Новые возможности
Следующие новые функции относятся только к Windows Server с рабочим столом. Наличие физических устройств под управлением операционной системы и правильных драйверов, которые легко доступны.Доменные службы Active Directory
Последние усовершенствования служб домен Active Directory (AD DS) и упрощенных доменных служб Active Directory (AD LDS) представляют ряд новых функций и возможностей, направленных на оптимизацию возможностей управления доменами:- Необязательный размер страницы базы данных 32k— AD использует базу данных расширяемого ядра служба хранилища (ESE) с момента его внедрения в Windows 2000, использующего размер страницы базы данных 8k. Решение по архитектуре 8k привело к ограничениям по всему AD, которые описаны в максимальной масштабируемости AD. Примером этого ограничения является один объект AD записи, размер которого не может превышать 8 кб. Переход к формату страницы базы данных 32k обеспечивает огромное улучшение областей, затронутых устаревшими ограничениями, в том числе многозначные атрибуты теперь могут содержать до 3200 значений, что увеличивается на коэффициент 2,6.
Новые контроллеры данных можно установить с 32-разрядной базой данных страниц, использующей 64-разрядные идентификаторы значений (LID) и запускаться в режиме страницы 8k для совместимости с предыдущими версиями. Обновленный контроллер домена продолжает использовать текущий формат базы данных и 8 кб страниц. Переход на 32 кб страниц базы данных выполняется на уровне леса и требует, чтобы все контроллеры домена в лесу имели базу данных с поддержкой 32 кб. - Обновления схемы AD — вводятся три новых файла базы данных журнала (LDF), расширяющие схему AD, sch89.ldfsch90.ldfи т. дsch91.ldf. Обновления эквивалентной схемы AD LDS находятся в MS-ADAM-Upgrade3.ldf. Дополнительные сведения о предыдущих обновлениях схемы см. в разделе "Обновления схемы Windows Server AD"
- Восстановление объектов AD — AD теперь позволяет корпоративным администраторам восстанавливать объекты с отсутствующими основными атрибутами SamAccountType и ObjectCategory. Администраторы предприятия могут сбросить атрибут LastLogonTimeStamp для объекта до текущего времени. Эти операции выполняются с помощью новой функции изменения RootDSE в затронутом объекте с именем fixupObjectState.
- Поддержка аудита привязки канала. Теперь для привязки протокола LDAP можно включить события 3074 и 3075. Когда политика привязки канала была изменена на более безопасный параметр, администратор может определить устройства в среде, которые не поддерживают или не поддерживают проверку привязки канала. Эти события аудита также доступны в Windows Server 2022 и более поздних версиях через КБ 4520412.
- Усовершенствования алгоритма расположения контроллера домена . Алгоритм обнаружения контроллеров домена предоставляет новые функциональные возможности для сопоставления коротких доменных имен в стиле NetBIOS с доменными именами в стиле DNS. Дополнительные сведения см. в статье об изменениях указателя контроллера домена Active Directory.
Примечание
Windows не использует почтовые слоги во время операций обнаружения контроллеров домена, так как корпорация Майкрософт объявила об отмене winS и почтовых слоток для этих устаревших технологий. - Уровни функциональности леса и домена. Новый функциональный уровень используется для общей поддержки и требуется для новой функции размера страницы базы данных 32K. Новый функциональный уровень сопоставляется со значением DomainLevel 10 и ForestLevel 10 автоматическими установками. Корпорация Майкрософт не планирует модернизировать функциональные уровни для Windows Server 2019 и Windows Server 2022. Чтобы выполнить автоматическое повышение и понижение контроллера домена (DC), ознакомьтесь с синтаксисом файла ответов DCPROMO для автоматического повышения и понижения контроллеров домена.
