虽然在大多数情况下,微软过去的R2版本——Windows Server 2003 R2——只针对非常特定的需求。Windows Server 2008 R2中却包含了可以直接影响活动目录(Active Directory AD)管理员的改进。 Windows Server 2008 R2活动目录的新的能力可能会刺激企业升级他们的域控制器(domain controller DC)。由于这些服务器通常缺乏复杂的软件整合或者包含了太多的第三方应用,对于考虑使用R2的组织而言,升级DC可能是明智的第一步。
而且,为了得到微软宣称的九个活动目录增强、域以或者林的功能级别也需要升级到R2。 下面是……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
虽然在大多数情况下,微软过去的R2版本——Windows Server 2003 R2——只针对非常特定的需求。Windows Server 2008 R2中却包含了可以直接影响活动目录(Active Directory AD)管理员的改进。
Windows Server 2008 R2活动目录的新的能力可能会刺激企业升级他们的域控制器(domain controller DC)。由于这些服务器通常缺乏复杂的软件整合或者包含了太多的第三方应用,对于考虑使用R2的组织而言,升级DC可能是明智的第一步。而且,为了得到微软宣称的九个活动目录增强、域以或者林的功能级别也需要升级到R2。
下面是Windows Server 2008 R2中针对活动目录的值得注意的新功能和增强,同时也介绍了一些可以被忽略的部分。
脱机域合并
计划安装Windows 7或者Server 2008 R2的环境——特别是在那些希望进入托管虚拟桌面的环境——会从脱机域合并中受益。
通过这个工具——仅在最新的操作系统中工作——管理员可以在没有连接到网络的情况下,将计算机加入到一个活动目录域中。这样一来,新的计算机可以在第一次启动时就自动地加入域,消除了其至少一次的重启动并加速了域中扩充新的计算机实例的过程。
离线域合并通过命令行工具djoin.exe来完成其工作。如果您在研究如何自动对新的计算机实例进行分布调整,那么就需要学习该工具。
受监管的服务账户
服务账户一直是IT专业人士的一个顽疾。对这些账户进行密码更换以及其它的管理都是很难的——一个域的密码和账户策略往往在最糟糕的时候产生最主要的问题。
在Windows Server 2008 R2中,服务账户以受监管的服务账户和虚拟账户的形式得到了一定的改进。通过受监管的服务账户,在个别服务器上的本地账户密码(虚拟账户)能在其链接到的活动目录中的密码被更改时得到自动更改。受监管的服务账户仅被Windows 7和Windows Server 2008 R2支持,而且完全通过PowerShell进行管理。
活动目录网络服务
虽然您可能不会与活动目录网络服务做直接的交互,这个功能将与活动目录域服务(Active Directory Domain Service ADDS)的交互,拓展为任意的外部网络服务应用。这种从传统的封闭的活动目录域服务到网络服务框架的扩展,使得第三方解决方案能够容易地连接到域管理器。
活动目录网络服务在环境中,同传统的活动目录域服务以及活动目录轻量级目录服务(AD Lightweight Directory Services LDS)一起协同工作,其中活动目录轻量级目录服务使用了其认证能力。
尽管简单的认证需要证书才能通过,Windows集成认证和简单的明文形式的用户名、密码也被支持。
默认情况下,活动目录网络服务仅提供在Windows Server 2008 R2 域控制器之上与活动目录域服务的交互。对于低级别的服务器,微软提供了活动目录管理网关服务(AD Management Gateway Service),使网络服务能达到同旧的域控制器相同的能力。另外,活动网络服务是被安装在任何升级的域控制器之上:活动目录管理网关则仅需独立进行安装。
认证机制确保
您是否希望,当用户登录不仅仅使用密码而是使用智能卡时,能为用户提供一套不同的资源?现在,您可以通过认证机制资源(authentication mechanism assurance)来实现。这个功能在域中创建了一个新的全局组(Universal Group),其中自动封装了所有已经使用证书(通常是通过智能卡登录)登录了的用户的名字。
通过认证机制确保,用户群可以分为两类 – 那些已经通过证书登录的和那些没有的通过证书登录的——而可以对这些组分配不同的资源访问权限。因此,可以对已经通过强认证机制登录的用户,设立新的访问控制措施。
活动目录管理包
系统中心操作管理器(System Center Operation Manager OpsMgr)平台会很快将这个新的管理包纳入到它们的基础设施之中。其他人可以安全地忽略这一新特征——尽管他们应该考虑安装一个系统中心操作管理器。在发现问题方面,没有比系统中心操作管理器更好的服务器 – 并最终在环境中节省了时间。
总体而言,域控制器是很容易升级的,而其新的功能和能力也是值得去升级的。某些功能需要对域功能级别进行升级——一个需要新操作系统中的所有的域控制器都去做的过程——同时其它的一些功能需要对林功能级别进行升级,需要对林中的每个域控制器都升级。因此,在一个大的环境中,升级过程可能需要花费一些时间。
但是,确信无疑的是——您会享受其成果。我在Windows Server 2008 R2上花的时间越多,我对其新功能就越欣赏。当您把R2版本与Windows Server 2003中的版本相对比时,您会发现巨大的不同。
作者
Greg Shields,MCSE(微软认证系统工程师),是Concentrated Technology(www.concentratedtechnology.com)共同创始人和IT技术专家。他拥有近十五年的IT架构和企业管理经验。同时,也是一名IT培训师,并对IT多个技术主题进行演讲,主要包括微软管理、系统管理及监控、虚拟化等。他最近的著作是由SAPIEN出版社出版的《Windows Server 2008: What's New/What's Changed》。
相关推荐
-
Azure Active Directory Connect是如何协助管理员工作的?
Azure的AD Connect工具可以协助管理员在本地Active Directory环境中顺利工作,也有助于从Azure云中获取管理资源。
-
Active Directory数据库太杂乱?ADSI Edit来清理
随着Active Directory数据库老化,系统会在局部删除用户账号、安装应用程序失败或者其他管理上的失误后积累乱七八糟的东西,以及出现崩溃现象。本文介绍如何使用ADSI Edit来清理Active Directory数据库。
-
如何执行活动目录备份和恢复?
我需要做活动目录备份,但我不确定该使用哪个方法。哪一种才是比较容易的备份和恢复方法呢?
-
Azure进阶教程
微软从未放松其云战略脚步,作为其云计算平台,Azure今年已增加了众多更新,受人瞩目。本期技术手册将深入介绍Azure更多相关知识,涉及Azure新功能、Azure监控与管理,以及Azure的安全措施等等。