Windows Server 2016

用户组策略

Windows Server 2016

在Windows Server 2016系统中，系统用户和用户组策略，Windows Server 2016管理功能仍然存在（见图 1）。这些组策略设置权限可以在域、用户组织单位OU、站点或本地计算机权限层级上申请。Windows Server 2016

图 1. Windows Server 2016预览版2中的组策略编辑器

与之前的版本相比，Windows Server 2016系统在组策略配置方式上发生改变。在Windows Server 2016系统中，微软鼓励用户使用最简便的方式配置服务器操作系统。Windows Server 2016使用图形化进行配置管理并不是最优的方式（见图2）。在Windows Server 2016操作系统安装选项下的描述中就解释到：如需考虑需要与以后的系统版本兼容的情况，推荐用户在安装Windows Server 2016操作系统的同时，选择安装本地管理工具。

Windows Server 2016

Windows Server 2016这种安装方式随之带来的问题是：怎样访问组策略编译器。对于不同的Windows Server 2016安装式，你需要使用不同的Windows Server 2016方法。因为本文测试环境使用的是Windows Server 2016预览版，所以现在文中用到的方法以后也可能会发生变化。但是如果你已经安装好了Windows Server 2016本地管理工具软件，那么访问用户组策略的方式与Windows Server 2012系统下使用的方式相似。

Windows Server 2016

Windows Server 2016

Windows Server 2016

另外一种方法是通过PowerShell命令来编辑管理用户组策略。在Windows Server 2016中，提供了一个完整的PowerShell软件模块用于用户组策略的管理。但是PowerShell用户组策略模块不会被默认安装，除非Windows Server 2016系统被配置为域控制器或系统中已经安装用户组策略管理终端软件。微软现在仍没有发布Windows Server 2016官方文档，说明在Windows Server 2016系统中哪些条件下，PowerShell用户组策略功能模块可用。

当Windows Server 2016系统开始正始发布时，大部份公司很有可能选择Windows Server 2016远程管理用户组策略的方式，而不是选择安装Windows Server 2016本地管理工具包。虽然PowerShell也是一种可行的方案，但是在小规模的IT环境中，Windows Server 2016图形化管理方式明显更有效率。^[1]

网络功能

随着Windows Server 2016版本的持续发展，是时候考虑改变服务器网络了。在Windows Server 2016新版本中将会减少对网络访问保护（NAP）的支持，而Windows Server 2016增加对虚拟网络和网关间的GRE隧道支持，并对DNS客户端的特性进行了改变。

老旧

在早期的2004年，我们会认为网络访问保护（NAP）是网络的万金油。我们可以隔离我们觉得可疑的Windows Server 2016设备，直到认为这些设备满足了我们的Windows Server 2016规范（更新到最新版本并且打上了最新的补丁），并扫描这些设备让Windows Server 2016不存在任何恶意程序，之后才能认可这个Windows Server 2016设备并且将这个Windows Server 2016设备下放到我们的网络中来同时赋予所有权限。我们可以指定某个区域的网络和某个服务器为修复Windows Server 2016服务器，在修复Windows Server 2016服务器上我们可以下载防病毒保护和补丁。即使有个Windows Server 2016供应商带来了一部很多病毒的笔记本电脑接入网络中，他进行了30分钟的演讲然后便消失得无影无踪，我们也不用花费3天的时间去收拾残局（这里的供应商有时也代表远程办公的职员）。

不管是什么原因，Windows Server 2016 NAP从来没有达到巅峰，这可能要归结于以下几个原因：

• Windows Server 2016NAP从来没有统一的标准，其中Juniper用一个标准而Cisco用另一个标准。将所有厂家都统计标准是可行的，但是会耗时耗力。

• 其实有很多种方法可以达到相同的目的，比如你可以阻止Windows Server 2016DHCP分配地址，在交换机上执行端口限制，用自定义的访问控制列表等等。

• 用户也会反对Windows Server 2016NAP，因为他们不希望他们的电脑在家是能正常使用，而一拿到办公室却要耗费大量时间去打补丁。所以Windows Server 2016NAP注定是还没怎么存在过就要死去。

