特性
| 描述
|
ACL 列表用户界面的修改
| ACL用户界面已经得到了增强,以改善其易用性以及继承和特定的对象权限。
|
扩展性增强
| 那些拥有某个独立软件开发商(ISV)或者原始设备制造商(OEM)所开发的能够利用Active Directory的软件或设备的管理员拥有了更加出色的管理能力,并且可以添加任何对象分类作为组的成员。
|
来自其它LDAP目录的用户对象
| 在LDAP目录中定义的用户对象使用了RFC 2798中定义的inetOrgPerson类(例如Novell和Netscape),这些对象可以使用Active Directory用户界面进行定义。这个与Active Directory用户对象配合工作的用户界面可以处理inetOrgPerson对象。现在,任何需要使用inetOrgPerson类的应用程序或者客户都可以轻松实现它们的目的。
|
Passport 集成(通过IIS)
| Passport 身份验证现在可以通过Internet Information Services (IIS) 6.0进行,而且允许Active Directory用户对象被映射到他们相应的Passport标识符上(如果存在该标识)。本地安全机构(Local Security Authority,LSA)将为用户创建一个令牌,然后IIS 6.0将根据HTTP请求对其加以设置。现在,拥有相应Passport 标识的Internet用户可以使用他们的Passport访问资源,就如同使用他们的Active Directory凭据一样。
|
利用ADSI使用终端服务器
| 特定于终端服务器用户的属性可以通过使用Active Directory服务接口(ADSI)编写脚本进行设置。除了通过目录手动设置之外,用户属性可以利用脚本加以设定。这样做的一个好处就是:可以通过ADSI容易地实现属性的批量修改或编程修改。
|
复制和信任监视WMI提供者
| Windows管理规范(WMI)类可以监视域控制器之间是否成功地对Active Directory信息进行了复制。因为众多的Windows 2000组件,例如Active Directory复制,都需要依赖于域间的相互信任,本特性还为监视信任关系是否能够正常工作提供了一种手段。管理员或者运营队伍可以通过WMI在发生复制问题时轻松获得报警。
|
MSMQ 分发列表
| 消息队列(Message Queuing,MSMQ)现在支持向驻留在Active Directory中的分发列表(Distribution Lists)发送消息。MSMQ用户可以通过Active Directory轻松管理分发列表。
|
特性
| 描述
|
禁止对站点间的复制流量进行压缩处理
| 禁止对不同站点的域控制器之间的复制流量进行压缩。可以减轻域控制器的CPU负担,从而在需要时提高性能。
|
群集化的虚拟服务器支持
| 群集对象现在也可以被定义为计算机对象。具有群集意识和Active Directory意识的应用程序可以将它们自己的配置信息与一个经过良好定义的对象建立关联。
|
并发LDAP绑定
| 出于对用户进行身份验证的目的,您可以对同一个连接上的多个轻量级目录访问协议(LDAP)实施绑定。应用程序开发人员可以利用本特性,极大提高LDAP绑定的性能,同时对向Active Directory发出的请求实施身份验证。
|
域控制器超载预防
| 如果域中已经包含大量域成员,而且这些成员已经升级到Windows 2000和Windows Server 2003,本特性能够防止在域中引入的第一台Active Directory域控制器出现过载现象。
Windows NT? Server 4.0域可以包含Windows 2000和Windows Server 2003域成员,这些成员既可以是客户机也可以是服务器。在主域控制器(PDC)被升级到Windows 2000 Service Pack 2(SP2)或者升级到Windows Server 2003,它可以被配置,以模拟Windows NT 4.0域控制器的行为。Windows 2000和 Windows Server 2003域控制器和Windows NT 4.0域控制器没有什么区别。
为了适应管理员的特殊需要,运行Windows 2000 SP2或Windows Server 2003的域成员可以进行配置,以便通知运行Windows 2000 SP2或Windows Server 2003的域控制器不要为响应Windows NT 4域控制器而模拟其行为。
|
全局编录复制的优化
| 在进行全局编录复制的Windows Server 2003域中,您可以调整全局编录同步的状态而不是对其进行复位处理,由于仅仅传输被添加的属性即可,由于部分属性集(Partial Attribute Set,PAS)扩展而导致的工作将被降低到最小。其获得的整体优势便是:降低了复制流量并提高了PAS更新的效率。
