Active Directory Domain Services 的新功能
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
以下 Active Directory Domain Services(AD DS) 中的新功能可提升組織保護 Active Directory 環境的能力,並協助他們移轉至僅限雲端的部署和混合式部署,其中有些應用程式與服務會裝載於雲端,而其他則會裝載於內部部署上。 改善之處包括:
Privileged Access Management
特殊權限存取管理 (PAM) 可協助減輕 Active Directory 環境的安全性考慮,這些安全性問題是由認證竊取技術 (例如傳遞雜湊、魚叉式網路釣魚和類似類型的攻擊) 所造成。 它提供使用 Microsoft Identity Manager (MIM) 設定的新系統管理存取解決方案。 PAM 引入了:
由 MIM 佈建的新防禦 Active Directory 樹系。 防禦樹系具有與現有樹系的特殊 PAM 信任。 它提供新的 Active Directory 環境,已知沒有任何惡意活動,並隔離現有樹系以使用特殊授權帳戶。
MIM 中要求系統管理權限的新程序,以及根據要求核准的新工作流程。
MIM 在防禦樹系中佈建的新陰影安全性主體 (群組),以回應系統管理權限要求。 陰影安全性主體具有屬性,可參考現有樹系中系統管理群組的 SID。 這可讓陰影群組存取現有樹系中的資源,而不需要變更任何存取控制清單 (ACL)。
即將到期的連結功能,可啟用陰影群組中有時間限定的成員資格。 您可以將使用者新增至群組,以取得執行系統管理工作所需的足夠時間。 有時間限制的成員資格是由傳播至 Kerberos 票證生命週期的存留時間 (TTL) 值來表示。
注意
所有連結的屬性均提供即將到期的連結。 但是群組與使用者之間的成員/memberOf 連結屬性關聯性是完整解決方案 (例如 PAM) 預先設定為使用過期連結功能的唯一範例。
KDC 增強功能內建於 Active Directory 網域控制站,當使用者在系統管理群組中具有多個有時間限制的成員資格時,將 Kerberos 票證生命週期限制為最低的存留時間 (TTL) 值。 例如,如果您被新增至有時間限定的群組 A,則當您登入時,Kerberos 票證授予的票證 (TGT) 生命週期等於您在群組 A 中剩餘的時間。如果您也是另一個有時間限定的群組 B 的成員 (其 TTL 低於群組 A),則 TGT 生命週期等於您在群組 B 中剩餘的時間。
新的監視功能可協助您輕鬆識別誰要求存取、授予了哪些存取權,以及執行了哪些活動。
需求
Microsoft Identity Manager
Windows Server 2012 R2 或更高版本的 Active Directory 樹系功能等級。
Azure AD Join
Azure Active Directory Join 可增強企業、商務和 EDU 客戶的身分識別體驗,並改善公司和個人裝置的功能。
優點:
公司擁有 Windows 裝置上新式設定的可用性。 氧氣服務不再需要個人 Microsoft 帳戶:他們現在會在使用者現有的工作帳戶上執行,以確保合規性。 氧氣服務將適用於已加入內部部署 Windows 網域的電腦,以及「已加入」Azure AD 租用戶的電腦和裝置 (「雲端網域」)。 這些設定包括:
漫遊或個人化、協助工具設定和認證
備份與還原
使用公司帳戶存取 Microsoft Store
動態磚和通知
在無法加入 Windows 網域的行動裝置 (手機、平板電腦) 上存取組織資源,無論該裝置是公司擁有還是 BYOD
單一登入至 Office 365 和其他組織應用程式、網站和資源。
在 BYOD 裝置上,將公司帳戶 (從內部部署網域或 Azure AD) 新增至個人擁有的裝置,並透過應用程式和網路享受工作資源的 SSO,以協助確保符合條件式帳戶控制和裝置健康情況證明等新功能。
MDM 整合可讓您自動向 MDM 註冊裝置 (Intune 或協力廠商)
為貴組織中的多個使用者設定「kiosk」模式和共用裝置。
開發人員體驗可讓您使用共用的程式設計堆疊來建置符合企業和個人內容的應用程式。
建立映像選項可讓您選擇建立映像的方式,並讓您的使用者在全新體驗期間直接設定公司擁有的裝置。
如需詳細資訊,請參閱 企業用 Windows 10:使用裝置的工作方式。
Windows Hello 企業版
Windows Hello 企業版是適用於組織與消費者的金鑰式驗證方法,比密碼更好。 這種形式的驗證依賴能抵禦入侵、竊取和網路釣魚的認證。
使用者使用生物特徵辨識或連結至憑證或非對稱金鑰組的 PIN 登入資訊登入裝置。 身分識別提供者 (IDP) 會藉由將使用者的公開金鑰對應至 IDLocker 來驗證使用者,並透過一次性密碼 (OTP)、Phonefactor 或其他通知機制提供登入資訊。
如需詳細資訊,請參閱透過 Windows Hello 企業版,在不使用密碼的情況下驗證身分識別
淘汰檔複寫服務 (FRS) 和 Windows Server 2003 功能等級
雖然舊版 Windows Server 中已淘汰檔案複寫服務 (FRS) 和 Windows Server 2003 功能等級,需要重申的是,Windows Server 2003 作業系統已不再支援。 因此,執行 Windows Server 2003 的任何網域控制站都應該從網域中移除。 網域和樹系功能等級應至少提升為 Windows Server 2008,以防止將執行舊版 Windows Server 的網域控制站新增至環境。
在 Windows Server 2008 及更高版本的網域功能等級,分散式檔案服務 (DFS) 複寫是用來複寫網域控制站之間的 SYSVOL 資料夾內容。 如果您在 Windows Server 2008 網域功能等級或更高版本建立新的網域,系統會自動使用 DFS 複寫來複寫 SYSVOL 資料夾。 如果您已在較低的功能等級建立網域,則對於 SYSVOL 資料夾需要從使用 FRS 移轉至 DFS 複寫。 至於移轉的步驟,您可以遵循 TechNet 上的程序,也可以參閱Storage Team File Cabinet 上的簡化步驟。
Windows Server 2003 網域和樹系功能等級會繼續受到支援,但組織應將功能等級提高到 Windows Server 2008 (或盡可能最高),以確保未來 SYSVOL 複寫的相容性和支援。 此外,較高的功能層級還提供許多其他優點和功能。 如需詳細資訊,請參閱以下資源: