[原创]windows server 2012 AD架构 试验 系列 20-Active Directory 域服务 (AD DS) 中的新增功能

Active Directory 域服务 (AD DS) 中的新增功能

1(共 1)对本文的评价是有帮助 - 评价此主题

发布时间: 2012年2月

更新时间: 2013年6月

应用到: Windows Server 2012

https://technet.microsoft.com/zh-cn/library/hh831477.aspx

你可以使用 Windows Server 2012 中的 Active Directory 域服务 (AD DS)(在本地和云中)更快、更轻松地部署域控制器,增加审核和授权文件访问权限时的灵活性,以及通过一致的图形和脚本管理体验更轻松地灵活(本地或远程)执行管理任务。Windows Server 2012 中的 AD DS 改进功能包括:

・ 正常运行的虚拟化  
Windows Server 2012 通过安全虚拟技术为公有云和私有云功能提供更好的支持,通过克隆技术为虚拟域控制器提供快速部署。

・ 简化的部署和升级准备  
升级和准备进程(dcpromo 和 adprep)已替换为一个新的精简的域控制器升级向导,该向导与服务器管理器集成并构建在 Windows PowerShell 之上。它会验证先决条件、自动进行林和域的准备、仅需一组登录凭据,而且可以在目标服务器上远程安装 AD DS。

・ 简化的管理  
简化管理的示例包括:将基于声明的授权集成到 AD DS 和 Windows 平台中,以及功能更广的名为“动态访问控制”(DAC) 的两个关键组件。DAC 包含集中访问策略、目录属性、Windows 文件分类引擎以及将用户和计算机标识合二为一的复合标识。此外,Active Directory 管理中心 (ADAC) 现在允许你执行会自动生成等效 Windows PowerShell 命令的图形任务。这些命令可以轻松地复制粘贴到一个脚本中,从而简化了重复性管理操作的自动化处理。

・ AD DS 平台更改  
AD DS 平台包含一个核心功能,其中的“隐藏”行为可控制在构建目录服务的其余部分时所基于的组件。对 AD DS 平台的更新包括在 AD FS 中改进的 RID(相对标识符)分配和缩放、延迟索引创建、各种 Kerberos 增强功能以及对于 Kerberos 声明的支持(请参阅动态访问控制)。

Active Directory 和 AD DS 处于 IT 基础结构中心位置已超过 10 年,它的功能、采用量以及商业价值随着一代代产品的发布不断增长。今天,这种 Active Directory 基础结构大部分保留了原样,但加入了云计算这一新兴趋势。然而,云计算的采用并非一蹴而就;迁移适当的本地工作负载或应用程序是一项循序渐进的长期任务。新的混合基础结构应运而生,而 AD DS 是否能够满足这些新出现的独特部署模型的需求非常重要,具体包括完全托管在云中的服务、由云和本地组件构成的服务以及仍然完全保留在本地的服务。这些混合模型在重要性和可见性方面的要求日益突出,并日渐加强在安全性和合规性方面的重视程度,还进一步加重了本来已经很复杂且非常耗时的、为确保公司数据和服务的访问得到适当审核并能准确表达业务意图而需执行的任务。

以下部分介绍 Windows Server 2012 中的 AD DS 如何满足这些新兴需求。

有关安装 AD DS 的详细信息,请参阅在企业中部署 Active Directory 域服务 (AD DS) 和将域控制器升级到 Windows Server 2012。

正常运行的虚拟化

通过克隆快速部署

Windows Server 2012 中的 AD DS 允许通过“克隆”现有的虚拟域控制器来部署副本虚拟域控制器。你可以使用服务器管理器中的域控制器升级界面可以升级单个虚拟域控制器,然后在同一域中通过克隆快速部署其他虚拟域控制器。

克隆过程涉及以下操作:创建现有虚拟域控制器的副本,授权在 AD DS 中克隆源域控制器、运行 Windows PowerShell cmdlet 以创建包含详细升级说明(名称、IP 地址、域名系统 [DNS] 服务器等)的配置文件。你也可以保留配置文件为空,以允许系统自动填充信息。克隆可消除重复性的部署任务从而减少所需步骤和时间,还可让你完全部署其他域控制器,这些域控制器在获得授权和配置后供 Active Directory 域管理员进行克隆。

