三、全新特性:
Windows Server 2003这个全新系统具有非常多新的特性。碍于篇幅,这里只摘要介绍。
1、服务器管理——Manage Your Server:
在安装进程结束之后,你就实现了第一次成功的系统登录。Windows Server 2003提供了一个全新的程序使得我们的日常操作更加方便。该程序就叫做“Manage Your Server”向导。这个扩展程序最初只给你提供了在服务器上设定新服务的选择,但一旦你开始安装新的服务器服务之后,它就会成为一个你所梦寐以求的最实用的工具和管理程序。当你安装了附加服务之后,比如活动目录(Active Directory)或IIS,“Manage Your Server”可以显示出和你所安装的每项服务相关的通用任务。当你每次登录服务器的时候,该程序就会分布到系统的各个领域,你也就再也不必通过执行搜索任务来完成对服务器的管理了。所有的服务都可以通过“添加/删除程序”或“Manage Your Server”程序从Exchange中添加或删除。
2、电脑管理——Computer Manager:
Windows Server 2003中的“Computer Manager”继承了其前辈的优良传统,同样是一个方便、实用的工具,功能也和以前差不多。最大的改变我看除了图标之外,就是当你将服务器设置为网域控制器以后,“Computer Manager”会把“本地用户”(Local Users)和“组”(Groups)的图标完全删除掉(2000系统只在其上面打个红叉,给新手造成系统出错的错觉)。
3、组策略——Group Policy:
只要看一看下面的截图,你就会发觉“组策略”不仅仅是经过修订那么简单,它已有了一个质的飞跃。正如你所看到的,它同时列出了一些和无线技术(Wireless Technology)、Windows Messenger、IIS、Windows Media Digital Rights Management、时间服务器同步(Time Server Synchronization)等相关的项目。“组策略”的界面也已被修改,带有在Windows XP中首次引进的“扩充查看”(Extended View)选项。它允许你从右边选择一个策略选项,查看它的具体描述。
4、基于Web的管理程序:
Windows 2000的IIS中带有一个“Web Administration”程序,但它只允许你对IIS进行管理。安装了IIS之后的Windows Server 2003也带有一个Web管理程序,它可以管理用户帐户、服务等,甚至还提供了定时关机的功能。
四、创建ADAM:
ADAM是“程序模式活动目录”(Active Directory in Application Mode)的简称。我坚信这方面性能的增强十分有必要。
Windows 2000提供给用户这样的机会:通过扩展结构描述允许进一步修改AD的更多属性,以适应购买系统的组织的特定需要。唯一的问题是用户对结构描述所作的任何修改都会被复制到所有的“网域控制器”中。另外,也只有结构描述管理安全小组的成员才有权限对其进行修改。如此做法给开发人员造成了不便并同时可能导致一些潜在的损害。
在开发人员和管理人员日渐高涨的呼声下,ADAM诞生了!ADAM是一个简单但却激动人心的想法。ADAM作为一项服务运行于Windows XP,Server 2003 Standard、Enterprise和Datacenter版上,能够创建一个同实际运行的服务齐肩并进的活动目录实例。它可以从实际运行服务中访问到所有信息,包括无需修改结构描述本身而得到验证信息。说到验证,运行于Windows Server 2003或XP Pro系统上的ADAM可以使用Windows 2003 AD、Windows 2000 AD甚至是NT 4.0的安全子系统。它的向下兼容性能由此可见一斑。
注意:Server 2003必须是任何网络操作系统环境中众多服务器之一或独立的服务器。
ADAM的多个实例可以运行在上述任何机器上。不同部门的实例包含了各自特定的信息,它们相对独立并不互相影响。ADAM的实例可通过使用“Windows脚本处理”简单地进行部署。ADAM组中的所有服务器都拥有数据库的一份可写拷贝,它就像一个真实的AD。ADAM数据库属性的安全性受到了“访问控制列表”(Access Control List,简称ACL)的保护。
五、活动目录:
活动目录(Active Directory,AD)是为Microsoft Networks而设的目录服务(Directory Service,简称DC)。新的AD有一些修改,我认为你必须知道的有如下几点:
我首先要提到的是客户端系统。对于那些仍然使用已有8岁高龄的Windows 95的用户来说,该是对它说再见的时候了。Windows 2003的AD实作再也不会对其进行支持。
Windows 2000中的AD数据库被分为三个独立的分区:网域(Domain)、配置(Configuration)和结构描述(Schema)。
1、网域分区:保存所有在AD中创建的对象(用户、计算机、组、组织单位等)以及和每个对象相关的属性。
2、配置分区:保存所有和“站点配置”(Site Configuration)或其他网络上的应用程序,如Exchange Server等的相关设置。
3、结构描述分区:包括了用户所登录的特定网络的活动目录类别(登录脚本和组策略并不包含在目录中,但却被复制到文件系统中)。如果你不清楚什么是“类别”(Class),那请允许我作出如下解释:
联想Microsoft Outlook中的联系人(这是一个表单而不是一个类别,但这有助于你理解)。如果你曾使用过Outlook 2000,当你创建一个新联系人时你可以看到所有对你生效的区域。请把新的联系人想象成一个类别,对你生效的区域就是属性。当你升级到Outlook 2003时,你至少可以看到一个新的区域——图片区域。把它想象为联系人类别的一个附加属性。当该属性在进行升级的同时被添加到Outlook中后,并不只是新的联系人才具有该区域,旧的联系人也将一并拥有。
而Windows 2003中的活动目录已被分为四个部分:
1、网域:保存创建于其中的网域的具体的、特殊的对象。此中创建的信息将只会被复制到该网域内的其他“网域控制器”。
2、配置:该分区包括了一些配置信息,会被复制到所有网域控制器中。
3、结构描述:你可以在树形结构中查找到所有潜在对象的类别。这一分区的内容同样会被复制到每一个网域控制器中。
4、应用程序:这是Windows Server 2003中一个新的分区。保存在这个分区里的信息将会被复制到该网域里的所有“网域控制器”以及系统中被选定的“网域控制器”。
2003里面还有很多改进。比如,你现在可以选择多用户对象并同时修改它们的属性。你可以将活动目录查询保存为XML文件。另外,AD的新属性还允许用户将“AD用户对象”映射到一个认证账户中。这同Windows XP中将用户的认证捆绑到XP账户的方法相类似。唯一的问题是,由于http请求的原因需要安装IIS 6.0。
Windows Server 2003的“Forest Native模式”是2003系统中将会改变集团中小组成员工作方式的另一个新的选项。小组的成员已从一个独立单位的“用户集合”的身份上升到“成员”的级别。“Forest Native模式”也提高了使用应用于Server 2003中的增强型算法来进行复制的能力。就像在Windows 2000中一样,只要你提升到“功能”(Functionality)等级,任何前Windows Server 2003就再也不会成为一个目录服务了。
由于具有了多方面的改善,比如从媒体中安装复本(Replica)的能力,部署Windows Server 2003已变得更加容易。也就是说,你可以将Windows 2003活动目录的一个拷贝烧录到一张光盘中,用该光盘部署该系统就可以了。
DNS区域已被移到活动目录的应用程序分区中,以此来缓解“全域数据库目录服务器”(Global Catalog Server)的装载负担。以前,全域数据库目录会保存整个数据库的信息目录子集,包括DNS记录等。现在由于DNS区域是保存在应用程序分区的,其记录会被复制到网域中的每一个目录服务以及源域之外的所有选定的目录服务中。
网域重命名:Windows 2003允许用户重命名一个网域。没错!你可以改变你网域中的DNS或NetBIOS的名称,尽管操作起来并不方便(比如,必须重新启动该网域的每一台服务器、两次重新启动网域中的成员等)。你还可以创建“Forest Trust”,但你不能改变属于“Forest启动网域”的名称。ADMT也得到了增强,使得在两个网域中移动用户账户的操作进程变得更加方便。
在“用户账户管理”(User Account Management)中有两处增强。一是在AD的容器之间实现用户账户拖放,二是可以选择多用户并同时对它们的账户进行修改。以下是一些相关截图:
如果你正在计划将2000目录服务升级到2003目录服务的话,你首先必须运行一个叫做“adprep.exe”的公用程序。Adrep扩展了2003的结构描述,可以在Windows Server 2003的CD中找得到。Adrep必须在现有的Windows 2000网域中运行,用户必须作为一个“企业管理人员”(Enterprise Administrator)登录,并且必须有修改活动目录结构描述的权限。AdPrep可以转换Windows 2000活动目录,但如果你想将NT 4升级到2003就没有必要使用它了——因为NT 4中并不存在目录。在Server 2003创建出一个网域控制器之前,Adrep必须分两个阶段运行于2000网域控制器上。第一阶段:/ForestPrep切换、用户进行猜测,准备结构描述;第二阶段:/DomainPrep切换并且运行得更加快速。
2003中还带有一个“复制信任监视”(Replication Trust Monitoring)程序,可以让用户监视网络DC之间的复制状态。
组策略管理主控台(Group Policy Management Console,GPMC):
GPMC在管理人员进行组策略管理时提供给他更加精确的控制数值。从这个主控台界面中,管理员可以管理一个组织中的GPO,打印包含有设置、结果和模块数据的详细HTML报告。这个工具并不随Windows Server 2003同时发行,但可以从MSDN下载得到。GPMC可以运行于Windows Server 2003或带有SP1的Windows XP客户端上。
微软声称Windows Server 2003中的活动目录带有超过150个新的策略设置,还提供了一个修订版的MMC,显示GPO中任何设置的描述信息。另外微软还提供了两个全新的公用程序帮助管理员查看特定组策略的影响。其一是“Group Policy Results”,其二是“Group Policy Modeling”。它们所进行的工作根本上是一致的,不同的是它们提供的报告。“Group Policy Results”可以用来查看某一特定用户登录到网络上时将会收到的信息,显示基于对影响到用户的当前GPO的当前设置。“Group Policy Modeling”对组策略对象具有辅助作用。