WindowsServer2025已于11月份正式发布,版本号Build26100.1742。它在支持AI的高性能平台中提供安全进步和新的混合云功能。在功能和改进方面,微软声称I/O吞吐量性能有了巨大的改进,其他改进包括GPU虚拟化,以GPU分区或多实例GPU、VBS安全区等形式出现。与Windows1124H2类似,Server2025也将以检查点累积的形式接收更新,这是一种提供最新更新的新方式。
您可以在以下链接中找到CPU的完整列表:
2ndGenIntel?Xeon?可扩展处理器
第三代英特尔?至强?可扩展处理器
第4代英特尔?至强?可扩展处理器
5代英特尔?至强?可扩展处理器
Intel?Xeon?6
Intel?Xeon?D处理器9(17xx,18xx,21xx,27xx,28xx)
Intel?Xeon?E处理器(23xx和24xx)
AMDEPYC7xx2
AMDEPYC7xx3
AMDEPYC4xx4
AMDEPYC8xx4
AMDEPYC9xx4
AMDEPYC9xx5
推荐使用方法2(KMS38),成功率高且激活后有效期长。
方法①:Server支持OEM激活,它是自Vista时代即存在的一种永久激活方式,需要UEFI或BIOS支持SLIC2.7。如果电脑硬件不支持,也可以通过软件在开机的时候提前加载SLIC,使用HEUKMSActivator42.3.0,在OEM激活页面,点击「安装OEM激活」。
重启电脑后,检测一下激活效果:
该激活方式也可以卸载:点击「卸载OEM激活」
方法②:Server支持KMS激活,有效期180天,过后需要再次使用KMS激活,循环往复。
方法③:Server支持KMS38激活,激活后可以使用到2038年。在数字激活页面的KMS38激活选项下,点击“开始”。
learn.microsoft.com/zh-cn/windows-server/get-started/whats-new-windows-server-2025
新增功能以下新功能仅特定于具有桌面体验的WindowsServer。要求具有两台运行此操作系统的物理设备和可用的正确驱动程序。
加速网络加速网络(AccelNet)简化了WindowsServer2025群集上托管的虚拟机(SR-IOV)的单根I/O虚拟化(SR-IOV)的管理。此功能使用高性能SR-IOV数据路径来降低延迟、抖动和CPU利用率。AccelNet还包括一个管理层,用于处理先决条件检查、主机配置和VM性能设置。
ActiveDirectory域服务ActiveDirectory域服务(ADDS)和ActiveDirectory轻型域服务(ADLDS)的最新增强功能引入了一系列新功能和增强功能,旨在优化你的域管理体验:
32k数据库页面大小可选功能-自从在使用8k数据库页面大小的Windows2000中引入可扩展存储引擎(ESE)数据库后,AD便使用此数据库。8k架构设计决策导致整个AD存在某些限制,而这些限制已记录在AD最大限制可伸缩性中。此限制的其中一个示例为单个记录AD对象,而其大小不能超过8k字节。迁移到32k数据库页面格式对受过往限制影响的领域实现了巨大改进,其中就包括多值属性现在可存储高达3,200个值(以2.6为系数的一个增幅)。
新的DC可与32k页面数据库一起安装,而该数据库会使用64位长整型值ID(LID)并在“8k页面模式”下运行,以便与以前的版本保持兼容。升级后的DC会继续使用其当前的数据库格式和8k页面。迁移到32k数据库页面操作会在林范围内完成,且要求林中的所有DC均具有支持32k页面的数据库。
AD架构更新-引入三个新的日志数据库文件(LDF),以用于扩展AD架构、sch89.ldf、sch90.ldf和sch91.ldf。MS-ADAM-Upgrade3.ldf中进行了ADLDS等效架构更新。有关先前架构更新的详细信息,请参阅WindowsServerAD架构更新
通道绑定审核支持-现在可为轻型目录访问协议(LDAP)通道绑定启用事件3074和3075。当通道绑定策略修改为更安全的设置时,管理员可以识别环境中不支持或失败的通道绑定的设备。这些审核事件也可在WindowsServer2022及更高版本中通过KB4520412来查询。