有关虚拟化域控制器克隆的详细信息,请参阅 Active Directory 域服务 (AD DS) 虚拟化。

更安全的域控制器虚拟化

AD DS 虚拟化已有多年时间,但是大多数虚拟机监控程序中提供的功能可使 Active Directory 复制算法得出的有力假设无效。主要原因是,域控制器用于确定相对聚合级别的逻辑时钟在时间上不可逆。在 Windows Server 2012 中,虚拟域控制器使用由虚拟机监控程序公开的唯一标识符。这称为虚拟机生成 ID (GenerationID)。每当虚拟机遇到影响其所处时间点的事件时,会更改虚拟机生成 ID。虚拟机生成 ID 会在其 BIOS 中向虚拟机的地址空间公开,并且操作系统和应用程序可以通过 Windows Server 2012 中的一个驱动程序使用该 ID。

启动期间和完成任何事务之前,运行 Windows Server 2012 的虚拟域控制器会将虚拟机生成 ID 的当前值与它存储在目录中的值进行比较。如果不匹配,则系统会将此情况解释为“回滚”事件,并且域控制器会采用 Windows Server 2012 中新增的 AD DS 保护措施。这些保护措施允许虚拟域控制器与其他域控制器聚合,并防止虚拟域控制器创建重复的安全主体。若要 Windows Server 2012 虚拟域控制器获得此额外级别的保护,虚拟域控制器必须托管在能够感知虚拟机生成 ID 的虚拟机监控程序上,如具有 Hyper-V 角色的 Windows Server 2012。

有关虚拟化安全技术功能的详细信息,请参阅 Active Directory 域服务 (AD DS) 虚拟化。

简化的部署和升级准备

Windows Server 2012 中的 AD DS 部署集成了所有必要步骤,可以将新的多个域控制器部署到一个图形界面中。该部署仅需要一个企业级别的凭据,并且可以通过远程指向适当的操作主机角色来准备林或域。新的部署过程进行了大量的先决条件验证测试,将阻止安装或降低安装速度等错误发生的可能性降至最小;若非如此,这些错误即可能出现。AD DS 安装进程构建在 Windows PowerShell 之上,与服务器管理器集成,可以面向多个服务器以及远程部署域控制器,这样会使部署体验更简单、更一致以及更省时。下图显示了 Windows Server 2012 中的 AD DS 配置向导。

图 1   AD DS 配置向导

AD DS 安装包括以下功能:

・ Adprep.exe 集成到 AD DS 安装进程。减少安装 AD DS 所需的时间,并降低可能会阻止域控制器升级等错误发生的可能性。

・ AD DS 服务器角色安装构建在 Windows PowerShell 上并且可以在多个服务器上远程运行。降低管理错误发生的可能性以及减少安装所需的总体时间,尤其是在全局范围和域上部署多个域控制器时。

・ AD DS 配置向导中的先决条件验证。在安装开始之前即识别出可能发生的错误。你可以在错误情况出现之前纠正这些情况,而无须担心只完成部分升级而导致的后果。

・ 配置页按顺序分组以反映最常用的升级选项需求,并在更少的向导页中对相关选项进行分组。为选择安装选项提供了更好的上下文参考,并减少了完成域控制器安装所需的步骤和时间。

・ 可以导出 Windows PowerShell 脚本的一个向导,导出后的脚本可包含图形安装过程中指定的所有选项。通过使用自动生成的 Windows PowerShell 脚本来自动执行随后的 AD DS 安装,从而简化该过程。

有关 AD DS 与服务器管理器集成的详细信息,请参阅在企业中部署 Active Directory 域服务 (AD DS)。

简化的管理

从简化 AD DS 管理体验的角度看,许多方面的问题都得到了解决。具体包括:

・ 动态访问控制

・ DirectAccess 脱机加入域

・ Active Directory 联合身份验证服务 (AD FS)

・ Windows PowerShell 历史记录查看器

・ Active Directory 回收站用户界面

・ 细化的密码策略用户界面

・ Active Directory 复制和拓扑 Windows PowerShell cmdlet

・ 基于 Active Directory 的激活 (AD BA)

・ 组托管服务帐户 (gMSA)

动态访问控制

当今,很难使用现有的授权模型进行商业用途的转换。访问控制项 (ACE) 的现有功能很难或者无法完全表达需求。此外也没有集中管理功能。最后,现今不断增加的法规和业务合规性要求又使问题进一步复杂化。

Windows Server 2012 AD DS 通过引入如下内容来应对这些挑战:

・ 一个基于声明的新的授权平台增强了(而非替换)现有模型,其中包括:

o 用户声明和设备声明

o 用户声明 + 设备声明(又称为复合标识)

・ 新的集中访问策略 (CAP) 模型

・ 在授权决策中使用文件分类的信息

・ 更轻松的拒绝访问修正体验

・ 可轻松灵活地定义访问策略和审核策略:

o IF resource.Confidentiality = high THEN audit.Success WHEN user.EmployeeType = vendor

要求

・ 一个或多个 Windows Server 2012 域控制器

・ Windows Server 2012 文件服务器

・ 启用默认域控制器策略中的声明策略

・ Windows Server 2012 Active Directory 管理中心

・ 对于设备声明,必须通过使用组策略或者通过直接编辑对象在目标服务帐户上打开复合 ID。

有关动态访问控制的详细信息,请参阅技术库的动态访问控制部分。

DirectAccess 脱机加入域

脱机加入域功能是在 Windows Server 2008 R2 的 AD DS 中添加的,使用该功能实际上可以允许客户端计算机加入域而无需建立到域控制器的网络连接,但在加入域的过程中,还是无法针对客户端计算机预先配置 DirectAccess。

Windows Server 2012 AD DS 提供下列改进功能:

・ 通过允许 BLOB 满足 DirectAccess 先决条件来扩展脱机加入域功能

o 证书

o 组策略

・ 这意味着什么?

o 现在,如果域启用了 DirectAccess,计算机便可通过 Internet 加入域

o 使 BLOB 进入未加入域的计算机是一个由管理员负责的脱机进程

要求

・ Windows Server 2012 域控制器

有关详细信息,请参阅 DirectAccess 脱机加入域。

Active Directory 联合身份验证服务 (AD FS)

AD FS v2.0 不随 Windows Server 版本提供。AD FS (v2.1) 作为服务器角色随 Windows Server 2012 提供。它会提供:

・ 简化的信任设置和自动化的信任管理

・ SAML 协议支持

・ 可扩展的属性存储

・ 允许来源于企业内任何位置的声明

・ 提供全新的 Active Directory 轻型目录服务 (AD LDS) 和 SQL 属性存储提供程序

要求

・ Windows Server 2012

有关 Windows Server 2012 中 AD FS 的详细信息,请参阅 AD FS。

Windows PowerShell 历史记录查看器

Windows PowerShell 是用于在命令行和图形用户界面间营造一致体验的关键技术。虽然 Windows PowerShell 可提高工作效率,但也需要用户学习其用法。

为了尽可能减少在学习方面的投入,Windows Server 2012 内含一个新的 Windows PowerShell 历史记录查看器。其好处包括:

・ 允许管理员查看在使用 Active Directory 管理中心时执行的 Windows PowerShell 命令。例如:

o 管理员将用户添加到组

o UI 显示与 Active Directory 命令等效的 Windows PowerShell

o 管理员将得到的语法复制并集成到脚本中

o 缩短 Windows PowerShell 学习曲线

o 提升编写脚本时的信心

o 进一步增强 Windows PowerShell 可发现性

要求

・ Windows Server 2012 Active Directory 管理中心

有关 Windows PowerShell 历史记录查看器的详细信息,请参阅 Active Directory 管理中心增强功能。

Active Directory 回收站用户界面

Windows Server? 2008 R2 引入的 Active Directory 回收站功能提供了一个允许进行完整对象恢复的体系结构。需要使用 Active Directory 回收站恢复对象的情况通常具有高优先级,例如从意外删除中恢复,此类意外删除可能导致登录失败或工作停止。但是,没有丰富的图形界面增加了其使用复杂性,并会降低恢复速度。

为应对此挑战,Windows Server 2012 AD DS 有一个用于 Active Directory 回收站的用户界面,可提供如下好处:

・ 通过在 Active Directory 管理中心 (ADAC) 中包含“已删除对象”节点来简化对象恢复

o 现在,可以在图形用户界面中恢复已删除的对象

・ 为已删除对象提供可发现的统一视图,从而减少恢复时间

要求

・ 必须达到回收站要求:

o Windows Server 2008 R2 林功能级别

o 必须启用回收站这一可选功能

・ Windows Server 2012 Active Directory 管理中心

・ 需要进行恢复的对象必须是在已删除对象生存期 (DOL) 内被删除

o 默认情况下,DOL 设置为 180 天

有关 AD DS 回收站用户界面的详细信息,请参阅 Active Directory 管理中心增强功能。

细化的密码策略用户界面

Windows Server 2008 引入的细化密码策略 (FGPP) 提供对密码策略更为精确的管理功能。为了利用此功能,管理员必须手动创建密码设置对象 (PSO)。确保手动定义的策略值的行为符合预期的确很困难,这会导致管理过程耗时、麻烦并容易出错。

