标签：

Windows Server 2016 Active Directory 域处事 (AD DS)新增很多成果用来提升Active Directory域及组织环境安适等，并辅佐他们面向云的部署或混合部署，便利在云中托管某些应用措施和处事，并且可以在本地承载迁移的成果等。

改造的成果如下：

打点访谒的权限

通过插手 Azure Active Directory 的 Windows 10 设备的扩展云成果

连接到 Azure AD 已插手域的设备，提升Windows 10 的用户体验；

在你的组织中启用用于事情的Microsoft Passport；

Deprecation 的文件复制处事 (FRS) 和 Windows Server 2003 成果级别

打点访谒的权限：

访谒权限打点 (PAM) 可以辅佐减少安适存眷的 Active Directory 环境引起的根据技术被盗此类 pass 哈希、矛网络垂钓和类似类型的打击。 它供给一个新的打点访谒解决方案，要领是使用 Microsoft 身份打点器 (MIM) 配置。 引入 PAM:

新营垒 Active Directory 的丛林由 MIM 预配。 营垒丛林具有特殊的与现有的丛林 PAM 信任。 它供给一个已知的任何恶意的勾当，并断绝现有林的使用权限帐户的免费的新 Active Directory 环境。

MIM 请求打点权限，以及新的基于批准请求的事情流中的新进程。

新暗影安适主体（组）的由预配营垒林中 MIM 打点权限请求的响应。 暗影安适主体有引用的现有的树林中打点组 SID 属性。 这样将现有的树林中访谒资源卷影组而不会变动任何访谒 acl)。

过期的通知链接成果，使时间限制卷影组中的成员。 用户可以添加到组中，只需足够时间，需要执行的打点任务中。 时间限制的会员暗示通过流传到 Kerberos 票证生命周期内的时间 live (TTL) 值。

备注：

过期的链接都适用于所有链接属性。 但成员/memberOf 链接的属性一组与用户之间的关系是仅示例了预完整的解决方案，如 PAM 使用到期链接成果。

KDC 增强成果内置于 Active Directory 域控制器，以便最低可能 live 时间 (TTL) 中的值用户具有多个时间限制会员身份打点组中的情况下限制 Kerberos 票证生命周期。

监控的新成果来辅佐你轻松地确定谁可以请求访谒权限、允许哪些访谒，并执行哪些操纵。

要求

Microsoft 标识打点器

Active Directory 林成果级另外 Windows Server 2012 R2 或更高版本。

Azure AD 插手

Azure Active Directory 插手增强了身份难忘企业版、企业和 EDU 客户的用于企业和小我私家设备的改造成果。

长处：

现代设置的可用性corp 所拥有的 Windows 设备上。 氧气的处事不再需要的小我私家 Microsoft 帐户：它们此刻*用户现有事情帐户，以确保合规性运行。 氧气处事可以继续事情插手本地上的 Windows 域的电脑和电脑和设备"插手"你的 Azure AD 租户 ("云 domain")。 这些设置包孕：

漫游或本性化、帮助成果设置和根据

备份和还原

访谒 Microsoft 官方商城通过事情帐户

动态磁贴和通知

访谒组织资源移动设备（台式机手机）不能插手 Windows 某个域中，它们是否 corp 拥有或 BYOD

统一登录Office 365 其他组织的应用、网站和资源。

BYOD 设备上、（从本地域或 Azure AD）的事情帐户添加到小我私家所拥有的设备，并尽情享受 SSO 事情资源，通过应用并在 web 上，有助于确保切合条件的帐户控件和设备健康审计等新成果的方法。

MDM 集成允许您自动注册设备到你的 MDM（Intune 或第三方）

设置"展台"模式下，并共享设备为在你的组织的多个用户

开发人员体验允许您在生成适应企业和小我私家上下文使用共享的编程仓库中的应用。

成像选项允许你选择之间映像并使你的用户，，若要在初度运行体验期间直接配置 corp 拥有的设备。

MicrosoftPassport

MicrosoftPassport 是新密钥基于身份验证要领组织并消费者而言，超过暗码。 在违反、被盗和网络垂钓溅根据依赖于这种形式的身份验证。

用户在登录到设备使用生物识别或 PIN 登录链接到证书或对称的关键配对的信息。 身份供给商 (IDPs) 验证通过映射到 IDLocker 公钥的用户的用户，并通过一次暗码 (OTP)、Phonefactor 或其他通知机制信息供给日志。

Deprecation 的文件复制处事 (FRS) 和 Windows Server 2003 成果级别