Интерфейс программирования приложений DsGetDcName (API) также поддерживает новый флаг DS_DIRECTORY_SERVICE_13_REQUIRED , который включает расположение контроллеров домена под управлением Windows Server 2025. Дополнительные сведения о функциональных уровнях см. в следующих статьях:- Уровни функциональности леса и домена
- Raise the Domain Functional Level (Повышение режима работы домена)
- Raise the Forest Functional Level (Повышение режима работы леса)
Примечание
Новые леса AD или наборы конфигураций AD LDS должны иметь функциональный уровень Windows Server 2016 или более поздней версии. Для продвижения реплика AD или AD LDS требуется, чтобы существующий домен или набор конфигурации уже работал с функциональным уровнем Windows Server 2016 или более поздней версии.
Корпорация Майкрософт рекомендует всем клиентам начать планировать обновление серверов AD и AD LDS до Windows Server 2022 при подготовке следующего выпуска.
- Улучшенные алгоритмы поиска имен и идентификаторов — имя локального центра безопасности (LSA) и перенаправка безопасности между учетными записями компьютера больше не использует устаревший безопасный канал Netlogon. Вместо этого используются алгоритм проверки подлинности Kerberos и алгоритм указателя контроллера домена. Для обеспечения совместимости с устаревшими операционными системами можно использовать безопасный канал Netlogon в качестве резервного варианта.
- Улучшенная безопасность конфиденциальных атрибутов— экземпляры DCs и AD LDS позволяют добавлять, выполнять поиск и изменять операции, связанные с конфиденциальными атрибутами при шифровании подключения.
- Улучшена безопасность паролей учетной записи компьютера по умолчанию. AD теперь использует случайные созданные пароли учетных записей компьютера по умолчанию. Контроллеры домена Windows 2025 блокируют пароли учетных записей компьютера по умолчанию для имени учетной записи компьютера.
Это поведение можно контролировать, включив контроллер домена параметра групповой политики. Отклонить пароль учетной записи компьютера по умолчанию, расположенный в: Конфигурация компьютера\Windows Параметры\Безопасность Параметры\Локальные политики\Параметры безопасности
Служебные программы, такие как Active Directory Администратор istrative Center (ADAC), Пользователи и компьютеры Active Directory (ADUC), net computerа dsmod также учитывает это новое поведение. AdAC и ADUC больше не позволяют создавать учетную запись Windows до 2k. - Kerberos AES SHA256 и SHA384 — реализация протокола Kerberos обновляется для поддержки более строгих механизмов шифрования и подписывания с поддержкой RFC 8009 , добавив SHA-256 и SHA-384. RC4 устарел и перемещен в список шифров не используется.
- Поддержка протокола Kerberos PKINIT для криптографической гибкости. Шифрование открытого ключа Kerberos для начальной проверки подлинности в протоколе Kerberos (PKINIT) обновляется, чтобы обеспечить криптографическую гибкость, поддерживая дополнительные алгоритмы и удаляя жестко закодированные алгоритмы.
- Параметр групповой политики диспетчера локальной сети . Не сохраняйте хэш-значение LAN Manager при следующем изменении пароля больше не применяется к новым версиям Windows.
- Шифрование LDAP по умолчанию — все клиентские подключения LDAP после привязки простой проверки подлинности и уровня безопасности (SASL) используют печать LDAP по умолчанию . Дополнительные сведения о SASL см. в статье "Проверка подлинности SASL".
- Поддержка LDAP для TLS 1.3 — LDAP использует последнюю реализацию SCHANNEL и поддерживает TLS 1.3 для подключений TLS. Использование TLS 1.3 устраняет устаревшие алгоритмы шифрования, повышает безопасность более старых версий и стремится зашифровать как можно больше подтверждения. Дополнительные сведения см. в статьях "Протоколы" в протоколах TLS/SSL (Schannel SSP) и наборах шифров TLS в Windows Server 2022.
- Устаревшее поведение изменения пароля SAM RPC — безопасные протоколы, такие как Kerberos, являются предпочтительным способом изменения паролей пользователей домена. На контроллерах домена последний метод изменения пароля SAM RPC SamrUnicodeChangePasswordUser4 с помощью AES принимается по умолчанию при удаленном вызове. Следующие устаревшие методы SAM RPC блокируются по умолчанию при удаленном вызове:
- SamrChangePasswordUser
- SamrOemChangePasswordUser2
- SamrUnicodeChangePasswordUser2
Для пользователей домена, являющихся членами группы защищенных пользователей и локальных учетных записей на компьютерах-членах домена, все изменения удаленного пароля через устаревший интерфейс SAM RPC по умолчанию блокируются, включаяSamrUnicodeChangePasswordUser4.
