只讀域控制器:公司部署的域控制器的遠(yuǎn)程辦公解決方案,但不希望這些域控制器能夠?qū)τ蜃鞒龈摹?br />  
審計(jì)政策:監(jiān)視Active Directory的所有變化,誰(shuí)在執(zhí)行,只有目前訪問(wèn)的審計(jì)可用。
  
最后交互式登錄信息:可以看到用戶的最后登錄日期/時(shí)間,以及他們最后一次登錄失敗的記錄,以及嘗試過(guò)的具體失敗登陸次數(shù)。
  
細(xì)粒度密碼策略:密碼復(fù)雜性和鎖定策略可以適用于個(gè)人用戶和組,而不是域范圍的。

2008 R2新加入的:
  
脫機(jī)域加入:允許服務(wù)器和一臺(tái)計(jì)算機(jī)加入到域客戶端在不同時(shí)間執(zhí)行。
  
回收站:不需要備份 Active Directory,便可以恢復(fù)刪除的項(xiàng)目。
  
認(rèn)證機(jī)制保證:用戶登入域需配有證書(如小型卡)而不是用戶名密碼分配額外組成員的方式,可能會(huì)限制那些使用辦公硬件驗(yàn)證的人員訪問(wèn)特定文件。
  
Active Directory 的WEB服務(wù):通過(guò)標(biāo)準(zhǔn)的網(wǎng)絡(luò)服務(wù)實(shí)現(xiàn)Active Directory 管理而非傳統(tǒng)的(專門的)基于RPC通信方式。

我們來(lái)仔細(xì)研究一下最后這條,因?yàn)檎б豢凑娴暮軟](méi)趣,特別是你如果沒(méi)太多的關(guān)注你的管理工具和Active Directory如何互聯(lián)的。在2008 R2之前,你可能得煎熬上一段如果你不是在域控制器相同的網(wǎng)絡(luò)。由于RPC的工作方式,AD管理活動(dòng)可以發(fā)生在不同的TCP端口,估計(jì)沒(méi)人會(huì)說(shuō),"啊 這就是Active Directory 管理" 在2008 R2里 你會(huì)看到一個(gè)新的進(jìn)程叫Microsoft.ActiveDirectory WebServices.exe.。這是一個(gè).NET Windows Communication Framework 的應(yīng)用程序,它監(jiān)聽(tīng)端口9389,并提供一連串基于SOAP的網(wǎng)絡(luò)服務(wù)。如這聽(tīng)起來(lái)有點(diǎn)復(fù)雜,不用擔(dān)心,它只是一個(gè)可以讀寫到Active Directory與服務(wù)器上的微型的WED服務(wù)器。這個(gè)跡象表明微軟正在更加認(rèn)真的考慮用戶(如歐洲委員會(huì)和客戶)的需求,考慮實(shí)現(xiàn)與非微軟的協(xié)議和系統(tǒng)更好的交互性。

2008 R2網(wǎng)絡(luò)服務(wù)的其他兩個(gè)新的組件,Active Directory的PowerShell模塊還有這個(gè):
 
這是Active Directory的管理中心。雖然乍一看起來(lái)非常像Active Directory的"用戶"和"計(jì)算機(jī)",但是還是有一些重要的不同。首先,它建在Active Directory的Power Shell模塊頂端,那么可以確保任何通過(guò)GUI執(zhí)行的在沒(méi)有其的時(shí)候也可以執(zhí)行。其次,它把最常用的兩個(gè)任務(wù)放在中心之前—-查找用戶;重置密碼。第三,這個(gè)工具大大提高了對(duì)目錄的搜索功能,直接建立共同疑問(wèn),保存常用的查詢并重新運(yùn)行它們。

Group Policy(組策略)

組策略的主要目的是確定和執(zhí)行計(jì)算機(jī)的配置。對(duì)整個(gè)Windows,有成千上萬(wàn)獨(dú)特的"組策略設(shè)置",覆蓋計(jì)算機(jī)配置的每件事,例如防火墻是否允許用戶更改 Windows Media Player的皮膚。組策略設(shè)置,大致分為兩類:以用戶為中心和以計(jì)算機(jī)為中心。一個(gè)組策略設(shè)置的集合被稱為“組策略對(duì)象”,或簡(jiǎn)稱的GPO。然后GPO應(yīng)用到選定的用戶和計(jì)算機(jī)組。默認(rèn)情況下,GPO的設(shè)置被應(yīng)用在計(jì)算機(jī)啟動(dòng)時(shí),一個(gè)用戶登錄時(shí),每90分鐘,給予或采取20%)。域可以包含很多的GPO,這是管理員在創(chuàng)造不同的GPO的不同用戶群和計(jì)算機(jī)時(shí)的典型情況。有幾個(gè)例子:公司里每個(gè)人除了IT人員之外都可能被阻止訪問(wèn)Windows Update;被用在接待或是服務(wù)臺(tái)的電腦被設(shè)置成無(wú)聲;辦公室的不同位置的電腦可以設(shè)置它附近的默認(rèn)打印機(jī)。

