2008 R2新加入的：
　 
脫機域加入：允許服務器和一臺計算機加入到域客戶端在不同時間執(zhí)行。
　 
回收站：不需要備份 Active Directory，便可以恢復刪除的項目。
　 
認證機制保證：用戶登入域需配有證書（如小型卡）而不是用戶名密碼分配額外組成員的方式，可能會限制那些使用辦公硬件驗證的人員訪問特定文件。
　 
Active Directory 的WEB服務：通過標準的網(wǎng)絡服務實現(xiàn)Active Directory 管理而非傳統(tǒng)的（專門的）基于RPC通信方式。

我們來仔細研究一下最后這條，因為乍一看真的很沒趣，特別是你如果沒太多的關注你的管理工具和Active Directory如何互聯(lián)的。在2008 R2之前，你可能得煎熬上一段如果你不是在域控制器相同的網(wǎng)絡。由于RPC的工作方式，AD管理活動可以發(fā)生在不同的TCP端口，估計沒人會說，"啊 這就是Active Directory 管理" 在2008 R2里 你會看到一個新的進程叫Microsoft.ActiveDirectory WebServices.exe.。這是一個.NET Windows Communication Framework 的應用程序，它監(jiān)聽端口9389，并提供一連串基于SOAP的網(wǎng)絡服務。如這聽起來有點復雜，不用擔心，它只是一個可以讀寫到Active Directory與服務器上的微型的WED服務器。這個跡象表明微軟正在更加認真的考慮用戶（如歐洲委員會和客戶）的需求，考慮實現(xiàn)與非微軟的協(xié)議和系統(tǒng)更好的交互性。

2008 R2網(wǎng)絡服務的其他兩個新的組件，Active Directory的PowerShell模塊還有這個：
 
這是Active Directory的管理中心。雖然乍一看起來非常像Active Directory的"用戶"和"計算機",但是還是有一些重要的不同。首先，它建在Active Directory的Power Shell模塊頂端，那么可以確保任何通過GUI執(zhí)行的在沒有其的時候也可以執(zhí)行。其次，它把最常用的兩個任務放在中心之前—-查找用戶；重置密碼。第三，這個工具大大提高了對目錄的搜索功能，直接建立共同疑問，保存常用的查詢并重新運行它們。

Group Policy（組策略）

組策略的主要目的是確定和執(zhí)行計算機的配置。對整個Windows，有成千上萬獨特的"組策略設置"，覆蓋計算機配置的每件事，例如防火墻是否允許用戶更改 Windows Media Player的皮膚。組策略設置，大致分為兩類：以用戶為中心和以計算機為中心。一個組策略設置的集合被稱為“組策略對象”，或簡稱的GPO。然后GPO應用到選定的用戶和計算機組。默認情況下，GPO的設置被應用在計算機啟動時，一個用戶登錄時，每90分鐘，給予或采取20％）。域可以包含很多的GPO，這是管理員在創(chuàng)造不同的GPO的不同用戶群和計算機時的典型情況。有幾個例子：公司里每個人除了IT人員之外都可能被阻止訪問Windows Update；被用在接待或是服務臺的電腦被設置成無聲；辦公室的不同位置的電腦可以設置它附近的默認打印機。

Windows Server 2008進行了以個很重大的組策略修改。加入了一項"組策略首選項"，允許管理員更改設置并客戶端的計算機上創(chuàng)建項目，后來又允許用戶可以改變它。組策略首選項可與VPN連接，映射的驅(qū)動器連接，文件，文件夾，快捷方式，打印機，本地用戶和組，計劃任務，注冊表設置和環(huán)境變量一起工作。它也可以配置 Internet Explorer 和Window Explorer。換句話說，他們本身就是用戶可配置的。我覺得系統(tǒng)管理員一定會喜歡這些功能。在Server 2008之前，設置這些的唯一辦法是通過建一個已經(jīng)存在的首選項的預定義鏡像或者進行復雜的注冊表操作，或是登錄腳本。

實習操作首選項的過程比較自然的引出了一些預定義的設置的工作。組策略設置回答了用戶是否可以做某些事的問題，組策略首選項則是處理用戶（計算機）是否有某些事的問題。這是一個微妙但是重要的不同，解釋這一問題最好的就是這樣一個例子，這是一張組策略首選項對話框配置開始菜單的截圖：
 
在這里首先要注意的是,這個對話框非常類似于Windows資源管理器中的開始菜單。這使得管理員可以非常容易的上手，掌握這些設置具體的內(nèi)容，而不用讀很多說明?？吹絼澗€的部分了嗎？如果一個首選項有綠下劃線，你想要的那條組策略執(zhí)行，即：客戶機的復選框狀態(tài)將更新以匹配復選框里的狀態(tài)。如果下劃線是紅的，意味著設置不能在客戶機上設置，劃線的顏色F6–綠 F7–紅。

