Windows Server 2025 的新功能 (預覽版)
重要
Windows Server 2025 處於預覽狀態。 這項資訊涉及發行前產品,在發行之前可能會有大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
本文介紹 Windows Server 2025 中的一些最新開發功能,其中包含可提高安全性、效能和靈活性的進階功能。 憑藉更快的儲存選項以及與混合雲端環境整合的能力,您現在能更簡單地管理基礎結構。 Windows Server 2025 建立在其前身的堅實基礎上,同時引入了一系列創新增強功能來滿足您的需求。
如果您想在 Windows Server 2025 正式發佈之前試用最新功能,請參閱 Windows Server Insiders Preview 使用者入門。
最新功能
下列新功能僅適用於具有桌面體驗的 Windows Server。 需要同時讓執行作業系統的實體裝置和正確的驅動程式可供使用。
Active Directory 網域服務
Active Directory 網域服務 (AD DS) 和 Active Directory 輕量型網域服務 (AD LDS) 的最新增強功能引進了一系列新功能和功能,旨在最佳化您的網域管理體驗:
32k 資料庫頁面大小選用功能 - AD 使用可延伸儲存引擎 (ESE) 資料庫,因為它在 Windows 2000 中引進了使用 8k 個資料庫頁面大小。 8k 架構設計決策在 AD 最大限制延展性中記錄了整個 AD 的限制。 這項限制的範例是單一記錄 AD 物件,大小不能超過 8k 個位元組。 移至 32k 資料庫頁面格式可大幅改善受舊版限制影響的區域 (包括多值屬性) 現在能夠容納 ~3,200 個值,增加了 2.6 倍。
新的 DC 可以與使用 64 位元長值識別碼 (LID) 的 32k 頁面資料庫一起安裝,並在「8k 頁面模式」中執行,以與舊版相容。 升級的 DC 會繼續使用其目前的資料庫格式和 8k 頁面。 移至 32k 個資料庫頁面是在以全樹系為基礎的條件下完成,而且要求樹系中的所有 DC 都有 32k 頁面可用的資料庫。
AD 結構描述更新 - 引入三個新的記錄資料庫檔案 (LDF),以擴充 AD 結構描述、
sch89.ldf、sch90.ldf和sch91.ldf。 AD LDS 對等結構描述更新位於MS-ADAM-Upgrade3.ldf中。 如需深入了解先前的結構描述更新,請參閱 Windows Server AD 結構描述更新AD 物件修復 - AD 現在可讓企業管理員修復缺少核心屬性 SamAccountType 和 ObjectCategory 的物件。 企業管理員可以將物件上的 LastLogonTimeStamp 屬性重設為目前時間。 這些作業是透過受影響物件上名為 fixupObjectState 的新 RootDSE 修改作業功能來實現的。
通道繫結稽核支援 - 事件 3074 和 3075 現在可以針對輕量型目錄存取通訊協定 (LDAP) 通道繫結來啟用。 當通道繫結原則修改為更安全的設定時,系統管理員可以識別環境中不支援或失敗通道繫結驗證的裝置。 這些稽核事件也可透過 KB4520412 在 Windows Server 2022 和更新版本中使用。
DC 位置演算法改善 - DC 探索演算法提供新功能,可改善短 NetBIOS 樣式網域名稱與 DNS 樣式網域名稱的對應。 若要深入了解,請參閱 Active Directory DC 定位器變更。
注意
Windows 不會在 DC 探索作業期間使用郵件槽,因為 Microsoft 已宣佈淘汰這些舊版技術的 WINS 和郵件槽。
樹系和網域功能等級 - 新功能等級適用於一般支援性,而且需要新的 32K 資料庫頁面大小功能。 新功能等級對應至自動安裝的
DomainLevel 10和ForestLevel 10值。 Microsoft 沒有計劃為 Windows Server 2019 和 Windows Server 2022 改造功能等級。 若要執行網域控制器的自動升級和降級,請參閱 DCPROMO 回應檔案語法,以取得網域控制器的自動升級和降級。DsGetDcName 應用程式開發介面 (API) 也支援