哎，如微软回应一样，业界已经远离Windows Server 2016网络访问检测和保护。在Windows Server 2016中NAP已经被弃用，而且在未来也不太可能被继续开发。

GRE支持

随着很多Windows Server 2016虚拟机被整合并运行在一个主机上以及云服务的扩张，你的Windows Server 2016虚拟机会在自己的数据中心和公有云上来回转移，因此对公有Windows Server 2016因特网上的隧道技术支持已经成为了一种必要。各种VPN一般在数据链路层工作得挺好，但是要修订针对Windows Server 2016上多用户环境，特别在高密度配置下，我们需要使用数据链路层以下的（OSI协议）层。

通用路由封装（GRE），是在Windows Server 2016上使用的一种协议，Windows Server 2016可以封装OSI协议栈的网络层上的不同协议，Windows Server 2016让这些封装后的数据在云计算中心和你的数据中心中进行数据传输。使用GRE后，Windows Server 2016可以在虚拟网络、管理程序和外部网络（包括Internet）之间发送网络层报文。Windows Server 2016GRE是路由器和交换机都能普遍识别的协议，所以Windows Server 2016不需要特殊的硬件等，可能需要的仅仅是重新配置的工作。而且Windows Server 2016是轻量级的，Windows Server 2016能通过Internet连接一个虚拟网络和地理位置离很远的另一个虚拟网络，并且工作得很好。

DNS更新

当今很多Windows Server 2016服务器买回来的时候已经配了多块网卡，有些会在Windows Server 2016服务器主板上内置类似4口的网卡，有一些是主板内置了一个一口或者双口的网卡，另外在PCI插槽上配一个单网口卡（很多Dell的服务器就是这样的配置模式）。假设所有这些不同的Windows Server 2016网卡都同时连接到网络中来，而且所有的网卡都通过Windows Server 2016DHCP分配或者静态地得到了稍微不同的DNS服务器配置，那么会出现很奇怪的名字解析问题，Windows Server 2016服务器不知道应该用哪一个Windows Server 2016DNS服务器来解析名称。在下一个版本的Windows Server 2016里面，当任何网卡及其配置的DNS服务器在做DNS解析的时候，DNS client服务会对这块网卡进行绑定。这样可以解决很多异常的现象，特别是Windows Server 2016服务器上运行了很多虚拟机和承载了很多网络流量的时候，这也清理了一些时不时出现又很难排查和修复的问题。

此外，如果你使用组策略去部署名称解析策略表（NRPT）的话，Windows Server 2016DNS客户端是不会对网卡进行上述绑定的。一般来说Windows Server 2016NRPT使用在大型的企业网中，而且默认是关闭的，所以如果你没有设置Windows Server 2016NRPT，就不用担心这个问题。

免费升级

微软日前推出Windows Server 2016免费升级计划：在9月1日至明年6月30日间，从VMware转用Hyper-V的用户，只需支付软件保证费用，就可以免费使用新版Windows Server 2016操作系统。另外，微软也预告Windows Server 2016和System Center 2016将在9月推出。

发展历程

2014年10月2日，微软推出了Windows Server 2016的技术预览版，数据中心版以及Hyper-V版。 

2015年5月4日，微软在Ignite 2015年度技术大会上发布了Windows Server 2016第二个技术预览版。 

2015年8月20日，微软推出了Windows Server 2016第三个技术预览版。 

2015年11月20日，微软推出了Windows Server 2016第四个技术预览版。 

2016年10月13日，微软正式发布了Windows Server 2016。 

系统功能

虚拟化

综述

Windows Server 2016提供的虚拟化区域包括适用于IT专业人员的虚拟化产品和功能，以设计、部署和维护Windows Server。 

Hyper-V

Windows Server 2016上的Hyper-V具有兼容Connected Standby模式、分配离散设备、支持第1代虚拟机中的操作系统磁盘的加密支持、保护主机资源、网络适配器和内存的热添加和删除、Linux安全启动、嵌套虚拟化等功能。 