因為這些設置大概應用于每90分鐘，，無論用戶是否處于登錄狀態(tài)，就可以推出，例如，一個新的網(wǎng)絡打印機，要刪除它，或改變一個的已配置的設置，無需用戶登錄。想要即時強制更新組策略很簡單—只要運行客戶機上的"gpupdate"便可。

策略組首選項能夠使用"定位"功能在任何給定的優(yōu)先適用之前，來定義滿足的必要條件。一些給定的條件包括：星期，具體時間，是否是筆記本電腦，是否安裝了某款特定的軟件，是否存在某個特定的文件夾，等等。

這有一個有趣的情況：

任何Vista或是更高版本的機器都有電源計劃，并且會在周五晚8點到周一早7點這段時間自動調(diào)成"節(jié)電保護"模式。與此同時首選項重置電源計劃，在周末保持"平衡"狀態(tài)，現(xiàn)在你的電腦將在平時更好的運行，在周末有更少的耗電。

Network Location網(wǎng)絡位置

應經(jīng)推出的Windows7和2008R2與老款的區(qū)別是如何提高筆記本電腦使之適合于Active Directory域，這是一個反復出現(xiàn)的主題。Windows域的原始設計架構沒能顧計到那些只是有時連入公司網(wǎng)絡的機器。因此，筆記本電腦用戶和IT部門花了這個十年里的大部分時間在抱怨種問題：保持公司的緊急維修人員連入網(wǎng)絡；保持筆記本電腦免受惡意軟件感染；保持電腦時刻同步Windows 的更新組件和補??；保持所有電腦可用。

Windows Vista中首先引入的"網(wǎng)絡位置"的概念。有兩種系統(tǒng)服務，"網(wǎng)絡位置知曉

"和"網(wǎng)絡列表服務，負責識別所有網(wǎng)絡適配器的可用網(wǎng)絡，賦予每個獨特的標識符，并確定是否通過該網(wǎng)絡連接連接到互聯(lián)網(wǎng)或局域網(wǎng)。每個網(wǎng)絡位置也有一個類型：私，公，域。該網(wǎng)絡類型有兩個主要目的：幫助用戶識別那些連接是值得信賴的，哪些不是；通知Windows防火墻什么規(guī)則適用于該連接。私和公的位置類型由用戶在每個連接基礎上選擇。域的位置由NLA服務器在計算機加入Active Directory域連接時自動選擇，可以通過連接訪問。但你不可以選擇自己。

使用Vista系統(tǒng)的人應該很熟悉這個圖。注意"Home"和"Work"位置實際上與"Private"是相同的位置類型，有相同的防火墻規(guī)則。

Vista/2008和7/2008R2一個主要的不同在于網(wǎng)絡位置的具體選擇。在Vista/2008上，一個單獨的位置適用于所有連接，它是這樣工作的：1）如果有連接是"Public"，那么所有連接都被為定為"Public"。2)如果沒有"Publuc"連接，但是有"Private"連接，那么所有的連接都被認定為"Private"。3)如果沒"Public"和"Private"連接，但是有一個到域的連接，那么認定為域位置。這樣的話問題很明顯，很多人希望能夠通過VPN連接到他們的工作網(wǎng)絡，但網(wǎng)絡行為不同，因為VPN將配置成Public或是Private防火墻，而不是域防火墻配置。

然而Windows7/2008R2，允許對于不同的連接配置不同的防火墻。對于特定的網(wǎng)絡類型，還可以禁用防火墻。這是一個簡單而明顯的變化，當一個加入域的筆記本電腦連入Public網(wǎng)時（阻止入站連接），返回辦公室的VPN連接是一個域連接，從而較少的限制域防火墻規(guī)則。

Windows7較之前版本另一項提高在于，當一個網(wǎng)絡被設計成"Home"模式時，它會為連接啟用HomeGroup的必要組成。這對于那些想在家庭網(wǎng)絡環(huán)境分享文件的筆記本電腦擁有者來說絕對是偉大的。計算機瀏覽器服務，搜索其他計算機網(wǎng)絡，當計算機只連接到"Public"網(wǎng)絡時，將完全關閉。這使得Windows7的電腦很難將自己暴露給其他電腦。