DS_DIRECTORY_SERVICE_13_REQUIRED啟用執行 Windows Server 2025 的 DC 位置的新旗標。 您可以在下列文章中深入了解功能等級:注意
需要新的 AD 樹系或 AD LDS 組態集,才能擁有 Windows Server 2016 或更新版本的功能等級。 升級 AD 或 AD LDS 複本時,需要先執行現有的網域或組態集,且功能等級為 Windows Server 2016 或更新版本。
Microsoft 建議所有客戶現在開始規劃將其 AD 和 AD LDS 伺服器升級至 Windows Server 2022,為下一個版本做好準備。
改進的名稱/Sid 查詢演算法 - 電腦帳戶之間的本機安全性機構 (LSA) 名稱和 Sid 查詢轉送不再使用舊版 Netlogon 安全通道。 而是改用 Kerberos 驗證和 DC Locator 演算法。 為了保持與舊作業系統的相容性,仍然可以使用 Netlogon 安全通道作為後援選項。
改善機密屬性的安全性 - DC 和 AD LDS 執行個體只有在加密連線時,才允許 LDAP 新增、搜尋和修改涉及機密屬性的作業。
提高了預設電腦帳戶密碼的安全性 - AD 現在使用隨機產生的預設電腦帳戶密碼。 Windows 2025 DC 禁止將電腦帳戶密碼設定為電腦帳戶名稱的預設密碼。
可透過啟用 GPO 設定網域控制站:拒絕設定預設電腦帳戶密碼來控制此行為,該設定位於:電腦設定\Windows 設定\安全性設定\本機原則\安全性選項
Active Directory 管理中心 (ADAC)、Active Directory 使用者和電腦 (ADUC)、
net computer和dsmod等公用程式也支援此新行為。 ADAC 和 ADUC 都不再允許建立 2k 之前的 Windows 帳戶。Kerberos PKINIT 支援密碼編譯靈活度 - Kerberos 通訊協定實作中初始驗證的 Kerberos 公開金鑰密碼編譯已更新,藉由支援更多演算法和移除硬式編碼演算法來允許密碼編譯靈活度。
LAN 管理員 GPO 設定 - GPO 設定網路安全性:不要在下一個密碼變更時儲存 LAN 管理員雜湊值,也不適用於新版本的 Windows。
預設為 LDAP 加密 - 在簡單驗證和安全性層 (SASL) 繫結之後的所有 LDAP 用戶端通訊,預設為使用 LDAP 密封。 若要深入了解 SASL,請參閱 SASL 驗證:
TLS 1.3 的 LDAP 支援 - LDAP 使用最新的 SCHANNEL 實作,並支援透過 TLS連線使用 LDAP 1.3。 使用 TLS 1.3 可消除過時的密碼編譯演算法、較舊版更增強的安全性,並盡可能加密大部分交握。 若要深入了解,請參閱 TLS/SSL 中的通訊協定 (安全通道 SSP) 和 Windows Server 2022 中的 TLS 加密套件。
舊版 SAM RPC 密碼變更行為 - 安全通訊協定,例如 Kerberos 是變更網域使用者密碼的慣用方式。 在 DC 上,根據預設會接受使用 AES 的最新 SAM RPC 密碼變更方法 SamrUnicodeChangePasswordUser4。 在遠端呼叫時,根據預設會封鎖下列舊版 SAM RPC 方法:
對於屬於受保護使用者群組成員和網域成員電腦上本機帳戶的網域使用者,預設會封鎖透過舊版 SAM RPC 介面進行的所有遠端密碼變更,包括
SamrUnicodeChangePasswordUser4。此行為可以使用下列群組原則物件 (GPO) 設定來控制:
電腦設定>管理範本>系統>安全性帳戶管理員>設定 SAM 變更密碼 RPC 方法原則
NUMA 支援 - AD DS 現在充分善用所有處理器群組中的 CPU,利用具有非統一記憶體存取 (NUMA) 功能的硬體。 先前 AD 只在群組 0 中使用 CPU。 Active Directory 可以擴充 64 個核心以上。
效能計數器 - 現已提供下列計數器的效能監視和疑難排解:
DC 定位器 - 提供用戶端和 DC 特定計數器。
LSA 查閱 - 名稱和 SID 查閱,透過 LsaLookupNames、LsaLookupSids 和對等 API 進行查閱。 這些計數器可在用戶端和伺服器 SKU 上使用。