|
组成员关系复制的改进
| 在森林被提升到Windows Server 2003的森林本机模式( Forest Native Mode)之后,组成员关系改为存储和 复制单个成员的值,而不是将整个成员关系作为一个单元加以对待。其结果便是:在复制期间更低的网络带宽和处理器占用,并且消除了由于同步更新造成更新数据丢失的可能。
|
LDAP得到了扩展,以支持动态条目的存活时间(Time to Live,TTL)
| Active Directory可以存储动态实体。这些实体指定了一个存活时间(TTL)值。用户可以修改TTL值,让实体的存活时间比现在更长一些。LDAP C 语言API已经得到了扩展,以支持这项新的功能。这使得应用程序的开发人员能够将不需要保持太长时间的信息保存在目录之中,并且在TTL到期后,让Active Directory自动删除这些信息。
|
支持64位部署
| 组策略设置现在可以用来管理64位软件部署。应用程序部署编辑器(Application Deployment Editor,ADE)中的选项能够帮助您确定32位的应用程序是否应该部署在64位客户机上。您可以使用组策略确保只有正确的应用程序部署在64位客户端上。
|
特性
| 描述
|
自动创建DNS区域
| 在运行Windows Server 2003操作系统时,DNS区域和服务器可以自动创建并配置。您可以在企业中创建它们以托管新的区域。本特定可以极大减少手动配置每台DNS服务器所需的时间。
|
得到改进的站点间复制拓扑生成过程
| 站点间拓扑生成器(ISTG)已经得到更新,不仅可以利用改进过的算法,而且能够支持比在Windows 2000下拥有更多数量站点的森林。因为森林中的所有运行ISTG角色的域控制器都必须在站点间复制拓扑方面取得一致,新的算法在森林被提升到Windows Server 2003森林本机模式之前不会被激活。新的ISTG算法跨越森林提供了得到改善的复制性能。
|
DNS 配置增强
| 本特性简化了DNS错误配置的调试和报告过程,有助于正确配置Active Directory部署所需要的DNS基础结构。
这包括了在一个现有森林中提升某个域控制器的情况,“Active Directory安装向导”会与现有的一台域控制器进行联系,以更新目录并从该域控制器复制必需的目录部分。如果向导由于不正确的DNS配置而无法找到域控制器 ,或者域控制器发生故障无法使用,它将执行调试过程,报告产生故障的原因,并指出解决该故障的方法。
为了能够找到网络中的域控制器,所有的域控制器都必须登记它的域控制器定位DNS记录。“Active Directory安装向导”会验证DNS基础结构是否得到了正确的配置,以便新的域控制器能够进行域控制器定位DNS记录的动态更新。如果此项检查发现了不正确的DNS基础结构配置,它将报告相关问题,并给出解释,告知修复该问题的方法。
|
通过媒介安装副本
| 和通过网络复制Active Directory数据库的完整副本不同,本特性允许管理员通过文件创建初始副本,这些文件是在对现有域控制器或者全局编录服务器进行备份的时候所生成的。任何具有Active Directory意识的备份工具所创建的备份文件都可以使用媒介(例如磁带、CD、VCD或者网络文件复制)传输到候选域控制器上。
|
迁移工具增强
| Active Directory迁移工具(ADMT)在Windows Server 2003中得到了增强,它可以提供:
§ 口令迁移。ADMT version 2 允许用户将口令从Windows NT 4.0 迁移到 Windows 2000 或 Windows Server 2003 域中,也可以将口令从Windows 2000 域迁移到Windows Server 2003 域中。
§ 新的脚本接口。对于大多数常见的迁移工作,例如用户迁移、组迁移和计算机迁移,我们提供了新的脚本接口。ADMT现在可以通过任何语言驱动,并且支持COM接口,例如Visual Basic? Script、Visual Basic以及Visual C++?开发系统。
§ 命令行支持。脚本接口已经得到了扩展,以支持命令行。所有可以通过编写脚本来完成的工作都可以直接通过命令行或者批处理文件完成。
§ 安全性转换改进。安全性转换(例如在ACL内重新调配资源)得到了扩展。现在,源域可以在安全性转换运行的时候被脱离。ADMT还可以指定一个映射文件,并用该文件作为安全性转换的输入。
ADMT version 2 让用户向Active Directory的迁移工作变得简单了,而且提供了能够实现自动化迁移的更多选项。
|
特性
| 描述
|
