只读域控制器

    只读域控制器 (RODC) 是 Windows Server 2008 操作系统提供的一种新类型的域控制器。RODC 主要是为在分支机构环境中部署而设计的。通过 RODC，组织可以限制在某些位置（例如，无法保证物理安全的分支机构）部署域控制器的风险。

    除帐户密码外，RODC 包含可写域控制器包含的所有 Microsoft Active Directory 域服务 (AD DS) 对象和属性。不过，客户端无法将更改直接写入 RODC。由于更改不能直接写入 RODC，因此不会发生本地更改，作为复制伙伴的可写域控制器不必从 RODC 导入更改。这样便减少了集线器网站中桥头服务器的工作负载以及监视复制所需的工作量。

    管理员角色分离指定可委派任何域用户为本地 RODC 的管理员，而无需授予该用户任何对域本身或其他域控制器的用户权限。这样，便创建了以下方案：本地分支用户可在服务器上登录到 RODC 执行维护工作（如升级驱动程序），而不必具有访问分支之外的域资源的权限。

BitLocker 驱动器加密

    BitLocker 驱动器加密是 Windows Server 2008 中一项重要的新安全功能，可帮助保护分支机构中的服务器。Windows Vista Enterprise 和 Windows Vista Ultimate 版本中也提供了该功能，用于保护客户端计算机和漫游用户的移动计算机。BitLocker 可对磁盘驱动器的内容加密。这样可以防止未经授权的使用者通过运行并行操作系统或运行其他软件工具绕过文件和系统保护，或者对存储在受保护的驱动器上的文件进行脱机查看。

    BitLocker 通过将两个主要子功能相结合增强了数据保护：系统卷加密和对早期引导组件的完整性检查。它对整个系统卷加密，包括交换和休眠文件，这样增强了分支机构中远程服务器的安全性。BitLocker 解决了从丢失、被盗或不适当地淘汰的 PC 中窃取或泄露数据的威胁。在分支机构方案中，这一点非常重要，因为不能总是保证服务器的物理安全。