Windows Server 2015中的Active Directory版本具有许多有趣的更改。今天，我们将考虑有机会为用户提供Active Directory组中的临时成员身份。需要在特定时间段内根据用户在AD安全组中的成员身份授予特定特权，并在此时间段内自动(无管理员)删除这些权限时，可以使用此功能。

使用称为"特权访问管理功能"的新Windows Server 2015功能实现"临时组成员身份"。与AD回收站一样，我们不能在激活PAM后将其禁用。

我们可以使用以下PowerShell命令确保当前林中是否启用了PAM：

Get-ADOptionalFeature -filter *

我们需要EnableScopes参数的值。在我们的示例中为空。这意味着未为此域启用特权访问管理功能。

要激活它，请使用Enable-ADOptionalFeature命令，并将域名指定为参数之一：

Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target contoso.com

激活PAM后，可以尝试使用Add-ADGroupMember cmdlet的特殊参数" MemberTimeToLive"将用户添加到AD组。但是首先，使用New-TimeSpancmdlet指定时间段(TTL)，在该时间段内用户将具有访问权限。假设我们希望将用户test1包含在Domain Admins组中5分钟：

$ttl = New-TimeSpan -Minutes 5

Add-ADGroupMember -Identity "Domain Admins" -Members test1 -MemberTimeToLive $ttl

我们可以使用Get-ADGroup cmdlet检查用户成为组成员的时间：

Get-ADGroup ‘Domain Admins’ -Property member –ShowMemberTimeToLive

在命令结果中，我们可以看到类似于<TTL = 246.CN = test1，CN = Users，DC = Contoso，DC = com>的组成员条目，这意味着用户test1将成为Domain Admins的成员。组246秒。之后，他将自动从该组中删除。用户Kerberos票证也将过期。这是由于KDC为在AD组中具有临时成员资格的用户发行的票证的生存期等于TTL值的最小值而实现的。

以前，要实现临时的AD组成员身份，我们必须使用动态对象，不同的脚本或者相当复杂的系统(Microsoft Forefront Identity Manager等)。现在，在Windows Server 2015中，此便利功能是开箱即用的。