在六月初，微軟發(fā)布了接近最終發(fā)布版本的Windows Server 2012以及Windows 8的發(fā)行預(yù)覽版。本文讓我們來看看Server 2012中有哪些引人注目的新功能。

筆者此前對Windows Server 2012 beta版的新功能進(jìn)行了總結(jié)，包括多機(jī)管理、Hyper-V改進(jìn)、安全性增強(qiáng)等，本文中，我們將看看除beta版中新功能以外的新增功能。

動(dòng)態(tài)訪問控制

在Windows Server 2012中，動(dòng)態(tài)訪問控制(DAC)是一套功能和工具集，主要用于加強(qiáng)文件系統(tǒng)安全(自NT時(shí)期以來就一直是Windows的一部分)。動(dòng)態(tài)訪問控制加入了分類、政策執(zhí)行、審計(jì)和加密以保護(hù)各種類型的數(shù)據(jù)免受未經(jīng)授權(quán)訪問和肆意篡改的危害。

讓我們來看看動(dòng)態(tài)訪問控制是如何運(yùn)作的，我們從幾個(gè)不同類型的政策來看開始。

首先是中央訪問政策，它為現(xiàn)有訪問控制列表(ACL)新增了一個(gè)安全層。這些政策位于ACL之上，為文件和對象訪問增加了額外的授權(quán)層。這些政策還涉及企業(yè)中的所有服務(wù)器，所以它們的應(yīng)用非常廣泛，影響著整個(gè)企業(yè)。

中央訪問政策比特定文件或文件夾ACL更細(xì)粒度化，并能更好地轉(zhuǎn)化為你可能要面對的業(yè)務(wù)需求。這些政策考慮了用戶的身份，用戶用于訪問目的使用的設(shè)備類型以及被訪問的數(shù)據(jù)類型。而不是像ACL那樣迫使你在“yes或no”中作出選擇。

這是在Active Directory Domain Services中你可以設(shè)置動(dòng)態(tài)訪問控制政策的位置之一

例如，企業(yè)可以根據(jù)信息的性質(zhì)來創(chuàng)建限制對某個(gè)文件或文件夾的訪問權(quán)限的政策，這有助于幫助企業(yè)遵守政府和行業(yè)法規(guī)。

此外，你可以根據(jù)用戶目前所屬部門來創(chuàng)建限制訪問政策。最后，你可以創(chuàng)建一個(gè)政策規(guī)定，企業(yè)某些部門的用戶只能訪問與其工作相關(guān)的信息，這在金融機(jī)構(gòu)比較常用。

中央訪問政策應(yīng)與中央審計(jì)政策配合使用，中央審計(jì)政策主要是備份訪問政策以及證明企業(yè)遵守合規(guī)要求。當(dāng)你看到任何政府或行業(yè)合規(guī)要求，并將該要求的條件輸入到審計(jì)政策，然后你就能檢索到證明你遵守合規(guī)的即時(shí)報(bào)告。

你還能看到訪問授權(quán)不當(dāng)?shù)那闆r，在這種情況下，應(yīng)該調(diào)整你的政策以確保這些漏洞不會(huì)再出現(xiàn)。你還會(huì)看到用戶或用戶組試圖訪問信息(而未能成功)的情況，這從安全的角度來看是很有幫助的，因?yàn)檫@表明用戶需要接受進(jìn)一步的教育。

訪問和審計(jì)政策可以與文件分類基礎(chǔ)設(shè)施配合使用，文件分類基礎(chǔ)設(shè)施最早出現(xiàn)在Windows Server 2008 R2中，在最新版本中，該功能得到了改進(jìn)。通過分類文件，你可以對文件進(jìn)行標(biāo)記，標(biāo)記可以使數(shù)據(jù)類型、適用于數(shù)據(jù)的法規(guī)類型、數(shù)據(jù)有限期限、數(shù)據(jù)的保密限制的到期日等等。