Windows Server 2008進(jìn)行了以個(gè)很重大的組策略修改。加入了一項(xiàng)"組策略首選項(xiàng)",允許管理員更改設(shè)置并客戶端的計(jì)算機(jī)上創(chuàng)建項(xiàng)目,后來(lái)又允許用戶可以改變它。組策略首選項(xiàng)可與VPN連接,映射的驅(qū)動(dòng)器連接,文件,文件夾,快捷方式,打印機(jī),本地用戶和組,計(jì)劃任務(wù),注冊(cè)表設(shè)置和環(huán)境變量一起工作。它也可以配置 Internet Explorer 和Window Explorer。換句話說(shuō),他們本身就是用戶可配置的。我覺(jué)得系統(tǒng)管理員一定會(huì)喜歡這些功能。在Server 2008之前,設(shè)置這些的唯一辦法是通過(guò)建一個(gè)已經(jīng)存在的首選項(xiàng)的預(yù)定義鏡像或者進(jìn)行復(fù)雜的注冊(cè)表操作,或是登錄腳本。

實(shí)習(xí)操作首選項(xiàng)的過(guò)程比較自然的引出了一些預(yù)定義的設(shè)置的工作。組策略設(shè)置回答了用戶是否可以做某些事的問(wèn)題,組策略首選項(xiàng)則是處理用戶(計(jì)算機(jī))是否有某些事的問(wèn)題。這是一個(gè)微妙但是重要的不同,解釋這一問(wèn)題最好的就是這樣一個(gè)例子,這是一張組策略首選項(xiàng)對(duì)話框配置開始菜單的截圖:
 
在這里首先要注意的是,這個(gè)對(duì)話框非常類似于Windows資源管理器中的開始菜單。這使得管理員可以非常容易的上手,掌握這些設(shè)置具體的內(nèi)容,而不用讀很多說(shuō)明??吹絼澗€的部分了嗎?如果一個(gè)首選項(xiàng)有綠下劃線,你想要的那條組策略執(zhí)行,即:客戶機(jī)的復(fù)選框狀態(tài)將更新以匹配復(fù)選框里的狀態(tài)。如果下劃線是紅的,意味著設(shè)置不能在客戶機(jī)上設(shè)置,劃線的顏色F6–綠 F7–紅。

因?yàn)檫@些設(shè)置大概應(yīng)用于每90分鐘,,無(wú)論用戶是否處于登錄狀態(tài),就可以推出,例如,一個(gè)新的網(wǎng)絡(luò)打印機(jī),要?jiǎng)h除它,或改變一個(gè)的已配置的設(shè)置,無(wú)需用戶登錄。想要即時(shí)強(qiáng)制更新組策略很簡(jiǎn)單—只要運(yùn)行客戶機(jī)上的"gpupdate"便可。

策略組首選項(xiàng)能夠使用"定位"功能在任何給定的優(yōu)先適用之前,來(lái)定義滿足的必要條件。一些給定的條件包括:星期,具體時(shí)間,是否是筆記本電腦,是否安裝了某款特定的軟件,是否存在某個(gè)特定的文件夾,等等。

這有一個(gè)有趣的情況:

任何Vista或是更高版本的機(jī)器都有電源計(jì)劃,并且會(huì)在周五晚8點(diǎn)到周一早7點(diǎn)這段時(shí)間自動(dòng)調(diào)成"節(jié)電保護(hù)"模式。與此同時(shí)首選項(xiàng)重置電源計(jì)劃,在周末保持"平衡"狀態(tài),現(xiàn)在你的電腦將在平時(shí)更好的運(yùn)行,在周末有更少的耗電。

Network Location網(wǎng)絡(luò)位置

應(yīng)經(jīng)推出的Windows7和2008R2與老款的區(qū)別是如何提高筆記本電腦使之適合于Active Directory域,這是一個(gè)反復(fù)出現(xiàn)的主題。Windows域的原始設(shè)計(jì)架構(gòu)沒(méi)能顧計(jì)到那些只是有時(shí)連入公司網(wǎng)絡(luò)的機(jī)器。因此,筆記本電腦用戶和IT部門花了這個(gè)十年里的大部分時(shí)間在抱怨種問(wèn)題:保持公司的緊急維修人員連入網(wǎng)絡(luò);保持筆記本電腦免受惡意軟件感染;保持電腦時(shí)刻同步Windows 的更新組件和補(bǔ)丁;保持所有電腦可用。