LDAP 用戶端 - 可透過 KB 5029250 更新,在 Windows Server 2022 和更新版本中使用。
複寫優先順序 - AD 現在可讓系統管理員針對特定命名內容,使用特定複寫夥伴來增加系統計算的複寫優先順序。 這項功能可讓您更彈性地設定複寫順序,以因應特定案例。
Azure Arc
根據預設,會安裝 Azure Arc 安裝程式隨選功能,並在工作列中提供方便使用的精靈介面和系統匣圖示,以加速將伺服器新增至 Azure Arc 的程序。Azure Arc 擴充了 Azure 平台的功能,可讓您建立可在各種環境中運作的應用程式和服務。 這些包括資料中心、邊緣、多重雲端環境,並且提供更大的彈性。 若要深入了解,請參閱透過 Azure Arc 安裝程式將 Windows Server 機器連線至 Azure。
區塊複製支援
從 Windows 11 24H2 和 Windows Server 2025 起,開發人員磁碟機已支援區塊複製。 由於開發人員磁碟機使用 ReFS 檔案系統格式,區塊複製支援可在複製檔案時提供顯著的效能優勢。 透過區塊複製,檔案系統可代應用程式以低成本的中繼資料作業來複製一系列檔案位元組,而不必對基礎實體資料執行昂貴的讀取和寫入作業。 如此一來,多個檔案都能共用相同的邏輯叢集,因而加快完成檔案複製、減少基礎儲存體的 I/O,並提升儲存體容量。 若要瞭解詳細資訊,請參閱對 ReFS 進行區塊複製。
Bluetooth
您現在可以透過 Windows Server 2025 中的藍牙連接滑鼠、鍵盤、耳機、音訊裝置等。
Credential Guard
從 Windows Server 2025 開始,符合要求的裝置都已預設啟用 Credential Guard。 如需 Credential Guard 的詳細資訊,請參閱設定 Credential Guard。
Desktop 殼層
當您第一次登入時,Desktop 殼層體驗符合 Windows 11 的樣式和外觀。
委派的受控服務帳戶
這種新類型帳戶可讓您從服務帳戶遷移至委派的受控服務帳戶 (dMSA)。 此帳戶類型隨附受控且完全隨機的金鑰,可確保應用程式在停用原始服務帳戶密碼時的變更最少。 若要深入了解,請參閱委派受控服務帳戶概觀。
開發人員磁碟機
開發人員磁碟機是一種儲存體磁碟區,用途是增強關鍵開發人員工作負載的效能。 開發人員磁碟機利用 ReFS 技術並結合特定檔案系統的最佳化,藉此提升對儲存體磁碟區設定和安全性的掌控性。 它能讓您指定信任、設定防毒設定,以及對附加篩選條件執行系統管理控制的能力。 若要深入瞭解,請參閱在 Windows 11 設定開發人員磁碟機。
DTrace
Windows Server 2025 將 dtrace 配置為原生工具。 DTrace 是命令行公用程式,可讓使用者即時監視系統效能,並對其進行疑難排解。 DTrace 可讓使用者動態偵測核心程序和使用者空間程式碼,而無需修改程式碼本身。 這個多功能工具支援一系列資料收集和分析技術,例如彙總、長條圖和追蹤使用者層級事件。 若想深入了解,請參閱 DTrace 瞭解命令行的說明,並參閱 Windows 的 DTrace 以了解其他功能。
電子郵件&帳戶
您現在可以在 Windows Server 2025 的設定>帳戶>電子郵件&帳戶中新增下列帳戶:
- Microsoft Entra ID
- Microsoft 帳戶
- 公司或學校帳戶
請務必記住,在大部分情況下,仍然需要加入網域。
意見反應中樞
現在可以使用 Windows 意見反應中樞,提交使用 Windows Server 2025 時遇到的意見反應或報告問題。 您可以包含導致問題的程序的幕擷取畫面或錄影,以協助我們了解您的情況,並分享增強 Windows 體驗的建議。 若要深入了解,請參閱探索意見反應中樞。
檔案壓縮
組建 26040 在壓縮專案時具有新的壓縮功能,方法是執行稱為 [壓縮至] 的滑鼠右鍵功能。 此功能支援 ZIP、7z 和 TAR 壓縮格式,並針對每一種格式使用特定的壓縮法。
Hyper-V 管理員
透過 Hyper-V 管理員建立新的虛擬機器時,新的虛擬機器精靈現在起會將第 2 代設為預設選項。
NVMe
