windows 2003与windows 2008区别之AD DS篇

1.封装文件
windows server 2008 操作系统内置了sysprep,可以在c:\windows\system32\sysprep\下找到。其只有sysprep.exe一个文件,而windows server 2003中的sysprep是由3个文件构成:sysprep.exe setupmgr.exe和setupcl.exe,可以在windows server 安装光盘的support目录下找到等。
2.密码策略
windows 2000 2003 系统只建议使用强密码,并在非域环境中仍允许为用户账户设置简单密码不同,在windows server 2008系统中,必须设置强密码。
windows server 2000和2003只允许定义一条密码策略,windows server 2008引入了新的域密码策略,支持在域中定义多个密码策略,允许在单一的同一个组织单位中为不同的域账户或全局安全组定义不同的密码策略。例如,为了提高特权账户的安全性,管理员可将较严格的设置应用到特权账户,而将那些不太严格的设置应用到其他用户的账户,或者某些情况中需要为其密码应与其他数据源同步的账户应用特殊密码策略。
3.可重启服务
windows server 2008的AD DS域服务和windows 2000和2003的AD域控制器的不同之处是在项目列表信息中,Active Directory Domain Services是“自动”的服务启动类型,状态“已启动”。即windows 2000或2003的Active Directory的域控制器以应用程序的方式运行,管理员是不能单独停止Active Directory的运行的,而windows server 2008的Active Directory域控制器以“服务”方式运行,管理员可以单独停止Active Directory的运行。
windows server 2008中的AD DS域服务和windows server 2000/2003中的Active Directory有着本质的区别,以前版本的Active Directory以应用程序的方式体现,在域控制器正常运行时不能对Active Directory数据库进行维护。AD DS域服务是一种真正意义上的服务,域管理员可以使用microsoft管理控制单元或命令行,停止或启动windows server 2008中正在运行的AD DS域服务,以便执行某些任务,如脱机对活动目录数据库进行磁盘碎片整理,而无须重新启动域控制器
4.AD新特性加入
windows server 2008中的Active Directory域服务包含了早期windows版本中的活动目录所没有的新特性,如Active Directory RMS服务,Active Directory联合身份验证服务,Active Directory轻型目录服务器和Active Directory证书服务等实用功能组件。
5.AD LDS
windows server 2008 中集成了Active Directory轻型目录服务功能(AD LDS),该服务以前被称为Active Directory应用程序模式(Active Directory Application Mode,ADAM),需要从微软网站下载。AD LDS和AD DS域服务息息相关,该服务的功能是在不使用活动目录的情况下,使系统具备活动目录选项,即保证安全和身份验证。
6.只读域控制器RODC
windows server 2008出现了一种新型控制器叫只读域控制器(RODC),主要用来在分支机构中部署,只读域控制器服务与AD DS域服务相同,同样以服务的方式存在,但是Active Directory数据库只能读取不能写入,Active Directory数据库是AD DS域服务数据库的副本。RODC主要用来在分支机构部署,通常情况下,分支机构中的用户数量相对较少,物理安全较低,带宽较少,并且对IT知识了解甚少。物理安全不足是考虑配置RODC的主要原因。
7.新的备份还原管理模式
windows server 2003或XP中都有“备份和还原向导”,而在windows server 2008中取而代之的是“windows server backup”的备份工具,该工具在默认状态下没有安装,需要在“服务器管理器--功能--添加功能--windows server backup功能”中添加
8.组策略新功能
windows server 2008,组策略的管理方式有了很大改变,采用了“组策略管理”控制台(GPMC),域中所有的组织单位都可以利用该控制台进行管理,同时功能也得到了增强,除了可对组策略进行编辑以外,还可以对组策略的链接,强制和继承进行管理。
windows server 2008新加入了组策略首选项,组策略首选项是组策略应用的一种模式,和组策略不同的是,首选项部署的策略在客户端计算机生效后,客户端计算机登录用户可以根据需要调整首选项部署的策略,而组策略部署的域策略客户端计算机不能修改
9.终端服务改进
终端服务改进。windows server 2008中的终端服务,不仅继承了以前版本操作系统中的优点,同时,还新增加了虚拟化功能,有“桌面虚拟化”服务之称。因通常管理员只需将应用程序安装在终端服务器上,让用户在客户端计算机运行虚拟程序即可,不需要再次安装。通过终端服务管理服务器,管理员不但可以在局域网管理服务器,还可以从internet上管理局域网中的服务器。另外,终端服务器不但可以使用远程桌面(RDP)进行服务器管理,还可以通过在终端服务器上安装远程桌面WEB组件,通过IE浏览器管理服务器。
10.网络访问保护策略NAP
windows server 2008新加入了用户隔离,可以对所有连接到网络的计算机运行状态进行检查。当验证确定计算机状态为非安全时,将对该计算机的网络连接进行限制,确保感染恶意软件的计算机无法将恶意软件传播给网络中的其他计算机。用户隔离使任何客户端计算机必须通过系统健康检查,且符合安全条件后才允许接进网络。未通过系统健康检查的计算机会被隔离到一个受限制网络,在受限制访问网络中,在用户修复计算机的状态并达到网络健康标准后,才允许其接入网络。
11.目录审核
AD DS域服务提供目录审核。在以前版本的服务器操作系统中,只有一种审核策略(审核目录服务访问策略)。不支持对active directory中域对象细节监控。新策略类型能够审核任何安全主体对目录对象所做的修改,移动,删除与恢复删除,并在事件审核日志中记录下任何被改动的属性变化。在windows server 2008中提供以下active directory对象审核功能:
目录服务访问,目录服务更改,目录服务复制,详细目录服务复制。
附此部分出现的缩写单词中文翻译
KCC 一致性检查器
ISTG站点间拓扑生成器
DFS分布式文件系统
RODC只读域控制器
operations master(OM)操作主机角色
flexible single master operation(FSMO)灵活单主机操作
schema master role架构主机角色
domain naming master域名主机角色
PDC emulator master PDC主机角色
RID master RID主机角色
infrastructure master 基础结构主机角色
GC 全局编录
domainlocal 本地域组
OU 组织单位
group policy object(GPO)组策略对象
group policy container(GPC)组策略容器组件
group policy template(GPT)组策略模板组件
group policy eidtor(GPE)组策略编辑器组件
GPMC组策略管理控制台
AGMP高级组策略
PSO密码设置对象
DUN拨号网络
windows terminal services(TS)windows终端服务
NAP网络访问保护
NPS网络策略和访问
MMC microsoft管理控制台
 