DC位置算法改进-DC发现算法提供了新功能,同时改进了将NetBIOS式短域名映射到DNS式域名的新功能。若要了解详细信息,请参阅ActiveDirectoryDC定位器更改。
备注
Windows不会在DC发现操作期间使用邮件槽,因为Microsoft已宣布为这些旧技术弃用WINS和邮件槽。
林和域功能级别-新的功能级别可用于实现一般可支持性,而新的32K数据库页面大小功能必须使用该级别。新的功能级别将映射到针对无人参与安装的DomainLevel10和ForestLevel10值。Microsoft没有改造WindowsServer2019和WindowsServer2022的功能级别的计划。若要执行域控制器(DC)的无人参与升级和降级,请参阅域控制器无人参与升级和降级的DCPROMO应答文件语法。
林和域功能级别
提升域功能级别
提升林功能级别
需要新的AD林或ADLDS配置集才能具有WindowsServer2016或更高的功能级别。要升级AD或ADLDS副本,要求现有域或配置集已在运行,且其功能级别为WindowsServer2016或更高。
Microsoft建议所有客户现在开始规划将其AD和ADLDS服务器升级到WindowsServer2022,以便为下一个版本做好准备。
改进针对名称/Sid查找的算法-不同计算机帐户之间的本地安全机构(LSA)名称和Sid查找转发功能不再使用旧版Netlogon安全通道。改用Kerberos身份验证和DC定位器算法。为保持与旧操作系统的兼容性,仍可使用Netlogon安全通道作为回退选项。
改进了机密属性的安全性-DC和ADLDS实例仅允许LDAP在加密连接时添加、搜索和修改涉及机密属性的操作。
改进默认计算机帐户密码的安全性-AD现在使用随机生成的默认计算机帐户密码。Windows2025DC会阻止将计算机帐户密码设为计算机帐户名称的默认密码。
可通过启用GPO设置域控制器:拒绝设置默认计算机帐户密码来控制此行为,而该设置位于:计算机配置\Windows设置\安全设置\本地策略\安全选项
ActiveDirectory管理中心(ADAC)、ActiveDirectory用户和计算机(ADUC)、netcomputer和dsmod等实用工具也遵循此新行为。ADAC和ADUC均不再允许创建2k之前的Windows帐户。
用于实现加密敏捷性的KerberosPKINIT支持-现已更新Kerberos中用于初始身份验证的Kerberos公钥加密(PKINIT)协议实现,从而通过支持更多算法并删除硬编码算法来实现加密敏捷性。
LANManagerGPO设置-GPO设置“网络安全性:下次更改密码时不存储LANManager哈希值”不再显示,同时也不适用于新版本的Windows。
默认进行LDAP加密-默认情况下,执行简单身份验证和安全层(SASL)绑定后,所有LDAP客户端通信均会使用LDAP密封。要了解有关SASL的详细信息,请参阅SASL身份验证。
针对TLS1.3的LDAP支持-LDAP使用最新的SCHANNEL实现,并支持为基于TLS连接的LDAP使用TLS1.3。使用TLS1.3可以消除过时的加密算法,提供比旧版本更高的安全性,旨在实现尽可能多的握手加密。若要了解详细信息,请参阅TLS/SSL(SchannelSSP)中的协议和WindowsServer2022中的TLS密码套件。
旧版SAMRPC密码更改行为-安全协议(如Kerberos)是更改域用户密码的首选方法。在DC上进行远程调用时,默认接受使用AES的最新SAMRPC密码更改方法SamrUnicodeChangePasswordUser4。进行远程调用时,默认会阻止以下旧SAMRPC方法:
SamrChangePasswordUser
SamrOemChangePasswordUser2
SamrUnicodeChangePasswordUser2
对于属于受保护用户组成员的域用户和域成员计算机上的本地帐户,默认情况下会阻止所有通过旧SAMRPC接口进行的远程密码更改,包括SamrUnicodeChangePasswordUser4。
可使用以下组策略对象(GPO)设置来控制此行为:
计算机配置>管理模板>系统>安全帐户管理器>配置SAM更改密码RPC方法策略
NUMA支持-ADDS现在会通过使用所有处理器组中的CPU来利用支持非一致性内存访问(NUMA)的硬件。以前,AD只会在组0中使用CPU。ActiveDirectory可扩展到64个内核以上。
