简介
活动目录是在Windows Server 2003标准版本、Windows Server 2003企业版和Windows Server 2003Datacenter版上应用的目录服务。它能够存储网络上关于对象的信息,使管理员和用户能很容易找到这些信息—即提供了一个逻辑的、有层次的目录信息组织结构。 这一部分综述了在Windows Server 2003中,活动目录带来的优势、新特性以及进一步的改进。
优势
在活动目录上的改进给小型、中型和大型企业带来了关键性的战略上的优势。通过在Windows 2000的基础上进一步扩展,Windows Server 2003提高了活动目录的多功能性、可管理性以及可靠性。使用Windows Server 2003,公司能够进一步降低企业成本,同时也提高了他们共享和管理企业中各组成元素的效率。
特性与改进
Windows Server 2003将给活动目录带来更多的改进,使它的使用更加通用、可靠和经济。
|
特性
|
描述
|
|
跨森林信任关系及管理
|
用户可以安全地访问其它森林的资源,而不必牺牲在用户的主森林中仅维护一个用户ID和密码的单一登录和管理的好处。 |
| 附加的安全特性使得管理多森林和跨域信任关系更容易。新的凭证管理器提供了用户证书和X.509证书的安全存储。另外,森林信任关系也为管理两个森林之间的安全关系提供了一种新类型的Windows信任关系,从而大大简化了跨森林的安全管理和认证。 | |
|
重命名域
|
这个特性支持在一个森林中改变现存域的域名系统和/或NetBIOS名字而使得产生的森林仍然保持“良好的形式”。这个特性在一个公司必须改变域名的情况下尤其有用;比如,在一个公司合法地改变名称或者是一些公司合并后,希望拥有一个一致的名称的时候。使用重命名域会比传统的方法更有效,传统的方法可能涉及到创建一个新的域,并把所有的用户和计算机对象移到这个新的域中。 |
| 一个由域全局唯一ID(GUID)和域安全ID(SID)所描述的重命名域本身不会改变。另外,一个计算机的域成员资格不会由于容纳它的域被重命名了而改变。 | |
| 尽管这个特性为重命名域提供了支持工具,但是它并不被看作也不意味着是一种常规的IT操作。重命名域将引起一个服务中断,这个中断要求重新启动每一个域控制器。重命名域还需要每一个重命名的域的成员计算机必须重新启动两次。 | |
|
架构(Schema)中禁用属性及类的定义
|
活动目录的灵活性得到了增强,它允许在活动目录架构中禁用的属性和类的定义,以便在原始定义中出现错误时可以重新定义属性和类。禁用是一个可逆操作,所以它能够任意取消一次意外的禁用。例如,如果一个新的架构对象被错误地添加到目录中,管理员就可以使用这个特性来禁用这个对象,并为这个对象重新输入正确的定义。 |
| 如果一个引入到较新版本的活动目录架构中的新架构对象与用户引入的架构扩展冲突的话,Windows2000域控制器就不能升级到较新的服务器版本。IT管理员可以使用架构禁用特性将冲突的架构对象移出以便使系统升级继续进行。 | |
| 这种特性也使开发人员可以更加灵活地开发活动目录。例如,如果一个开发人员在开发一个新的应用程序时,把属性和类作为活动目录架构扩展包含进去,后来发现需要改变一个属性的定义,这个特性就允许开发人员在保持这个属性本身的同时做出类似的改变。 | |
| 再如,如果一个商业团体已经替换了一些应用程序的使用,这些应用程序用一个新的使用活动目录架构的程序来扩展活动目录架构。该特性使IT管理员能够禁用这个被替换的应用程序未使用的架构对象,以便使它们不与任何可能安装的新扩展相冲突。 | |
|
对inetOrgPerson类的支持
|
IT管理员可以使用这个特性把他们的inetOrgPerson对象从一个LDAP目录转移到活动目录中,将活动目录中的信息和其他LDAP目录中的信息相比较,或是在活动目录中创建inetOrgPerson对象。ISV能够很容易地把基于inetOrgPerson类的应用程序转入到活动目录中。 |