NVMe 是快速固態硬碟 (SSD) 的新標準。 在 Windows Server 2025 中體驗 NVMe 最佳化,感受效能的提升,進而增加 IOPS 並降低 CPU 使用率。
OpenSSH
在舊版的 Windows Server 中,OpenSSH 連線工具會要求您手動安裝才能使用。 從組建 26080 開始,OpenSSH 伺服器端元件會依預設安裝在 Windows Server 2025。 伺服器管理員 UI 的遠端 SSH 存取中也包含一鍵選取的選項,可讓您啟用或停用 sshd.exe 服務。 此外,您也可以將使用者新增至 OpenSSH 使用者群組,藉此允許或限制裝置的存取。 若要深入瞭解,請參閱適用於 Windows 的 OpenSSH 概觀。
已釘選的應用程式
現在可透過 [ 開始 ] 功能表釘選您最常使用的應用程式,並可自訂以符合您的需求。 從版本 26085 起,預設已釘選的應用程式目前為:
- Azure Arc 設定
- 意見反應中樞
- 檔案總管
- Microsoft Edge
- 伺服器管理員
- 設定
- 終端機
- Windows PowerShell
遠端存取
根據預設,新的路由和遠端存取服務 (RRAS) 設定不接受以 PPTP 和 L2TP 通訊協定為基礎進行 VPN 連線。 如有需要,您仍可以啟用這些通訊協定。 系統仍然接受以 SSTP 和 IKEv2 為基礎的 VPN 連線,沒有任何變更。
現有的組態仍然保留原有的行為。 舉例來說,如果您執行 Windows Server 2019 且接受 PPTP 和 L2TP 連線,在使用就地更新來更新為 Windows Server 2025 之後,系統仍會接受以 L2TP 和 PPTP 為基礎的連線。 這項變更不影響 Windows 用戶端的作業系統。 若要深入瞭解如何重新啟用 PPTP 和 L2TP,請參閱設定 VPN 通訊協定。
安全性基準
從內部版本 26296 開始,Windows Server 2025 安全性基線預覽版現已可用。 透過實作自訂的安全性基線,您可以根據建議的安全性態勢,從一開始就為您的裝置或 VM 角色建立安全性措施。 此基準配備了超過 350 個預先設定的 Windows 安全性設定,使您能夠套用和強制執行符合 Microsoft 建議的最佳做法,和業界標準的特定安全性設定。 若要深入了解,請參閱 OSConfig 概觀:
伺服器訊息區
伺服器訊息區塊 (SMB) 是網路功能中最常用的通訊協定之一,其提供了可靠的方式,在網路裝置之間共用檔案和其他資源。 Windows Server 2025 提供下列 SMB 功能。
自組建 26090 起,引進另一組 SMB 通訊協定變更來停用 QUIC、簽署和加密。
SMB over QUIC 停用
系統管理員可以透過群組原則和 PowerShell 停用 SMB over QUIC 用戶端。 若要使用群組原則停用 SMB over QUIC,請將這些路徑中的啟用 SMB over QUIC 原則設為停用。
電腦設定\系統管理範本\網路\Lanman 工作站
電腦設定\系統管理範本\網路\Lanman 伺服器
若要使用 PowerShell 停用 SMB over QUIC,請在提升權限的 PowerShell 提示字元中執行此命令:
Set-SmbClientConfiguration -EnableSMBQUIC $falseSMB 簽署和加密稽核
系統管理員可以啟用對 SMB 伺服器和用戶端的審核,以支援 SMB 簽署和加密。 如果第三方用戶端或伺服器不支援 SMB 加密或簽署,則可以被偵測到。 當您的第三方裝置或軟體指出它支援 SMB 3.1.1,但不支援 SMB 簽署時,它違反了 SMB 3.1.1 預先驗證完整性通訊協定需求。
您可以使用群組原則或 PowerShell 設定 SMB 簽署和加密稽核設定。 這些原則可以在下列群組原則路徑中變更:
電腦設定\系統管理範本\網路\Lanman 伺服器\稽核用戶端不支援加密
電腦設定\系統管理範本\網路\Lanman 伺服器\稽核用戶端不支援簽署
電腦設定\系統管理範本\網路\Lanman 工作站\稽核伺服器不支援加密
電腦設定\系統管理範本\網路\Lanman 工作站\稽核伺服器不支援簽署