Настройка компьютера > Администратор istrative templates > System > Security Account Manager > Configure SAM change password RPC methods policy - Поддержка NUMA— AD DS теперь использует аппаратное оборудование, отличное от единообразного доступа к памяти (NUMA), используя ЦП во всех группах процессоров. Ранее AD использовал только ЦП в группе 0. Active Directory может расшириться за пределами 64 ядер.
- Счетчикипроизводительности. Теперь доступны мониторинг и устранение неполадок производительности следующих счетчиков:
- Указатель контроллера домена — доступные счетчики клиента и контроллера домена.
- Поиски и идентификаторы - безопасности LSA с помощью LsaLookupNames, LsaLookupSids и эквивалентных API. Эти счетчики доступны как на клиентских, так и на серверах SKU.
- Клиент LDAP — доступен в Windows Server 2022 и более поздних версиях с помощью обновления КБ 5029250.
- Порядок приоритета репликации — AD теперь позволяет администраторам увеличить приоритет вычисляемой реплика tion с определенным партнером реплика tion для определенного контекста именования. Эта функция позволяет более гибко настраивать порядок реплика tion для решения конкретных сценариев.
Azure Arc
По умолчанию устанавливается компонент установки Azure Arc по запросу, который предлагает удобный пользовательский интерфейс мастера и значок области задач для упрощения процесса добавления серверов в Azure Arc. Azure Arc расширяет возможности платформы Azure, позволяя создавать приложения и службы, которые могут работать в различных средах. К ним относятся центры обработки данных, пограничные, многооблачные среды и обеспечивают повышенную гибкость. Дополнительные сведения см. в статье Подключение компьютерах Windows Server в Azure с помощью программы установки Azure Arc.Bluetooth
Теперь вы можете подключать мыши, клавиатуры, гарнитуры, звуковые устройства и многое другое через Bluetooth в Windows Server 2025.Оболочка рабочего стола
При первом входе оболочка рабочего стола соответствует стилю и внешнему виду Windows 11.Делегированная управляемая учетная запись службы
Этот новый тип учетной записи позволяет перенести учетную запись службы с делегированной управляемой учетной записью службы (dMSA). Этот тип учетной записи поставляется с управляемыми и полностью случайными ключами, обеспечивая минимальные изменения приложения при отключении исходных паролей учетной записи службы. Дополнительные сведения см. в обзоре делегированных управляемых учетных записей служб.DTrace
Windows Server 2025 оснащен встроенным инструментом dtrace. DTrace — это программа командной строки, которая позволяет пользователям отслеживать и устранять неполадки производительности системы в режиме реального времени. DTrace позволяет пользователям динамически инструментировать код ядра и пространства пользователя без необходимости изменять сам код. Это универсальное средство поддерживает ряд методов сбора и анализа данных, таких как агрегаты, гистограммы и трассировка событий на уровне пользователя. Дополнительные сведения см. в статье DTrace для справки командной строки и DTrace в Windows для получения дополнительных возможностей.Электронная почта и учетные записи
Теперь вы можете добавить следующие учетные записи в Параметры > учетные записи электронной почты и учетные > записи для Windows Server 2025:- Microsoft Entra ID
- Учетная запись Майкрософт
- Рабочая или учебная учетная запись
Центр отзывов
Отправка отзывов или отчетов, возникших при использовании Windows Server 2025, теперь можно выполнить с помощью Центр отзывов о Windows. Вы можете включить снимки экрана или записи процесса, вызвавшего проблему, чтобы помочь нам понять вашу ситуацию и поделиться предложениями по улучшению возможностей Windows. Дополнительные сведения см. в статье "Обзор Центра отзывов".Сжатие файлов
Сборка 26040 имеет новую функцию сжатия при сжатии элемента, выполнив правую кнопку мыши с именем "Сжатие". Эта функция поддерживает форматы сжатия ZIP, 7z и TAR с определенными методами сжатия для каждого.Полеты
