V zatím poslední veřejně dostupné testovací verzi Windows Serveru 2016 TP4 jsou v Active Directory k vidění nové objekty, které v předchozí verzi Windows Serveru nebyly. Konkrétně se jedná o jednoho uživatele a čtyři nové security skupiny.

Builtin kontejner

Vlevo je Windows Server 2012 R2, vpravo pak Windows Server 2016 TP4

Users kontejner

Vlevo je Windows Server 2012 R2, vpravo pak Windows Server 2016 TP4

DefaultAccount

Jde o nový uživatelský účet, vytvořený je v kontejneru Users a v defaultu je zakázaný. Zajímavé je, že nemá nastavené žádné heslo. S tímto účtem je to tedy podobné, jako u vestavěného uživatelského účtu Administrator na Windows klientských systémech od Windows Vista. Tedy ale s tím rozdílem, že účet DefaultAccount není členem skupiny Administrators. Uživatel DefaultAccount je členem skupiny System Managed Account Group, která je na WS2016 také nová. V popisku uživatele najdete nic neříkající – A user account managed by the system”.

System Managed Account Group

Nová skupina existující v kontejneru Builtin. V jejím popisku najdete jen Members of this group are managed by the system. Sama o sobě není členem žádné další skupiny, po instalaci AD má jen jednoho člena – uživatele DefaultAccount.

Storage Replica Administrators

Další nová security skupina, také z kontejneru Builtin. Nemá žádné členy, ani sama není členem žádné jiné skupiny. V popisku je uvedeno – Members of this group have complete and unrestricted access to all features of Storage Replica. Tady tedy víme, na čem jsme. WS2016 obsahuje novou funkci Storage Replica a tato skupina se tedy váže k ní.

Enterprise Key Admins a Key Admins

Obě skupiny se nacházejí v kontejneru Users. Obě jsou security a obě zdá se budou sloužit podobnému účelu. Skupiny Enterprise Key Admins je univerzální, zatím co skupina Key Admins je globální. Jedna tedy bude použitá pro správu ve forestu, druhá bude určená pro správu v jednotlivých doménách. Ostatně to se dočtete i v popisu obou skupin. Enterprise Key Admins – Members of this group can perform administrative actions on key objects within the forest. Následně Key Admins potom – Members of this group can perform administrative actions on key objects within the domain. Otázkou nicméně zůstává, co jsou ony “key objects“.

Co k těmto objektům dodat? Kromě skupiny Storage Replica Administrators není úplně jasné, k čemu jsou tyto identity vytvořeny. Google i Bing tajemně mlčí. Zřejmě si budeme muset počkat na finální vydání Windows Serveru 2016. Poslední dvě zmíněné skupiny budou patrně souviset s novým kontejnerem, co se v AD objevil – kontejner Keys a stejně tak s novým typem objektu, který jde v AD vytvořit a to konkrétně msDS-KeyCredential. Na ten si ale posvítíme zase někdy příště.