应用程序目录分区
| Active Directory服务将允许用户创建新类型的命名上下文环境,或者分区(又称作应用程序分区)。该命名上下文环境可以包含除安全主体(用户、组和计算机)之外的各种类型对象的层次结构,而且能够被配置为复制森林中的任何域控制器集合,而不一定是相同域中的所有域控制器。
通过对复制范围和副本位置加以控制,本特性为用户提供了在Active Directory中托管动态数据的能力,而且不会对网络性能造成不利影响。
|
存储在应用程序分区中的集成化DNS区域
| Active Directory 中的DNS区域可以在应用程序分区中存储和复制。通过使用应用程序分区存储DNS数据,减少了存储在全局编录中的对象数量。除此之外,当您在应用程序分区中存储DNS区域的时候,只有在应用程序分区中指定的部分域控制器会被复制。默认情况下,特定于DNS的应用程序分区仅仅包含那些运行DNS服务器的域控制器。此外,在应用程序分区中存储DNS区域使得DNS区域可以被复制到位于Active Directory森林其它域中充当DNS服务器的域控制器上。通过将DNS区域集成到应用程序分区中,我们可以限制需要复制的信息数量,并且降低复制所需的整体带宽。
|
得到改进的DirSync 控件
| 本特性改善了Active Directory对一个名为“DirSync”的LDAP控件的支持,该控件被用来从目录中获得发生了变化的信息。DirSync控件可以用来进行一些检查,这些检查类似于在正常的LDAP搜索上进行的检查。
|
功能级别
| 和Windows 2000的本机模式类似,本特性提供了一种版本控制机制,Active Directory的核心组件可以利用该机制确定域和森林中的每台域控制器都拥有那些功能特性。此外,本特性还可以用来防止Windows Server 2003以前的域控制器加入到一个全部使用Windows Server 2003的Active Directory特性的森林中。
|
取消架构属性和分类的激活状态
| Active Directory已经得到了增强,以允许用户停用Active Directory架构中的某些属性和分类。如果原始定义中存在错误,属性和分类可以被重新定义。
在将属性或分类添加到架构中时,如果在设置一个永久性属性的时候发生了错误,停用操作将为用户提供了一种取代该定义的手段。本操作是可逆的,管理员可以撤销某个停用操作而不会产生任何不良的副作用。现在,管理员在管理Active Directory的架构方面拥有了更多的灵活性。
|
域的重命名
| 本特性允许用户修改森林中现有域的DNS和(或)NetBIOS名称,同时保证经过修改的森林依然保持良好的组织结构。经过重新命名的域由它的域全局唯一ID(GUID)所代表,它的域安全ID(SID)并没有发生改变。此外,计算机的域成员关系也不会因为其所在域的名称发生变化而变化。
本特性没有包括对森林根域的修改。虽然森林的根域也可以被重命名,但是您不能指定一个其它的域来代替现有的根域而变成一个新的森林根。
域的重命名会导致服务中断,因为它要求重新启动所有的域控制器。域的重命名还需要被重命名域中的所有成员计算机都必须重新启动两次。虽然本特性为域的重命名提供了一种受支持的手段,但是它既没有被视作一种例行的IT操作,也没有成为例行操作的意图。
|
升级森林和域
| Active Directory已经在安全性和应用程序支持方面添加了很多改进。在现有域或森林中运行Windows Server 2003操作系统的第一台域控制器得到升级之前,森林和域必须为这些新的功能特性做好准备。Adprep便是一个新的工具,用来帮助用户准备森林和域的升级。如果您是从Windows NT 4.0进行升级,或者在运行Windows Server 2003的服务器上执行Active Directory的全新安装,那么您不需要使用Adprep工具。
|
复制和信任监视
| 本功能允许管理员对域控制器之间是否成功地复制了信息加以监视。因为很多Windows组件(例如Active Directory复制)都依赖于域间的相互信任,本特性还为信任关系正确发挥作用提供了一种方法。
|
特性
| 描述
|
重新定向默认的用户和计算机容器
| Windows Server 2003 提供的工具能够自动将新的用户和计算机对象重新定向到应用了组策略的指定组织单位中。
这种做法可以帮助管理员避免出现新添用户和计算机对象出现在域的根级别的默认容器中这种情况。类似这样的容器并不是为保存组策略链接而设计的,而且客户端也不能从这些容器上读取或应用组策略。本特性可以强迫使用这些容器的许多客户引入域级别的组策略,而在很多情况下,这种策略是难于使用的。
