Windows Server 2016-WinSer2016 ActiveDirectory新增功能

標籤：pad   監控   許可權管理   自動註冊   連結   統一   使用   不能   體驗   

Windows Server 2016 Active Directory 網域服務 (AD DS)新增很多功能用來提升Active Directory域及組織環境安全等，並協助他們面向雲的部署或混合部署，方便在雲中託管某些應用程式和服務，並且可以在本地承載遷移的功能等。

改進的功能如下：

• 管理訪問的許可權

• 通過加入 Azure Active Directory 的 Windows 10 裝置的擴充雲功能

• 串連到 Azure AD 已加入域的裝置，提升Windows 10 的使用者體驗；

• 在你的組織中啟用用於工作的Microsoft Passport；

• Deprecation 的檔案複寫服務 (FRS) (FRS) 和 Windows Server 2003 功能層級

管理訪問的許可權：

• 存取權限管理 (PAM) 可以協助減少安全關注的 Active Directory 環境引起的憑據技術被盜此類 pass 雜湊、矛網路釣魚和類似類型的攻擊。 它提供一個新的管理訪問解決方案，方法是使用 Microsoft 身份管理器 (MIM) 配置。 引入 PAM:

• 新堡壘 Active Directory 的森林由 MIM 預配。 堡壘森林具有特殊的與現有的森林 PAM 信任。 它提供一個已知的任何惡意的活動，並隔離現有林的使用許可權帳戶的免費的新 Active Directory 環境。

• MIM 要求系統管理權限，以及新的基於批准請求的工作流程中的新進程。

• 新陰影安全性主體（組）的由預配堡壘林中 MIM 系統管理權限請求的響應。 陰影安全性主體有引用的現有的樹林中管理組 SID 屬性。 這樣將現有的樹林中訪問資源卷影組而不會更改任何訪問 acl)。

• 到期的通知連結功能，使時間限制卷影組中的成員。 使用者可以添加到組中，只需足夠時間，需要執行的管理工作中。 時間限制的會員表示通過傳播到 Kerberos 票證生命週期內的時間 live (TTL) 值。

備忘：

到期的連結都適用於所有連結屬性。 但成員/memberOf 連結的屬性一組與使用者之間的關係是僅樣本了預完整的解決方案，如 PAM 使用到期連結功能。

• KDC 增強功能內建於 Active Directory 網域控制站，以便最低可能 live 時間 (TTL) 中的值使用者具有多個時間限制會員身份管理組中的情況下限制 Kerberos 票證生命週期。

• 監控的新功能來協助你輕鬆地確定誰可以請求存取權限、允許哪些訪問，並執行哪些操作。

要求

Microsoft 標識管理器

Active Directory 林功能層級的 Windows Server 2012 R2 或更高版本。

Azure AD 加入

Azure Active Directory 加入增強了身份難忘企業版、企業和 EDU 客戶的用於企業和個人裝置的改進功能。

優點：

• 現代設定的可用性corp 所擁有的 Windows 裝置上。 氧氣的服務不再需要的個人 Microsoft 帳戶：它們現在關閉使用者現有公司帳戶，以確保合規性運行。 氧氣服務可以繼續工作加入本地上的 Windows 域的電腦和電腦和裝置"加入"你的 Azure AD 租戶 ("雲 domain")。 這些設定包括：

1. 漫遊或個人化、協助工具功能設定和憑據

2. 備份與還原

3. 訪問 Microsoft 官方商城通過公司帳戶

4. 動態磚和通知

• 訪問組織資源行動裝置（台式機手機）不能加入 Windows 某個域中，它們是否 corp 擁有或 BYOD

• 統一登入Office 365 其他組織的應用、網站和資源。

• BYOD 裝置上、（從本地區或 Azure AD）的公司帳戶添加到個人所擁有的裝置，並盡情享受 SSO 工作資源，通過應用並在 web 上，有助於確保合格帳戶控制項和裝置健康審計等新功能的方式。

• MDM 整合允許您自動註冊裝置到你的 MDM（Intune 或第三方）

• 設定"展台"模式下，並共用裝置為在你的組織的多個使用者

• 開發人員體驗允許您在產生適應企業和個人上下文使用共用的編程堆棧中的應用。

• 成像選項允許你選擇之間映像並使你的使用者，若要在初次執行體驗期間直接配置 corp 擁有的裝置。

MicrosoftPassport

MicrosoftPassport 是新密鑰基於驗證方法組織並消費者而言，超出密碼。 在違反、被盜和網路釣魚濺憑據依賴於這種形式的身分識別驗證。

使用者在登入到裝置使用生物識別技術或 PIN 登入連結到認證或對稱的關鍵配對的資訊。 身份供應商 (IDPs) 驗證通過映射到 IDLocker 公開金鑰的使用者的使用者，並通過一次密碼 (OTP)、Phonefactor 或其他通知機制資訊提供日誌。

Deprecation 的檔案複寫服務 (FRS) (FRS) 和 Windows Server 2003 功能層級

• 儘管檔案複寫服務 (FRS) (FRS) 和 Windows Server 2003 功能層級已棄用在以前版本的 Windows Server，它攜帶重複 Windows Server 2003 的作業系統不再受支援。 因此，應從域中刪除任何運行 Windows Server 2003 的網域控制站。 到應該至少提升域和森林功能層級 Windows Server 2008 以防止被添加到環境中運行較早版本的 Windows Server 的網域控制站。

• 在 Windows Server 2008 和更高版本的域功能層級，分布式檔案服務 (DFS) 複製用於網域控制站之間複製 SYSVOL 檔案夾的內容。 如果你建立一個新域，Windows Server 2008 域層級正常工作或更高版本，已自動使用 DFS 複寫複製 SYSVOL。 如果你在較低的功能層級建立域，你將需要使用的 SYSVOL DFS 複寫到 FRS 遷移。

• Windows Server 2003 域和森林功能層級繼續受支援，但組織應提升與 Windows Server 2008 （或更高版本）功能層級以確保 SYSVOL 複製相容性，方便後期支援更高版本的功能層級等。

Windows Server 2016-WinSer2016 ActiveDirectory新增功能