Полет доступен только для выпуска Canary Channel, начиная с сборки 26010, начиная с сборки 26010, что позволяет пользователям получать рейсы Windows Server, аналогичные клиенту Windows. Чтобы включить полет на устройстве, перейдите к разделу "Пуск > Параметры Обновл. Windows >> программы предварительной оценки Windows". В этом случае вы можете выбрать нужный выпуск для участников программы предварительной оценки.Закрепленные приложения
Закрепление наиболее используемых приложений теперь доступно в меню "Пуск " и настраивается в соответствии с вашими потребностями. По состоянию на сборку 26085 закрепленные по умолчанию приложения в настоящее время:- Настройка Azure Arc
- Центр отзывов
- Проводник
- Microsoft Edge
- Диспетчер сервера
- Настройки
- Терминал
- Windows PowerShell
Server Message Block Overview (Общие сведения об SMB)
Блок сообщений сервера (S МБ) является одним из наиболее широко используемых протоколов в сети, предоставляя надежный способ совместного использования файлов и других ресурсов между устройствами в сети. Windows Server 2025 предоставляет следующие возможности S МБ.Начиная с сборки 26090, еще один набор изменений протокола S МБ представлен для отключения QUIC, подписывания и шифрования.
- S МБ по отключению QUIC
Администратор istrator может отключить S МБ через клиент QUIC через групповую политику и PowerShell. Чтобы отключить S МБ over QUIC с помощью групповой политики, задайте для политики Enable S МБ over QUIC политики в этих путях значение "Отключено".- Конфигурация компьютера\Администратор istrative templates\Network\Lanman Workstation
- Конфигурация компьютера\Администратор istrative templates\Network\Lanman Server
Чтобы отключить S МБ через QUIC с помощью PowerShell, выполните следующую команду в командной строке PowerShell с повышенными привилегиями:
Set-SmbClientConfiguration -EnableSMBQUIC $false
- S МБ аудит подписи и шифрования
Администратор istrator может включить аудит сервера S МБ и клиента для поддержки подписывания и шифрования S МБ. Если сторонний клиент или сервер не поддерживает шифрование или подпись S МБ, его можно обнаружить. Если стороннее устройство или программное обеспечение поддерживает S МБ 3.1.1, но не поддерживает подпись S МБ, это нарушает требование протокола S МБ 3.1.1.
Параметры аудита подписи и шифрования можно настроить S МБ с помощью групповой политики или PowerShell. Эти политики можно изменить в следующих путях групповой политики:- Конфигурация компьютера\Администратор istrative templates\Network\Lanman Server\Audit client не поддерживает шифрование
- Конфигурация компьютера\Администратор istrative templates\Network\Lanman Server\Audit client не поддерживает подпись
- Конфигурация компьютера\Администратор istrative templates\Network\Lanman Workstation\Audit Server не поддерживает шифрование
- Конфигурация компьютера\Администратор istrative templates\Network\Lanman Workstation\Audit server не поддерживает подпись
Чтобы выполнить эти изменения с помощью PowerShell, выполните следующие команды в командной строке с повышенными привилегиями, где $true необходимо включить и $false отключить следующие параметры:
Set-SmbServerConfiguration -AuditClientDoesNotSupportEncryption $true
Set-SmbServerConfiguration -AuditClientDoesNotSupportSigning $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportEncryption $true
Set-SmbClientConfiguration -AuditServerDoesNotSupportSigning $true
Журналы событий для этих изменений хранятся в следующих Просмотр событий пути с заданным идентификатором события.
Развернуть таблицу
Путь ИД события Журналы приложений и служб\Microsoft\Windows\S МБ Client\Audit 31998
31999Журналы приложений и служб\Microsoft\Windows\S МБ Server\Audit 3021
3022 - S МБ через аудит QUIC
S МБ при аудите подключения клиента QUIC фиксирует события, записанные в журнал событий, чтобы включить транспорт QUIC в Просмотр событий. Эти журналы хранятся в следующих путях с заданным идентификатором события.
