標籤:pad 監控 許可權管理 自動註冊 連結 統一 使用 不能 體驗
Windows Server 2016 Active Directory 網域服務 (AD DS)新增很多功能用來提升Active Directory域及組織環境安全等,並協助他們面向雲的部署或混合部署,方便在雲中託管某些應用程式和服務,並且可以在本地承載遷移的功能等。
改進的功能如下:
管理訪問的許可權
通過加入 Azure Active Directory 的 Windows 10 裝置的擴充雲功能
串連到 Azure AD 已加入域的裝置,提升Windows 10 的使用者體驗;
在你的組織中啟用用於工作的Microsoft Passport;
Deprecation 的檔案複寫服務 (FRS) (FRS) 和 Windows Server 2003 功能層級
管理訪問的許可權:
存取權限管理 (PAM) 可以協助減少安全關注的 Active Directory 環境引起的憑據技術被盜此類 pass 雜湊、矛網路釣魚和類似類型的攻擊。 它提供一個新的管理訪問解決方案,方法是使用 Microsoft 身份管理器 (MIM) 配置。 引入 PAM:
新堡壘 Active Directory 的森林由 MIM 預配。 堡壘森林具有特殊的與現有的森林 PAM 信任。 它提供一個已知的任何惡意的活動,並隔離現有林的使用許可權帳戶的免費的新 Active Directory 環境。
MIM 要求系統管理權限,以及新的基於批准請求的工作流程中的新進程。
新陰影安全性主體(組)的由預配堡壘林中 MIM 系統管理權限請求的響應。 陰影安全性主體有引用的現有的樹林中管理組 SID 屬性。 這樣將現有的樹林中訪問資源卷影組而不會更改任何訪問 acl)。
到期的通知連結功能,使時間限制卷影組中的成員。 使用者可以添加到組中,只需足夠時間,需要執行的管理工作中。 時間限制的會員表示通過傳播到 Kerberos 票證生命週期內的時間 live (TTL) 值。
備忘:
到期的連結都適用於所有連結屬性。 但成員/memberOf 連結的屬性一組與使用者之間的關係是僅樣本了預完整的解決方案,如 PAM 使用到期連結功能。
要求
Microsoft 標識管理器
Active Directory 林功能層級的 Windows Server 2012 R2 或更高版本。
Azure AD 加入
Azure Active Directory 加入增強了身份難忘企業版、企業和 EDU 客戶的用於企業和個人裝置的改進功能。
優點:
漫遊或個人化、協助工具功能設定和憑據
備份與還原
訪問 Microsoft 官方商城通過公司帳戶
動態磚和通知
訪問組織資源行動裝置(台式機手機)不能加入 Windows 某個域中,它們是否 corp 擁有或 BYOD
統一登入Office 365 其他組織的應用、網站和資源。
BYOD 裝置上、(從本地區或 Azure AD)的公司帳戶添加到個人所擁有的裝置,並盡情享受 SSO 工作資源,通過應用並在 web 上,有助於確保合格帳戶控制項和裝置健康審計等新功能的方式。
MDM 整合允許您自動註冊裝置到你的 MDM(Intune 或第三方)
設定"展台"模式下,並共用裝置為在你的組織的多個使用者
開發人員體驗允許您在產生適應企業和個人上下文使用共用的編程堆棧中的應用。
成像選項允許你選擇之間映像並使你的使用者,若要在初次執行體驗期間直接配置 corp 擁有的裝置。
MicrosoftPassport
MicrosoftPassport 是新密鑰基於驗證方法組織並消費者而言,超出密碼。 在違反、被盜和網路釣魚濺憑據依賴於這種形式的身分識別驗證。
使用者在登入到裝置使用生物識別技術或 PIN 登入連結到認證或對稱的關鍵配對的資訊。 身份供應商 (IDPs) 驗證通過映射到 IDLocker 公開金鑰的使用者的使用者,並通過一次密碼 (OTP)、Phonefactor 或其他通知機制資訊提供日誌。
Deprecation 的檔案複寫服務 (FRS) (FRS) 和 Windows Server 2003 功能層級
儘管檔案複寫服務 (FRS) (FRS) 和 Windows Server 2003 功能層級已棄用在以前版本的 Windows Server,它攜帶重複 Windows Server 2003 的作業系統不再受支援。 因此,應從域中刪除任何運行 Windows Server 2003 的網域控制站。 到應該至少提升域和森林功能層級 Windows Server 2008 以防止被添加到環境中運行較早版本的 Windows Server 的網域控制站。
在 Windows Server 2008 和更高版本的域功能層級,分布式檔案服務 (DFS) 複製用於網域控制站之間複製 SYSVOL 檔案夾的內容。 如果你建立一個新域,Windows Server 2008 域層級正常工作或更高版本,已自動使用 DFS 複寫複製 SYSVOL。 如果你在較低的功能層級建立域,你將需要使用的 SYSVOL DFS 複寫到 FRS 遷移。
Windows Server 2003 域和森林功能層級繼續受支援,但組織應提升與 Windows Server 2008 (或更高版本)功能層級以確保 SYSVOL 複製相容性,方便後期支援更高版本的功能層級等。
Windows Server 2016-WinSer2016 ActiveDirectory新增功能