初探Windows Server 2016用戶組策略
Windows Server 2016雖
然在Windows Server 2016系統中,微軟官方發布了許多Windows Server 2016新的功能和特性,但是Windows Server 2016在用戶組策略功能上卻與以前的系統版本沒有大的變化。儘管微軟公司有可能在Windows Server 2016和Windows 10中引入一些特殊的組策略功能,但是整個Windows Server 2016組策略架構仍沒有改變。在Windows Server 2016系統中,系統用戶和用戶組策略,Windows Server 2016管理功能仍然存在(見圖 1)。這些組策略設定許可權可以在域、用戶組織單位OU、站點或本地計算機許可權層級上申請。
Windows Server 2016圖 1. Windows Server 2016預覽版2中的組策略編輯器
與之前的版本相比,Windows Server 2016系統在組策略配置方式上發生改變。在Windows Server 2016系統中,微軟鼓勵用戶使用最簡便的方式配置伺服器作業系統。Windows Server 2016使用圖形化進行配置管理並不是最優的方式(見圖2)。在Windows Server 2016作業系統安裝選項下的描述中就解釋到:如需考慮需要與以後的系統版本兼容的情況,推薦用戶在安裝Windows Server 2016作業系統的同時,選擇安裝本地管理工具。
Windows Server 2016圖2. 安裝Windows Server 2016系統時,微軟推薦不要安裝本地管理工具
Windows Server 2016這種安裝方式隨之帶來的問題是:怎樣訪問組策略編譯器。對於不同的Windows Server 2016安裝式,你需要使用不同的Windows Server 2016方法。因為本文測試環境使用的是Windows Server 2016預覽版,所以現在文中用到的方法以後也可能會發生變化。但是如果你已經安裝好了Windows Server 2016本地管理工具軟體,那么訪問用戶組策略的方式與Windows Server 2012系統下使用的方式相似。
現在,甚至對於已安裝本地管理工具軟體的Windows Server 2016系統來說,系統管理仍不方便。使用者除了通過Windows Server 2016命令提示視窗和服務管理器的接口外,已沒有其它方式,因為沒有Windows Server 2016系統桌面,沒有開始選單(見圖3):
Windows Server 2016圖3. 這就是Windows Server 2016 預覽版2中的系統管理界面
在Windows Server 2016預覽版2中,仍然保留了大部份Windows Server 2012 R2風格的管理工具,但是Windows Server 2016想訪問那些管理工具卻不能憑以前的經驗。例如在Windows Server 2016系統管理器,雖然Windows Server 2016設定了到本地安全配置服務的連結,Windows Server 2016卻沒有把用戶域組策略的功能包含進來。如果你想訪問Windows Server 2016用戶管理和部份本地安全策略,你需要切換到Windows Server 2016命令提示界面,進入到C:\%systemroot%\system32目錄,然後執行GPEDIT.MSC命令(見圖4):
Windows Server 2016圖4. 你可以在命令提示界面中使用GPEDIT.MSC命令,以載入用戶策略編輯器。
對於沒有安裝Windows Server 2016本地管理工具的作業系統來說,你只有選擇使用Windows Server 2016遠程終端管理用戶組策略或使用PowerShell命令。如果你想通過Windows Server 2016遠程終端管理用戶組策略,你至少需要一個已裝安裝好Windows Server 2016本地管理工具的終端。在Windows Server 2016終端作業系統的命令提示符中,鍵入MMC命令。載入完成管理界面後,從Windows Server 2016檔案選單中選擇“添加/刪除”組件。當你完成Windows Server 2016相應選擇後,Windows Server 2016系統將給你一列組件清單。從組件清單中,選擇“組策略對象編輯器”,並點擊“增加”按鈕。然後Windows Server 2016系統會提示你,需要選擇Windows Server 2016管理哪台系統的組策略。點擊“瀏覽”按鈕,並選中Windows Server 2016需要遠程管理用戶組策略的系統(見圖5):
Windows Server 2016圖5. 點擊Windows Server 2016瀏覽按鈕,然後選擇你想編輯的組策略
另外一種方法是通過PowerShell命令來編輯管理用戶組策略。在Windows Server 2016中,提供了一個完整的PowerShell軟體模組用於用戶組策略的管理。但是PowerShell用戶組策略模組不會被默認安裝,除非Windows Server 2016系統被配置為域控制器或系統中已經安裝用戶組策略管理終端軟體。微軟現在仍沒有發布Windows Server 2016官方文檔,說明在Windows Server 2016系統中哪些條件下,PowerShell用戶組策略功能模組可用。
當Windows Server 2016系統開始正始發布時,大部份公司很有可能選擇Windows Server 2016遠程管理用戶組策略的方式,而不是選擇安裝Windows Server 2016本地管理工具包。雖然PowerShell也是一種可行的方案,但是在小規模的IT環境中,Windows Server 2016圖形化管理方式明顯更有效率。
