Windows Server 2016-WinSer2016 ActiveDirectory新增功能
改進的功能如下:
管理訪問的權限
通過加入 Azure Active Directory 的 Windows 10 設備的擴展雲功能
連接到 Azure AD 已加入域的設備,提升Windows 10 的用戶體驗;
在你的組織中啟用用於工作的Microsoft Passport;
Deprecation 的文件復制服務 (FRS) 和 Windows Server 2003 功能級別
管理訪問的權限:
訪問權限管理 (PAM) 可以幫助減少安全關註的 Active Directory 環境引起的憑據技術被盜此類 pass 哈希、矛網絡釣魚和類似類型的攻擊。 它提供一個新的管理訪問解決方案,方法是使用 Microsoft 身份管理器 (MIM) 配置。 引入 PAM:
新堡壘 Active Directory 的森林由 MIM 預配。 堡壘森林具有特殊的與現有的森林 PAM 信任。 它提供一個已知的任何惡意的活動,並隔離現有林的使用權限帳戶的免費的新 Active Directory 環境。
MIM 請求管理權限,以及新的基於批準請求的工作流中的新進程。
新陰影安全主體(組)的由預配堡壘林中 MIM 管理權限請求的響應。 陰影安全主體有引用的現有的樹林中管理組 SID 屬性。 這樣將現有的樹林中訪問資源卷影組而不會更改任何訪問 acl)。
過期的通知鏈接功能,使時間限制卷影組中的成員。 用戶可以添加到組中,只需足夠時間,需要執行的管理任務中。 時間限制的會員表示通過傳播到 Kerberos 票證生命周期內的時間 live (TTL) 值。
備註:
過期的鏈接都適用於所有鏈接屬性。 但成員/memberOf 鏈接的屬性一組與用戶之間的關系是僅示例了預完整的解決方案,如 PAM 使用到期鏈接功能。
KDC 增強功能內置於 Active Directory 域控制器,以便最低可能 live 時間 (TTL) 中的值用戶具有多個時間限制會員身份管理組中的情況下限制 Kerberos 票證生命周期。
監控的新功能來幫助你輕松地確定誰可以請求訪問權限、允許哪些訪問,並執行哪些操作。
要求
Microsoft 標識管理器
Active Directory 林功能級別的 Windows Server 2012 R2 或更高版本。
Azure AD 加入
Azure Active Directory 加入增強了身份難忘企業版、企業和 EDU 客戶的用於企業和個人設備的改進功能。
優點:
現代設置的可用性corp 所擁有的 Windows 設備上。 氧氣的服務不再需要的個人 Microsoft 帳戶:它們現在關閉用戶現有工作帳戶,以確保合規性運行。 氧氣服務可以繼續工作加入本地上的 Windows 域的電腦和電腦和設備"加入"你的 Azure AD 租戶 ("雲 domain")。 這些設置包括:
漫遊或個性化、輔助功能設置和憑據
備份和還原
訪問 Microsoft 官方商城通過工作帳戶
動態磁貼和通知
訪問組織資源移動設備(臺式機手機)不能加入 Windows 某個域中,它們是否 corp 擁有或 BYOD
統一登錄Office 365 其他組織的應用、網站和資源。
BYOD 設備上、(從本地域或 Azure AD)的工作帳戶添加到個人所擁有的設備,並盡情享受 SSO 工作資源,通過應用並在 web 上,有助於確保符合條件的帳戶控件和設備健康審計等新功能的方式。
MDM 集成允許您自動註冊設備到你的 MDM(Intune 或第三方)
設置"展臺"模式下,並共享設備為在你的組織的多個用戶
開發人員體驗允許您在生成適應企業和個人上下文使用共享的編程堆棧中的應用。
成像選項允許你選擇之間映像並使你的用戶,若要在首次運行體驗期間直接配置 corp 擁有的設備。
MicrosoftPassport
MicrosoftPassport 是新密鑰基於身份驗證方法組織並消費者而言,超出密碼。 在違反、被盜和網絡釣魚濺憑據依賴於這種形式的身份驗證。
用戶在登錄到設備使用生物識別或 PIN 登錄鏈接到證書或對稱的關鍵配對的信息。 身份提供商 (IDPs) 驗證通過映射到 IDLocker 公鑰的用戶的用戶,並通過一次密碼 (OTP)、Phonefactor 或其他通知機制信息提供日誌。
Deprecation 的文件復制服務 (FRS) 和 Windows Server 2003 功能級別
盡管文件復制服務 (FRS) 和 Windows Server 2003 功能級別已棄用在以前版本的 Windows Server,它攜帶重復 Windows Server 2003 的操作系統不再受支持。 因此,應從域中刪除任何運行 Windows Server 2003 的域控制器。 到應該至少提升域和森林功能級別 Windows Server 2008 以防止被添加到環境中運行較早版本的 Windows Server 的域控制器。
在 Windows Server 2008 和更高版本的域功能級別,分布式文件服務 (DFS) 復制用於域控制器之間復制 SYSVOL 文件夾的內容。 如果你創建一個新域,Windows Server 2008 域級別正常工作或更高版本,已自動使用 DFS 復制復制 SYSVOL。 如果你在較低的功能級別創建域,你將需要使用的 SYSVOL DFS 復制到 FRS 遷移。
Windows Server 2003 域和森林功能級別繼續受支持,但組織應提升與 Windows Server 2008 (或更高版本)功能級別以確保 SYSVOL 復制兼容性,方便後期支持更高版本的功能級別等。
Windows Server 2016-WinSer2016 ActiveDirectory新增功能