2008 R2新加入的：
　 
脫機(jī)域加入：允許服務(wù)器和一臺(tái)計(jì)算機(jī)加入到域客戶端在不同時(shí)間執(zhí)行。
　 
回收站：不需要備份 Active Directory，便可以恢復(fù)刪除的項(xiàng)目。
　 
認(rèn)證機(jī)制保證：用戶登入域需配有證書（如小型卡）而不是用戶名密碼分配額外組成員的方式，可能會(huì)限制那些使用辦公硬件驗(yàn)證的人員訪問(wèn)特定文件。
　 
Active Directory 的WEB服務(wù)：通過(guò)標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn)Active Directory 管理而非傳統(tǒng)的（專門的）基于RPC通信方式。

我們來(lái)仔細(xì)研究一下最后這條，因?yàn)檎б豢凑娴暮軟](méi)趣，特別是你如果沒(méi)太多的關(guān)注你的管理工具和Active Directory如何互聯(lián)的。在2008 R2之前，你可能得煎熬上一段如果你不是在域控制器相同的網(wǎng)絡(luò)。由于RPC的工作方式，AD管理活動(dòng)可以發(fā)生在不同的TCP端口，估計(jì)沒(méi)人會(huì)說(shuō)，"啊 這就是Active Directory 管理" 在2008 R2里 你會(huì)看到一個(gè)新的進(jìn)程叫Microsoft.ActiveDirectory WebServices.exe.。這是一個(gè).NET Windows Communication Framework 的應(yīng)用程序，它監(jiān)聽(tīng)端口9389，并提供一連串基于SOAP的網(wǎng)絡(luò)服務(wù)。如這聽(tīng)起來(lái)有點(diǎn)復(fù)雜，不用擔(dān)心，它只是一個(gè)可以讀寫到Active Directory與服務(wù)器上的微型的WED服務(wù)器。這個(gè)跡象表明微軟正在更加認(rèn)真的考慮用戶（如歐洲委員會(huì)和客戶）的需求，考慮實(shí)現(xiàn)與非微軟的協(xié)議和系統(tǒng)更好的交互性。

2008 R2網(wǎng)絡(luò)服務(wù)的其他兩個(gè)新的組件，Active Directory的PowerShell模塊還有這個(gè)：
 
這是Active Directory的管理中心。雖然乍一看起來(lái)非常像Active Directory的"用戶"和"計(jì)算機(jī)",但是還是有一些重要的不同。首先，它建在Active Directory的Power Shell模塊頂端，那么可以確保任何通過(guò)GUI執(zhí)行的在沒(méi)有其的時(shí)候也可以執(zhí)行。其次，它把最常用的兩個(gè)任務(wù)放在中心之前—-查找用戶；重置密碼。第三，這個(gè)工具大大提高了對(duì)目錄的搜索功能，直接建立共同疑問(wèn)，保存常用的查詢并重新運(yùn)行它們。

Group Policy（組策略）

組策略的主要目的是確定和執(zhí)行計(jì)算機(jī)的配置。對(duì)整個(gè)Windows，有成千上萬(wàn)獨(dú)特的"組策略設(shè)置"，覆蓋計(jì)算機(jī)配置的每件事，例如防火墻是否允許用戶更改 Windows Media Player的皮膚。組策略設(shè)置，大致分為兩類：以用戶為中心和以計(jì)算機(jī)為中心。一個(gè)組策略設(shè)置的集合被稱為“組策略對(duì)象”，或簡(jiǎn)稱的GPO。然后GPO應(yīng)用到選定的用戶和計(jì)算機(jī)組。默認(rèn)情況下，GPO的設(shè)置被應(yīng)用在計(jì)算機(jī)啟動(dòng)時(shí)，一個(gè)用戶登錄時(shí)，每90分鐘，給予或采取20％）。域可以包含很多的GPO，這是管理員在創(chuàng)造不同的GPO的不同用戶群和計(jì)算機(jī)時(shí)的典型情況。有幾個(gè)例子：公司里每個(gè)人除了IT人員之外都可能被阻止訪問(wèn)Windows Update；被用在接待或是服務(wù)臺(tái)的電腦被設(shè)置成無(wú)聲；辦公室的不同位置的電腦可以設(shè)置它附近的默認(rèn)打印機(jī)。