Nano Server

Windows Server 2016上的Nano Server具有一个已更新的模块，用于构建Nano Server映像，包括物理主机和来宾虚拟机功能的更大分离度，以及对不同Windows Server版本的支持。恢复控制台也有改进，其中包括入站和出站防火墙规则分离及WinRM配置修复功能。  利用Emergency Management Console，用户可以直接从Nano Server控制台中查看和修复网络配置；借助新的PowerShell脚本，用户可以创建一个Nano Azure虚拟机。 

受防护的虚拟机

Windows Server 2016提供新的基于Hyper-V的受防护的虚拟机，以保护第2代虚拟机免受已损坏的构造影响。引入了新的“支持加密”模式，完全支持将现有非受防护的第2代虚拟机转换为受防护的虚拟机，包括自动磁盘加密。Hyper-V虚拟机管理器可以查看授权运行的受防护的虚拟机上的构造，为构造管理员提供了一种打开受防护的虚拟机的密钥保护程序 (KP) 并查看构造是否有权在其上运行的方式。还有基于Windows PowerShell的端到端诊断工具等。 

访问安全

综述

Active Directory 证书服务

Windows Server 2016身份标识中的新功能提高了组织保护Active Directory环境的能力，并帮助它们迁移到仅限云的部署和混合部署，其中某些应用程序和服务托管在云中，其它的则托管在本地。 

Active Directory 证书服务

Windows Server 2016中的Active Directory证书服务增加了对 TPM 密钥证明的支持，可使用智能卡KSP进行密钥证明，而未加入域的设备可以使用NDES注册，以获得可证明TPM中密钥的证书。 

Active Directory 域服务

Windows Server 2016中的Active Directory域服务新增了特权访问管理、通过Azure Active Directory联接将云功能扩展到Windows 10设备、将已加入域的设备连接到Windows 10体验Azure AD、在组织中启用Microsoft Passport for Work等功能，提高了组织保护 Active Directory 环境安全的能力。 

Active Directory 联合身份验证服务

Windows Server 2016中的Active Directory联合身份验证服务跨多种应用程序（包括 Office 365、基于云的 SaaS 应用程序以及企业网络上的应用程序）提供访问控制和单一登录。对于IT组织，它能够基于同一组凭据和策略在本地和云中为新式和传统应用程序提供登录和访问控制；对于用户，它使用相同且熟悉的帐户凭据提供无缝登录；对于开发人员，它提供了一种简单的方法来对其身份位于组织目录中的用户进行身份验证。 

Web 应用程序代理

网站部署

Windows Server 2016中的Web应用程序代理新增了适用于HTTP基本应用程序发布的预身份验证、应用程序的部 URL可以包含通配符、HTTP到HTTPS的重定向、发布远程桌面网关应用、将客户端IP地址传播到后端应用程序等功能。 

系统管理

综述

Windows Server 2016新增支持在Nano Server上本地运行PowerShell.exe（不再仅限于远程）、新增“本地用户和组”Cmdlet来替换 GUI、添加了PowerShell调试支持、添加了对Nano Server中安全日志记录和脚本以及JEA的支持等功能。 

PackageManagement

Windows Server 2016引入了一种新的PackageManagement功能（以前称为 OneGet），该功能可以允许IT专业人员或开发人员使软件发现、安装、清单（SDII）在本地或远程自动进行，无论安装程序技术为何，也不管软件位于何处。 

PowerShell 增强

Windows Server 2016添加了其它PowerShell日志记录和其他数字取证功能，并且已添加有助于在脚本中减少漏洞的功能，例如受限的PowerShell和安全 CodeGeneration API。 

网络

软件定义的网络

Windows Server 2016可以将流量映射并传送到新的或现有虚拟设备。与分布式防火墙和网络安全组联合使用，可以以类似于Azure的方式动态分段和保护工作负荷。其次，可以使用System Center Virtual Machine Manager部署并管理整个软件定义的网络 (SDN) 堆栈。最后，可以使用Docker来管理Windows Server容器网络，并将SDN策略与虚拟机和容器关联。 

