之前Windows Server 2016-WinSer2016 ActiveDirectory新增功能请添加链接描述有介绍ActiveDirectory新增功能,今天对之前内容简单做下补充,如下:
Windows Server 2016 时间同步的改进,虽然时间同步可能只是一个小细节,但它可能足以影响整个Active Directory部署的身份验证和操作。时间同步涉及确保所有域成员从域控制器获得准确的同步时间,并确保这些域控制器与某些可靠的源同步。
有时会出现一些阻碍域间时间同步的问题:虚拟机时钟偏差,时间同步请求失败,域成员设置为从不再存在的服务器获取时间同步信息,公司笔记本电脑等行进机器不经常连接到域并获得时间同步等。Windows Server 2016 包含多个域时间同步更新,有助于缓解其中一些问题,包括:

  • 消除随时间累积的舍入错误,导致同步错误。
  • 增加同步调整的频率,因此偏差不是基于时间的错误的一个重要因素。
  • 提高同步精度高达数十微秒,即使存在时间偏差,频繁的精确调整也可以解决问题。
    活动目录联合服务改进
    最后,Active Directory联合身份验证服务(AD FS)有许多增强功能,用于跨安全边界对身份进行身份验证和授权的软件,包括:
  • 条件访问控制。条件访问控制允许管理员在允许机器连接到任何给定应用程序之前设置最小安全基线的数量。这些条件可能包括多因素身份验证,特定组中的成员身份,设备的运行状况,修补和恶意软件保护状态,或其他几种选择。此功能类似于网络访问保护,但它不是试图保护电线; 它基于每个应用程序强制执行,以实现更精细的控制。
  • 将任何LDAP3(即LDAP V3 ,LDAP 的第3个版本)活动目录与AD FS一起使用。以前,为了使用AD FS,IT需要设置一个特殊的Active Directory部署,该部署可能包含只读域控制器或Active Directory应用程序模式域。这需要付出相当大的努力,特别是在合并和收购以及与第三方合作的情况下,不值得付出努力。现在,可以使用支持LDAP3的任何目录(包括开源目录),从而可以更轻松地将联合管理状态的Office 365应用程序集成到现有产品中。
  • 支持OAuth/OpenID 连接。Salesforce,Microsoft Dynamics,社交媒体软件和其他企业应用程序等Web应用程序几乎总是使用某种OAuth或OpenID 来保护和管理身份。AD FS支持Windows Server 2016中的OAuth和OpenID,以便更加直接地将这些Web应用程序集成到现有的身份管理部署中。