Windows Server 2008進(jìn)行了以個(gè)很重大的組策略修改。加入了一項(xiàng)"組策略首選項(xiàng)"，允許管理員更改設(shè)置并客戶端的計(jì)算機(jī)上創(chuàng)建項(xiàng)目，后來(lái)又允許用戶可以改變它。組策略首選項(xiàng)可與VPN連接，映射的驅(qū)動(dòng)器連接，文件，文件夾，快捷方式，打印機(jī)，本地用戶和組，計(jì)劃任務(wù)，注冊(cè)表設(shè)置和環(huán)境變量一起工作。它也可以配置 Internet Explorer 和Window Explorer。換句話說(shuō)，他們本身就是用戶可配置的。我覺(jué)得系統(tǒng)管理員一定會(huì)喜歡這些功能。在Server 2008之前，設(shè)置這些的唯一辦法是通過(guò)建一個(gè)已經(jīng)存在的首選項(xiàng)的預(yù)定義鏡像或者進(jìn)行復(fù)雜的注冊(cè)表操作，或是登錄腳本。

實(shí)習(xí)操作首選項(xiàng)的過(guò)程比較自然的引出了一些預(yù)定義的設(shè)置的工作。組策略設(shè)置回答了用戶是否可以做某些事的問(wèn)題，組策略首選項(xiàng)則是處理用戶（計(jì)算機(jī)）是否有某些事的問(wèn)題。這是一個(gè)微妙但是重要的不同，解釋這一問(wèn)題最好的就是這樣一個(gè)例子，這是一張組策略首選項(xiàng)對(duì)話框配置開始菜單的截圖：
 
在這里首先要注意的是,這個(gè)對(duì)話框非常類似于Windows資源管理器中的開始菜單。這使得管理員可以非常容易的上手，掌握這些設(shè)置具體的內(nèi)容，而不用讀很多說(shuō)明?？吹絼澗€的部分了嗎？如果一個(gè)首選項(xiàng)有綠下劃線，你想要的那條組策略執(zhí)行，即：客戶機(jī)的復(fù)選框狀態(tài)將更新以匹配復(fù)選框里的狀態(tài)。如果下劃線是紅的，意味著設(shè)置不能在客戶機(jī)上設(shè)置，劃線的顏色F6–綠 F7–紅。

因?yàn)檫@些設(shè)置大概應(yīng)用于每90分鐘，，無(wú)論用戶是否處于登錄狀態(tài)，就可以推出，例如，一個(gè)新的網(wǎng)絡(luò)打印機(jī)，要?jiǎng)h除它，或改變一個(gè)的已配置的設(shè)置，無(wú)需用戶登錄。想要即時(shí)強(qiáng)制更新組策略很簡(jiǎn)單—只要運(yùn)行客戶機(jī)上的"gpupdate"便可。

策略組首選項(xiàng)能夠使用"定位"功能在任何給定的優(yōu)先適用之前，來(lái)定義滿足的必要條件。一些給定的條件包括：星期，具體時(shí)間，是否是筆記本電腦，是否安裝了某款特定的軟件，是否存在某個(gè)特定的文件夾，等等。

這有一個(gè)有趣的情況：

任何Vista或是更高版本的機(jī)器都有電源計(jì)劃，并且會(huì)在周五晚8點(diǎn)到周一早7點(diǎn)這段時(shí)間自動(dòng)調(diào)成"節(jié)電保護(hù)"模式。與此同時(shí)首選項(xiàng)重置電源計(jì)劃，在周末保持"平衡"狀態(tài)，現(xiàn)在你的電腦將在平時(shí)更好的運(yùn)行，在周末有更少的耗電。

Network Location網(wǎng)絡(luò)位置

應(yīng)經(jīng)推出的Windows7和2008R2與老款的區(qū)別是如何提高筆記本電腦使之適合于Active Directory域，這是一個(gè)反復(fù)出現(xiàn)的主題。Windows域的原始設(shè)計(jì)架構(gòu)沒(méi)能顧計(jì)到那些只是有時(shí)連入公司網(wǎng)絡(luò)的機(jī)器。因此，筆記本電腦用戶和IT部門花了這個(gè)十年里的大部分時(shí)間在抱怨種問(wèn)題：保持公司的緊急維修人員連入網(wǎng)絡(luò)；保持筆記本電腦免受惡意軟件感染；保持電腦時(shí)刻同步Windows 的更新組件和補(bǔ)丁；保持所有電腦可用。

