DOITAPP
DOIT数据智能产业媒体与服务平台
立即打开
DOITAPP
DOIT数据智能产业媒体与服务平台
立即打开

Windows Server 2008 R2 AD新特性

时光飞逝,一转眼十年过去了,在1999年4月9日,第一个Active Directory域控制器被部署在微软的生产网络中。 时至今日,在Active Directory商用十年诞辰的基础上,Windows Server 2008 R2已进入我们的视野,进入我们的生产环境。

这些年Active Directory前进的方向伴随着每一款Windows Server产品的发布与应用:Windows 2000 Server立足于网络资源的目录管理,实现了基本的目录功能结构,如委派、搜索、站点拓扑;Windows Server 2003增加了活动目录的扩展性和提升了目录服务的性能;到Windows Server 2008为分支机构目录安全性、网络负载提供了解决方案,在独立目录服务的基础上让管理人员更好的维护和管理Active Directory;那么Windows Server 2008 R2的Active Directory又带来了哪些变革和超越呢?

降低操作成本

Active Directory回收站。对于 Active Directory 域服务和 Active Directory 轻型目录服务的用户而言,经常会出现意外删除 Active Directory 对象的情况。在 Windows Server 2008 Active Directory 域中,可以从 Windows Server Backup 生成的 AD DS 备份恢复意外删除的对象。 我们可以使用 ntdsutil authoritative restore 命令将对象标记为权威,以确保在整个域中复制还原的数据。 权威还原解决方案的缺点在于,它必须在目录服务还原模式 (DSRM) 下执行。 在 DSRM 过程中,被还原的域控制器必须保持脱机。 因此,它无法同时处理客户端请求。

此外,在 Windows Server 2003 Active Directory 和 Windows Server 2008 AD DS 中,可以通过逻辑删除恢复来恢复删除的 Active Directory 对象。 在 Windows Server 2003 和 Windows Server 2008 中,不会立即以物理方式删除数据库中已删除的 Active Directory 对象。 相反,对象的可分辨名称(也称为 DN)会损坏,大多数对象的未链接值属性被清除,对象的所有链接值属性被物理删除,并且对象被移动到对象的命名上下文中的特殊容器(称为“已删除对象”)中。 该对象现在称为 Tombstone(逻辑删除),对于一般目录操作不可见。 在逻辑删除的生存期间内可随时恢复逻辑删除,并使其再次成为活动 Active Directory 对象。 在 Windows Server 2003 和 Windows Server 2008 中,默认的逻辑删除生存期为 180 天。 可以使用逻辑删除恢复来恢复已删除对象,而不需要使您的域控制器或 AD LDS 实例脱机。 但是,恢复项目的已物理删除的链接值属性(例如,用户帐户的组成员身份)和已清除的未链接值属性不会被恢复。 因此,管理员无法依靠逻辑删除恢复作为意外删除对象的最终解决方案。

Windows Server 2008 R2 中的 Active Directory 回收站构建于现有的逻辑删除恢复基础结构上,帮助我们增强保存和恢复意外删除的 Active Directory 对象的能力。Active Directory 回收站使目录服务中断时间降至最低。 可以使用它来保存和还原意外删除的整个 Active Directory 对象,而不必从备份还原 Active Directory 数据、重新启动 AD DS,或重新启动域控制器。启用 Active Directory 回收站后,会保留已删除 Active Directory 对象的所有链接值属性和未链接值属性,并将整个对象还原到与被删除前一致的逻辑状态。 例如,还原的用户帐户会自动重新获得被删除时所具有的域中或跨域的所有组成员身份和相应的访问权限。 Active Directory 回收站可在 AD DS 和 AD LDS 环境中使用。

在 Windows Server 2008 R2 中启用 Active Directory 回收站之后,当删除某个 Active Directory 对象时,系统将保留该对象的所有链接值属性和未链接值属性,并且该对象进入逻辑删除状态,该状态是 Windows Server 2008 R2 引入的新状态。 删除的对象被移动到“已删除对象”容器中,并且其可分辨名称损坏。 在已删除对象的整个生存期中,它以逻辑删除状态保留在“已删除对象”容器中。在已删除对象的生存期内,已删除对象可以恢复并再次成为活动 Active Directory 对象。 在已删除对象的生存期过期后,逻辑删除对象转变为回收对象,并且剥离该对象的大多数属性。

托管服务帐户。托管服务帐户提供简单的服务帐户管理。 在 Windows Server 2008 R2 域功能级别,此功能为服务主体名称 (SPN) 提供了更好的管理。 我们能够使用托管服务帐户通过减少服务中断(针对手动密码重设和相关问题)来帮助降低总拥有成本 (TCO)。 可以为服务器上运行的每个服务运行一个托管服务帐户,而不需要人工干预密码管理。