2012.2.8编辑内容
   hyper-V
   虚拟化技术hyper-V,可以在单个服务器上虚拟windows,linux等多个操作系统,并与现有环境互动操作,利用更加简单,灵活的授权策略,可以更容易地利用虚拟化的各种优势。
   IIS7.0
   IIS7.0相对于IIS6.0而言,是极具飞跃性的升级产品,通过委派管理,增强的安全性和缩小的攻击面,web服务的集成应用程序以及改进的管理工具等关键功能,提高了安全性和管理型。
   服务器管理器
   服务器管理器是windows server 2008 的一个新功能,将windows server 2003的许多功能替换合并在了一起,如“管理您的服务器”,“配置您的服务器”,“添加或删除windows组件”和“计算机管理”等,使管理更加方便。
   Powershell
   一种新的命令行windows powershell,使管理员可以通过简单的方法完全控制server 2008,可以自动化执行系统管理任务(如active directory,终端服务器,IIS7.0),提高了组织解决其环境特有的系统管理问题的能力。
   BitLocker驱动器加密
   BitLocker驱动器加密是windows server 2008中的一个重要的新功能,可保护服务器,工作站和移动计算机。BitLocker可对磁盘驱动器的内容加密,防止未授权的使用者绕过文件和系统保护,或者对存储在受保护驱动器上的文件进行脱机查看。
   Server core
   windows server 2008提供了Server core功能(安装系统的时候会看到有Server core选项),和linux操作系统一样,只提供基本的服务器功能。server core是server 2008的最小版本,这是一个不包含服务器图形用户界面的操作系统,提高了稳定性,只安装必要的服务和应用程序,提供DHCP,DNS等基础网络服务。与完整版本的系统相比,由于服务器上安装和运行的程序和组件较少,暴露在网络上的攻击面也较少,因此更安全,也可减少维护和管理的时间。
  还有其他如windows server 2008中已经配置了系统防火墙专用的MMC控制台单元,可以通过远程桌面或终端服务来实现远程管理和配置。可以同时对传入和传出的通信进行拦截。ASLR(address space layout randomization,随机地址空间分配)技术,改进网络协议栈,支持IPV6等功能

你可能感兴趣的:(windows,server,操作系统,密码,support)