| 活动目录支持基于inetOrgPerson类的用户对象的定义,这与RFC 2798中定义的一样。该特性包含了这些用户对象对基础架构的支持属性。与用户对象一起工作的用户界面也支持inetOrgPerson对象。辅助特性包括在用户创建时间定义的用户密码、一个在未提供的情况下自动生成的samAccountName,还有用户口令userPassword属性能够使用标准文本来设置账号密码。 | |
|
利用媒介安装副本
|
该特性并非从网络上复制一个活动目录数据库的完全备份,而是在备份一个现存的DC或全局目录服务器的同时,允许管理员从创建的文件中找到初始的副本。尤其是在带宽有限的情况下。比如,公司可能希望在一个低带宽网络连接的远端站点放置一个备份DC,而在这样的连接下复制整个目录是很耗时的。 |
| 备份文件,不管是由什么活动目录相关的备份工具产生的,都能够使用诸如磁带、CD、DVD或者文件拷贝通过网络传送到候选DC中。 | |
| 这种特性必须在高级模式下运行活动目录安装向导。 | |
|
组成员副本的改进
|
当添加、改变或者删除组成员时,仅仅复制那些变化的部分就可以降低在复制过程中耗费的网络带宽和占用的处理器资源,并且在同步更新过程中能够有效的消除更新损失的可能性。在Windows2000活动目录中,组成员是作为一个单位进行存储和复制的。所以,对一个有很多成员的组进行变动就会导致对整个组成员进行复制,这就会消耗多余的网络带宽流量并增加处理器的负载。另外,如果在两个或者更多的Windows 2000域控制器中同步更新一个组的成员,那么在复制的冲突解决过程中,理论上说一些成员更新可能会丢失。 |
| 当森林升级到Windows Server 2003家族的森林本机模式时,组成员就变成是为个体的成员存储和复制值,而不是把整个成员作为一个单一单位来对待了。 | |
| 当IT管理员对运行在Windows Server 2003家族的森林本机模式下的域控制器中的安全组或邮寄分配列表进行更新时,将保持更新的完整性。 | |
|
更容易的远程登录
|
分公司和全局目录之间的连接失败不再会影响分公司用户的登录。使用域控制器的分公司可以通过被高速缓冲的证书提供用户登录,这就不需要首先连接全局目录,这样就提高了在不可靠的广域网上的系统性能及健康运转。 |
| 在Windows 2000中,当为一个在本机模式下的域用户处理登录请求时,域控制器必须连接全局目录服务器以便扩充这个用户的全局组成员。这种需要就迫使一些公司把全局目录服务器安装在远程办公室里,以便在远程站点与公司其它地方的网络连接中断时避免登录失败。 | |
| 在Windows Server 2003中,在一个不包含全局目录服务器站点中的DC可以通过活动目录站点和服务的咬接来配置,以便在处理用户登录时能够高速缓冲对全局组成员的查找。这就允许DC不必联接全局目录或在全局目录不可用的时候都能够处理登录请求。对于登录到这个站点中的DC的用户的组成员将被高速缓冲。高速缓存将在根据复制进度决定周期的基础上刷新。这也会减少对复制带宽的要求。 | |
|
改进的性能特性
|
Windows Server 2003能够更加有效地管理活动目录信息的复制和同步。管理员能更好地控制在域控制器之间复制和同步的信息类型,这些域控制器可以是一个域内部的,也可以是跨域的。另外,活动目录提供了更多的特性,能够智能化的选择仅仅被改变了的信息进行复制——即不再需要更新目录的整个部分。 |
|
改进的同步特性
|
这个特性能够使公司更有效地衡量他们的企业。当扩展了全局目录的偏属性集时,比如部署业内应用或是任意一个管理行为,新特性能够最小化对管理员网络基础结构的影响。尤其是针对于那些网速过慢的大型目录结构及网络而言。 |
| 在Windows 2000下,全局目录的偏属性集要求在扩展的偏属性集(在偏属性集中添加一个属性)传播的时候,全局目录就初始化它的只读命名上下文的整个同步过程。这个过程完成后,它就与映象到其它域控制器上的属性扩展副本一样成为最新的了。 | |
| 当一个扩展的偏属性集在企业中传播的时候,这个特性就能够提供一个保存全局目录同步状态(而无需重新设置它),以及最小化工作量和备份数据的机制。 | |
|
增强的可靠性
|