Развернуть таблицу
Путь ИД события Журналы приложений и служб\Microsoft\Windows\S МБ Client\Подключение ivity 30832 Журналы приложений и служб\Microsoft\Windows\S МБ Server\Подключение ivity 1913 - Функция S МБ на сервере QUIC, которая была доступна только в Windows Server Azure Edition, теперь доступна как в windows Server Standard, так и в версиях Центра обработки данных Windows Server. S МБ over QUIC добавляет преимущества QUIC, что обеспечивает низкую задержку, зашифрованные подключения через Интернет.
Ранее сервер S МБ в Windows должен был использовать входящий порт TCP/445, а tcp-клиент S МБ только разрешал исходящие подключения к тому же TCP-порту. Теперь S МБ over QUIC позволяет использовать S МБ альтернативные порты, где порты UDP/443, на которые UDP/443 доступны как для серверов, так и для клиентских устройств. Дополнительные сведения см. в статье "Настройка альтернативных портов S МБ".
Другая функция, которая появилась в S МБ через QUIC, — это управление доступом клиентов, которое является альтернативой TCP и RDMA, которая обеспечивает безопасное подключение к пограничным файловым серверам через ненадежные сети. Дополнительные сведения см. в статье о работе управления доступом клиентов. - Ранее при создании общей папки правила брандмауэра S МБ будут автоматически настроены для включения группы "Общий доступ к файлам и принтерам" для соответствующих профилей брандмауэра. Теперь создание общей папки S МБ в Windows приводит к автоматической настройке новой группы "Общий доступ к файлам и принтерам (ограничивающий)", которая больше не разрешает входящий порты NetBIOS 137-139. Дополнительные сведения см. в разделе "Обновленные правила брандмауэра".
- Начиная с сборки 25997, обновление выполняется для применения шифрования S МБ для всех исходящих подключений S МБ клиента. С помощью этого обновления администраторы могут задать мандат, который все конечные серверы поддерживают S МБ 3.x и шифрование. Если сервер не имеет этих возможностей, клиент не может установить подключение.
- Кроме того, в сборке 25997 средство ограничения скорости проверки подлинности S МБ, ограничивающее количество попыток проверки подлинности, которые могут выполняться в течение определенного периода времени, включена по умолчанию. Дополнительные сведения см. в статье О том, как работает ограничение скорости проверки подлинности S МБ
- Начиная с сборки 25951 клиент S МБ поддерживает блокировку NTLM для удаленных исходящих подключений. Ранее механизм согласования GSSAPI (SPNEGO) Windows Simple и protected GSSAPI будет согласовывать Kerberos, NTLM и другие механизмы с целевым сервером для определения поддерживаемого пакета безопасности. Дополнительные сведения см. в разделе "Блокировка подключений NTLM" на S МБ
- Новая функция сборки 25951 позволяет управлять диалектами S МБ в Windows, где сервер S МБ теперь управляет тем, что S МБ 2 и S МБ 3 диалекта он согласовывает по сравнению с предыдущим поведением, соответствующим только самым высоким диалектом.
- Начиная с сборки 25931, подписывание S МБ теперь требуется по умолчанию для всех исходящих подключений S МБ, где ранее это было необходимо только при подключении к общим папкам с именем SYSVOL и NETLOGON на контроллерах домена AD. Дополнительные сведения см. в статье о том, как работает подписывание.
- Протокол Remote Mailslot отключен по умолчанию начиная с сборки 25314 и может быть удален в более позднем выпуске. Дополнительные сведения см. в разделе "Функции", которые мы больше не разрабатываем.
- S МБ сжатие добавляет поддержку стандартного алгоритма сжатия LZ4 в отрасли, в дополнение к существующей поддержке XPRESS (LZ77), XPRESS Huffman (LZ77+Huffman), LZNT1 и PATTERN_V1.