性能计数器-现在提供针对以下计数器的性能监视和故障排除:
DC定位器-提供特定于客户端和DC的计数器。
通过LsaLookupNames、LsaLookupSids和等效API的LSA查找-名称和SID查找。这些计数器可同时用于客户端与服务器SKU。
LDAP客户端-可通过KB5029250更新在WindowsServer2022及更高版本中使用。
复制优先级顺序-AD现在允许管理员为特定命名上下文提高针对特定复制伙伴的系统计算出的复制优先级。此功能允许更灵活地配置复制顺序以解决特定方案。
AzureArc默认情况下会安装AzureArc设置按需功能,而它可提供用户友好型向导界面以及位于任务栏中的系统托盘图标,以便将服务器添加到AzureArc。AzureArc可扩展Azure平台的功能,从而允许创建可在不同环境中运行的应用程序和服务。这些内容包括数据中心、边缘、多云环境,并且提高了灵活性。若要了解详细信息,请参阅通过AzureArc安装程序将WindowsServer计算机连接到Azure。
阻止克隆支持从Windows1124H2和WindowsServer2025开始,开发驱动器现在支持阻止克隆。由于开发驱动器使用ReFS文件系统格式,因此复制文件时,阻止克隆支持具有显著的性能优势。使用阻止克隆,文件系统可以代表应用程序复制一系列文件字节作为低成本的元数据操作,而不是对基础物理数据执行高昂的读取和写入操作。这可以更快地完成文件复制、减少到基础存储的I/O,并通过允许多个文件共享同一逻辑群集来提高存储容量。若要了解详细信息,请参阅在ReFS上阻止克隆。
蓝牙现在,可以在WindowsServer2025中通过蓝牙连接鼠标、键盘、耳机、音频设备等。
CredentialGuard从WindowsServer2025开始,在符合要求的设备上将默认启用CredentialGuard。有关CredentialGuard的详细信息,请参阅配置CredentialGuard。
委派托管服务帐户这种新类型的帐户支持从服务帐户迁移到委派托管服务帐户(dMSA)。此帐户类型附带托管密钥和完全随机密钥,可确保在禁用原始服务帐户密码时尽量减少应用程序更改。若要了解更多信息,请参阅委派的托管服务帐户概述。
开发驱动器开发驱动器是一个存储卷,旨在提高关键开发人员工作负载的性能。开发驱动器利用ReFS技术并整合特定的文件系统优化,以更好地控制存储卷设置和安全性。这包括指定信任、配置防病毒设置以及对附加筛选器执行管理控制的功能。若要了解详细信息,请参阅在Windows11上设置开发驱动器。
DTraceWindowsServer2025配备了dtrace作为本机工具。DTrace是一款命令行实用工具,可让用户实时监控系统性能并排除故障。DTrace允许用户动态检测内核和用户空间代码,而无需修改代码本身。此多功能工具支持一系列数据收集和分析技术,如聚合、直方图和用户级事件跟踪。若要了解详细信息,请参阅DTrace获取命令行帮助,参阅Windows上的DTrace了解其他功能。
电子邮件和帐户现在可以在WindowsServer2025的设置>帐户>电子邮件和帐户中添加以下帐户:
MicrosoftEntraIDMicrosoft帐户工作或学校帐户请务必记住,大多数情况下仍需要域加入。
文件压缩内部版本26040通过执行名为压缩到的右键单击来压缩项时具有新的压缩功能。此功能支持ZIP、7z和TAR压缩格式,每个格式都有特定的压缩方法。
Hyper-V管理器当用户通过Hyper-V管理器创建新VM时,第2代现在设置为“新建虚拟机向导”中的默认选项。
虚拟机监控程序强制执行的分页转换虚拟机监控程序强制执行的分页转换(HVPT)是一项安全增强功能,用于强制实现线性地址转换的完整性。HVPT保护关键系统数据免受攻击者将任意值写入任意位置(通常是由于缓冲区溢出而导致)的写入位置攻击。HVPT保护配置关键系统数据结构的页表。HVPT包含已使用虚拟机监控程序保护的代码完整性(HVCI)保护的所有内容。默认情况下,HVPT在硬件支持可用的情况下处于启用状态。当WindowsServer作为来宾在VM中运行时,不会启用HVPT。