中央訪問和審計(jì)政策通過文件分類基礎(chǔ)設(shè)施的這些標(biāo)記以及文件系統(tǒng)ACL來確定應(yīng)該對誰授予訪問權(quán)限以及在何種條件下授予訪問權(quán)限。例如，如果你將某文件夾標(biāo)記為HIPAA敏感數(shù)據(jù)(因?yàn)槠浔Ｗo(hù)敏感醫(yī)療數(shù)據(jù))，當(dāng)中央訪問政策規(guī)定限制對這些信息的訪問，那么當(dāng)用戶試圖訪問HIPAA信息時(shí)，政策就會(huì)限制用戶訪問。

無論訪問是否成功，審計(jì)政策都會(huì)記錄這次活動(dòng)用于進(jìn)一步監(jiān)測。此外，Windows Server 2012限制可以根據(jù)文件分類來自動(dòng)加密文件，這樣所有標(biāo)記HIPAA的文件都會(huì)進(jìn)行自動(dòng)加密。這些加密也可以用于合規(guī)目的的審計(jì)。

這個(gè)功能能夠幫助你加強(qiáng)對信息的訪問控制，你不再需要看著一個(gè)個(gè)文件或文件夾來決定“是的，這些人可以訪問”或者“這些人不能訪問”。#p#

虛擬桌面基礎(chǔ)設(shè)施的改善

RemoteFX技術(shù)一直都是Windows Server的一部分，新系統(tǒng)中，這項(xiàng)技術(shù)為通過遠(yuǎn)程桌面協(xié)議(RDP)的托管會(huì)話帶來了本地優(yōu)質(zhì)圖像。

Windows Server 2012的最大優(yōu)勢之一是刪除了服務(wù)器中物理GPU卡和視頻卡的要求以更好地發(fā)揮RemoteFX的優(yōu)勢。此前，對于物理GPU卡和視頻卡的要求，擴(kuò)展規(guī)模非常昂貴和麻煩，你需要在服務(wù)器中部署一個(gè)專用GPU以支持托管遠(yuǎn)程桌面會(huì)話的虛擬桌面中的所有用戶。而現(xiàn)在，虛擬化GPU取代了物理GPU卡，沒有特殊視頻裝置的服務(wù)器也可以支持高性能會(huì)話。

操作系統(tǒng)創(chuàng)建了一個(gè)單獨(dú)的虛擬硬盤(VHD)文件來存儲(chǔ)用戶個(gè)性化信息。當(dāng)用戶登錄到資源池桌面時(shí)，Windows會(huì)分流個(gè)性化VHD來創(chuàng)建個(gè)性化體驗(yàn)。

此外，USB支持RDP會(huì)話得到了進(jìn)一步加強(qiáng)，例如，如果USB設(shè)備在本地Windows客戶端工作，它將能在RDP工作而不需要特殊的驅(qū)動(dòng)程序。此前，只有小部分Windows兼容的USB設(shè)備可以通過RDP連接被“發(fā)送”，讓VDI部署受到很大限制。只要這些設(shè)備能夠在本地客戶端使用，智能卡讀寫器、攝像頭、游戲都能夠無縫地用于RDP遠(yuǎn)程會(huì)話。

還有一個(gè)新的“Fair Share”技術(shù)，主要負(fù)責(zé)管理分配主機(jī)上所有運(yùn)行會(huì)話的CPU、內(nèi)存、磁盤空間和網(wǎng)絡(luò)帶寬，它能夠防止一個(gè)用戶占用大量資源，按照一定比例限制用戶的資源。

你可以在全球范圍內(nèi)配置限制百分比，然后這些百分比將會(huì)均勻地應(yīng)用到所有正在運(yùn)行的設(shè)置中。在默認(rèn)情況下，你不能指定一個(gè)用戶擁有兩倍多的網(wǎng)絡(luò)控制，這也是為什么這項(xiàng)技術(shù)被稱為“公平共享”的原因。不過，這是一個(gè)很好的方式，以確保加載高清晰電影的用戶不會(huì)影響其他所有人的VDI體驗(yàn)。

此外，資源池式桌面的一個(gè)大缺點(diǎn)被刪除了。在過去，當(dāng)用戶被分配到一個(gè)資源池虛擬機(jī)時(shí)，他們的體驗(yàn)會(huì)受到影響。每當(dāng)他們修改設(shè)置或者本地存儲(chǔ)數(shù)據(jù)到資源池機(jī)器，當(dāng)系統(tǒng)注銷時(shí)，這些設(shè)置都會(huì)被刪除，因?yàn)橘Y源池的鏡像是動(dòng)態(tài)的。

