Windows Server 2016 的 Active Directory 域服务的新增功能

适用范围：Windows Server 2022、Windows Server 2019、Windows Server 2016

Active Directory 域服务 (AD DS) 中的以下新功能提高了组织保护 Active Directory 环境的能力，并帮助其迁移到仅限云的部署和混合部署，其中的某些应用程序和服务托管在云中，而其他的则托管在本地。 这些改进包括：

• Privileged Access Management

• 通过 Azure Active Directory 联接将云功能扩展到 Windows 10 设备

• 将加入域的设备连接到 Azure AD 以获得 Windows 10 体验

• 在组织中启用 Windows Hello 企业版

• 弃用文件复制服务 (FRS) 和 Windows Server 2003 功能级别

特权访问管理

特权访问管理 (PAM) 有助于缓解 Active Directory 环境的安全问题，这些问题是由凭据盗窃技术（例如哈希传递、鱼叉式网络钓鱼和类似类型的攻击）引起的。 它提供使用 Microsoft 标识管理器 (MIM) 配置的新管理访问解决方案。 PAM 引入了：

• 由 MIM 预配的新堡垒 Active Directory 林。 堡垒林与现有林之间存在特殊的 PAM 信任关系。 它提供一个新的 Active Directory 环境，已知该环境没有任何恶意活动，并且与现有林隔离，方便使用特权帐户。

• MIM 中请求管理权限的新流程，以及基于请求审批的新工作流。

• MIM 为响应管理权限请求而在堡垒林中预配的新影子安全主体（组）。 影子安全主体有一个属性，该属性引用现有林中的管理组的 SID。 这样影子组就可以访问现有林中的资源，而无需更改任何访问控制列表 (ACL)。

• 过期链接功能，可在影子组中启用有时间限制的成员身份。 可以将用户添加到组中，时间刚好足以执行管理任务。 有时间限制的成员身份由传播到 Kerberos 票证生存期的生存时间 (TTL) 值表示。

  注意

  过期链接适用于所有链接属性。 但是，组和用户之间的 member/memberOf 链接属性关系是唯一一个完整的解决方案（例如 PAM）被预先配置为使用过期链接功能的示例。

• KDC 增强功能内置于 Active Directory 域控制器中，以将 Kerberos 票证生存期限制为可能的最低生存时间 (TTL) 值，以防用户在管理组中存在多个有时间限制的成员身份。 例如，如果你被添加到一个有时间限制的组 A，那么在登录时，Kerberos 票据授予票证 (TGT) 的有效期等于你在组 A 中的剩余时间。如果你也是另一个有时间限制的组 B 的成员，而该组的 TTL 比组 A 低，那么 TGT 的有效期就等于你在组 B 中的剩余时间。

• 新的监视功能可帮助你轻松确定谁请求了访问权限、授予了哪些访问权限以及执行了哪些活动。

特权访问管理的要求

• Microsoft 标识管理器

• Windows Server 2012 R2 或更高版本的 Active Directory 林功能级别。

Microsoft Entra 联接

Microsoft Entra 联接通过改进企业和个人设备的功能，增强了企业、商业和教育客户的身份体验。

优点：

• 公司拥有的 Windows 设备上的“新式设置的可用性”。 核心 Windows 功能不再需要个人 Microsoft 帐户：它们现在可以通过用户现有的工作帐户运行，以确保合规性。 这些服务将在连接到内部 Windows 域的计算机和“加入”到 Microsoft Entra 的计算机和设备上运行。 这些设置包括：

  • 漫游或个性化、辅助功能设置和凭据
  • 备份和还原
  • 使用工作帐户访问 Microsoft Store
  • 动态磁贴和通知

• 在无法连接到 Windows 域的移动设备（手机、平板电脑）上访问组织资源，而无论它们是企业自有的还是 BYOD。

• 单一登录到 Office 365 和其他组织应用、网站和资源。

• 在 BYOD 设备上，将工作帐户（从本地域或 Azure AD）添加到个人拥有的设备，并通过应用和 Web 借助 SSO 来连接到工作资源，从而确保符合“条件帐户控制”和“设备运行状况证明”等新功能的要求。

• MDM 集成允许将设备自动注册到移动设备管理 (MDM) 工具（Microsoft Intune 或第三方）。

• 为组织中的多个用户设置“展台”模式和共享设备。

• 开发人员体验让你可以使用共享的编程堆栈构建同时满足企业和个人上下文需求的应用。

• “映像”选项让你可以在映像和允许用户在首次运行体验期间直接配置公司拥有的设备之间进行选择。

有关详细信息，请参阅 Azure Active Directory 中的设备管理简介。

Windows Hello 企业版

对于组织和消费者而言，Windows Hello 企业版是一种基于密钥的身份验证方法，它比密码身份验证更有优势。 这种形式的身份验证依赖于可以抵抗破坏、盗窃和网络钓鱼的凭据。

用户使用链接到证书或非对称密钥对的生物识别或 PIN 登录信息登录到设备。 标识提供者 (IDP) 通过将用户的公钥映射到 IDLocker 来验证用户的身份，并通过一次性密码 (OTP)、电话或不同的通知机制来提供登录信息。

有关详细信息，请参阅 Windows Hello 企业版。

弃用文件复制服务 (FRS) 和 Windows Server 2003 功能级别

尽管文件复制服务 (FRS) 和 Windows Server 2003 功能级别已在早期版本的 Windows Server 中弃用，但在这里仍要重复一下：Windows Server 2003 操作系统不再受支持。 因此，应从域中删除任何运行 Windows Server 2003 的域控制器。 域和林功能级别应至少提升到 Windows Server 2008，以防止将运行早期版本的 Windows Server 的域控制器添加到环境中。

在 Windows Server 2008 及更高的域功能级别，分布式文件服务 (DFS) 复制用于在域控制器之间复制 SYSVOL 文件夹内容。 如果在 Windows Server 2008 或更高的域功能级别创建新的域，系统会自动使用 DFS 复制来复制 SYSVOL 文件夹。 如果在较低的功能级别创建了域，则在复制 SYSVOL 文件夹时，需从使用 FRS 复制迁移到使用 DFS 复制。 有关迁移步骤，可以参阅相关步骤，也可参阅存储团队文件柜博客上的简化步骤集。

有关详细信息，请参阅以下资源：

• 理解 Active Directory(R) 域服务 (AD DS) 功能级别
• 提升域功能级别
• 提升林功能级别