NVMeNVMe是快速固态硬盘(SSD)的新标准。在WindowsServer2025中体验NVMe优化,感觉性能提升,性能提升导致IOPS增加并降低了CPU利用率。
OpenSSH在早期版本的WindowsServer中,OpenSSH连接工具在使用前需要手动安装。从内部版本26080开始,OpenSSH服务器端组件默认安装在WindowsServer2025中。服务器管理器UI还在远程SSH访问下面包括了一个一键式选项,此选项用于启用或禁用sshd.exe服务。此外,你还可以将用户添加到OpenSSH用户组,以允许或限制访问设备。若要了解详细信息,请参阅适用于Windows的OpenSSH概述。
已固定应用现在可通过开始菜单固定最常用的应用,并且可根据需要进行自定义。从内部版本26085开始,默认固定应用目前为:
AzureArc安装程序反馈中心文件资源管理器MicrosoftEdge服务器管理器设置终端WindowsPowerShell远程访问默认情况下,新的路由和远程访问服务(RRAS)设置不接受基于PPTP和L2TP协议的VPN连接。如有必要,仍可启用这些协议。基于SSTP和IKEv2的VPN连接仍可接受,不会有任何变化。
现有配置会保留其行为。例如,如果运行的是WindowsServer2019并接受PPTP和L2TP连接,那么在使用就地更新更新到WindowsServer2025后,仍然会接受基于L2TP和PPTP的连接。这一更改不会影响Windows客户端操作系统。要详细了解如何重新启用PPTP和L2TP,请参阅配置VPN协议。
安全证书管理在Windows上搜索或检索证书现在支持SHA-256哈希,如函数CertFindCertificateInStore和CertGetCertificateContextProperty中所述。TLS服务器身份验证在Windows中更安全,现在要求最低RSA密钥长度为2048位。有关详细信息,请阅读TLS服务器身份验证:弃用弱RSA证书。
安全基线通过实现自定义的安全基线,可以根据建议的安全状况,从头开始为设备或VM角色建立安全措施。此基线配备了超过350个预配置的Windows安全设置,使你能够应用和执行与Microsoft和行业标准推荐的最佳做法相一致的特定安全设置。若要了解详细信息,请参阅OSConfig概述。
服务器消息块服务器消息块(SMB)是网络中使用最广泛的协议之一,它提供了在网络上的设备之间共享文件和其他资源的可靠方式。WindowsServer2025提供以下SMB功能。
从内部版本26090开始,引入了另一组SMB协议更改,用于禁用QUIC、签名和加密。
基于QUIC的SMB禁用
管理员可以通过组策略和PowerShell禁用基于QUIC的SMB客户端。要使用组策略来禁用基于QUIC的SMB,请将这些路径中的启用基于QUIC的SMB策略设置为已禁用。
ComputerConfiguration\AdministrativeTemplates\Network\LanmanWorkstation
ComputerConfiguration\AdministrativeTemplates\Network\LanmanServer
要使用PowerShell禁用基于QUIC的SMB,请在提升的PowerShell提示符下运行此命令:
PowerShell
复制Set-SmbClientConfiguration-EnableSMBQUIC$falseSMB签名和加密审核
可以使用组策略或PowerShell配置SMB签名和加密审核设置。这些策略可在以下组策略路径中更改:
ComputerConfiguration\AdministrativeTemplates\Network\LanmanServer\Auditclientdoesnotsupportencryption
ComputerConfiguration\AdministrativeTemplates\Network\LanmanServer\Auditclientdoesnotsupportsigning
ComputerConfiguration\AdministrativeTemplates\Network\LanmanWorkstation\Auditserverdoesnotsupportencryption