活动目录包含一些增加了可靠性的新特性,比如健康监视,它允许管理员检验在域控制器、改进的全局目录副本、以及一个更新的站间拓扑发生器之间的复制,这个拓扑发生器通过支持比Windows 2000更多站点数目的森林来更好地进行测量。 |
| 在Windows 2000中,当一个森林包含大量的站点时,就不能使用在不同站点中的域控制器之间自动创建副本连接的过程。取而代之,管理员必须创建和维护手动的站间副本拓扑。 | |
| 在Windows Server 2003中,站间拓扑发生器更新为使用改进的算法,并将支持比Windows 2000更多站点数目的森林。因为所有在森林中运行ISTG角色的域控制器必须与站间副本拓扑一致,新的算法必须在森林升级到Windows Server 2003家族的活动目录森林功能级别后才能激活(在活动目录的特性中有描述:森林和域功能的级别)。 | |
| 在IT管理员将森林升级到Windows Server 2003家族的服务器活动目录森林功能级别以后,活动目录将自动使用改进的ISTG来产生站间副本拓扑。 | |
|
禁用站点之间的副本压缩
|
当一些站点连接到高速的网络带宽时,你可以有选择地禁用在不同站点中的域控制器之间的副本压缩。这会减少使用域控制器的CPU的容量,并且增加可用性。 |
|
森林和域功能级别
|
在活动目录中有一些特性,例如组成员副本改进和站间副本拓扑发生器,它们只有在一个森林中的域控制器升级到Windows Server 2003家族后才能激活。 |
| 森林和域功能级别可提供一个版本机制,通过活动目录核心组件来判定在一个森林或一个域中哪些特性是可用的。它也可以用来防止那些运行Windows Server 2003家族以前的操作系统的域控制器的计算机加入到一个拥有只能应用于Windows Server 2003家族操作系统的活动目录特性的森林或者域中。 | |
| 为了利用Windows Server 2003域特性的高级功能,IT管理员可以在森林或域中的所有域控制器升级到运行Windows Server 2003家族操作系统之后,把森林或者域功能级别升级到Windows Server 2003家族。这个特性可以从NTDSUTIL工具中得到。 | |
|
使用ADPrep升级森林和域
|
活动目录添加了一些关于安全和应用支持的改进。在运行在Windows Server 2003操作系统上的第一域控制器能够在一个现存森林或域中升级之前,这些森林和域必须为这些新特性做准备。ADPrep是一个辅助森林和域升级的新工具。当从Windows NT4升级或者在运行有Windows Server 2003家族操作系统的服务器上进行活动目录的原始安装时,是不需要ADPrep工具的。 |
| 准备森林,管理员必须在架构操作主机上运行adprep/forestprep;准备域,管理员必须在每个域中的结构操作主机上运行adprep/domainprep。 | |
|
轻量级目录访问协议
|
轻量级目录访问协议是一个工业标准,它是活动目录最初的访问标准。LDAP第3版是由IETF(Internet Engineering Task Force)定义的。微软负责在活动目录的内容上把变化合并到这个标准里。管理员、应用程序开发员和第三方ISV通过应用LDAP标准最新的优点而受益。 |
| Windows Server 2003家族包含了一些对轻量级目录访问协议客户和服务器实现的改进。 | |
| * 支持动态记录:活动目录能够根据IETF标准协议RFC 2589存储动态记录。可以对目录中的记录分配生存时间值,它用来决定这个记录何时被自动删除。 | |
| * 支持传输层安全:通过LDAP与活动目录的连接现在可以使用在RFC 2830中规定的IETF标准TLS安全协议进行保护。 | |
| * 支持摘要式身份认证机制:通过LDAP与活动目录的连接现在可以使用在RFC 2829中规定的DIGEST-MD5 SASL认证机制来进行认证。 | |
