在六月初，微軟發(fā)布了接近最終發(fā)布版本的Windows Server 2012以及Windows 8的發(fā)行預覽版。本文讓我們來看看Server 2012中有哪些引人注目的新功能。

筆者此前對Windows Server 2012 beta版的新功能進行了總結，包括多機管理、Hyper-V改進、安全性增強等，本文中，我們將看看除beta版中新功能以外的新增功能。

動態(tài)訪問控制

在Windows Server 2012中，動態(tài)訪問控制(DAC)是一套功能和工具集，主要用于加強文件系統(tǒng)安全(自NT時期以來就一直是Windows的一部分)。動態(tài)訪問控制加入了分類、政策執(zhí)行、審計和加密以保護各種類型的數(shù)據(jù)免受未經(jīng)授權訪問和肆意篡改的危害。

讓我們來看看動態(tài)訪問控制是如何運作的，我們從幾個不同類型的政策來看開始。

首先是中央訪問政策，它為現(xiàn)有訪問控制列表(ACL)新增了一個安全層。這些政策位于ACL之上，為文件和對象訪問增加了額外的授權層。這些政策還涉及企業(yè)中的所有服務器，所以它們的應用非常廣泛，影響著整個企業(yè)。

中央訪問政策比特定文件或文件夾ACL更細粒度化，并能更好地轉(zhuǎn)化為你可能要面對的業(yè)務需求。這些政策考慮了用戶的身份，用戶用于訪問目的使用的設備類型以及被訪問的數(shù)據(jù)類型。而不是像ACL那樣迫使你在“yes或no”中作出選擇。

這是在Active Directory Domain Services中你可以設置動態(tài)訪問控制政策的位置之一

例如，企業(yè)可以根據(jù)信息的性質(zhì)來創(chuàng)建限制對某個文件或文件夾的訪問權限的政策，這有助于幫助企業(yè)遵守政府和行業(yè)法規(guī)。

此外，你可以根據(jù)用戶目前所屬部門來創(chuàng)建限制訪問政策。最后，你可以創(chuàng)建一個政策規(guī)定，企業(yè)某些部門的用戶只能訪問與其工作相關的信息，這在金融機構比較常用。

中央訪問政策應與中央審計政策配合使用，中央審計政策主要是備份訪問政策以及證明企業(yè)遵守合規(guī)要求。當你看到任何政府或行業(yè)合規(guī)要求，并將該要求的條件輸入到審計政策，然后你就能檢索到證明你遵守合規(guī)的即時報告。

你還能看到訪問授權不當?shù)那闆r，在這種情況下，應該調(diào)整你的政策以確保這些漏洞不會再出現(xiàn)。你還會看到用戶或用戶組試圖訪問信息(而未能成功)的情況，這從安全的角度來看是很有幫助的，因為這表明用戶需要接受進一步的教育。

訪問和審計政策可以與文件分類基礎設施配合使用，文件分類基礎設施最早出現(xiàn)在Windows Server 2008 R2中，在最新版本中，該功能得到了改進。通過分類文件，你可以對文件進行標記，標記可以使數(shù)據(jù)類型、適用于數(shù)據(jù)的法規(guī)類型、數(shù)據(jù)有限期限、數(shù)據(jù)的保密限制的到期日等等。

中央訪問和審計政策通過文件分類基礎設施的這些標記以及文件系統(tǒng)ACL來確定應該對誰授予訪問權限以及在何種條件下授予訪問權限。例如，如果你將某文件夾標記為HIPAA敏感數(shù)據(jù)(因為其保護敏感醫(yī)療數(shù)據(jù))，當中央訪問政策規(guī)定限制對這些信息的訪問，那么當用戶試圖訪問HIPAA信息時，政策就會限制用戶訪問。

無論訪問是否成功，審計政策都會記錄這次活動用于進一步監(jiān)測。此外，Windows Server 2012限制可以根據(jù)文件分類來自動加密文件，這樣所有標記HIPAA的文件都會進行自動加密。這些加密也可以用于合規(guī)目的的審計。

這個功能能夠幫助你加強對信息的訪問控制，你不再需要看著一個個文件或文件夾來決定“是的，這些人可以訪問”或者“這些人不能訪問”。#p#

虛擬桌面基礎設施的改善

RemoteFX技術一直都是Windows Server的一部分，新系統(tǒng)中，這項技術為通過遠程桌面協(xié)議(RDP)的托管會話帶來了本地優(yōu)質(zhì)圖像。

Windows Server 2012的最大優(yōu)勢之一是刪除了服務器中物理GPU卡和視頻卡的要求以更好地發(fā)揮RemoteFX的優(yōu)勢。此前，對于物理GPU卡和視頻卡的要求，擴展規(guī)模非常昂貴和麻煩，你需要在服務器中部署一個專用GPU以支持托管遠程桌面會話的虛擬桌面中的所有用戶。而現(xiàn)在，虛擬化GPU取代了物理GPU卡，沒有特殊視頻裝置的服務器也可以支持高性能會話。

操作系統(tǒng)創(chuàng)建了一個單獨的虛擬硬盤(VHD)文件來存儲用戶個性化信息。當用戶登錄到資源池桌面時，Windows會分流個性化VHD來創(chuàng)建個性化體驗。

此外，USB支持RDP會話得到了進一步加強，例如，如果USB設備在本地Windows客戶端工作，它將能在RDP工作而不需要特殊的驅(qū)動程序。此前，只有小部分Windows兼容的USB設備可以通過RDP連接被“發(fā)送”，讓VDI部署受到很大限制。只要這些設備能夠在本地客戶端使用，智能卡讀寫器、攝像頭、游戲都能夠無縫地用于RDP遠程會話。

還有一個新的“Fair Share”技術，主要負責管理分配主機上所有運行會話的CPU、內(nèi)存、磁盤空間和網(wǎng)絡帶寬，它能夠防止一個用戶占用大量資源，按照一定比例限制用戶的資源。

你可以在全球范圍內(nèi)配置限制百分比，然后這些百分比將會均勻地應用到所有正在運行的設置中。在默認情況下，你不能指定一個用戶擁有兩倍多的網(wǎng)絡控制，這也是為什么這項技術被稱為“公平共享”的原因。不過，這是一個很好的方式，以確保加載高清晰電影的用戶不會影響其他所有人的VDI體驗。

此外，資源池式桌面的一個大缺點被刪除了。在過去，當用戶被分配到一個資源池虛擬機時，他們的體驗會受到影響。每當他們修改設置或者本地存儲數(shù)據(jù)到資源池機器，當系統(tǒng)注銷時，這些設置都會被刪除，因為資源池的鏡像是動態(tài)的。

在Windows Server 2012中，操作系統(tǒng)會創(chuàng)建一個單獨的虛擬硬盤(VHD)文件來存儲用戶個性化信息，當用戶登錄到資源池桌面時，Windows將會加載個性化VHD以及資源池鏡像VHD以創(chuàng)建個性化體驗。并且，它還將所有設置改變保存到用戶磁盤中，這樣當用戶下一次登陸時，這些變化就會反映出來。

現(xiàn)在你可以享受修復和維護單個鏡像的優(yōu)勢，同時允許用戶定制他們自己的工作環(huán)境。

最后，基于VDI部署的存儲選項也得到了改善。例如，你可以通過服務器信息塊文件共享、存儲區(qū)域網(wǎng)絡(SAN)或本地存儲來存儲和操作VHD。資源池虛擬桌面集可以按層來配置，換句話說，不常使用的機器可以存儲在廉價的存儲中，而更頻繁使用的VHD和會話可以存儲在更快但更貴的存儲中。VDI能夠很好地與Windows Server 2012中的集群和故障轉(zhuǎn)移功能配合使用，以確保高可用性。#p#

網(wǎng)絡改進

另一個重大改進是DirectAccess，它允許從任何端點返回企業(yè)系統(tǒng)，而不會對真正的VPN帶來性能影響。

在該客戶端上沒有管理代理，當該技術正確配置后，就能夠使用了。用戶將擁有對文件共享、企業(yè)設備和其他資源的無縫連接，就好像他們在企業(yè)內(nèi)部一樣。

只需要七次點擊，管理員就可以完成這個向?qū)?，DirectAccess就可以使用了

此外，組策略對象得到應用，管理員可以在任何地方管理及其，而不只是只有當員工來到企業(yè)內(nèi)部或者及其連接到VPN時。

曾經(jīng)，使用DirectAccess的缺點是設置該系統(tǒng)的高要求(曾經(jīng)依賴于IPv6或者IPv6到IPv4轉(zhuǎn)換引擎)以及配置DMZ中或者網(wǎng)絡邊緣的服務器端點，它也沒有支持虛擬化。

在Windows Server 2012中，這些要求都被刪除了。DirectAccess能夠無縫地與IPv4工作，不再需要奇怪的Teredo或者轉(zhuǎn)換通道。此外，你還可以毫無問題地對運行DirectAccess“攔截器”的邊緣機器進行虛擬化。我只在Hyper-V嘗試過，不過我相信該產(chǎn)品正式發(fā)布時，VMware也將得到支持。

最后，這個發(fā)行預覽版中的新的Express Remote Access Wizard(快速遠程訪問向?qū)?消除了設置DirectAccess的所有復雜性。只需要七次點擊，管理員就可以完成這個向?qū)?，DirectAccess就可以使用了

DirectAccess是一種非常強大的技術，非常適用于擁有大量遠程工作人員的企業(yè)。

總結

從更簡單的DirectAccess部署到全面的文件分類和動態(tài)訪問控制系統(tǒng)，再到企業(yè)部署虛擬桌面基礎設施的更好的用戶體驗，Windows Server 2012的發(fā)行候選版的功能改進非常引人注目且具有競爭力。

原文鏈接：http://www.cnw.com.cn/news-report/htm2012/20120711_250167.shtml