ComputerConfiguration\AdministrativeTemplates\Network\LanmanWorkstation\Auditserverdoesnotsupportsigning
要使用PowerShell执行这些更改,请在提升的提示符下运行这些命令,其中$true表示启用这些设置,而$false表示禁用这些设置:
复制Set-SmbServerConfiguration-AuditClientDoesNotSupportEncryption$trueSet-SmbServerConfiguration-AuditClientDoesNotSupportSigning$true
Set-SmbClientConfiguration-AuditServerDoesNotSupportEncryption$trueSet-SmbClientConfiguration-AuditServerDoesNotSupportSigning$true这些更改的事件日志会以给定的事件ID保存在以下事件查看器路径中。
路径事件IDApplicationsandServicesLogs\Microsoft\Windows\SMBClient\Audit3199831999ApplicationsandServicesLogs\Microsoft\Windows\SMBServer\Audit30213022基于QUIC的SMB审核
基于QUIC的SMB客户端连接审核可捕获写入事件日志的事件,以便在事件查看器中包含QUIC传输。这些日志以给定的事件ID保存在以下路径中。
路径事件IDApplicationsandServicesLogs\Microsoft\Windows\SMBClient\Connectivity30832ApplicationsandServicesLogs\Microsoft\Windows\SMBServer\Connectivity1913SMBoverQUIC服务器功能以前仅在WindowsServerAzure版本中可用,现在在WindowsServerStandard和WindowsServerDatacenter版本中均可用。SMBoverQUIC增加了QUIC的优势,通过Internet提供低延迟、加密的连接。
以前,Windows中的SMB服务器强制入站连接使用IANA注册的端口TCP/445,而SMBTCP客户端只允许与同一TCP端口建立出站连接。现在,SMBoverQUIC支持SMB替代端口,其中QUIC强制的UDP/443端口可用于服务器和客户端设备。要了解详细信息,请参阅配置替代SMB端口。
SMBoverQUIC推出的另一项功能是客户端访问控制,这是TCP和RDMA的替代方法,后者通过不受信任的网络提供与边缘文件服务器的安全连接。要了解详细信息,请参阅客户端访问控制的工作原理。
从内部版本25997开始,进行了更新,以对所有出站SMB客户端连接强制执行SMB加密。通过此更新,管理员可以设置一个命令,即所有目标服务器都支持SMB3.x和加密。如果服务器缺少这些功能,则客户端无法建立连接。
从内部版本25951开始,SMB客户端支持针对远程出站连接启用NTLM阻止。以前,Windows简单和受保护的GSSAPI协商机制(SPNEGO)会与目标服务器协商Kerberos、NTLM和其他机制,以确定受支持的安全数据包。要了解详细信息,请参阅阻止SMB上的NTLM连接
内部版本25951中的一项新功能允许在Windows中管理SMB方言,其中SMB服务器现在可以控制其协商的SMB2和SMB3方言,而以前的行为只能匹配最高的方言。
从内部版本25931开始,默认情况下,所有SMB出站连接都需要SMB签名,以前仅在连接到AD域控制器上名为SYSVOL和NETLOGON的共享时才需要签名。要了解详细信息,请参阅签名的工作原理。
从内部版本25314开始,远程Mailslot协议默认为已禁用,并且可能会在以后的版本中删除。要了解详细信息,请参阅不再开发的功能。
SMB压缩除了支持XPRESS(LZ77)、XPRESSHuffman(LZ77+Huffman)、LZNT1和PATTERN_V1之外,还增加了对行业标准LZ4压缩算法的支持。
