Windows Server 2016是微軟于2016年10月13日正式的發布最新服務器操作系統。

它在整體的設計風格與功能上更加靠近了(le)Windows 10。

雖然(ran)在(zai)Windows Server 2016系(xi)統中，微軟(ruan)官(guan)方發(fa)布了許多Windows Server 2016新的(de)功能和特(te)性，但是(shi)Windows Server 2016在(zai)用戶(hu)組策略功能上(shang)卻與以(yi)前的(de)系(xi)統版本沒(mei)有大的(de)變化。盡管微軟(ruan)公司有可能在(zai)Windows Server 2016和Windows 10中引入一些特殊的組策略功能，但是整個Windows Server 2016組策略架構仍沒有改變。
　　在Windows Server 2016系統中，系統用戶和用戶組策略，Windows Server 2016管理功能仍然存在（見圖 1）。這些組策略設置權限可以在域、用戶組織單位OU、站點或本地計算機權限層級上申請。

　　與之前的版本相比，Windows Server 2016系統在組策略配置方式上發生改變。在Windows Server 2016系統中，微軟鼓勵用戶使用最簡便的方式配置服務器操作系統。Windows Server 2016使用圖形化進行配置管理并不是最優的方式（見圖2）。在Windows Server 2016操作系統安裝選項下的描述中就解釋到：如需考慮需要與以后的系統版本兼容的情況，推薦用戶在安裝Windows Server 2016操作系統的同時，選擇安裝本地管理工具。

　　Windows Server 2016這種安裝方式隨之帶來的問題是：怎樣訪問組策略編譯器。對于不同的Windows Server 2016安裝式，你需要使用不同的Windows Server 2016方法。因為本文測試環境使用的是Windows Server 2016預覽版，所以現在文中用到的方法以后也可能會發生變化。但是如果你已經安裝好了Windows Server 2016本地管理工具軟件，那么訪問用戶組策略的方式與Windows Server 2012系統下使用的方式相似。
　　現在，甚至對于已安裝本地管理工具軟件的Windows Server 2016系統來說,系統管理仍不方便。使用者除了通過Windows Server 2016命令提示窗口和服務管理器的接口外，已沒有其它方式，因為沒有Windows Server 2016系統桌面，沒有開始菜單(見圖3)：

　　在Windows Server 2016預覽版2中，仍然保留了大部份Windows Server 2012 R2風格的管理工具，但是Windows Server 2016想訪問那些管理工具卻不能憑以前的經驗。例如在Windows Server 2016系統管理器，雖然Windows Server 2016設置了到本地安全配置服務的鏈接，Windows Server 2016卻沒有把用戶域組策略的功能包含進來。如果你想訪問Windows Server 2016用戶管理和部份本地安全策略，你需要切換到Windows Server 2016命令提示界面，進入到C:\%systemroot%\system32目錄，然后執行GPEDIT.MSC命令（見圖4）：

　　對于沒有安裝Windows Server 2016本地管理工具的操作系統來說，你只有選擇使用Windows Server 2016遠程終端管理用戶組策略或使用PowerShell命令。如果你想通過Windows Server 2016遠程終端管理用戶組策略，你至少需要一個已裝安裝好Windows Server 2016本地管理工具的終端。在Windows Server 2016終端操作系統的命令提示符中，鍵入MMC命令。加載完成管理界面后，從Windows Server 2016文件菜單中選擇“添加/刪除”組件。當你完成Windows Server 2016相應選擇后，Windows Server 2016系統將給你一列組件清單。從組件清單中，選擇“組策略對象編輯器”，并點擊“增加”按鈕。然后Windows Server 2016系統會提示你，需要選擇Windows Server 2016管理哪臺系統的組策略。點擊“瀏覽”按鈕，并選中Windows Server 2016需要遠程管理用戶組策略的系統(見圖5)：

　　另外一種方法是通過PowerShell命令來編輯管理用戶組策略。在Windows Server 2016中，提供了一個完整的PowerShell軟件模塊用于用戶組策略的管理。但是PowerShell用戶組策略模塊不會被默認安裝，除非Windows Server 2016系統被配置為域控制器或系統中已經安裝用戶組策略管理終端軟件。微軟現在仍沒有發布Windows Server 2016官方文檔，說明在Windows Server 2016系統中哪些條件下，PowerShell用戶組策略功能模塊可用。
　　當Windows Server 2016系統開始正始發布時，大部份公司很有可能選擇Windows Server 2016遠程管理用戶組策略的方式，而不是選擇安裝Windows Server 2016本地管理工具包。雖然PowerShell也是一種可行的方案，但是在小規模的IT環境中，Windows Server 2016圖形化管理方式明顯