若要使用 PowerShell 執行這些變更,請在提升權限的命令提示字元中執行這些命令,其中
$true是啟用而$false是停用這些設定:Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true這些變更的事件記錄檔會儲存在事件檢視器路徑中,包含指定的事件識別碼。
路徑 事件識別碼 應用程式及服務記錄檔\Microsoft\Windows\SMBClient\Audit 31998
31999應用程式及服務記錄檔\Microsoft\Windows\SMBServer\Audit 3021
3022SMB over QUIC 稽核
SMB over QUIC 用戶端連線審核會擷取寫入事件記錄檔的事件,以將 QUIC 傳輸包含在事件檢視器中。 這些記錄檔會儲存在下列路徑中,包含指定的事件識別碼。
路徑 事件識別碼 應用程式及服務記錄檔\Microsoft\Windows\SMBClient\連線能力 30832 應用程式及服務記錄檔\Microsoft\Windows\SMBServer\連線能力 1913 SMB over QUIC 伺服器功能僅適用於 Windows Server Azure Edition,現在可在 Windows Server Standard 和 Windows Server Datacenter 版本中使用。 透過 QUIC 的 SMB 增加 QUIC 的優點,透過網際網路提供低延遲、加密的連線。
之前 Windows 中的 SMB 伺服器強制傳入連線使用 IANA 註冊的連接埠 TCP/445,而 SMB TCP 用戶端僅允許至相同 TCP 連接埠的傳出連線。 現在,透過 SMB over QUIC 允許 SMB 替代連接埠,其中 QUIC 規定的 UDP/443 連接埠可用於伺服器和用戶端裝置。 若想深入了解,請參閱設定備用 SMB 連接埠。
透過 QUIC 引進 SMB 的另一項功能是用戶端存取控制,這是 TCP 和 RDMA 的替代方案,可透過不受信任的網路安全地連線到邊緣檔案伺服器。 若想深入了解,請參閱用戶端存取控制的運作方式。
先前建立共用時,SMB 防火牆規則會自動設定為啟用相關防火牆設定檔的「檔案和印表機共用」群組。 現在,在 Windows 中建立 SMB 共用會導致自動設定新的「檔案和印表機共用 (受限)」群組,而該群組不再允許輸入 NetBIOS 連接埠 137-139。 若想深入了解,請參閱更新的防火牆規則。
從組建 25997 開始,會進行更新以對所有輸出 SMB 用戶端連線強制執行 SMB 加密。 透過此更新,系統管理員可以設定所有目的地伺服器都支援 SMB 3.x 和加密的授權。 如果伺服器缺少這些功能,用戶端就無法建立連線。
此外,在組建 25997 中預設會啟用 SMB 驗證比率限制,其會限制在特定時段內進行的驗證次數。 若想深入了解,請參閱 SMB 驗證速率限制器的運作方式
從組建 25951 開始,SMB 用戶端支援 NTLM 封鎖 遠端輸出連線。 Windows Simple 和 Protected GSSAPI 先前的交涉機制 (SPNEGO) 會與目的地伺服器交涉 Kerberos、NTLM 和其他機制,藉以判斷支援的安全套件。 若想深入了解,請參閱封鎖 SMB 上的 NTLM 連線
版本 25951 中的一項新功能可讓您在 Windows 中管理 SMB 方言,現在的 SMB 伺服器已經會控制所交涉的 SMB 2 和 SMB 3 方言,而先前的行為只比對最高的方言。
從版本 25931 開始,所有 SMB 輸出連線現在預設都需要 SMB 簽署,因為先前只有在連線到 AD 網域控制器上稱為 SYSVOL 和 NETLOGON 的共用時,才需要簽署 SMB。 若想深入了解,請參閱簽署的運作方式。
從版本 25314 開始,遠端郵槽通訊協定預設為停用狀態,並且可能會在以後的版本中移除。 若想深入了解,請參閱我們不再開發的功能。
SMB 壓縮除了支援 XPRESS (LZ77)、XPRESS Huffman (LZ77+Huffman)、LZNT1 和 PATTERN_V1 之外,還增加了對業界標準 LZ4 壓縮演算法的支援。
儲存體複本增強記錄檔