Windows Server 2016網路功能
隨著Windows Server 2016版本的持續發展,是時候考慮改變伺服器網路了。在Windows Server 2016新版本中將會減少對網路訪問保護(NAP)的支持,而Windows Server 2016增加對虛擬網路和網關間的GRE隧道支持,並對DNS客戶端的特性進行了改變。
Windows Server 2016NAP太老舊了
在早期的2004年,我們會認為網路訪問保護(NAP)是網路的萬金油。我們可以隔離我們覺得可疑的Windows Server 2016設備,直到認為這些設備滿足了我們的Windows Server 2016規範(更新到最新版本並且打上了最新的補丁),並掃描這些設備讓Windows Server 2016不存在任何惡意程式,之後才能認可這個Windows Server 2016設備並且將這個Windows Server 2016設備下放到我們的網路中來同時賦予所有許可權。我們可以指定某個區域的網路和某個伺服器為修復Windows Server 2016伺服器,在修復Windows Server 2016伺服器上我們可以下載防病毒保護和補丁。即使有個Windows Server 2016供應商帶來了一部很多病毒的筆記本電腦接入網路中,他進行了30分鐘的演講然後便消失得無影無蹤,我們也不用花費3天的時間去收拾殘局(這裡的供應商有時也代表遠程辦公的職員)。
不管是什麼原因,Windows Server 2016 NAP從來沒有達到巔峰,這可能要歸結於以下幾個原因:
•Windows Server 2016NAP從來沒有統一的標準,其中Juniper用一個標準而Cisco用另一個標準。將所有廠家都統計標準是可行的,但是會耗時耗力。
•其實有很多種方法可以達到相同的目的,比如你可以阻止Windows Server 2016DHCP分配地址,在交換機上執行連線埠限制,用自定義的訪問控制列表等等。
•用戶也會反對Windows Server 2016NAP,因為他們不希望他們的電腦在家是能正常使用,而一拿到辦公室卻要耗費大量時間去打補丁。所以Windows Server 2016NAP注定是還沒怎么存在過就要死去。
哎,如微軟回應一樣,業界已經遠離Windows Server 2016網路訪問檢測和保護。在Windows Server 2016中NAP已經被棄用,而且在未來也不太可能被繼續開發。
Windows Server 2016GRE支持
隨著很多Windows Server 2016虛擬機被整合併運行在一個主機上以及雲服務的擴張,你的Windows Server 2016虛擬機會在自己的數據中心和公有雲上來迴轉移,因此對公有Windows Server 2016網際網路上的隧道技術支持已經成為了一種必要。各種VPN一般在數據鏈路層工作得挺好,但是要修訂針對Windows Server 2016上多用戶環境,特別在高密度配置下,我們需要使用數據鏈路層以下的(OSI協定)層。
通用路由封裝(GRE),是在Windows Server 2016上使用的一種協定,Windows Server 2016可以封裝OSI協定棧的網路層上的不同協定,Windows Server 2016讓這些封裝後的數據在雲計算中心和你的數據中心中進行數據傳輸。使用GRE後,Windows Server 2016可以在虛擬網路、管理程式和外部網路(包括Internet)之間傳送網路層報文。Windows Server 2016GRE是路由器和交換機都能普遍識別的協定,所以Windows Server 2016不需要特殊的硬體等,可能需要的僅僅是重新配置的工作。而且Windows Server 2016是輕量級的,Windows Server 2016能通過Internet連線一個虛擬網路和地理位置離很遠的另一個虛擬網路,並且工作得很好。
Windows Server 2016的DNS更新
當今很多Windows Server 2016伺服器買回來的時候已經配了多塊網卡,有些會在Windows Server 2016伺服器主機板上內置類似4口的網卡,有一些是主機板內置了一個一口或者雙口的網卡,另外在PCI插槽上配一個單網口卡(很多Dell的伺服器就是這樣的配置模式)。假設所有這些不同的Windows Server 2016網卡都同時連線到網路中來,而且所有的網卡都通過Windows Server 2016DHCP分配或者靜態地得到了稍微不同的DNS伺服器配置,那么會出現很奇怪的名字解析問題,Windows Server 2016伺服器不知道應該用哪一個Windows Server 2016DNS伺服器來解析名稱。在下一個版本的Windows Server 2016裡面,當任何網卡及其配置的DNS伺服器在做DNS解析的時候,DNS client服務會對這塊網卡進行綁定。這樣可以解決很多異常的現象,特別是Windows Server 2016伺服器上運行了很多虛擬機和承載了很多網路流量的時候,這也清理了一些時不時出現又很難排查和修復的問題。
此外,如果你使用組策略去部署名稱解析策略表(NRPT)的話,Windows Server 2016DNS客戶端是不會對網卡進行上述綁定的。一般來說Windows Server 2016NRPT使用在大型的企業網中,而且默認是關閉的,所以如果你沒有設定Windows Server 2016NRPT,就不用擔心這個問題。
免費升級
微軟日前推出Windows Server 2016免費升級計畫:在9月1日至明年6月30日間,從VMware轉用Hyper-V的用戶,只需支付軟體保證費用,就可以免費使用新版Windows Server 2016作業系統。另外,微軟也預告Windows Server 2016和System Center 2016將在9月推出。