Miscellany

在結(jié)束之前，讓我們來看看其他的方面吧。

Hyper-V是微軟的硬件虛擬化平臺。在Windows Server 2008 R2中就包括了這個版本，它可以在物理計算機之間實現(xiàn)實時遷移，同時還大大提高了網(wǎng)絡性能。同時，它還整合了遠程桌面服務，如果你曾經(jīng)想要通過遠程桌面連接去連接一個專用的虛擬機器池，來替代 在Windows Server單拷貝上的 那么你將會非常喜歡這個功能。大多數(shù)情況下，雖然Hyper-V是為了仿照VMWare的vSphere系列產(chǎn)品，但是現(xiàn)在看來，在產(chǎn)品部署中使用它是非常好的。這也是用戶從VMWare轉(zhuǎn)而使用Hyper-V的部分原因。希望通過PowerShell來管理Hyper-V的管理員可以下載PowerShell管理庫，該庫是微軟雇員編寫和維護的，但是它不是該公司W(wǎng)indows Server產(chǎn)品的正式組成部分。

互聯(lián)網(wǎng)信息服務已經(jīng)更新到7.5版本了。大多數(shù)情況下，在這個版本中的新功能已經(jīng)在IIS7.0擴展版本中公布了。安全模式的一個主要改變是，“應用程序池標志賬戶”的推出，這是虛擬的本地用戶，只是被用來運行Web應用程序。這和IIS6.0和7.0是不同的，默認情況下，IIS6.0和7.0都是使用通用的NETWORK SERVICE賬戶。此賬戶也被相當多的其他的系統(tǒng)服務使用，所以說與IIS應用程序共享賬戶是沒有什么意義的。虛擬賬戶的用戶名的前綴是“IIS APPPOLL”，這樣，他們就不會與本地和區(qū)域賬戶重名。所有的IIS7.5都可以通過PowerShell命令集來控制。

Windows Server更新服務以前在Windows Server 2003和2008中的可下載的應用程序，現(xiàn)在Windows Server 2008 R2中也都包括進去了。WSUS唯一的一個新的重要的功能是它對BranchCache的整合，這使它有可能在分支機構中的臺式機與每一個使用P2P技術的機器可以分享WSUS的更新。而不是讓這些機器被迫鏈接到中央WSVS服務器或者微軟Windows更新服務器來手機最新的更新。保持你的臺式機和服務器更新與補丁程序同步更新是非常重要的。

Windows Server備份軟件在Windows Server 2008中是為了代替的NTBACKUP工具的。但是，因為NTBACKUP不能支持磁帶備份系統(tǒng)，不能分別從用戶數(shù)據(jù)備份和存儲系統(tǒng)狀態(tài)備份，不能限制個人文件夾備份，很多IT部門不愿意使用。由于這些缺點的存在，微軟在這個系統(tǒng)里添加了狀態(tài)備份，各個文件備份和文件類型過濾器。同時，還有一個“裸機恢復”功能，該功能可以在單一備份中備份系統(tǒng)中的每一部分和驅(qū)動盤。這是一個相當?shù)拇蟮母倪M，同時，在Windows Server 2008 R2中Windows Server備份可以完全通過PowerShell命令集來控制。

Windows存儲診斷，該工具在微軟的網(wǎng)站中已經(jīng)提了很多年了，不過說實話我并不看好Windows Server的這個功能，因為它現(xiàn)在還是不支持大于4GB的物理存儲測試。

總結(jié)

在過去的十年間，為了獲得更多的市場份額，微軟花費了大量的時間在安全，架構和軟件開發(fā)方面。Steven Sinofsky也被調(diào)到Windows團隊提供支持。這標志著，微軟已經(jīng)開始讓Windows Server的開發(fā)嚴格按照既定路線進行。這樣，他們就可以在未來的幾年內(nèi)推出兩款高質(zhì)量的產(chǎn)品。想想吧，從2008到2008R2的核心技術升級和從2000到2003的升級是相同的，但是，前者的完成只用了后者的一半時間。Sinofsky在Windows開發(fā)團隊中引入了一個新的組織結(jié)構，制定了一個思想體系讓所有的決定都是基于真實世界的數(shù)據(jù)，而不是猜想數(shù)據(jù)。不管如何,Windows 7和Server 2008 R2都是非常棒的操作系統(tǒng)。

你可能也注意到在這里PowerShell是一個總是會被提到。盡管傳統(tǒng)命令提示符（cmd.exe）和腳本宿主（cscript和wscript）在短期內(nèi)不會退出，但是顯然，PowerShell在未來會代替他們。微軟希望管理員可以很舒服地使用命令行來執(zhí)行任務，同時它還希望100%的Windows Server功能可以同時這個唯一的、固定的接口實現(xiàn)腳本編輯的。

hanrui