增強型記錄可協助儲存體複本記錄檔實作,以消除與檔案系統抽象相關的效能成本,進而改善區塊複寫效能。 若要深入了解,請參閱儲存複本增強型記錄。
工作管理員
組建 26040 現在使用符合 Windows 11 樣式的 Mica 材料來設計現代化工作管理員應用程式。
虛擬化型安全性 (VBS) 記憶體保護區。
VBS 記憶體保護區在主機應用程式位址空間中是一種以軟體為基礎的受信任執行環境 (TEE)。 VBS 記憶體保護區會使用基礎的 VBS 技術,在記憶體的安全分割區中隔離應用程式的敏感部分。 無論是來自主機應用程式或系統其餘部分的敏感工作負載,VBS 記憶體保護區皆可隔離。
VBS 記憶體保護區可讓應用程式移除信任管理員的需求並加強防範惡意攻擊者,藉此保護機密。 如需詳細資訊,請參閱 VBS 記憶體保護區 Win32 參考資料。
虛擬化型安全性 (VBS) 金鑰保護
VBS 金鑰保護可讓 Windows 開發人員使用虛擬化型的安全性 (VBS) 來保護加密金鑰。 VBS 會使用 CPU 的虛擬化延伸模組功能,在一般作業系統外部建立隔離的執行時間。 VBS 金鑰在使用期間會隔離在安全的流程中,既能執行金鑰作業,又不會讓私密的金鑰資料暴露在該空間之外。 私密金鑰資料閒置時,則會經由 TPM 金鑰加密,後者會將 VBS 金鑰繫結至裝置。 以這種方式保護的金鑰,無法從程序記憶體傾印或以純文字形式從使用者的機器匯出,進而防止任何系統管理員層級的攻擊者發動資料外洩攻擊。 您必須啟用 VBS,才能使用金鑰保護。 如需瞭解如何啟用 VBS,請參閱啟用記憶體完整性。
Wi-Fi
現在更容易啟用無線功能,因為現在預設會安裝無線 LAN 服務功能。 無線啟動服務會設定為手動,而且可以在命令提示字元、Windows 終端機 或 PowerShell 中執行 net start wlansvc 來啟用。
Windows 容器可攜性
可攜性是容器管理的一個重要層面,能夠透過在 Windows 中應用增強的容器靈活性和相容性來簡化升級。 可攜性是容器主機的 Windows Server 年度通道功能,可讓使用者在不同主機或環境之間移動容器映像及其相關聯的資料,而不需要進行任何修改。 使用者可以在一台主機上建立容器映像,然後將其部署到另一台主機上,而無需擔心相容性問題。 若要深入瞭解,請參閱容器可攜性。
Windows 測試人員計畫
Windows 測試人員計畫提供早期存取愛好者社群的最新 Windows OS 版本。 身為成員,您可以成為第一個嘗試 Microsoft 正在開發的新想法和概念之一。 註冊為成員之後,您可以移至開始>設定> Windows Update > Windows 測試人員計畫,選擇參與不同的發行通道。
Windows 本機系統管理員密碼解決方案 (LAPS)
Windows LAPS 協助組織管理其加入網域的電腦上的本機系統管理員密碼。 它會自動為每台電腦的本機系統管理員帳戶產生唯一的密碼,將它們安全地儲存在 AD 中,並定期更新。 這有助於降低攻擊者使用遭入侵或容易猜到的密碼存取敏感性系統的風險,從而有助於提高安全性。
Microsoft LAPS 引入了多項功能,帶來了以下改進:
新的自動帳戶管理功能
最新的更新可讓 IT 系統管理員輕鬆建立受控本機帳戶。 透過此功能,您可以自訂帳戶名稱、啟用或停用帳戶,甚至可以隨機化帳戶名稱以增強安全性。 此外,該更新還改進了與 Microsoft 現有本機帳戶管理原則的整合。 若要深入了解這項功能,請參閱 Windows LAPS 帳戶管理模式。
新的映像復原偵測功能
Windows LAPS 現在可以偵測何時發生映像復原。 如果發生復原,AD 中儲存的密碼可能不再與裝置本機儲存的密碼相符。 復原可能會導致「損毀」狀態,IT 系統管理員無法使用保存的 Windows LAPS 密碼登入裝置。
為了解決此問題,已新增一項新功能,其中包含名為 msLAPS-CurrentPasswordVersion 的 AD 屬性。 每次新密碼保留在 AD 並儲存在本機時,此屬性會包含由 Windows LAPS 寫入的隨機 GUID。 在每個處理周期期間,會查詢儲存在 msLAPS-CurrentPasswordVersion guid,並中的 GUID,並將其與本機保存的複本做比較。 如果不同,則會立即輪替密碼。