隨著Windows Server 2016版本的持續發展，是時候考慮改變服務器網絡了。在Windows Server 2016新版本中將會減少對網絡訪問保護（NAP）的支持，而Windows Server 2016增加對虛擬網絡和網關間的GRE隧道支持，并對DNS客戶端的特性進行了改變。

　　在早期的2004年，我們會認為網絡訪問保護（NAP）是網絡的萬金油。我們可以隔離我們覺得可疑的Windows Server 2016設備，直到認為這些設備滿足了我們的Windows Server 2016規范（更新到最新版本并且打上了最新的補丁），并掃描這些設備讓Windows Server 2016不存在任何惡意程序，之后才能認可這個Windows Server 2016設備并且將這個Windows Server 2016設備下放到我們的網絡中來同時賦予所有權限。我們可以指定某個區域的網絡和某個服務器為修復Windows Server 2016服務器，在修復Windows Server 2016服務器上我們可以下載防病毒保護和補丁。即使有個Windows Server 2016供應商帶來了一部很多病毒的筆記本電腦接入網絡中，他進行了30分鐘的演講然后便消失得無影無蹤，我們也不用花費3天的時間去收拾殘局（這里的供應商有時也代表遠程辦公的職員）。
　　不管是什么原因，Windows Server 2016 NAP從來沒有達到巔峰，這可能要歸結于以下幾個原因：

　　哎，如微軟回應一樣，業界已經遠離Windows Server 2016網絡訪問檢測和保護。在Windows Server 2016中NAP已經被棄用，而且在未來也不太可能被繼續開發。

　　隨著很多Windows Server 2016虛擬機被整合并運行在一個主機上以及云服務的擴張，你的Windows Server 2016虛擬機會在自己的數據中心和公有云上來回轉移，因此對公有Windows Server 2016因特網上的隧道技術支持已經成為了一種必要。各種VPN一般在數據鏈路層工作得挺好，但是要修訂針對Windows Server 2016上多用戶環境，特別在高密度配置下，我們需要使用數據鏈路層以下的（OSI協議）層。
　　通用路由封裝（GRE），是在Windows Server 2016上使用的一種協議，Windows Server 2016可以封裝OSI協議棧的網絡層上的不同協議，Windows Server 2016讓這些封裝后的數據在云計算中心和你的數據中心中進行數據傳輸。使用GRE后，Windows Server 2016可以在虛擬網絡、管理程序和外部網絡（包括Internet）之間發送網絡層報文。Windows Server 2016GRE是路由器和交換機都能普遍識別的協議，所以Windows Server 2016不需要特殊的硬件等，可能需要的僅僅是重新配置的工作。而且Windows Server 2016是輕量級的，Windows Server 2016能通過Internet連接一個虛擬網絡和地理位置離很遠的另一個虛擬網絡，并且工作得很好。

　　當今很多Windows Server 2016服務器買回來的時候已經配了多塊網卡，有些會在Windows Server 2016服務器主板上內置類似4口的網卡，有一些是主板內置了一個一口或者雙口的網卡，另外在PCI插槽上配一個單網口卡（很多Dell的服務器就是這樣的配置模式）。假設所有這些不同的Windows Server 2016網卡都同時連接到網絡中來，而且所有的網卡都通過Windows Server 2016DHCP分配或者靜態地得到了稍微不同的DNS服務器配置，那么會出現很奇怪的名字解析問題，Windows Server 2016服務器不知道應該用哪一個Windows Server 2016DNS服務器來解析名稱。在下一個版本的Windows Server 2016里面，當任何網卡及其配置的DNS服務器在做DNS解析的時候，DNS client服務會對這塊網卡進行綁定。這樣可以解決很多異常的現象，特別是Windows Server 2016服務器上運行了很多虛擬機和承載了很多網絡流量的時候，這也清理了一些時不時出現又很難排查和修復的問題。
　　此外，如果你使用組策略去部署名稱解析策略表（NRPT）的話，Windows Server 2016DNS客戶端是不會對網卡進行上述綁定的。一般來說Windows Server 2016NRPT使用在大型的企業網中，而且默認是關閉的，所以如果你沒有設置Windows Server 2016NRPT，就不用擔心這個問題。