【IT168 专稿】如今，在Windows Server 2008系统中，Active Directory 已成为功能强大且极其成熟的目录服务。微软称之为活动目录域服务，即AD DS。它为域用户和计算机提供 Kerberos 和基于 NTLM 的验证，并管理 OU、用户、组、组策略等等。

　　特色1：服务器管理

　　Windows Server 2008 中的服务器管理器现在属于 Microsoft? 管理控制台 (MMC) 管理单元，而非 Microsoft HTML 应用程序 (HTA)。这意味着它具备了用户所熟悉的界面，功能完备且易于自定义。可随时使用服务器管理器掌控服务器角色（DNS、ADDS 和 IIS 这类主要服务）和功能（Microsoft .NET Framework、BitLockerTM 驱动器加密和 Windows PowerShellTM 这类软件组件）的安装。除了添加和删除软件，服务器管理器还为运行诊断工具（如事件查看器和 PerfMon）及系统配置实用工具（如设备管理器和 Windows 防火墙管理单元）提供了单点联络。

　　特色2： Server Core

　　Windows Server Core 是一个新的 Windows 安装选项，它提供一个精简的 Windows，仅包含运行某些关键的服务器角色所必需的组件。Server Core 的主要优点是移除了许多典型 Windows 安装需要，而这些核心服务器角色不需要的代码。这样遭受恶意软件攻击的几率降低了，并且 DC 所需的补丁和重新启动次数也大为减少。通过在工作站运行实用工具，然后连接网络上的域控制器，可远程执行绝大部分管理任务。

　　特色3：DCPROMO 更改

　　ADDS的作用与 Windows Server 2003 中的 DCPROMO 一样，但经过重新编写后更容易使用了。例如，不必输入您的域管理员凭证，DCPROMO 可以将您的登录凭证提供给服务器。也不必通过键入 DCPROMO /ADV 来取得"高级模式 DCPROMO"选项，现在第一个 DCPROMO 对话框中提供了这些选项的复选框。高级模式还允许选择复制所需的现有域控制器。

　　特色4：只读域控制器

　　Windows Server 2008 中的 Active Directory 通过引进只读域控制器或 RODC 改变了分支部署的规则。它们是 Windows Server 2008 域服务中最大的变化。

　　在分支机构中，需要考虑几类威胁。第一类是"DC 失窃"，即有人带着 DC 或 DC 的磁盘溜之大吉。这不但会使本地的服务崩溃，攻击者最终还有可能得到域中所有的用户名和密码，并由得以访问保密资源或造成拒绝服务。为防范这种威胁，默认情况下，RODC 不将密码哈希存储在其目录信息树 (DIT) 中。因此，用户首次向特定的 RODC 进行身份验证时，RODC 会将该请求发送给域中的完全域控制器 (FDC)。FDC 处理该请求，如果验证成功，RODC 会签发密码哈希复制请求。

　　分支机构域控制器会面临的另一类威胁是本地服务器管理员通过利用 DC 的权限提升自己的权限，进而访问其他域资源或发起拒绝服务攻击。同样，如果本地管理员可以实际接触到域控制器，就很难防范这类攻击。但是，可以防止攻击者通过使用分支机构的域控制器攻击域中的其他 DC。