在Windows Server 2012中，操作系統(tǒng)會(huì)創(chuàng)建一個(gè)單獨(dú)的虛擬硬盤(VHD)文件來存儲(chǔ)用戶個(gè)性化信息，當(dāng)用戶登錄到資源池桌面時(shí)，Windows將會(huì)加載個(gè)性化VHD以及資源池鏡像VHD以創(chuàng)建個(gè)性化體驗(yàn)。并且，它還將所有設(shè)置改變保存到用戶磁盤中，這樣當(dāng)用戶下一次登陸時(shí)，這些變化就會(huì)反映出來。

現(xiàn)在你可以享受修復(fù)和維護(hù)單個(gè)鏡像的優(yōu)勢，同時(shí)允許用戶定制他們自己的工作環(huán)境。

最后，基于VDI部署的存儲(chǔ)選項(xiàng)也得到了改善。例如，你可以通過服務(wù)器信息塊文件共享、存儲(chǔ)區(qū)域網(wǎng)絡(luò)(SAN)或本地存儲(chǔ)來存儲(chǔ)和操作VHD。資源池虛擬桌面集可以按層來配置，換句話說，不常使用的機(jī)器可以存儲(chǔ)在廉價(jià)的存儲(chǔ)中，而更頻繁使用的VHD和會(huì)話可以存儲(chǔ)在更快但更貴的存儲(chǔ)中。VDI能夠很好地與Windows Server 2012中的集群和故障轉(zhuǎn)移功能配合使用，以確保高可用性。#p#

網(wǎng)絡(luò)改進(jìn)

另一個(gè)重大改進(jìn)是DirectAccess，它允許從任何端點(diǎn)返回企業(yè)系統(tǒng)，而不會(huì)對真正的VPN帶來性能影響。

在該客戶端上沒有管理代理，當(dāng)該技術(shù)正確配置后，就能夠使用了。用戶將擁有對文件共享、企業(yè)設(shè)備和其他資源的無縫連接，就好像他們在企業(yè)內(nèi)部一樣。

只需要七次點(diǎn)擊，管理員就可以完成這個(gè)向?qū)В珼irectAccess就可以使用了

此外，組策略對象得到應(yīng)用，管理員可以在任何地方管理及其，而不只是只有當(dāng)員工來到企業(yè)內(nèi)部或者及其連接到VPN時(shí)。

曾經(jīng)，使用DirectAccess的缺點(diǎn)是設(shè)置該系統(tǒng)的高要求(曾經(jīng)依賴于IPv6或者IPv6到IPv4轉(zhuǎn)換引擎)以及配置DMZ中或者網(wǎng)絡(luò)邊緣的服務(wù)器端點(diǎn)，它也沒有支持虛擬化。

在Windows Server 2012中，這些要求都被刪除了。DirectAccess能夠無縫地與IPv4工作，不再需要奇怪的Teredo或者轉(zhuǎn)換通道。此外，你還可以毫無問題地對運(yùn)行DirectAccess“攔截器”的邊緣機(jī)器進(jìn)行虛擬化。我只在Hyper-V嘗試過，不過我相信該產(chǎn)品正式發(fā)布時(shí)，VMware也將得到支持。

最后，這個(gè)發(fā)行預(yù)覽版中的新的Express Remote Access Wizard(快速遠(yuǎn)程訪問向?qū)?消除了設(shè)置DirectAccess的所有復(fù)雜性。只需要七次點(diǎn)擊，管理員就可以完成這個(gè)向?qū)?，DirectAccess就可以使用了

DirectAccess是一種非常強(qiáng)大的技術(shù)，非常適用于擁有大量遠(yuǎn)程工作人員的企業(yè)。

總結(jié)

從更簡單的DirectAccess部署到全面的文件分類和動(dòng)態(tài)訪問控制系統(tǒng)，再到企業(yè)部署虛擬桌面基礎(chǔ)設(shè)施的更好的用戶體驗(yàn)，Windows Server 2012的發(fā)行候選版的功能改進(jìn)非常引人注目且具有競爭力。

原文鏈接：http://www.cnw.com.cn/news-report/htm2012/20120711_250167.shtml