Расширенный журнал служба хранилища реплики
Расширенные журналы помогают служба хранилища реализации журнала реплики устранить затраты на производительность, связанные с абстракциями файловой системы, что приводит к повышению производительности реплика блочных реплика. Дополнительные сведения см. в статье служба хранилища расширенный журнал реплики.Диспетчер задач
Сборка 26040 теперь спорта современного приложения Диспетчера задач с материалом mica, соответствующим стилю Windows 11.Wi-Fi
Теперь проще включить беспроводные возможности, так как функция беспроводной локальной сети теперь устанавливается по умолчанию. Служба беспроводного запуска устанавливается вручную и может быть включена с помощью net start wlansvc командной строки, Терминал Windows или PowerShell.Переносимость контейнеров Windows
Переносимость является важным аспектом управления контейнерами и имеет возможность упростить обновления, применяя повышенную гибкость и совместимость контейнеров в Windows. Переносимость — это функция ежегодного канала Windows Server для узлов контейнеров, которые позволяют пользователям перемещать образы контейнеров и связанные с ними данные между разными узлами или средами без каких-либо изменений. Пользователи могут создать образ контейнера на одном узле, а затем развернуть его на другом узле, не беспокоясь о проблемах совместимости. Дополнительные сведения см. в статье "Переносимость для контейнеров".Программа предварительной оценки Windows
Программа предварительной оценки Windows предоставляет ранний доступ к последним выпускам ОС Windows для сообщества энтузиастов. В качестве члена вы можете быть одним из первых, чтобы попробовать новые идеи и концепции, которые корпорация Майкрософт разрабатывает. После регистрации в качестве участника вы можете принять участие в различных каналах выпуска, перейдя на страницу "Пуск > Параметры Обновл. Windows >> программы предварительной оценки Windows".Диспетчер паролей локальных администраторов Windows (LAPS)
Windows LAPS помогает организациям управлять паролями локального администратора на компьютерах, присоединенных к домену. Он автоматически создает уникальные пароли для учетной записи локального администратора каждого компьютера, сохраняет их безопасно в AD и регулярно обновляет их. Это помогает повысить безопасность, уменьшая риск доступа злоумышленников к конфиденциальным системам с помощью скомпрометированных или легко угадываемых паролей.В Microsoft LAPS представлены некоторые функции, которые приводят к следующим улучшениям:
- Новая функция автоматического управления учетными записями
Последнее обновление позволяет ИТ-администраторам легко создавать управляемую локальную учетную запись. С помощью этой функции можно настроить имя учетной записи, включить или отключить учетную запись, а также даже случайным образом использовать имя учетной записи для повышения безопасности. Кроме того, обновление включает улучшенную интеграцию с существующими политиками управления локальными учетными записями Майкрософт. Дополнительные сведения об этой функции см. в режимах управления учетными записями Windows LAPS. - Новая функция обнаружения отката изображений
Windows LAPS теперь обнаруживает, когда происходит откат образа. Если откат происходит, пароль, хранящийся в AD, может больше не совпадать с паролем, хранящимся локально на устройстве. Откаты могут привести к "разорванной состоянии", когда ИТ-администратор не может войти на устройство с помощью сохраненного пароля Windows LAPS.
Для решения этой проблемы добавлена новая функция, которая включает атрибут AD с именем msLAPS-CurrentPasswordVersion. Этот атрибут содержит случайный GUID, написанный Windows LAPS каждый раз, когда новый пароль сохраняется в AD и сохраняется локально. Во время каждого цикла обработки идентификатор GUID, хранящийся в msLAPS-CurrentPasswordVersion , запрашивается и сравнивается с локально сохраняемой копией. Если они отличаются, пароль немедленно поворачивается.
Чтобы включить эту функцию, необходимо запустить последнюю версию командлета Update-LapsADSchema . После завершения Windows LAPS распознает новый атрибут и начинает использовать его. Если вы не запускаете обновленную версию командлета Update-LapsADSchema , Windows LAPS регистрирует событие предупреждения 10108 в журнале событий, но продолжает работать нормально во всех остальных отношениях.