软件定义的网络(SDN)SDN是一种网络方法,它允许网络管理员通过抽象化较低级别的功能来管理网络服务。SDN使网络控制平面(负责管理网络)与处理实际流量的数据平面分离。这种分离允许提高网络管理的灵活性和可编程性。SDN在WindowsServer2025中具有以下优势:
网络控制器是SDN的控制平面,现在直接托管为物理主机上的故障转移群集服务。这样就无需部署VM、简化部署和管理,同时节省资源。
基于标记的分段允许管理员使用自定义服务标记来关联网络安全组(NSG)和VM进行访问控制。管理员现在可以使用简单的自解释标签来标记工作负荷VM,并根据这些标记应用安全策略,而不是指定IP范围。这简化了管理网络安全的过程,无需记住并重新键入IP范围。若要了解详细信息,请参阅在WindowsAdminCenter中使用标记配置网络安全组。
WindowsServer2025中的默认网络策略为通过WindowsAdminCenter部署的工作负载将类似Azure的保护选项引入NSG。默认策略拒绝所有入站访问,允许选择性地打开已知入站端口,同时允许从工作负荷VM进行完全出站访问。这可确保从创建点保护工作负荷VM。若要了解详细信息,请参阅在AzureStackHCI版本23H2上的虚拟机上使用默认网络访问策略。
SDN多站点在两个位置的应用程序之间提供本机第2层和第3层连接,无需任何额外的组件。此功能允许无缝移动应用程序,而无需重新配置应用程序或网络。它还为工作负载提供统一的网络策略管理,确保在工作负荷VM从一个位置移动到另一个位置时不需要更新策略。若要了解详细信息,请参阅什么是SDN多站点?。
SDN第3层网关的性能已得到增强,可实现更高的吞吐量,并减少CPU周期。默认情况下启用这些改进。通过PowerShell或WindowsAdminCenter配置SDN网关第3层连接时,用户将自动体验更好的性能。
任务管理器内部版本26040现在使用符合Windows11样式的Mica材料来运行现代任务管理器应用。
基于虚拟化的安全性(VBS)EnclaveVBSenclave是主机应用程序地址空间内基于软件的受信任执行环境(TEE)。VBSenclaves会使用底层VBS技术,将应用程序的敏感部分隔离在内存的安全分区中。VBSEnclave可以使敏感工作负载与主机应用程序和系统的其余部分隔离。
VBSEnclave可使应用程序不需要信任管理员并能有效抵御恶意攻击者,从而保护自己的机密。有关详细信息,请阅读VBSEnclaveWin32参考。
基于虚拟化的安全(VBS)密钥保护VBS密钥保护使Windows开发人员能够使用基于虚拟化的安全(VBS)来保护加密密钥。VBS利用CPU的虚拟化扩展能力,在正常OS之外创建一个隔离的运行时。使用时,VBS密钥会被隔离在一个安全的进程中,允许对密钥进行操作,而不会将私人密钥材料暴露在这个空间之外。在静止状态下,私钥材料由TPM密钥加密,而TPM密钥会将VBS密钥与设备绑定。通过这种方式保护的密钥无法从进程内存中转储或以纯文本形式从用户机器中导出,从而防止了任何管理员级攻击者的渗透攻击。必须启用VBS才能使用密钥保护。有关如何启用VBS的信息,请参阅启用内存完整性。
WLAN现在,启用无线功能更容易,因为无线LAN服务功能现在默认情况下已安装。无线启动服务被设为手动,并可通过在命令提示符、Windows终端或PowerShell中运行netstartwlansvc来启用。
Windows预览体验计划通过Windows预览体验计划,爱好者社区中的成员可以抢先体验最新的WindowsOS版本。作为成员,你可以率先试用Microsoft正在开发的新想法和概念。注册为成员后,你可以转到开始>设置>Windows更新>Windows预览体验计划,选择加入不同的发布渠道。
Windows本地管理员密码解决方案(LAPS)WindowsLAPS可帮助组织管理其已加入域的连接计算机上的本地管理员密码。它能为每台计算机的本地管理员帐户自动生成唯一的密码,将其安全地存储在AD中,并定期更新。这有助于降低攻击者使用被泄露或容易猜到的密码访问敏感系统的风险,从而提高安全性。
MicrosoftLAPS引入了多项功能,提供以下改进:
全新自动帐户管理功能