Windows Vista中首先引入的"網(wǎng)絡(luò)位置"的概念。有兩種系統(tǒng)服務(wù),"網(wǎng)絡(luò)位置知曉

"和"網(wǎng)絡(luò)列表服務(wù),負(fù)責(zé)識(shí)別所有網(wǎng)絡(luò)適配器的可用網(wǎng)絡(luò),賦予每個(gè)獨(dú)特的標(biāo)識(shí)符,并確定是否通過(guò)該網(wǎng)絡(luò)連接連接到互聯(lián)網(wǎng)或局域網(wǎng)。每個(gè)網(wǎng)絡(luò)位置也有一個(gè)類型:私,公,域。該網(wǎng)絡(luò)類型有兩個(gè)主要目的:幫助用戶識(shí)別那些連接是值得信賴的,哪些不是;通知Windows防火墻什么規(guī)則適用于該連接。私和公的位置類型由用戶在每個(gè)連接基礎(chǔ)上選擇。域的位置由NLA服務(wù)器在計(jì)算機(jī)加入Active Directory域連接時(shí)自動(dòng)選擇,可以通過(guò)連接訪問(wèn)。但你不可以選擇自己。

使用Vista系統(tǒng)的人應(yīng)該很熟悉這個(gè)圖。注意"Home"和"Work"位置實(shí)際上與"Private"是相同的位置類型,有相同的防火墻規(guī)則。

Vista/2008和7/2008R2一個(gè)主要的不同在于網(wǎng)絡(luò)位置的具體選擇。在Vista/2008上,一個(gè)單獨(dú)的位置適用于所有連接,它是這樣工作的:1)如果有連接是"Public",那么所有連接都被為定為"Public"。2)如果沒(méi)有"Publuc"連接,但是有"Private"連接,那么所有的連接都被認(rèn)定為"Private"。3)如果沒(méi)"Public"和"Private"連接,但是有一個(gè)到域的連接,那么認(rèn)定為域位置。這樣的話問(wèn)題很明顯,很多人希望能夠通過(guò)VPN連接到他們的工作網(wǎng)絡(luò),但網(wǎng)絡(luò)行為不同,因?yàn)閂PN將配置成Public或是Private防火墻,而不是域防火墻配置。

然而Windows7/2008R2,允許對(duì)于不同的連接配置不同的防火墻。對(duì)于特定的網(wǎng)絡(luò)類型,還可以禁用防火墻。這是一個(gè)簡(jiǎn)單而明顯的變化,當(dāng)一個(gè)加入域的筆記本電腦連入Public網(wǎng)時(shí)(阻止入站連接),返回辦公室的VPN連接是一個(gè)域連接,從而較少的限制域防火墻規(guī)則。

Windows7較之前版本另一項(xiàng)提高在于,當(dāng)一個(gè)網(wǎng)絡(luò)被設(shè)計(jì)成"Home"模式時(shí),它會(huì)為連接啟用HomeGroup的必要組成。這對(duì)于那些想在家庭網(wǎng)絡(luò)環(huán)境分享文件的筆記本電腦擁有者來(lái)說(shuō)絕對(duì)是偉大的。計(jì)算機(jī)瀏覽器服務(wù),搜索其他計(jì)算機(jī)網(wǎng)絡(luò),當(dāng)計(jì)算機(jī)只連接到"Public"網(wǎng)絡(luò)時(shí),將完全關(guān)閉。這使得Windows7的電腦很難將自己暴露給其他電腦。

Miscellany

在結(jié)束之前,讓我們來(lái)看看其他的方面吧。

Hyper-V是微軟的硬件虛擬化平臺(tái)。在Windows Server 2008 R2中就包括了這個(gè)版本,它可以在物理計(jì)算機(jī)之間實(shí)現(xiàn)實(shí)時(shí)遷移,同時(shí)還大大提高了網(wǎng)絡(luò)性能。同時(shí),它還整合了遠(yuǎn)程桌面服務(wù),如果你曾經(jīng)想要通過(guò)遠(yuǎn)程桌面連接去連接一個(gè)專用的虛擬機(jī)器池,來(lái)替代 在Windows Server單拷貝上的 那么你將會(huì)非常喜歡這個(gè)功能。大多數(shù)情況下,雖然Hyper-V是為了仿照VMWare的vSphere系列產(chǎn)品,但是現(xiàn)在看來(lái),在產(chǎn)品部署中使用它是非常好的。這也是用戶從VMWare轉(zhuǎn)而使用Hyper-V的部分原因。希望通過(guò)PowerShell來(lái)管理Hyper-V的管理員可以下載PowerShell管理庫(kù),該庫(kù)是微軟雇員編寫和維護(hù)的,但是它不是該公司W(wǎng)indows Server產(chǎn)品的正式組成部分。