实际上,Microsoft建议用户创建一个富有逻辑层次的组织单位,并且使用它保存新近创建的用户和计算机对象。管理员可以使用两个新的资源工具包工具——RedirUsr 和 ReDirComp——为三个遗留的API(NetUserAdd()、NetGroupAdd()、NetJoinDomain() )指定一个备用的默认位置。这允许管理员重新将默认位置定向到更为适合的组织单位,然后直接在这些新的组织单位上应用组策略。
|
组策略结果
| 组策略结果(Group Policy Results)允许管理员确定并分析当前应用在某个特殊目标上的策略集合。通过组策略结果,管理员能够查看目标计算机上现有的策略设置。组策略结果以前被称作日志模式的策略结果集(Resultant Set of Policy)。
|
组策略建模
| 组策略建模(Group Policy Modeling)意在帮助管理员规划系统的增长和重新组织。它允许管理员挨个查看现有的策略设置、应用程序以及某个假设情境的安全性。在管理员决定必须对现有设置进行修改之后,他们可以进行一系列的测试,以查看在用户或用户组被移动到另一个位置、另一个安全组或者另一台计算机后,究竟会发生何种情况。这包括了在所做的修改生效之后,应该应用哪些策略设置或者自动加载哪些策略设置。
组策略建模为管理员带来了极大的便利,因为在网络中真正实施修改之前,管理员能够通过组策略建模对策略进行全面测试。
|
新的策略设置
| Windows Server 2003 包括了超过150个的新的策略设置。这些策略设置为用户定制和控制操作系统针对特定用户组的行为提供了手段。这些新的策略设置可以影响到诸如错误报告、终端服务器、网络和拨号连接、DNS、网络登录请求、组策略以及漫游配置文件这样的功能。
|
Web 视图管理模板
| 该特性加强了“组策略管理模板”扩展管理单元,用户可以通过它查看与不同策略设置有关的详细信息。在选择了某个策略设置之后,有关该设置的行为的详细信息以及该项设置应用在何处的附加信息便显示在“管理”模板用户界面的“Web”视图中。此外,这些信息也可以通过每个设置的“属性”页面上的“解释”选项卡进行查看。
|
管理DNS客户端
| 管理员可以在Windows Server 2003上使用组策略配置DNS客户端设置。在调整DNS客户端设置时——例如启用和禁用客户端的DNS记录的动态注册,在名称解析时使用主DNS后缀以及填充DNS后缀列表等,这种做法可以大大简化域成员的配置过程。
|
“我的文档” 文件夹的重定向
| 管理员可以使用本特性将用户从一个主目录形式的旧有部署过渡到“我的文档”模式,同时和现有的主目录环境保持兼容性。
|
在登录时完全安装指派给用户的应用程序
| 应用程序部署编辑器(Application Deployment Editor)包含了一个新的选项,它允许一个指派给用户的程序在用户登录时进行完全的安装,而不是根据需要进行安装。这样,管理员便可以确保相应的应用程序能够自动安装在用户的计算机上。
|
Netlogon
| 本特性能够在基于Windows Server 2003的计算机上使用组策略配置Netlogon设置。在调整Netlogon设置(例如启用和禁用特定于域控制器的定位DNS记录的动态注册,定期刷新这样的记录,启用和禁用自动站点覆盖,以及其它许多Netlogon参数)的时候,它能够简化配置域成员所需的步骤。
|
网络和拨号连接
| Windows Server 2003 网络配置用户界面可以通过组策略被特定的(有限制的)用户所使用。
|
分布式事件策略
| WMI 事件基础结构经过了扩展,可以运行在一个分布式的环境之中。该项增强由数个能够完成WMI事件的订阅配置、筛选、关联、汇集和传输的组件组成。ISV 可以利用更多的用户接口和策略类型定义实现健康状况监视、事件日志、通知、自动恢复以及计费等功能。
|
禁用凭据管理器
| 作为Windows Server 2003拥有的一项新功能,凭据管理器(Credential Manager)简化了用户凭据的管理过程。组策略允许您禁用凭据管理器。
|
面向软件部署的支持URL
| 本特性能够为软件包编辑和添加一个支持URL。在应用程序出现在目标计算机上的“添加/删除程序”中时,用户可以通过这个支持URL前往支持页面。本特性有助于降低支持部门所接听支持电话的数量。
|
WMI 筛选
| Windows管理规范(WMI)能够收集与计算机有关的大量数据,例如硬件和软件清单、设置、和配置信息等。WMI从注册表、驱动程序、文件系统、Active Directory、简单网络管理协议(SNMP)、Windows Installer服务、结构化查询语言(SQL)、网络以及Exchange Server处收集这些信息。Windows Server 2003 中的WMI 筛选(WMI Filtering)允许您根据对WMI数据的查询,动态地确定是否应用某个GPO。这些查询(又称作WMI过滤器)决定了哪些用户和计算机能够获得在您用来创建过滤器的GPO中配置的策略设置。本功能让您能够根据本地计算机的属性动态地应用组策略。