TCP 性能改进

Windows Server 2016将默认初始拥塞窗口（ICW）从4增加到10，并已实现TCP快速打开（TFO）。TFO减少了建立TCP连接所需的时间，并且增加的ICW允许在初始突发中传输较大的对象。此组合可以显著减少在客户端和云之间传输Internet对象所需的时间。 

安全保障

Just Enough Administration

Windows Server 2016中的Just Enough Administration是一种安全技术，可使能由Windows PowerShell管理的任何内容均可进行委派管理。该功能包括对在网络标识下运行、通过PowerShell Direct连接、安全地复制文件到JEA终结点或从JEA终结点安全地复制文件、配置PowerShell控制台来在JEA上下文中默认启动的支持。 

启用Windows Defender Credential

Credential Guard

Windows Server 2016中的凭据保护功能（Credential Guard）使用基于虚拟化的安全性来隔离密钥，以便只有特权系统软件可以访问它们。还包括对RDP会话的支持，以便用户凭据能够保留在客户端上，且不会在服务器端暴露。 

控制流防护

Windows Server 2016中的控制流防护（CFG）是一种平台安全功能，旨在防止或消除内存损坏漏洞。它通过对应用程序从何处执行代码施加严格的限制，漏洞利用程序将难以通过缓冲区溢出等漏洞执行任意代码。   

故障转移

Windows Server 2016中含有使用故障转移群集功能组合到单个容错群集中等多个新功能和增强功能，包括了群集操作系统滚动升级、存储副本、云见证、虚拟机复原、故障转移群集中的诊断改进、站点感知故障转移群集、工作组和多域群集、虚拟机负载平衡与启动顺序以及简化的SMB多通道和多NIC群集网络等。   

系统版本

版本介绍

Windows Server 2016可以提供高经济效益与高度虚拟化的环境，包括3个主要版本：

• Datacenter Edition（数据中心版）：适用于高度虚拟化和软件定义数据中心环境。

• Standard Edition（标准版）：适用于低密度或非虚拟化的环境。

• Essentials Edition（基本版）：适用于最多25个用户，最多50台设备的小型企业。 

版本区别

展开表格

安装选项

对于Standard和Datacenter版本，有三个安装选项：

1. 具有桌面体验的服务器（Server with Desktop Experience）：该安装选项为那些需要运行需要本地UI的应用程序或远程桌面服务主机的用户提供了理想的用户体验。此选项具有完整的Windows客户端外壳和体验，与Windows 10周年版长期服务分支（LTSB）一致，并且服务器本地提供了服务器Microsoft管理控制台和服务器管理器工具。

2. 服务器核心（Server Core）：该安装选项从服务器上删除了客户端UI，从而提供了在轻型安装中运行大多数角色和功能的安装。Server Core不包括可远程使用的MMC或Server Manager，但包括有限的本地图形工具，例如Task Manager以及用于本地或远程管理的PowerShell。

3. Nano Server：该安装选项提供了理想的轻量级操作系统，以基于容器和微服务运行“云原生”应用程序。它也可以用于运行敏捷且具有成本效益的数据中心，而其OS占用空间却大大减小。由于它是服务器操作系统的轻松安装，因此可以通过Core PowerShell，基于Web的服务器管理工具或现有的远程管理工具远程完成管理。 

版本更新

展开表格

硬件要求

展开表格

系统评价

Windows Server 2016容器应用开发创建了高度灵活的Windows Server环境，帮助用户加速开发及运营流程，实现现代化应用的高效开发和部署。数百万Windows开发者将体验到容器技术带来的优势，而这一切都建立在开发者可以自行选择开发语言的基础之上——不论是.NET、ASP.NET、PowerShell、Python、Ruby on Rails、Java或是其他。（IT之家评）

参考资料

[1] 初探Windows Server 2016用户组策略 · TechTarget[引用日期2015-10-11]