互聯(lián)網(wǎng)信息服務(wù)已經(jīng)更新到7.5版本了。大多數(shù)情況下,在這個(gè)版本中的新功能已經(jīng)在IIS7.0擴(kuò)展版本中公布了。安全模式的一個(gè)主要改變是,“應(yīng)用程序池標(biāo)志賬戶”的推出,這是虛擬的本地用戶,只是被用來(lái)運(yùn)行Web應(yīng)用程序。這和IIS6.0和7.0是不同的,默認(rèn)情況下,IIS6.0和7.0都是使用通用的NETWORK SERVICE賬戶。此賬戶也被相當(dāng)多的其他的系統(tǒng)服務(wù)使用,所以說(shuō)與IIS應(yīng)用程序共享賬戶是沒(méi)有什么意義的。虛擬賬戶的用戶名的前綴是“IIS APPPOLL”,這樣,他們就不會(huì)與本地和區(qū)域賬戶重名。所有的IIS7.5都可以通過(guò)PowerShell命令集來(lái)控制。

Windows Server更新服務(wù)以前在Windows Server 2003和2008中的可下載的應(yīng)用程序,現(xiàn)在Windows Server 2008 R2中也都包括進(jìn)去了。WSUS唯一的一個(gè)新的重要的功能是它對(duì)BranchCache的整合,這使它有可能在分支機(jī)構(gòu)中的臺(tái)式機(jī)與每一個(gè)使用P2P技術(shù)的機(jī)器可以分享WSUS的更新。而不是讓這些機(jī)器被迫鏈接到中央WSVS服務(wù)器或者微軟Windows更新服務(wù)器來(lái)手機(jī)最新的更新。保持你的臺(tái)式機(jī)和服務(wù)器更新與補(bǔ)丁程序同步更新是非常重要的。

Windows Server備份軟件在Windows Server 2008中是為了代替的NTBACKUP工具的。但是,因?yàn)镹TBACKUP不能支持磁帶備份系統(tǒng),不能分別從用戶數(shù)據(jù)備份和存儲(chǔ)系統(tǒng)狀態(tài)備份,不能限制個(gè)人文件夾備份,很多IT部門不愿意使用。由于這些缺點(diǎn)的存在,微軟在這個(gè)系統(tǒng)里添加了狀態(tài)備份,各個(gè)文件備份和文件類型過(guò)濾器。同時(shí),還有一個(gè)“裸機(jī)恢復(fù)”功能,該功能可以在單一備份中備份系統(tǒng)中的每一部分和驅(qū)動(dòng)盤。這是一個(gè)相當(dāng)?shù)拇蟮母倪M(jìn),同時(shí),在Windows Server 2008 R2中Windows Server備份可以完全通過(guò)PowerShell命令集來(lái)控制。

Windows存儲(chǔ)診斷,該工具在微軟的網(wǎng)站中已經(jīng)提了很多年了,不過(guò)說(shuō)實(shí)話我并不看好Windows Server的這個(gè)功能,因?yàn)樗F(xiàn)在還是不支持大于4GB的物理存儲(chǔ)測(cè)試。

總結(jié)

在過(guò)去的十年間,為了獲得更多的市場(chǎng)份額,微軟花費(fèi)了大量的時(shí)間在安全,架構(gòu)和軟件開發(fā)方面。Steven Sinofsky也被調(diào)到Windows團(tuán)隊(duì)提供支持。這標(biāo)志著,微軟已經(jīng)開始讓W(xué)indows Server的開發(fā)嚴(yán)格按照既定路線進(jìn)行。這樣,他們就可以在未來(lái)的幾年內(nèi)推出兩款高質(zhì)量的產(chǎn)品。想想吧,從2008到2008R2的核心技術(shù)升級(jí)和從2000到2003的升級(jí)是相同的,但是,前者的完成只用了后者的一半時(shí)間。Sinofsky在Windows開發(fā)團(tuán)隊(duì)中引入了一個(gè)新的組織結(jié)構(gòu),制定了一個(gè)思想體系讓所有的決定都是基于真實(shí)世界的數(shù)據(jù),而不是猜想數(shù)據(jù)。不管如何,Windows 7和Server 2008 R2都是非常棒的操作系統(tǒng)。

你可能也注意到在這里PowerShell是一個(gè)總是會(huì)被提到。盡管傳統(tǒng)命令提示符(cmd.exe)和腳本宿主(cscript和wscript)在短期內(nèi)不會(huì)退出,但是顯然,PowerShell在未來(lái)會(huì)代替他們。微軟希望管理員可以很舒服地使用命令行來(lái)執(zhí)行任務(wù),同時(shí)它還希望100%的Windows Server功能可以同時(shí)這個(gè)唯一的、固定的接口實(shí)現(xiàn)腳本編輯的。

分享到

hanrui

相關(guān)推薦