若要啟用此功能,您必須執行最新版的
Update-LapsADSchemaCmdlet。 完成之後,Windows LAPS 會辨識新的屬性並開始使用它。 如果您不執行更新版本的Update-LapsADSchemaCmdlet,Windows LAPS 會在事件記錄中記錄 10108 警告事件,但在所有其他方面繼續正常運作。不會使用任何原則設定來啟用或設定此功能。 新增新的結構描述屬性之後,一律會啟用此功能。
新的複雜密碼功能
IT 系統管理員現在可以利用 Windows LAPS 中的一項新功能來產生較不複雜的複雜密碼。 例如,「EatYummyCaramelCandy」等密碼,與「V3r_b4tim#963?」等傳統密碼相比,它更容易閱讀、記住和輸入。
此新功能還允許將 PasswordComplexity 原則設定為選取三個不同複雜密碼單字清單之一,所有這些清單都包含在 Windows 中,無需個別下載。 名為 PassphraseLength 的新原則設定會控制複雜密碼的單字數。
當您建立複雜密碼時,系統會從所選單字清單中依指定的數量隨機選取單字,並將這些單字串連起來。 每個單字的第一個字母都會大寫,以增強可讀性。 此功能也完全支援將密碼備份到 Windows Server AD 或 Microsoft Entra ID。
使用在三個新的 PasswordComplexity 複雜密碼設定中的複雜密碼單字清單,取自電子前哨基金會 (Electronic Frontier Foundation) 的文章《深入研究:EFF 的隨機複雜密碼新單字清單》。 Windows LAPS 複雜密碼單字清單是以 CC-BY-3.0 屬性授權獲得授權,可供下載。
注意
Windows LAPS 不允許自訂內建單字清單,也不允許使用客戶配置的單字清單。
改善可讀性密碼字典
Windows LAPS 引入了新的 PasswordComplexity 設定,使 IT 系統管理員能夠建立不太複雜的密碼。 此功能可讓您自訂 LAPS 以使用所有四個字元類別 (大寫字母、小寫字母、數字和特殊字元),例如現有的複雜性設定 4。 不過,使用新設定 5,會排除更複雜的字元,以增強密碼可讀性,並將混淆降至最低。 例如,數字「1」和字母「I」不會與新設定一起使用。
當 PasswordComplexity 設定為 5 時,預設密碼字典字元集會發生以下變更:
- 請勿使用這些字母:'I'、'O'、'Q'、'l'、'o'
- 請勿使用這些數字:'0'、'1'
- 請勿使用這些「特殊」字元:','、'.'、'&'、'{'、'}'、'['、']'、'('、')'、';'
- 使用這些「特殊」字元:':'、'='、'?'、'*'
Active Directory 使用者和電腦嵌入式管理單元 (透過 Microsoft 管理主控台) 現在具有改進的 Windows LAPS 嵌入式管理單元。Windows LAPS 密碼現在以新字型顯示,增強了以純文字顯示時的可讀性。
用於終止個別處理序的 PostAuthenticationAction 支援
PostAuthenticationActions (PAA) 群組原則設定中新增了一個新選項,「重設密碼、登出受控帳戶並終止任何其餘處理序」,位於電腦設定 > 系統管理範本 > 系統 > LAPS > 驗證後動作。
此新選項是先前的「重設密碼並登出受控帳戶」選項的擴充。 設定好之後,PAA 會通知並終止任何互動式工作階段。 它會列舉並終止仍在 Windows LAPS 管理的本機帳戶身分識別下執行的任何其餘處理序。 請務必注意,在此終止之前不會發出任何通知。
此外,在驗證後動作事件執行期間記錄事件的擴充可提供對作業的更深入見解。
若要深入了解 Windows LAPS,請參閱什麼是 Windows LAPS?。
Windows 終端機
Windows 終端機是命令列使用者的強大且有效率的多殼層應用程式,可在此組建中使用。 在搜尋列中搜尋「終端」。
Winget
預設會安裝 Winget,這是命令列 Windows 套件管理員工具,提供在 Windows 裝置上安裝應用程式的完整套件管理員解決方案。 若要深入了解,請參閱使用 winget 工具來安裝和管理應用程式。