例如,某个GPO可能向特定组织单位中的用户指派了Office XP。但是,管理员不能肯定是否组织中所有的旧桌面计算机都拥有足够的硬盘空间来安装该软件。在这种情况下,管理员便可以结合使用WMI过滤器和GPO,只向拥有超过400MB以上剩余硬盘空间的用户指派Office XP。
|
终端服务器
| 管理员可以使用组策略管理用户使用终端服务器的方式,例如强制进行重定向,口令访问以及墙纸设置。
|
特性
| 描述
|
跨森林身份验证
| 当用户帐户属于一个森林,而计算机帐户属于另一个森林时,跨森林的身份验证能够实现对资源的安全访问。本特性允许用户使用Kerberos或NTLM验证,安全地访问其它森林中的资源,而不必牺牲由于只需在用户的主森林中维护一个用户ID和口令所带来的单点登录和其它管理方面的好处。跨森林身份验证包括:
名称解析
§ 当Kerberos和NTLM 不能在本地域控制器上解析一个主体名称时,它们会调用全局编录。
§ 当全局编录无法解析该名称时,它将调用一个新的跨森林名称匹配功能。
§ 该名称匹配功能将安全主体名称与来自所有被信任森林的被信任名称空间进行比较。如果找到匹配的名称空间,它便将被信任森林的名称作为一个路由提示返回。
请求的路由
§ Kerberos和NTLM使用路由提示将身份验证请求沿着信任路径从源域发送给可能的目标域。
§ 对于Kerberos,密钥颁发中心(Key Distribution Centers,KDC)会生成沿着信任路径的引用,客户机以标准的Kerberos方式跟踪这些引用。
§ 对于NTLM,域控制器使用pass-through身份验证,沿着信任路径穿过安全通道传递该请求。
受支持的身份验证
§ Kerberos 和 NTLM 网络登录,用来远程访问另一个森林中的服务器。
§ Kerberos 和 NTLM 交互式登录,用来进行用户主森林之外的物理登录。
§ 到另一个森林中的N层应用的Kerberos 委派。
§ 完全支持用户主体名称(UPN)凭据
|
跨森林授权
| 跨森林授权让管理员能够轻松地从被信任森林中选择用户和组,以便将他们包括在本地组或者ACL之中。本特性维护了森林安全边界的完整性,同时允许在森林之间建立信任关系。在来自被信任森林的用户试图访问受保护的资源时,它能让信任森林在它将要接受的安全标识符(SID)上施加某些约束和限制。
组成员关系和ACL管理
§ 对象选取程序已经得到了增强,以便从被信任森林中选择用户或组。
§ 名称必须完整输入。不支持枚举和通配符搜索。
名称-SID 转换
§ 对象选取程序和ACL编辑器使用系统API存储组成员和ACL项目的SID,并且将其转换回友好名称以便于显示。
§ 名称-SID转换API得到了增强,可以使用跨森林的路由提示,并且能够沿着信任路径充分利用域控制器之间的 NTLM安全通道,以解析来自被信任森林的安全主体名称或SID。
SID过滤
§ 在授权数据从受信任森林的根域传递到信任森林的根域时,SID将受到过滤。信任森林仅仅接受和它信任的域有关并且接受其它森林管理的SID。其它任何SID都回被自动丢弃。
SID过滤自动应用在Kerberos和NTLM身份验证以及名称-SID转换上。
|
交叉证书增强
| Windows Server 2003客户端的交叉证书特性已经得到了加强,它现在拥有了部门级和全局级的交叉证书能力。例如,WinLogon现在可以执行对交叉证书的查询,并且将它们下载到“企业信任/企业存储”中。随着链条的建立,所有的交叉证书都将被下载。
|
IAS 和跨森林身份验证
| 如果Active Directory森林处于“跨森林”模式,并且建立了双向信任,那么Internet身份验证服务/远程身份验证拨入用户服务器(IAS/RADIUS)便可以通过本特性对另一个森林中的用户进行身份验证。这使得管理员可以轻松地将新的森林与森林中现有的IAS/RADIUS服务集成在一起。
|
凭据管理器
| 凭据管理特性为用户凭据(包括口令和X.509证书)的存储提供了一个安全的场所。它还为包括漫游用户在内的用户提供了连续一致的单点登录体验。例如,在用户访问公司网络内部的某个业务应用的时候,对该应用的首次尝试需要身份验证,用户需要提供一个凭据。在用户提供了该凭据之后,凭据便与被请求的应用程序建立了关联。在用户对该应用的后续访问中,可以重复使用保存下来的凭据,而不会再次提示用户提供凭据。
|
QQ群⑧:
窥视卡
雷达卡
发表于 2015-5-7 05:42:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