最新更新允许IT管理员轻松创建托管的本地帐户。利用该功能,可以自定义账户名称、启用或禁用帐户,甚至可以随机设置帐户名称以增强安全性。此外,该更新还改进了与Microsoft现有本地帐户管理策略的集成。若要了解有关此功能的更多信息,请参阅WindowsLAPS帐户管理模式。
新增映像回滚检测功能
为了解决此问题,我们添加了一项新功能,其中包括名为msLAPS-CurrentPasswordVersion的AD属性。每次新密码在AD中持久化并保存到本地时,该属性都会包含一个由WindowsLAPS写入的随机GUID。在每个处理循环中,都将查询msLAPS-CurrentPasswordVersion中存储的GUID,并将其与本地持久化副本进行比较。如果两者不一致,则会立即轮换密码。
若要启用此功能,必须运行最新版本的Update-LapsADSchemacmdlet。完成后,WindowsLAPS将识别新属性并开始使用。如果未运行Update-LapsADSchemacmdlet的更新版本,WindowsLAPS将在事件日志中记录10108警告事件,但在所有其他方面继续正常运行。
不使用策略设置来启用或配置此功能。添加新模式属性后,该功能将始终启用。
新增密码功能
IT管理员现在可以利用WindowsLAPS中的新功能,生成不太复杂的密码。例如,与传统密码(如V3r_b4tim#963)相比,EatYummyCaramelCandy等密码更容易读取、记住和键入。
这项新功能还允许将PasswordComplexity策略设置配置为选择三个不同的密码单词列表之一,所有这些列表都包含在Windows中,无需单独下载。名为PassphraseLength的新策略设置可控制密码中使用的字数。
创建密码时,将从所选单词列表中随机选择指定数量的单词并进行连接。每个单词的第一个字母大写,以提高可读性。此功能还完全支持将密码备份到WindowsServerAD或MicrosoftEntraID。
WindowsLAPS不允许自定义内置单词列表,也不允许使用客户配置的单词列表。
改善密码字典的可读性
WindowsLAPS引入了新的PasswordComplexity设置,使IT管理员能够创建不太复杂的密码。此功能允许自定义LAPS以使用所有四个字符类别(大写字母、小写字母、数字和特殊字符),就像现有的4位复杂性设置一样。不过,新设置为5时,较复杂的字符被排除在外,以提高密码的可读性并尽量减少混淆。例如,数字“1”和字母“I”在新设置中将永不使用。
当PasswordComplexity配置为5时,默认密码字典字符集将发生以下更改:
请勿使用这些字母:“I”、“O”、“Q”、“l”和“o”请勿使用这些数字:“0”和“1”请勿使用这些“特殊”字符:“,”、“.”、“&”、“{”、“}”、“[”、“]”、“(”、“)”、“;”开始使用这些“特殊”字符:“:”、“=”、“”和“*”ActiveDirectory用户和计算机管理单元(通过Microsoft管理控制台)现在具有改进的WindowsLAPS选项卡。WindowsLAPS密码现在使用新字体显示,可在纯文本中显示时增强其可读性。
为终止单个进程提供PostAuthenticationAction支持
将新选项添加到PostAuthenticationActions(PAA)组策略设置“重置密码、注销托管帐户并终止任何剩余进程”(位于“计算机配置”>“管理模板”>“系统”>“LAPS”>“身份验证后操作”)。
此外,在身份验证后操作执行过程中扩展日志事件可以更深入地了解操作。
若要了解有关WindowsLAPS的更多信息,请参阅什么是WindowsLAPS?。
Windows终端Windows终端是一个面向命令行用户的强大且高效的多shell应用程序,在此版本中可用。在搜索栏中搜索“终端”。
WingetWinget默认情况下已安装,这是一个命令行Windows程序包管理器工具,可提供用于在Windows设备上安装应用程序的全面程序包管理器解决方案。若要了解详细信息,请参阅使用winget工具安装和管理应用程序。
加速网络加速网络简化了WindowsServer2025群集上托管的虚拟机的单根I/O虚拟化(SR-IOV)的管理。此功能使用高性能SR-IOV数据路径来降低延迟、抖动和CPU利用率。加速网络还添加了一个管理层,用于处理先决条件检查、主机配置和VM性能设置。