора домена с установочным носителем.

Доменные службы Active Directory с поддержкой перезапуска. Теперь доменные службы Active Directory можно останавливать для обслуживания. Для большинства функций обслуживания не требуется перезагрузка контроллера домена и его перезапуск в режиме восстановления служб каталогов. Прочие службы контроллера домена продолжают работать при отключенной службе каталогов.

Средство подключения баз данных. С помощью этого средства можно подключить снимок базы данных Active Directory. Это дает возможность администратору просматривать объекты на снимке, чтобы определять требования для восстановления в случае необходимости.

Восстановление удаленных объектов.. Домены в Active Directory теперь содержат корзину, позволяющую восстанавливать удаленные объекты. Если объект Active Directory был удален по неосторожности, его можно восстановить из корзины. Для этой возможности требуется обновленный уровень функциональности леса в Windows Server 2008 R2.

Усовершенствованный процесс присоединения к доменам. Теперь можно включать компьютеры в домен на этапе развертывания, когда компьютер еще не подключен к домену. Эта процедура называется автономным присоединением к домену.. и дает возможность полностью автоматизировать присоединение к домену на этапе развертывания. Администраторы домена создают XML-файл, который используется при автоматизированном развертывании и содержит сведения, необходимые для присоединения конечного компьютера к домену.

Повышение эффективности управления учетными записями пользователей, применяемыми в качестве удостоверений для служб. Поддержка паролей учетных записей служб (учетных записей пользователей, применяемых в качестве удостоверений для служб) — одна из тех задач, которые отнимают у ИТ-специалистов больше всего времени. Если пароль учетной записи службы изменяется, службам, которые используют соответствующее удостоверение, также необходимо указать новый пароль. Чтобы разрешить эту проблему, Windows Server 2008 R2 поддерживает новый компонент — управляемые учетные записи служб. который при изменении пароля учетной записи службы автоматически изменяет пароли для всех служб, использующих эту учетную запись.

Установка с созданного носителя. Возможность создания установочных носителей для AD LDS с помощью программ Ntdsutil.exe или Dsdbutil.exe.

Аудит. Аудит измененных значений в службе каталогов.

Средство подключения баз данных. Дает возможность просматривать данные на снимках файлов базы данных.

Поддержка сайтов и служб Active Directory. Дает возможность использовать сайты и службы Active Directory для управления репликацией изменения данных AD LDS.

Динамический список LDIF-файлов. С помощью этой функции можно сопоставить настраиваемые LDIF-файлы с существующими LDIF-файлами по умолчанию, которые используются для установки AD LDS на сервер.

Рекурсивные запросы со связанными атрибутами. Запросы LDAP могут следовать по ссылкам вложенных атрибутов, чтобы определять дополнительные свойства атрибутов, например членство в группе.

Шаблоны агента подачи заявок. Делегированные агенты подачи заявок могут быть назначены на уровне шаблона.

Встроенный протокол SCEP. Можно выдавать сертификаты сетевым устройствам, например маршрутизаторам.

Сетевой ответчик. Записи в списке отзывов сертификатов (CRL) можно возвращать запросившей стороне в виде откликов отдельных сертификатов вместо отправки всего CRL. Это снижает сетевой трафик, расходуемый при проверке сертификатов клиентскими системами.

PKI предприятия (представление PKI). Это средство управления дает возможность администратору служб сертификации управлять иерархией центра сертификации (ЦС) для определения общей работоспособности ЦС и устранения неполадок.

Контроль проверки подлинности. В Windows Server 2008 R2 службы федерации Active Directory поддерживают контроль проверки подлинности — новую возможность, с помощью которой администраторы могут устанавливать политики проверки подлинности для учетных записей, проходящих проверку подлинности в федеративных доменах. Это позволяет выполнять проверку подлинности с помощью смарт-карт и использовать другие сценарии проверки подлинности.

Доступность в роли интегрированного сервера. AD FS — это серверная роль в Windows Server 2008 R2, поддерживающая удобное развертывание и управление с помощью диспетчера серверов вместо того, чтобы развертываться в виде дополнительного компонента, как в Windows Server 2003 R2.

Интеграция с Microsoft Office SharePoint® Server 2007. Службы AD FS можно применять для реализации решений с единым входом в Office SharePoint Server 2007.

Интеграция со службами управления правами Active Directory (AD RMS). Службы федерации AD можно интегрировать со службами AD RMS, чтобы поддерживать общий доступ разных организаций к защищенным документам, не развертывая при этом AD RMS в обеих организациях.

Улучшенное администрирование. Импорт и экспорт информации улучшен таким образом, что каждая организация может быстро экспортировать или импортировать XML-файлы, чтобы упростить настройку сведений о доверии.

Поддержка приложений. Поддержка AD RMS уже реализована в Windows Vista. Internet Explorer 7 и выпуск 2007 системы Microsoft Office также уже поддерживают AD RMS. Клиент AD RMS можно установить в другие ОС Windows.

Постоянная защита. Можно защитить содержимое, передаваемое за пределы организации. Можно указать, кому разрешается открывать, изменять, печатать содержимое или управлять им, и все назначенные права сохраняются вместе с содержимым.

Шаблоны политики прав на использование. Если имеется общий набор прав, которые применяются для управления доступом к информации, то можно создать шаблон политики прав на использование и применить его к содержимому. В этом случае не придется заново создавать параметры прав на использование для каждого отдельного файла, который требуется защитить.

Пакет SDK для AD RMS. Пакет разработки ПО (SDK) для AD RMS может быть использован независимыми поставщиками ПО для реализации управления правами в своих приложениях, с тем чтобы вложенные в разработку средства обеспечили совместимость с AD RMS.