Aujourd'hui, les entreprises déploient des systèmes de bureaux centralisés qui exploitent les technologies d'état des utilisateurs tels que les profils d'utilisateurs itinérants et la redirection de dossiers. Précédemment, il était difficile de limiter ces technologies d'état des utilisateurs à un ensemble limité d'ordinateurs.
Windows Server 2012 Beta prend en charge la correspondance entre un utilisateur et un ensemble limité d'ordinateurs où la redirection de dossiers et/ou les profils d'utilisateurs itinérants sont utilisés (figure 32). Cette fonctionnalité, l'affinité appareil-utilisateur, remplace les contournements complexes qui impliquaient des scripts personnalisés et des filtres WMI sur des objets de stratégie de groupe (GPO). Elle représente une méthode plus simple et plus puissante pour associer des utilisateurs à des appareils spécifiques. Sur un ordinateur mis en correspondance avec un utilisateur, le profil de
l'utilisateur itinérant ou les dossiers redirigés sont immédiatement disponibles dès l'ouverture de session. Sur un ordinateur qui n'est pas mis en correspondance avec l'utilisateur, cet utilisateur reçoit un profil local sans données de personnalisation.
Figure 32. Configuration de l'affinité appareil-utilisateur en utilisant des objets stratégies de groupe.
Principaux avantages
L'administrateur peut préciser les ordinateurs qu'un utilisateur peut utiliser pour accéder à des paramètres et à des données redirigés. Par exemple, l'administrateur peut décider de transmettre les données et paramètres de l'utilisateur lorsque ce dernier se connecte depuis un ordinateur de bureau ou un ordinateur portable, mais pas lorsque l'utilisateur se connecte depuis l'ordinateur d'une salle de conférence.
Le risque de sécurité et de confidentialité de laisser des données résiduelles personnelles ou professionnelles sur des ordinateurs lorsque l'utilisateur se connecte est ainsi réduit. Par exemple, un directeur qui se connecte temporairement à partir de l'ordinateur d'un employé ne laisse pas derrière lui de données professionnelles ou personnelles.
Les administrateurs peuvent réduire le risque d'un profil corrompu ou mal configuré. La corruption pourrait provenir d'un passage d'un système d'exploitation à un autre, par exemple d'un système x86 à un système x64. L'Affinité appareil-utilisateur évite cela en laissant les administrateurs spécifier les systèmes sur lesquels un profil peut être transmis.
Fonctionnalités clés
Le schéma AD DS a été étendu pour prendre en charge le concept d' « ordinateur principal » associé à un utilisateur. L'administrateur peut compléter les attributs de l'ordinateur principal avec une liste de noms de machines pour un utilisateur ou un objet de groupe, en utilisant l'outil d'édition ADSI (Active Directory Service Interfaces) ou LDAP (Lightweight Directory Access Protocol).
Pour que l'affinité appareil-utilisateur fonctionne, les composants Redirection de dossiers et le profil d'utilisateur itinérant ont été modifiés pour prendre en compte l'ouverture de session de l'utilisateur sur une machine. Deux contrôles
supplémentaires ont lieu :
Windows vérifie les nouveaux paramètres de stratégie de groupe pour déterminer si l'attribut PrimaryComputer dans AD DS doit influer sur la décision de propager le profil de l'utilisateur ou d'appliquer la redirection de dossiers.
Si les paramètres prennent en charge l'attribut PrimaryComputer, Windows vérifie si le schéma AD DS prend en charge l'attribut PrimaryComputer. Si oui, Windows vérifie si l'ordinateur à partir duquel l'utilisateur est en train de se connecter, fait partie de la liste des ordinateurs principaux de cet utilisateur.
Si oui :
Windows applique le profil d'utilisateur itinérant et la redirection de dossiers.
Si l'ordinateur ne fait pas partie de la liste des ordinateurs principaux de cet utilisateur :
Windows charge un profil local (s'il existe) pour l'utilisateur ou en crée un.
Windows supprime toutes les redirections de dossiers existantes selon l'action de suppression spécifiée dans la stratégie précédemment appliqué et mémorisée dans la configuration locale de la Redirection des dossiers.
Résultat
L'Affinité appareil-utilisateur permet aux administrateurs de contrôler facilement sur quels ordinateurs les profils itinérants et les fichiers hors connexion sont stockés.
DNSSEC
Les extensions de la sécurité de DNS (DNSSEC) sont importantes car elles aident à empêcher les attaques par « man-in-the-middle ». Windows Server 2012 Beta simplifie la mise en place de ces extensions.
Windows Server 2012 Beta simplifie la configuration et l'administration de DNSSEC en ajoutant la prise en charge de la signature en ligne et de la gestion automatisée des clés. Ces nouvelles fonctionnalités permettent aux entreprises de protéger leur infrastructure DNS interne et leurs communications DNS externes, tout en réduisant les tâches d'administration et en abaissant le coût total de possession.
Principaux avantages
Prise en charge des standards les plus récents.
Intégration avec AD DS.
Déploiement simple.
Une exploitation « Signer et oublier ». Fonctionnalités clés
DNSSEC ajoute des fonctionnalités à DNS qui aident à protéger le trafic DNS des attaques. En validant une signature numérique liée à chaque réponse DNS, le client DNS (le resolver) peut vérifier l'authenticité des données DNS, même si elles proviennent d'un serveur secondaire. DNSSEC assure l'autorité de l'origine, l'intégrité des données et un déni authentifié d'existence.
Windows Server 2012 Beta ajoute plusieurs nouvelles fonctionnalités à la gestion et l'implémentation de DNSSEC.
Prise en charge des standards DNSSEC les plus récents :
NSEC3 selon la RFC 5155, incluant la prise en charge des dénis authentifiés d'existence.
RSA/SHA-2 selon la RFC 5702.
Automated Trust Anchor Rollover selon la RFC 5011.
Un déploiement et une gestion simplifiés via le Gestionnaire DNS et Windows PowerShell.
Un Assistant de définition de zone en une étape dans le Gestionnaire DNS.
Intégration de AD DS incluant :
Génération et réplication de clés.
Mises à jour dynamiques de DNS dans des zones signées DNSSEC.
Distribution automatique de point d'ancrage de confiance via AD DS.
Mise à jour automatique de points d'ancrage de confiance dans une zone.
Signature automatique de fonctionnalité dans la Signature de zone dynamique, incluant :
Signature automatique de données de zone.
Signature de zone en tâche de fond.
Mises à jour dynamiques.
Récupération.
Gestion automatique des clés.
Clé maître qui peut être assignée à un serveur dans une zone. Résultat