| * 虚拟列表视图(VLV):当一个LDAP查询产生了一个很大的结果集时,对于客户应用程序来讲,把整个结果集从服务器上拉下来效率是很低的。VLV允许一个客户应用程序“窗口化”一个大的结果集,而不需要从服务器上转移整个集。VLV协议是由IETF的LDAP扩展工作组定义的。 | |
| * 支持动态辅助类:活动目录现在支持将一个辅助类(添加了由辅助类定义的属性)动态地与一个个体对象实例联系起来。在Windows 2000中,一个辅助类仅能够静态地与架构中的一个结构类定义联系起来,这意味着那个结构类的所有实例都是从添加到它们中的辅助类中获取属性的。 | |
| * 支持“快速捆绑”和连接的再使用:在无数ISV和应用程序开发人员的要求下,我们增强了活动目录来支持快速捆绑和连接的再使用。许多网络应用程序将活动目录作为一个认证存储来使用。快速捆绑允许一个网络或者任何其它的应用程序从活动目录中请求简单的鉴别认证,而不需要产生Windows特定的授权信息,这就提高了这些应用程序的性能。一个应用程序也可以代表不同用户的多个查询重复使用对这个目录的初始连接。这也会使得性能增强,因为应用程序不必为每个查询重复的建立连接。这种增强对于向无数网络查询提供服务的网络应用程序尤其重要。 | |
|
元目录支持
|
微软元目录服务有助于公司从多目录、数据库和文件中使用活动目录集成身份信息。微软元目录服务向公司提供了一个统一的身份信息视图,使用微软元目录服务进行商业过程集成,并且有助于在公司范围内同步身份信息。 |
|
DirSync控制改进
|
Windows 2000活动目录支持一个轻量级目录访问协议控制,叫做DirSync控制,能够从目录中检索变化的信息。这个特性提供了一种将执行访问检查的能力赋予DirSync控制的方法,这种访问检查就像在正常的LDAP搜索中执行的一样。 |
|
WMI提供商监视副本和信任关系
|
通过使用WMI来监视信任关系和活动目录副本就更容易了。这个特性提供了WMI类来监视域控制器是否成功地在它们之间复制了活动目录信息。因为许多Windows 2000组件,比如活动目录副本,是依赖于域间的信任关系的,所以这个特性也提供一种监视信任关系正确地起作用的方法。 |
| IT管理员或独立的软件开发人员也能使用这种特性来编写脚本或者应用程序,用来监视活动目录副本和域间信任关系的健康状况。 | |
|
应用程序目录分区
|
一些目录信息并不需要全局可用。这个特性提供了在活动目录中容纳数据,同时并不影响网络性能,它是通过提供对复制范围和副本放置的控制来实现的。 |
| 活动目录服务允许创建一种新类型的命名上下文、或者说分区,这被称作是应用程序分区。这个命名上下文能包含一个除了安全负责人(用户、组和计算机)之外的任何类型的对象的层次结构,还能配置成用来复制森林中任何集合的域控制器,它们不一定全在同一个域中。 | |
| 这意味着来源于诸如远程访问服务、RADIUS、动态主机配置协议以及普通开放策略服务的网络服务中的动态数据,能够放在一个目录中以便于应用程序能够用一种访问方法统一地访问它们。开发人员使用这种特性将应用程序数据写到专用的应用程序目录分区而不是一个域分区中。 | |
|
延迟对象删除机制
|
这个特性防止了活动目录中各种副本的不一致性,这种不一致性可能会引起安全问题并且会减慢活动目录数据库大小的增长。延迟对象可能由于域控制器长时间的不可用而存在于活动目录中,在这段不可用的时间中,对象的tombstone生存期已经过期,并且tombstone对象也从活动目录中被删除了。这个特性提供了在活动目录中删除延迟对象的能力。 |
|
防止过载域集群
|
这个特性防止使第一活动目录域控制器过载,这个活动目录域控制器被引进到一个已经包含大量运行有Windows 2000和Windows Server 2003家族的已升级的域成员的域中。 |
| 这个特性在一个Windows NT4域包含运行在Windows 2000、Windows XP企业版和Windows Server 2003家族上的域成员时是有用的。当一个主域控制器升级到Windows 2000 Service Pack 2或者Windows Server 2003家族时,它可以配置成模拟Windows NT4目录控制器的行为。运行在Windows 2000和Windows Server 2003家族上的域成员不会将升级的DC与Windows NT4的 DC区分开来。为了适应IT管理员的特殊需要,运行在Windows 2000 Service Pack 2和Windows Server 2003家族上的域成员可以配置成通知一个运行在Windows 2000 Service Pack 2和Windows Server 2003家族上的目录控制器在响应这些域成员时不要模拟Windows NT4目录控制器的行为。这个配置是通过注册表编辑器来执行的。 | |
|
删除非-X500兼容的RDN限制
|
在活动目录中,命名属性(也叫做相对标识名、RDN、属性)对每一个类在架构中进行定义。比如,用户类使用普通名字作为命名属性。没有定义命名属性的类从它的父类中继承命名属性。选择了命名属性以后,它就不能再改变了。活动目录也有这样的要求,就是RDN在一个容器内必须是唯一的,这样就使得具有相同RDN的两个用户不可能在一个相同的容器中。 |
| 在Windows Server 2003家族中这个特性增强了,它能够删除inetOrgPerson(在缺省架构中使用普通名字作为命名属性),使用任何统一代码字符串属性作为命名属性来重新创建它。除了普通名字以外,任何其它的属性都可以用作命名属性。 | |
| 例如,如果在一个有相同名字的相同OU中有许多用户,这个特性就可以使管理员为这些用户选择一个识别属性,这个属性将保证没有命名冲突。这个特性在目录合并的情况下也是有用的,就像公司的收购一样。如果一个公司获得了另一个正在运行另外的轻量级目录访问协议目录的生意,这个目录对他们的inetOrgPerson对象使用不同的命名属性,管理员就能够使用这种特性来改变命名属性,然后从LDAP目录中把inetOrgPerson对象转移到活动目录中去。 |
改进的管理和用户界面
Windows Server 2003增强了一些活动目录管理界面。管理员现在可以同时编辑多个用户对象,把ACL许可权重置为缺省的,显示对一个安全负责人的有效许可权以及指出一个继承权限的父系。
|
特性
|
描述
|
|
改进的安装和配置
|
这个特性简化了不正确的域名系统配置的调试、处理和报告,并且有利于正确地配置活动目录部署需要的域名系统基础结构 |
| * 如果在一个现存的森林中提升一个域控制器,那么活动目录安装向导就会联系一个现存的目录控制器来升级目录并且从目录控制器中复制所需的目录部分。如果向导由于一个不正确的域名系统配置或是这个目录控制器不可用而导致不能定位一个目录控制器的话,它就会进行调试并且报告是由于什么原因导致了这个失败以及如何解决这个问题。 | |
| * 为了使自己能在网络中定位,每一个目录控制器都必须在域名系统目录控制器定位器的域名系统记录中注册。活动目录安装向导证实域名系统基础结构是正确的配置,以允许新的目录控制器执行它的目录控制器定位器的域名系统记录的动态更新。如果这个检查发现了错误配置的域名系统基础结构,它就将报告这个错误并解释如何解决这个问题。 | |
| 如果域名系统基础结构正确地配置以允许活动目录部署,那么IT管理员就不会注意到这个特性的存在。否则,如果域名系统基础结构没有正确地配置,而且还阻止活动目录部署,它就会在试图使用活动目录安装向导来执行活动目录安装时引起管理员的注意。 | |
|
活动目录迁移工具
|
通过一些对活动目录转移工具进行的改进,现在转移活动目录变得很容易。活动目录迁移工具第2版现在允许从Windows NT4到Windows2000和Windows Server 2003家族迁移密码,或者从Windows 2000和Windows Server 2003家族到Windows 2000和Windows Server 2003家族域迁移密码。对于大部分通常使用的迁移任务,比如用户、组和计算机的迁移,要添加一个新的脚本接口。活动目录迁移工具现在可以用任何语言驱动,并支持COM接口,比如Visual Basic? 脚本, Visual Basic和Visual C++?开发系统。脚本接口已经扩展成为可以支持命令行方式。所有的可写脚本的任务都能够从一个命令行或者通过批处理文件来直接执行。这些脚本和COM接口的改进使开发人员能更容易地把活动目录迁移工具集成到他们的应用程序中,并且使活动目录迁移工具只用于批处理的情况。 |
