软件正版化+Windows Server 2016
Windows Server 2016是微软于2016年10月13日正式的发布最新服务器操作系统。
它在整体的设计风格与功能上更加靠近了Windows 10。
初探Windows Server 2016用户组策略
虽
Windows Server 2016
然在Windows Server 2016系统中,微软官方发布了许多Windows Server 2016新的功能和特性,但是Windows Server 2016在用户组策略功能上却与以前的系统版本没有大的变化。尽管微软公司有可能在Windows Server 2016和Windows 10中引入一些特殊的组策略功能,但是整个Windows Server 2016组策略架构仍没有改变。
在Windows Server 2016系统中,系统用户和用户组策略,Windows Server 2016管理功能仍然存在(见图 1)。这些组策略设置权限可以在域、用户组织单位OU、站点或本地计算机权限层级上申请。
1. Windows Server 2016预览版2中的组策略编辑器
与之前的版本相比,Windows Server 2016系统在组策略配置方式上发生改变。在Windows Server 2016系统中,微软鼓励用户使用最简便的方式配置服务器操作系统。Windows Server 2016使用图形化进行配置管理并不是最优的方式(见图2)。在Windows Server 2016操作系统安装选项下的描述中就解释到:如需考虑需要与以后的系统版本兼容的情况,推荐用户在安装Windows Server 2016操作系统的同时,选择安装本地管理工具。
2. 安装Windows Server 2016系统时,微软推荐不要安装本地管理工具
Windows Server 2016这种安装方式随之带来的问题是:怎样访问组策略编译器。对于不同的Windows Server 2016安装式,你需要使用不同的Windows Server 2016方法。因为本文测试环境使用的是Windows Server 2016预览版,所以现在文中用到的方法以后也可能会发生变化。但是如果你已经安装好了Windows Server 2016本地管理工具软件,那么访问用户组策略的方式与Windows Server 2012系统下使用的方式相似。
现在,甚至对于已安装本地管理工具软件的Windows Server 2016系统来说,系统管理仍不方便。使用者除了通过Windows Server 2016命令提示窗口和服务管理器的接口外,已没有其它方式,因为没有Windows Server 2016系统桌面,没有开始菜单(见图3):
3. 这就是Windows Server 2016 预览版2中的系统管理界面
在Windows Server 2016预览版2中,仍然保留了大部份Windows Server 2012 R2风格的管理工具,但是Windows Server 2016想访问那些管理工具却不能凭以前的经验。例如在Windows Server 2016系统管理器,虽然Windows Server 2016设置了到本地安全配置服务的链接,Windows Server 2016却没有把用户域组策略的功能包含进来。如果你想访问Windows Server 2016用户管理和部份本地安全策略,你需要切换到Windows Server 2016命令提示界面,进入到C:\%systemroot%\system32目录,然后执行GPEDIT.MSC命令(见图4):
4. 你可以在命令提示界面中使用GPEDIT.MSC命令,以加载用户策略编辑器。
对于没有安装Windows Server 2016本地管理工具的操作系统来说,你只有选择使用Windows Server 2016远程终端管理用户组策略或使用PowerShell命令。如果你想通过Windows Server 2016远程终端管理用户组策略,你至少需要一个已装安装好Windows Server 2016本地管理工具的终端。在Windows Server 2016终端操作系统的命令提示符中,键入MMC命令。加载完成管理界面后,从Windows Server 2016文件菜单中选择“添加/删除”组件。当你完成Windows Server 2016相应选择后,Windows Server 2016系统将给你一列组件清单。从组件清单中,选择“组策略对象编辑器”,并点击“增加”按钮。然后Windows Server 2016系统会提示你,需要选择Windows Server 2016管理哪台系统的组策略。点击“浏览”按钮,并选中Windows Server 2016需要远程管理用户组策略的系统(见图5):
5. 点击Windows Server 2016浏览按钮,然后选择你想编辑的组策略
另外一种方法是通过PowerShell命令来编辑管理用户组策略。在Windows Server 2016中,提供了一个完整的PowerShell软件模块用于用户组策略的管理。但是PowerShell用户组策略模块不会被默认安装,除非Windows Server 2016系统被配置为域控制器或系统中已经安装用户组策略管理终端软件。微软现在仍没有发布Windows Server 2016官方文档,说明在Windows Server 2016系统中哪些条件下,PowerShell用户组策略功能模块可用。
当Windows Server 2016系统开始正始发布时,大部份公司很有可能选择Windows Server 2016远程管理用户组策略的方式,而不是选择安装Windows Server 2016本地管理工具包。虽然PowerShell也是一种可行的方案,但是在小规模的IT环境中,Windows Server 2016图形化管理方式明显