在 Windows Server 2012 中:

・ 对 PSO 的创建、编辑和分配现在可通过 Active Directory 管理中心进行管理

・ 大幅简化了密码设置对象的管理

要求

・ 必须达到 FGPP 要求:

o Windows Server? 2008 域功能级别

・ Windows Server 2012 Active Directory 管理中心

有关用于细化密码策略的用户界面的详细信息,请参阅 Active Directory 管理中心增强功能。

Active Directory 复制和拓扑 Windows PowerShell cmdlet

管理员需要多种工具来管理 Active Directory 的站点拓扑

・ repadmin

・ ntdsutil

・ Active Directory 站点和服务

使用多个工具会导致出现很难自动化处理的不一致体验。

使用 Windows Server 2012 AD DS,管理员可以执行以下操作:

・ 使用 Windows PowerShell 管理复制和站点拓扑

o 创建和管理站点、站点链接、站点链接网桥、子网和连接

o 复制域控制器之间的对象

o 查看对象属性上的复制元数据

o 查看复制故障

・ 利用一致的、可轻松编写脚本的体验

・ 可与其他 Windows PowerShell cmdlet 兼容和互操作

要求

・ Active Directory Web 服务(又称为适用于 Windows Server 2003 或 Windows Server 2008 的 Active Directory Management Gateway)

・ Windows Server 2012 域控制器或安装了用于 AD DS 与 AD LDS 的角色管理工具 (RSAT) 的 Windows Server 2012

有关用于管理 Active Directory 拓扑和复制的 Windows PowerShell cmdlet 的详细信息,请参阅使用 Windows PowerShell 的 Active Directory 复制和拓扑管理。

基于 Active Directory 的激活 (AD BA)

当今,用于 Windows 和 Office 的批量许可需要拥有密钥管理服务 (KMS) 服务器。该解决方案只需极少的培训,而且是涵盖 90% 部署的成套解决方案。

但它非常复杂,因为缺少图形管理控制台。该解决方案需要网络上有 RPC 流量,这会使问题变复杂,而且该解决方案不支持任何种类的身份验证。最终用户许可协议 (EULA) 会禁止客户将 KMS 服务器连接到任何外部网络。例如,单独连接到服务就等于已激活。

在 Windows Server 2012 中,基于 Active Directory 的激活提供下列增强功能:

・ 使用你现有的 Active Directory 基础结构激活你的客户端

o 不需要其他计算机

o 无 RPC 要求;只需使用 LDAP

o 包括 RODC

・ 除了特定于安装和服务的要求,不会将数据写回目录

o 激活初始 CSVLK(客户特定的批量许可证密钥)要求:

§ 通过 Internet 联系一次 Microsoft 激活服务(和零售激活相同)

§ 使用批量激活服务器角色或命令行输入密钥。

§ 默认情况下可为其他的林重复激活程序最多 6 次

・ 在配置分区中维护的激活对象

o 购买证明

o 计算机可以是林中任何域的成员

・ 所有 Windows 8 计算机将自动激活

要求

・ 只有 Windows 8 计算机可利用 AD BA

・ KMS 和 AD BA 可共存

o 如果需要下级批量许可,就仍然需要 KMS

・ 需要 Windows Server 2012 Active Directory 架构,而不是 Windows Server 2012 域控制器

有关 AD BA 的详细信息,请参阅下列内容:

・ 批量激活概述

・ 测试实验室指南:演示批量激活服务

组托管服务帐户 (gMSA)

Windows Server 2008 R2 引入了托管服务帐户 (MSA)。不支持需要共享一个安全主体的群集或负载平衡服务。因此,MSA 在许多所需的方案中都不能使用。

Windows Server 2012 包含以下更改:

・ 引入被称为 gMSA 的新安全主体类型

・ 在多个主机上运行的服务可以在相同的 gMSA 帐户下运行

・ 需要一个或多个 Windows Server 2012 域控制器

o gMSA 可以针对运行任何 Windows Server 版本的任何域控制器进行身份验证

o 由所有 Windows Server 2012 域控制器上运行的组密钥分发服务 (GKDS) 计算出密码

・ 使用 gMSA 从 GKDS 中获取密码和密码更新的 Windows Server 2012 主机

o 密码检索限于得到授权的计算机

・ 在创建 gMSA 帐户时定义的密码更改间隔(默认情况下为 30 天)

・ 像 MSA 一样,gMSA 只会得到 Windows 服务控制管理器 (SCM) 和 IIS 应用程序池的支持

要求

・ 在包含 gMSA 的林中更新的 Windows Server 2012 Active Directory 架构

・ 一个或多个 Windows Server 2012 域控制器提供密码计算和检索功能

・ 只有在 Windows Server 2012 上运行的服务才可使用 gMSA

有关组托管服务帐户的详细信息,请参阅托管服务帐户。

AD DS 平台更改

许多平台更改都是围绕可伸缩性、阈值和安全性进行的。具体包括:

・ AD FS 中的 AD DS 声明

・ 相对 ID (RID) 改善

・ 延迟索引创建

・ Kerberos 增强功能

AD FS 中的 AD DS 声明

AD FS v2.0 能够从 Windows NT 令牌直接生成用户声明。AD FS v2.0 还能够根据 AD DS 和其他属性存储中的属性进一步展开声明。

在 Windows Server 2012 中,可以使用充当声明的用户和设备属性填充 Kerberos 票证。AD FS 2.0 无法从 Kerberos 票证中读取声明。因此,必须针对 Active Directory 的源用户属性声明进行一个单独的 LDAP 调用,而 AD FS 2.0 则根本无法利用设备属性声明。

Windows Server 2012 中的 AD FS v2.1 现在可使用直接从 Kerberos 票证中获取的用户与设备声明填充 SAML 令牌。

要求

・ 启用和配置动态访问控制

・ 必须为 AD FS 服务帐户打开混合 ID

・ Windows Server 2012 AD FS v2.1

有关 Windows Server 2012 中 AD FS 的详细信息,请参阅 AD FS。

相对 ID (RID) 改善

使用 Windows Server 2012 中的下列 RID 改进功能,能够更好地响应任何可能存在的对全局 RID 池空间的耗尽:

・ 定期 RID 消耗警告

o 在全局空间剩余 10% 时,系统会记录一个信息事件

§ 在使用 100,000,000 个 RID 时记录第一个事件,在剩余量的 10% 时记录第二个事件

§ 剩余量 = 900,000,000

§ 剩余量的 10% = 90,000,000

§ 190,000,000 时记录第二个事件

§ 已有的 RID 消耗加上剩余量的 10%

o 当全局空间被进一步消耗时,事件记录变得更为频繁

・ RID 管理器假上限保护机制

o 一个设为全局 RID 空间的 90% 而且不可配置的软上限

o 当 RID 池中的 RID 颁发量达到 90% 时则视为“达到”软上限

o 阻止 RID 池的进一步分配

§ 达到软上限时,系统会将 RID Manager$ 对象的 msDS-RIDPoolAllocationEnabled 属性设置为 FALSE。管理员必须将它重新设置为 TRUE 才能进行替代。

o 记录一个事件以指示达到上限

§ 当全局 RID 空间达到 80% 时会记录一个初始警告

o 该属性只能由 SYSTEM 设置为 FALSE,并由 RID 主机控制(例如,针对 RID 主机编写该属性)。

§ 域管理员可将其重新设置为 TRUE

备注

它在默认情况下设置为 TRUE

・ 增加了每个域的全局 RID 空间,从而使能够在域的整个生存期中创建的安全主体数加倍:从 10 亿增加到 20 亿。

要求

・ Windows Server 2012 RID 主机

・ Windows Server 2012 域控制器

有关 RID 改进功能的详细信息,请参阅Managing RID Issuance。

延迟索引创建

在过去,索引创建可能会对域控制器的性能造成负面影响。Windows Server 2012 引入了一个新功能,允许林管理员将索引的创建延迟到所选时间点。默认情况下,域控制器会在收到通过复制产生的相应架构更改时创建索引。而在 Windows Server 2012 中引入了一个新的 DSheuristic,它控制域控制器是否延迟索引创建。详细信息如下:

・ 将第 19 个字节设置为 1 会导致任何 Windows Server 2012 DC(运行早期操作系统的 DC 将忽略此设置)将索引构建延迟到以下时间:

o 它收到 UpdateSchemaNow rootDSE mod(触发对架构缓存的重建)时

o 它重新启动(要求重建架构缓存并因此重建延迟的索引)时

・ 任何处于延迟索引状态的属性都会每隔 24 小时被记录到事件日志中

o 2944:索引延迟 �C 记录一次

o 2945:索引仍然未决 �C 每隔 24 小时记录一次

o 1137:索引已创建 �C 记录一次(不是新事件)

要求

・ Windows Server 2012 域控制器

Kerberos 增强功能

・ 跨域的 Kerberos 约束委派

・ 灵活的身份验证安全隧道 (FAST)

跨域的 Kerberos 约束委派

Windows Server 2003 中引入了 Kerberos 约束委派 (KCD)。KCD 允许服务帐户(前端)在多层应用程序中代表用户执行有限的后端服务。例如:

1. 用户作为 user1 访问网站

2. 用户申请获得网站(前端)的信息,因此需要 Web 服务器查询 SQL 数据库(后端)

3. 根据前端访问者来授予对此数据的访问权限

4. 在这种情况下,Web 服务必须在对 SQL 发出申请时模拟 user1

前端需要使用可模拟用户的服务(通过 SPN)进行配置。设置和管理需要具备域管理员凭据。KCD 委派只可用于和前端服务帐户位于相同域中的后端服务。

Windows Server 2012 中的 KCD 将授权决定移交给资源所有者,这可带来如下好处:

・ 允许后端授权从而前端服务帐户可针对用户的资源来模拟用户

・ 支持跨域、跨林的方案

・ 不再需要具备域管理员权限

o 只需要对后端服务帐户具备管理权限

要求

・ 客户端运行 Windows XP 或更新版本

・ 运行 Windows Server 2003 或更新版本的客户端域的域控制器

・ 运行 Windows Server 2012 的前端服务器

・ 前端域中运行 Windows Server 2012 的一个或多个域控制器

・ 后端域中运行 Windows Server 2012 的一个或多个域控制器

・ 使用允许用于模拟的帐户配置的后端服务器帐户

o 不会通过 Active Directory 管理中心显示

o 通过 Windows PowerShell 配置:

§ New/Set-ADComputer [-name] <string> [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]

§ New/Set-ADServiceAccount [-name] <string> [-PrincipalsAllowedToDelegateToAccount <ADPrincipal[]>]

・ 后端服务器林中的 Windows Server 2012 架构更新

・ 运行 Windows Server 2003 或更新版本的后端应用程序服务器

有关 Kerberos 约束委派的详细信息,请参阅技术库的 Kerberos 部分。

灵活的身份验证安全隧道 (FAST)

当今,对使用密码的登录进行脱机字典攻击是可能的。针对 Kerberos 错误的欺骗比较为人关注。客户端可能:

・ 回退到安全性较差的旧协议

・ 削弱它们的加密密钥强度和/或密码

Windows Server 2012 中的 Kerberos 支持灵活的身份验证安全隧道 (FAST)

・ 由 RFC 6113 定义

・ 有时称为 Kerberos 保护

・ 在加入域的客户端和 DC 之间提供受保护通道

o 保护用于用户 AS_REQ 的预身份验证数据

§ 将来自计算机 TGT 的 LSK(登录会话密钥)用作共享机密

§ 请注意,计算机身份验证不会受到保护

o 允许 DC 返回获得验证的 Kerberos 错误从而保护它们免遭欺骗

・ 一旦所有 Kerberos 客户端和 DC 都支持 FAST(这是管理员要做出的决策)

o 可将域配置为需要 Kerberos 保护或在请求时使用 Kerberos 保护

§ 必须首先确保所有或足够的 DC 都运行 Windows Server 2012

§ 启用适当策略

§ “支持 CBAC 和 Kerberos 保护”

§ “所有 DC 都能支持 CBAC 并且需要 Kerberos 保护”

要求

・ Windows Server 2012 服务器

・ 确保客户端使用的所有域(包括过渡的引用域):

o 为所有 Windows Server 2012 DC 启用“支持 CBAC 和 Kerberos 保护”策略

o 拥有足够数量支持 FAST 的 Windows Server 2012 DC

・ 在受支持的客户端上启用“需要 FAST”策略

・ 符合 RFC 的 FAST 互操作需要 Windows Server 2012 域功能级别

你可能感兴趣的:(windows,主题,target,blank,更新时间)