|
增强的用户界面
|
因为负责人要管理企业身份、对象和关系,所以微软管理控制台插件程序现在包含了拖拽功能、多对象选择以及保存和再使用查询的能力。 |
|
对象挑选器的改进
|
通过改进对象挑选器用户界面和其它的管理用户界面,对活动目录的管理变得更容易了,这两个界面允许管理员选择一个或者更多的用户、计算机、组或者联系人。 |
| 对象挑选器是通过许多的用户界面来使用的,并对第三方开发人员提供可用性。所以,它提供了公共的和私有的界面,运行程序的人可以使用这些界面来定制适合他们需要的行为。例如,可以在单一选择模式或者多选择模式下运行它,或者也可以在只允许一个特定类型的对象(例如用户)被选择时运行它。 | |
| 对象挑选器已经被重新设计和增强了,产生如下的效果: | |
| * 优化的管理员工作流程允许快速查找目录对象 | |
| * 改进了对在一个大目录中查找对象的支持 | |
| * 减少了目录服务对网络的影响 | |
| * 能够在目录中对一个特定组织单元设定搜索范围 | |
| * 更灵活的基于对象的属性在目录中查找对象的查询能力 | |
|
活动目录用户和计算机:保存的查询
|
这个特性允许保存、重新打开、刷新以及电子邮寄查询,这样就使管理更加容易。一个查询就是在一个数据集(目录)上对匹配特定标准(例如目录对象属性值)的内容的一个搜索。可以在用户界面中查看和操纵查询对象和结果。 |
| 这个特性对管理员来讲有许多好处: | |
| * IT管理员可以使用这个特性来输出一个对报表或分析进行的属性查询的结果。他们能在一个周期的基础上刷新这个查询,这样就可以在完成管理报表时节省时间。 | |
| * IT管理员可以使用这个特性来根据用户的属性选择一组用户,然后把他们全部添加到一个组里。 | |
| * IT管理员可以查询目录找到一组特定的用户对象,然后立即对所有对象编辑属性(在“活动目录:多用户对象的编辑”特性中有描述) | |
| * IT管理员可以使用这个特性来识别所有被禁用的账号,识别所有在某特定日期过期的账号,识别所有具有未过期密码的账号,识别所有RAS激活的系统账号,找到密码老于一个特定天数的用户账号,找到RAS回叫激活的账号,还可以找到所有没有管理者的账号 | |
| * IT管理员可以查询目录来找到一组特定的用户对象,然后立即对所有对象编辑属性,就像在“活动目录用户和计算机咬接:多用户对象同时编辑”新特性里描述的一样。 | |
|
活动目录用户和计算机:编辑多用户对象
|
这个特性提供了选择多用户对象、然后给出一组属性清单的能力,这个属性清单将允许清除或设置所有被选对象的对象属性。只有特定的属性清单和属性将对这个多对象编辑可用。这个特性可以仅用几步就对大量的对象同时改变属性,这就使管理更加容易。 |
组策略中的改进和新特性
组策略允许你对用户和计算机定义设置和允许的动作。与本地策略相反,你可以使用组策略在活动目录中设置应用于一个特定站点、一个域、或者一个公司部门的策略。基于策略的管理简化了诸如系统更新操作、应用程序安装、用户配置文件、以及桌面系统锁定等任务。Windows服务器版2003增加了超过100个新的策略对象。
|
特性
|
描述
|
|
策略合成集
|
这个工具允许一个IT管理员在实际和假定的情况下,为一个给定的用户或计算机确定策略的合成集。日志记录模式使得IT管理员可以检测在一台特定的计算机上实际处理了什么。规划模式使得IT管理员可以对目录中的一个特定位置、安全组成员、以及WMI过滤属性进行“假定”的分析。 |
| 策略合成集向导指示管理员通过必要的步骤来创建一个适当的目标,生成策略合成集数据,并且启动策略合成集工具来使用这个数据。这个工具可以确定一个现存目标的状态,并且通过操纵组策略可能应用的方式来运行情况。对于一个给定的目标,它允许访问和检查策略合成集;在仿真环境下对一个特定的目标,它还允许生成和检查策略合成集;在新的标准下,它允许容易的差别检查。 | |