Параметры политики не используются для включения или настройки этой функции. Функция всегда включена после добавления нового атрибута схемы. - Новая функция парольной фразы
ИТ-администраторы теперь могут использовать новую функцию в Windows LAPS, которая позволяет создавать менее сложные парольные фразы. Примером будет парольная фраза, например "EatYummyCaramelCandy", которая проще читать, запоминать и вводить, по сравнению с традиционным паролем, например "V3r_b4tim#963?".
Эта новая функция также позволяет настроить параметр политики PasswordComplexity для выбора одного из трех различных списков слов парольной фразы, все из которых включены в Windows, не требуя отдельной загрузки. Новый параметр политики с именем PassphraseLength определяет количество слов, используемых в парольной фразе.
При создании парольной фразы указанное число слов выбирается случайным образом из выбранного списка слов и сцеплено. Первая буква каждого слова заглавная, чтобы повысить удобочитаемость. Эта функция также полностью поддерживает резервное копирование паролей до идентификатора Windows Server AD или Microsoft Entra ID.
Списки слов парольной фразы, используемые в трех новых параметрах парольной фразы PasswordComplexity , создаются из статьи «Глубокое погружение: новые текстовые списки EFF для случайных парольных фраз». Списки word для Windows LAPS лицензированы в соответствии с лицензией CC-BY-3.0 Attribution и доступны для скачивания.
Примечание
Windows LAPS не позволяет настраивать встроенные списки слов или использовать настроенные клиентом списки слов. - Улучшенный словарь паролей для чтения
В Windows LAPS представлен новый параметр PasswordComplexity , позволяющий ИТ-администраторам создавать менее сложные пароли. Эта функция позволяет настроить LAPS для использования всех четырех категорий символов (букв верхнего регистра, строчные буквы, цифры и специальные символы), таких как существующий параметр сложности 4. Однако при использовании нового параметра 5 более сложные символы исключаются для повышения удобочитаемости паролей и минимизации путаницы. Например, число "1" и буква "I" никогда не используются с новым параметром.
Если параметр PasswordComplexityнастроен на 5, в набор символов словаря паролей по умолчанию внесены следующие изменения:- Не используйте эти буквы: "I", "O", "Q", "l", "o"
- Не используйте эти числа: "0", "1"
- Не используйте эти "специальные" символы: ",", ".", "&", "{", "}", "[", "]", "(", ")", ";"
- Начните использовать следующие "специальные" символы: ":", "=", "?", "*"
Оснастка Пользователи и компьютеры Active Directory (через консоль управления Майкрософт) теперь включает улучшенную вкладку Windows LAPS. Пароль Windows LAPS теперь отображается в новом шрифте, который повышает его удобочитаемость при отображении в виде обычного текста.
- Поддержка PostAuthenticationAction для прекращения отдельных процессов
Новый параметр добавляется в параметр групповой политики PostAuthenticationActions (PAA), "Сброс пароля, выход из управляемой учетной записи и завершение всех оставшихся процессов", расположенных в > Администратор istrative templates > System > LAPS > Post-Authentication Actions.
Этот новый параметр является расширением предыдущего параметра "Сброс пароля и выход из управляемой учетной записи". После настройки PAA уведомляет, а затем завершает любые интерактивные сеансы входа. Он перечисляет и завершает все остальные процессы, которые по-прежнему выполняются под удостоверением локальной учетной записи, управляемой Windows LAPS. Важно отметить, что уведомление перед этим завершением не предшествует.
Кроме того, расширение событий ведения журнала во время выполнения действия после проверки подлинности обеспечивает более подробную информацию об операции.
Терминал Windows
Терминал Windows В этой сборке доступен мощный и эффективный мультиshell-приложение для пользователей командной строки. Найдите "Терминал" в строке поиска.Winget
Winget устанавливается по умолчанию, который является средством командной строки Диспетчер пакетов Windows, предоставляющим комплексные решения диспетчера пакетов для установки приложений на устройствах Windows. Дополнительные сведения см. в статье "Использование средства winget для установки приложений и управления ими".Источник
Последнее редактирование:
