特色5：精准密码策略

　　Windows Server 2008 ADDS 中新增了一项功能，称为精准密码策略，可以用它在域中定义多个密码策略。

　　如果由于多组成员关系导致了用户产生多项相互冲突的密码策略，那又将如何呢？在这种情况下，ADDS 使用优先级评估来确定应用哪个密码策略。其工作原理如下所示：

　　1.如果密码策略直接链接用户对象（而不是通过组成员关系），将应用该密码策略。

　　2.如果多个密码策略直接与用户链接，将应用优先权值最小（由 PSO 的 msDS-PasswordSettingsPrecendence 属性值确定）的策略。

　　3.如果多个 PSO 的优先权相同，将应用 objectGUID 值最小的那个 PSO。

　　4.如果没有 PSO 与用户直接链接，ADDS 将评估与用户组相链接的 PSO。如果有多个 PSO，将应用 msDS-PasswordSettingsPrecedence 属性中值最小的那个 PSO。

　　5.如果多个 PSO 的优先权值相同，将应用 objectGUID 值最小的那个 PSO。

　　6.如果没有 PSO 与用户相关联，将使用域密码策略。

　　特色6：可重启的 Active Directory 目录服务

　　每次关闭域控制器进行 DIT 维护时，都会在网络服务层造成一些中断。Windows Server 2008 DC 有一项新功能，可以让您不必完全关闭 DC 就行停止目录服务。

　　在 Windows Server 2008 DC 上使用 NET STOP NTDS 命令来中止 ADDS。执行此操作时，DC 上的本地安全机构 (LSASS) 继续运行，但它会卸载所有与 ADDS 相关的 DLL，因此无法再使用目录服务。LSASS 随后将域验证请求转发给 DC，其操作方式与成员服务器并无二致。由于卸载了处理 ADDS 的 DLL，可以应用与 ADDS 相关的补丁程序，或执行离线 DIT 碎片整理。ADDS 的启动与 NET START NTDS 一样简单。

　　特色7：备份和恢复

　　WBADMIN 命令行备份实用工具有一个系统状态备份选项。使用 WBADMIN START SYSTEMSTATEBACKUP 命令，您现在可以创建备份映像，其中包含在域控制器恢复 Active Directory 所需的全部重要系统文件。这样，备份集中最多可以有五个卷，但每个卷只包含恢复系统状态所需的文件。更有些恼人的是，从 Windows Server 2008 的 RC0 起，您无法对网络共享执行系统状态备份。您必须有可供系统状态备份映像使用的本地磁盘卷，且该卷不能是系统状态备份卷集的一部分。对于您要进行系统状态备份的每个域控制器，您可能必须向其新添加一个磁盘卷。

　　系统状态还原非常简单。只需将 DC 引导为目录服务还原模式，然后运行 WBADMIN START SYSTEMSTATERECOVERY 命令即可。这将产生非权威还原的 DIT，您可在其中使用 NTDSUTIL 对特定对象执行权威还原，就像在 Windows Server 2003 中一样。

　　使用 DFS-R 复制 SYSVOL

　　在 Windows Server 2008 域功能级运行时，Windows Server 2008 使用 DFS-R 复制 SYSVOL，提高 SYSVOL 复制的速度和强度。这就可以将大型文件放入 SYSVOL，供所有 DC 使用。要将 DFS-R 用于 SYSVOL，必须先使用 DFSRMIG 实用工具将旧 SYSVOL 数据迁移至 DFS-R。此过程包括四个步骤：

　　" 创建 DFS-R. 所需的 Active Directory 对象。

　　" 在每个域控制器上为 SYSVOL 新建文件结构。

　　" 转换所有域控制器以使用新的 SYSVOL。

　　" 删除旧的 SYSVOL。

　　特色8：审计改进

　　Windows Server 2008 中的目录服务审计系统解决了一些这样的问题。首先，目录服务审计新增了四个审计子类：DS 访问、DS 更改、DS 复制和详细的 DS 复制。如果您只想审计目录更改，不必费力查看所有读取和复制事件。但是，如果您想在审计日志中包含对象删除，您必须启用 DS 访问。这会生成所有 DS 对象访问的信息，本质上这还是生成了过多的信息并且仍是由您配置安全描述符来为您关心的对象生成所需的信息。

　　审计信息已得到了充分整理，所以它们既能读取，又包含您所需的数据。特别是，目录更改生成包含变化属性新旧值的审计日志条目。这是一个巨大的改进。唯一的不足是新旧值显示在不同的审计日志条目中，因此您必须将它们关联起来才能真正理解所做的更改。许多加载项审计日志收集产品（包括 Microsoft 审计收集服务）均支持这类关联。