随着Windows Server 2016版本的持续发展,是时候考虑改变服务器网络了。在Windows Server 2016新版本中将会减少对网络访问保护(NAP)的支持,而Windows Server 2016增加对虚拟网络和网关间的GRE隧道支持,并对DNS客户端的特性进行了改变。
在早期的2004年,我们会认为网络访问保护(NAP)是网络的万金油。我们可以隔离我们觉得可疑的Windows Server 2016设备,直到认为这些设备满足了我们的Windows Server 2016规范(更新到最新版本并且打上了最新的补丁),并扫描这些设备让Windows Server 2016不存在任何恶意程序,之后才能认可这个Windows Server 2016设备并且将这个Windows Server 2016设备下放到我们的网络中来同时赋予所有权限。我们可以指定某个区域的网络和某个服务器为修复Windows Server 2016服务器,在修复Windows Server 2016服务器上我们可以下载防病毒保护和补丁。即使有个Windows Server 2016供应商带来了一部很多病毒的笔记本电脑接入网络中,他进行了30分钟的演讲然后便消失得无影无踪,我们也不用花费3天的时间去收拾残局(这里的供应商有时也代表远程办公的职员)。
不管是什么原因,Windows Server 2016 NAP从来没有达到巅峰,这可能要归结于以下几个原因:
Windows Server 2016NAP从来没有统一的标准,其中Juniper用一个标准而Cisco用另一个标准。将所有厂家都统计标准是可行的,但是会耗时耗力。
其实有很多种方法可以达到相同的目的,比如你可以阻止Windows Server 2016DHCP分配地址,在交换机上执行端口限制,用自定义的访问控制列表等等。
用户也会反对Windows Server 2016NAP,因为他们不希望他们的电脑在家是能正常使用,而一拿到办公室却要耗费大量时间去打补丁。所以Windows Server 2016NAP注定是还没怎么存在过就要死去。
哎,如微软回应一样,业界已经远离Windows Server 2016网络访问检测和保护。在Windows Server 2016中NAP已经被弃用,而且在未来也不太可能被继续开发。
随着很多Windows Server 2016虚拟机被整合并运行在一个主机上以及云服务的扩张,你的Windows Server 2016虚拟机会在自己的数据中心和公有云上来回转移,因此对公有Windows Server 2016因特网上的隧道技术支持已经成为了一种必要。各种VPN一般在数据链路层工作得挺好,但是要修订针对Windows Server 2016上多用户环境,特别在高密度配置下,我们需要使用数据链路层以下的(OSI协议)层。
通用路由封装(GRE),是在Windows Server 2016上使用的一种协议,Windows Server 2016可以封装OSI协议栈的网络层上的不同协议,Windows Server 2016让这些封装后的数据在云计算中心和你的数据中心中进行数据传输。使用GRE后,Windows Server 2016可以在虚拟网络、管理程序和外部网络(包括Internet)之间发送网络层报文。Windows Server 2016GRE是路由器和交换机都能普遍识别的协议,所以Windows Server 2016不需要特殊的硬件等,可能需要的仅仅是重新配置的工作。而且Windows Server 2016是轻量级的,Windows Server 2016能通过Internet连接一个虚拟网络和地理位置离很远的另一个虚拟网络,并且工作得很好。
当今很多Windows Server 2016服务器买回来的时候已经配了多块网卡,有些会在Windows Server 2016服务器主板上内置类似4口的网卡,有一些是主板内置了一个一口或者双口的网卡,另外在PCI插槽上配一个单网口卡(很多Dell的服务器就是这样的配置模式)。假设所有这些不同的Windows Server 2016网卡都同时连接到网络中来,而且所有的网卡都通过Windows Server 2016DHCP分配或者静态地得到了稍微不同的DNS服务器配置,那么会出现很奇怪的名字解析问题,Windows Server 2016服务器不知道应该用哪一个Windows Server 2016DNS服务器来解析名称。在下一个版本的Windows Server 2016里面,当任何网卡及其配置的DNS服务器在做DNS解析的时候,DNS client服务会对这块网卡进行绑定。这样可以解决很多异常的现象,特别是Windows Server 2016服务器上运行了很多虚拟机和承载了很多网络流量的时候,这也清理了一些时不时出现又很难排查和修复的问题。
此外,如果你使用组策略去部署名称解析策略表(NRPT)的话,Windows Server 2016DNS客户端是不会对网卡进行上述绑定的。一般来说Windows Server 2016NRPT使用在大型的企业网中,而且默认是关闭的,所以如果你没有设置Windows Server 2016NRPT,就不用担心这个问题。
免费升级
微软日前推出Windows Server 2016免费升级计划:在9月1日至明年6月30日间,从VMware转用Hyper-V的用户,只需支付软件保证费用,就可以免费使用新版Windows Server 2016操作系统。另外,微软也预告Windows Server 2016和System Center 2016将在9月推出。