Windows Vista中首先引入的"網(wǎng)絡(luò)位置"的概念。有兩種系統(tǒng)服務(wù)，"網(wǎng)絡(luò)位置知曉

"和"網(wǎng)絡(luò)列表服務(wù)，負(fù)責(zé)識(shí)別所有網(wǎng)絡(luò)適配器的可用網(wǎng)絡(luò)，賦予每個(gè)獨(dú)特的標(biāo)識(shí)符，并確定是否通過(guò)該網(wǎng)絡(luò)連接連接到互聯(lián)網(wǎng)或局域網(wǎng)。每個(gè)網(wǎng)絡(luò)位置也有一個(gè)類型：私，公，域。該網(wǎng)絡(luò)類型有兩個(gè)主要目的：幫助用戶識(shí)別那些連接是值得信賴的，哪些不是；通知Windows防火墻什么規(guī)則適用于該連接。私和公的位置類型由用戶在每個(gè)連接基礎(chǔ)上選擇。域的位置由NLA服務(wù)器在計(jì)算機(jī)加入Active Directory域連接時(shí)自動(dòng)選擇，可以通過(guò)連接訪問(wèn)。但你不可以選擇自己。

使用Vista系統(tǒng)的人應(yīng)該很熟悉這個(gè)圖。注意"Home"和"Work"位置實(shí)際上與"Private"是相同的位置類型，有相同的防火墻規(guī)則。

Vista/2008和7/2008R2一個(gè)主要的不同在于網(wǎng)絡(luò)位置的具體選擇。在Vista/2008上，一個(gè)單獨(dú)的位置適用于所有連接，它是這樣工作的：1）如果有連接是"Public"，那么所有連接都被為定為"Public"。2)如果沒(méi)有"Publuc"連接，但是有"Private"連接，那么所有的連接都被認(rèn)定為"Private"。3)如果沒(méi)"Public"和"Private"連接，但是有一個(gè)到域的連接，那么認(rèn)定為域位置。這樣的話問(wèn)題很明顯，很多人希望能夠通過(guò)VPN連接到他們的工作網(wǎng)絡(luò)，但網(wǎng)絡(luò)行為不同，因?yàn)閂PN將配置成Public或是Private防火墻，而不是域防火墻配置。

然而Windows7/2008R2，允許對(duì)于不同的連接配置不同的防火墻。對(duì)于特定的網(wǎng)絡(luò)類型，還可以禁用防火墻。這是一個(gè)簡(jiǎn)單而明顯的變化，當(dāng)一個(gè)加入域的筆記本電腦連入Public網(wǎng)時(shí)（阻止入站連接），返回辦公室的VPN連接是一個(gè)域連接，從而較少的限制域防火墻規(guī)則。

Windows7較之前版本另一項(xiàng)提高在于，當(dāng)一個(gè)網(wǎng)絡(luò)被設(shè)計(jì)成"Home"模式時(shí)，它會(huì)為連接啟用HomeGroup的必要組成。這對(duì)于那些想在家庭網(wǎng)絡(luò)環(huán)境分享文件的筆記本電腦擁有者來(lái)說(shuō)絕對(duì)是偉大的。計(jì)算機(jī)瀏覽器服務(wù)，搜索其他計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)計(jì)算機(jī)只連接到"Public"網(wǎng)絡(luò)時(shí)，將完全關(guān)閉。這使得Windows7的電腦很難將自己暴露給其他電腦。

Miscellany

在結(jié)束之前，讓我們來(lái)看看其他的方面吧。

Hyper-V是微軟的硬件虛擬化平臺(tái)。在Windows Server 2008 R2中就包括了這個(gè)版本，它可以在物理計(jì)算機(jī)之間實(shí)現(xiàn)實(shí)時(shí)遷移，同時(shí)還大大提高了網(wǎng)絡(luò)性能。同時(shí)，它還整合了遠(yuǎn)程桌面服務(wù)，如果你曾經(jīng)想要通過(guò)遠(yuǎn)程桌面連接去連接一個(gè)專用的虛擬機(jī)器池，來(lái)替代 在Windows Server單拷貝上的 那么你將會(huì)非常喜歡這個(gè)功能。大多數(shù)情況下，雖然Hyper-V是為了仿照VMWare的vSphere系列產(chǎn)品，但是現(xiàn)在看來(lái)，在產(chǎn)品部署中使用它是非常好的。這也是用戶從VMWare轉(zhuǎn)而使用Hyper-V的部分原因。希望通過(guò)PowerShell來(lái)管理Hyper-V的管理員可以下載PowerShell管理庫(kù)，該庫(kù)是微軟雇員編寫和維護(hù)的，但是它不是該公司W(wǎng)indows Server產(chǎn)品的正式組成部分。