| 策略合成集通过活动目录用户和计算机微软管理控制台咬接或者通过策略合成集微软管理控制台咬接可用。 | |
|
组策略:新策略
|
这些策略为用户组提供了更强的管理、定制以及控制操作系统行为的能力。现在,操作系统中有超过160个策略设置。这些新的策略设置会影响到诸如控制面板、差错报告、终端服务、远程帮助、网络和拨号连接、域名系统、网络登录、组策略以及漫游配置文件的功能。 |
| * 网络登录:网络登录策略提供了在运行Windows服务器版2003家族的计算机上使用组策略配置网络登录设置的能力。这就简化了当调节网络登录设置时,配置域成员所需要的步骤。这些网络登录设置可能有启用和禁用特定域控制器定位器的域名系统记录的动态注册,周期性的刷新这些记录,启用和禁用自动站点覆盖和许多其它的流行网络登录的参数。 | |
| * 证书管理器:证书管理器是用来使用和管理用户证书的。这个组策略特性提供了允许禁用证书管理器的能力。 | |
| * 64位软件:64位软件策略给64位软件的部署提供了组策略支持。在应用程序部署编辑器中的新选项可以帮助确定32位的应用程序是否应该部署到64位的客户。应用程序部署编辑器也允许现存的Windows 2000部署被由Windows XP和Windows Server 2003家族提供的同等级的功能所管理。 | |
| * 支持URL:这个特性为软件包提供了编辑和增加一个支持统一资源定位器的能力。当应用程序出现在目标计算机的添加/删除程序中时,用户可以选择支持信息URL并指向支持网页。这个特性有助于减少调用帮助平台或支持组。 | |
| * 终端服务:现在终端服务策略为大部分的配置提供组策略设置。 | |
| * 我的文档:通过组策略,这个特性提供了将用户的我的文档文件夹重定向到他们的主目录的能力。 | |
|
使用组策略管理DNS
|
这个特性使管理员能够在运行Windows Server 2003 操作系统家族的计算机上,使用组策略更简单的管理和配置域名系统客户端配置。这就简化了当调整诸如客户端启用和禁用DNS记录的动态注册、在名字解析期间使用主DNS后缀的授权、以及增加DNS后缀搜索列表这些DNS客户端设置时,配置域成员所需要的步骤。 |
| 除了管理的简化,对最后参数的组策略支持(DNS后缀搜索列表)被看作是一项策略性的特性,它在转移到一个缺少NetBIOS环境下时是必要的。 | |
|
软件限制策略
|
这个策略使你能够增强对运行Windows XP和Windows Server 2003家族的计算机的管理,它允许更好的防御病毒、特洛伊木马和有害的应用程序。软件限制策略提供了一个策略驱动机制来识别运行在一个域上的软件并控制它执行。它可以识别恶意的、或有害的软件,阻止它在运行有Windows XP和Windows服务器版2003家族的计算机上执行。这个特性还允许你限制运行在严格管理的工作站(例如信息站、任务站或者应用程序站)上的软件,使这个软件仅为某个软件列表中的列出的软件。这个特性有助于为这些计算机提高系统稳定性和完整性。这个特性是从管理组策略咬接中运行的。 |
|
管理模板网络视图
|
这个特性增强了组策略管理模板扩展咬接,使它能够查看关于不同可用的策略设置的详尽信息。当选择了一个策略设置时,详细说明了设置行为和额外信息的信息在管理模板用户界面内部被显示在网络视图中,而这些额外信息是关于设置可能在哪里使用的。这个信息也可以从每个设置的属性页上的解释制表中获得。 |
|
WMI过滤
|
Windows管理测试设备过滤是一个对组策略基础结构的附加,它具有确定一个基于WMI的查询来过滤组策略对象的影响的能力。这也将是作为一个制表对组策略对象属性页的一个附加,这里可以确定、创建和编辑一个过滤器。另外,包含了支持用来允许策略合成集既可以显示现存的WMI过滤器,同时又能确定交替的WMI过滤器。这与在Windows 2000中实现的安全组过滤的概念是相似的。 |
|
组策略管理控制台
|
在Windows Server 2003推出后不久,组策略管理控制台在微软的主页上就被期望能够自由获得,组策略管理控制台将为管理组策略提供新的架构。使用组策略管理控制台,组策略变得更容易使用,这就是一个使更多的公司能够更好地利用活动目录服务并利用它的强大的成本节约特性的优点。 |