一体化的管理

Power Shell。Windows PowerShell(TM) 是命令行 shell 和脚本语言,可帮助信息技术 (IT) 专业人员更轻松地控制系统管理并提高工作效率。Windows Server 2008 R2 中的 Active Directory 模块 是合并了一组 cmdlet 的 Windows PowerShell 模块(名为 ActiveDirectory)。 通过使用这些 cmdlet,可在单一的独立程序包中管理您的 Active Directory 域、Active Directory 轻型目录服务 (AD LDS) 配置集和 Active Directory 数据库装载工具实例。

AD管理中心。在Windows Server 2008 R2面试之前,非面向任务的UI使得客户很头痛,在MMC中对大量数据集时不能扩展,在同一时间内只能管理一个域;在 Windows Server 2003 和 Windows Server 2008 操作系统中,管理员可以使用 Active Directory 用户和计算机 Microsoft 管理控制台 (MMC) 管理单元在其 Active Directory 环境中管理和发布信息。在 Windows Server 2008 R2 中,除 Active Directory 用户和计算机管理单元外,管理员可以使用新 Active Directory 管理中心管理其目录服务对象。Active Directory 管理中心构建在 Windows PowerShell 技术之上,为网络管理员提供增强的 Active Directory 数据管理体验和丰富的图形用户界面 (GUI)。 管理员可以使用 Active Directory 管理中心并通过数据驱动导航和面向任务的导航执行常见的 Active Directory 对象管理任务。

我们可以使用 Active Directory 管理中心执行下列 Active Directory 管理任务:
新建用户帐户或管理现有用户帐户
新建组或管理现有组
新建计算机帐户或管理现有计算机帐户
新建组织单位 (OU) 和容器或管理现有 OU
连接到同一 Active Directory 管理中心实例中的一个或多个域或域控制器,并查看或管理这些域或域控制器的目录信息。
使用查询生成搜索筛选 Active Directory 数据

除用于这些任务之外,我们还可以使用高级 Active Directory 管理中心 GUI 自定义 Active Directory 管理中心,以符合您特定于目录服务管理的要求。 在执行常见 Active Directory 对象管理任务时,这可以帮助您提高生产率和工作效率。

最佳实践分析器。最佳实践分析程序 (BPA) 是 Windows Server 2008 R2 中提供的一款服务器管理工具,针对以下服务器角色:
Active Directory 域服务 (AD DS)
Active Directory 证书服务 (AD CS)
DNS 服务器
终端服务

AD DS最佳实践分析器可帮助您以 Active Directory 环境的配置实施最佳实践。 AD DS最佳实践分析器安装到 Windows Server 2008 R2 域控制器上时会扫描 AD DS 服务器角色,并报告最佳实践冲突。 可以从 AD DS最佳实践分析器报告中筛选或排除您不需要看到的结果。 也可以通过使用服务器管理器图形用户界面 (GUI) 或 Windows PowerShell 命令行接口中的 cmdlet 执行 AD DS最佳实践分析器任务。通过使用最佳实践分析器可以帮助我们分析意料之外的AD设置;标记出违反推荐最佳实践的设置/配置;那么它只提供建议,而不会修改设置;用户可以使用它来做初始扫描;但它并不是一个监视解决方案。

脱机加入域。我们都知道要想加入域必须要有可靠的网络连接,但这个前提,在今天这个时代改变了。脱机加入域是一个新进程,该进程将运行 Windows® 7 或 Windows Server 2008 R2 的计算机加入 Active Directory 域服务 (AD DS) 中的某个域,而不需要任何网络连接。可以使用脱机加入域将计算机加入某个域,而不需要通过网络连接域控制器。 安装操作系统之后,可以在计算机首次启动时将其加入域。 不需要另外重新启动,即可实现加入域。 在诸如数据中心之类的场所中完成大规模计算机部署时,此功能有助于节省所需的时间和精力。比如,某公司可能需要在数据中心部署大量虚拟机。 脱机加入域使虚拟机能够在安装操作系统之后的初始启动过程中加入域。 不需要另外重新启动,即可实现加入域。 这样可以显著减少大规模部署虚拟机所需的总时间。

加入域会在运行 Windows 操作系统的计算机与 Active Directory 域之间建立信任关系。 此操作需要更改 AD DS 和加入域的计算机的状态。 在过去,若要使用以前版本的 Windows 操作系统完成加入域,加入域的计算机必须正在运行,并且拥有网络连接以连接域控制器。 脱机加入域相对于以前的要求提供了以下优势:

计算机不需要进行任何网络通信,即可完成 Active Directory 状态更改。

与域控制器之间不需要任何网络通信,即可完成计算机状态更改。

每个更改集可在不同的时间完成。
通过以上的了解,相信大家对Windows Server 2008 R2 Active Directory的新功能跃跃欲试,更多更好的设计为每个管理员带来了全新的体验,还等什么呢,去安装Windows Server 2008 R2  Active Directory,进行试用吧!

未经允许不得转载:DOIT » Windows Server 2008 R2 AD新特性