互聯(lián)網(wǎng)信息服務(wù)已經(jīng)更新到7.5版本了。大多數(shù)情況下，在這個(gè)版本中的新功能已經(jīng)在IIS7.0擴(kuò)展版本中公布了。安全模式的一個(gè)主要改變是，“應(yīng)用程序池標(biāo)志賬戶”的推出，這是虛擬的本地用戶，只是被用來(lái)運(yùn)行Web應(yīng)用程序。這和IIS6.0和7.0是不同的，默認(rèn)情況下，IIS6.0和7.0都是使用通用的NETWORK SERVICE賬戶。此賬戶也被相當(dāng)多的其他的系統(tǒng)服務(wù)使用，所以說(shuō)與IIS應(yīng)用程序共享賬戶是沒(méi)有什么意義的。虛擬賬戶的用戶名的前綴是“IIS APPPOLL”，這樣，他們就不會(huì)與本地和區(qū)域賬戶重名。所有的IIS7.5都可以通過(guò)PowerShell命令集來(lái)控制。

Windows Server更新服務(wù)以前在Windows Server 2003和2008中的可下載的應(yīng)用程序，現(xiàn)在Windows Server 2008 R2中也都包括進(jìn)去了。WSUS唯一的一個(gè)新的重要的功能是它對(duì)BranchCache的整合，這使它有可能在分支機(jī)構(gòu)中的臺(tái)式機(jī)與每一個(gè)使用P2P技術(shù)的機(jī)器可以分享WSUS的更新。而不是讓這些機(jī)器被迫鏈接到中央WSVS服務(wù)器或者微軟Windows更新服務(wù)器來(lái)手機(jī)最新的更新。保持你的臺(tái)式機(jī)和服務(wù)器更新與補(bǔ)丁程序同步更新是非常重要的。

Windows Server備份軟件在Windows Server 2008中是為了代替的NTBACKUP工具的。但是，因?yàn)镹TBACKUP不能支持磁帶備份系統(tǒng)，不能分別從用戶數(shù)據(jù)備份和存儲(chǔ)系統(tǒng)狀態(tài)備份，不能限制個(gè)人文件夾備份，很多IT部門不愿意使用。由于這些缺點(diǎn)的存在，微軟在這個(gè)系統(tǒng)里添加了狀態(tài)備份，各個(gè)文件備份和文件類型過(guò)濾器。同時(shí)，還有一個(gè)“裸機(jī)恢復(fù)”功能，該功能可以在單一備份中備份系統(tǒng)中的每一部分和驅(qū)動(dòng)盤。這是一個(gè)相當(dāng)?shù)拇蟮母倪M(jìn)，同時(shí)，在Windows Server 2008 R2中Windows Server備份可以完全通過(guò)PowerShell命令集來(lái)控制。

Windows存儲(chǔ)診斷，該工具在微軟的網(wǎng)站中已經(jīng)提了很多年了，不過(guò)說(shuō)實(shí)話我并不看好Windows Server的這個(gè)功能，因?yàn)樗F(xiàn)在還是不支持大于4GB的物理存儲(chǔ)測(cè)試。

總結(jié)

在過(guò)去的十年間，為了獲得更多的市場(chǎng)份額，微軟花費(fèi)了大量的時(shí)間在安全，架構(gòu)和軟件開發(fā)方面。Steven Sinofsky也被調(diào)到Windows團(tuán)隊(duì)提供支持。這標(biāo)志著，微軟已經(jīng)開始讓W(xué)indows Server的開發(fā)嚴(yán)格按照既定路線進(jìn)行。這樣，他們就可以在未來(lái)的幾年內(nèi)推出兩款高質(zhì)量的產(chǎn)品。想想吧，從2008到2008R2的核心技術(shù)升級(jí)和從2000到2003的升級(jí)是相同的，但是，前者的完成只用了后者的一半時(shí)間。Sinofsky在Windows開發(fā)團(tuán)隊(duì)中引入了一個(gè)新的組織結(jié)構(gòu)，制定了一個(gè)思想體系讓所有的決定都是基于真實(shí)世界的數(shù)據(jù)，而不是猜想數(shù)據(jù)。不管如何,Windows 7和Server 2008 R2都是非常棒的操作系統(tǒng)。

你可能也注意到在這里PowerShell是一個(gè)總是會(huì)被提到。盡管傳統(tǒng)命令提示符（cmd.exe）和腳本宿主（cscript和wscript）在短期內(nèi)不會(huì)退出，但是顯然，PowerShell在未來(lái)會(huì)代替他們。微軟希望管理員可以很舒服地使用命令行來(lái)執(zhí)行任務(wù)，同時(shí)它還希望100%的Windows Server功能可以同時(shí)這個(gè)唯一的、固定的接口實(shí)現(xiàn)腳本編輯的。

hanrui