| 例如,组策略管理控制台使备份和重新存储组策略对象、输入/输出和拷贝/粘贴组策略对象、报表组策略对象的设置和策略合成集数据以及脚本化所有组策略管理控制台操作成为可能。例如,使用组策略对象的输入和拷贝粘贴,管理员可以为各种配置维护组策略对象的预设版本(严格管理的桌面型电脑、笔记本电脑、Windows Server 2003上的终端服务、交换服务器等等)并且快速地在整个公司范围内按所需部署它们。 | |
| 另外,组策略管理控制台让管理员在一个给定的森林内部为多个域和站点管理组策略。所有这些都是在有着拖放支持的简化了的用户界面中实现的。使用跨森林信任关系,管理员可以从相同的控制台跨多个森林来管理组策略。组策略管理控制台也能为Wndows 2000或者Windows Server 2003域管理组策略。 | |
|
跨森林支持
|
Windows Server 2003中的跨森林特性能够使一些组策略支持的新的情况成为可能。尽管组策略对象仅能被链接到给定森林内的站点、域或OU上,Windows Server 2003组策略却能成功地支持这些新的交互性的情况。 |
| 例如,对于一个在森林A中的用户,他可以用他们自己的策略集来登录到森林B中的计算机上去。另外地,在一个GPO内部的设置可以引用外部森林的服务器,比如软件发布点。 | |
|
软件限制策略
|
这个特性提供了一个策略驱动机制来识别运行在一个域中的软件,并控制它执行的能力。它可以识别恶意的或是有害的软件,并且阻止它在运行Windows XP和Windows Server 2003家族的计算机上执行。这就使你能够用一种能更好地防御病毒、特洛伊木马和有害的应用程序的方法来提高对运行Windows XP和Windows Server 2003家族的计算机的管理。这个特性也使你能够限制运行在被高度管理的工作站(信息站、任务工作站或是应用程序工作站)上的软件,使它只能够是某个软件列表中的软件。这有助于提高这些计算机的系统稳定性和完整性。这个特性可从组策略对象编辑器咬接中获得。 |
|
组策略对象编辑器中的增强的用户接口
|
使用在组策略对象编辑器中的网络视图集成,能够更容易的理解、管理和验证策略设置。点击一个策略会立即显示出解释它的功能和诸如仅支持Windows XP或Windows 2000的支持环境的文本。 |
|
WMI过滤
|
Windows管理测试设备使管理员能够决定是否将一个组策略对象应用到一个特定的计算机或者基于目标计算机/用户的WMI属性的用户。这与在Windows 2000中实现的安全组过滤的概念相似。 |
|
文件夹重定向增强
|
管理员现在可以选择将用户的我的文档文件夹重定向到用户的主目录。 |
|
对基于组策略的软件版本的增强
|
微软已经在Windows Server 2003中实现了以下的增强。 |
| 管理员现在可以选择分配应用程序给用户,并在用户启动应用程序时让他们或者在登录时完全安装,或者根据要求安装。对这个支持的选择是在组策略对象编辑器的软件设置节点中进行的。 | |
| 管理员现在可以指定一个出现在用户的添加/删除程序中的URL,这个程序将指向支持信息。 |
总结
Windows Server 2003中的活动目录是建立在Windows 2000基础上的,它强调简化的管理、更强的通用性以及不可匹敌的可靠性。活动目录已经成为了建立企业网络的坚实基础,它的不可超越的能力在于:
• 利用现有的投资和目录的巩固管理
• 扩展管理控制以及减少冗余的管理任务
• 更有效地简化远程集成以及使用网络资源
• 减少TCO并提高IT资源的利用
更多信息
当Windows Server 2003的最终版本可用时,微软将在网上发布一个更详尽的Windows服务器版2003技术综述。关于这些技术文章的链接可直接浏览:
http://www.microsoft.com/china/windowsserver
http://www.microsoft.com/china/technet