【IT168 专稿】如今，在Windows Server 2008系统中，Active Directory 已成为功能强大且极其成熟的目录服务。微软称之为活动目录域服务，即AD DS。它为域用户和计算机提供 Kerberos 和基于 NTLM 的验证，并管理 OU、用户、组、组策略等等。

　　特色1：服务器管理

　　Windows Server 2008 中的服务器管理器现在属于 Microsoft? 管理控制台 (MMC) 管理单元，而非 Microsoft HTML 应用程序 (HTA)。这意味着它具备了用户所熟悉的界面，功能完备且易于自定义。可随时使用服务器管理器掌控服务器角色（DNS、ADDS 和 IIS 这类主要服务）和功能（Microsoft .NET Framework、BitLockerTM 驱动器加密和 Windows PowerShellTM 这类软件组件）的安装。除了添加和删除软件，服务器管理器还为运行诊断工具（如事件查看器和 PerfMon）及系统配置实用工具（如设备管理器和 Windows 防火墙管理单元）提供了单点联络。

　　特色2： Server Core

　　Windows Server Core 是一个新的 Windows 安装选项，它提供一个精简的 Windows，仅包含运行某些关键的服务器角色所必需的组件。Server Core 的主要优点是移除了许多典型 Windows 安装需要，而这些核心服务器角色不需要的代码。这样遭受恶意软件攻击的几率降低了，并且 DC 所需的补丁和重新启动次数也大为减少。通过在工作站运行实用工具，然后连接网络上的域控制器，可远程执行绝大部分管理任务。

　　特色3：DCPROMO 更改

　　ADDS的作用与 Windows Server 2003 中的 DCPROMO 一样，但经过重新编写后更容易使用了。例如，不必输入您的域管理员凭证，DCPROMO 可以将您的登录凭证提供给服务器。也不必通过键入 DCPROMO /ADV 来取得"高级模式 DCPROMO"选项，现在第一个 DCPROMO 对话框中提供了这些选项的复选框。高级模式还允许选择复制所需的现有域控制器。

　　特色4：只读域控制器

　　Windows Server 2008 中的 Active Directory 通过引进只读域控制器或 RODC 改变了分支部署的规则。它们是 Windows Server 2008 域服务中最大的变化。

　　在分支机构中，需要考虑几类威胁。第一类是"DC 失窃"，即有人带着 DC 或 DC 的磁盘溜之大吉。这不但会使本地的服务崩溃，攻击者最终还有可能得到域中所有的用户名和密码，并由得以访问保密资源或造成拒绝服务。为防范这种威胁，默认情况下，RODC 不将密码哈希存储在其目录信息树 (DIT) 中。因此，用户首次向特定的 RODC 进行身份验证时，RODC 会将该请求发送给域中的完全域控制器 (FDC)。FDC 处理该请求，如果验证成功，RODC 会签发密码哈希复制请求。

　　分支机构域控制器会面临的另一类威胁是本地服务器管理员通过利用 DC 的权限提升自己的权限，进而访问其他域资源或发起拒绝服务攻击。同样，如果本地管理员可以实际接触到域控制器，就很难防范这类攻击。但是，可以防止攻击者通过使用分支机构的域控制器攻击域中的其他 DC。

　　特色5：精准密码策略

　　Windows Server 2008 ADDS 中新增了一项功能，称为精准密码策略，可以用它在域中定义多个密码策略。

　　如果由于多组成员关系导致了用户产生多项相互冲突的密码策略，那又将如何呢？在这种情况下，ADDS 使用优先级评估来确定应用哪个密码策略。其工作原理如下所示：

　　1.如果密码策略直接链接用户对象（而不是通过组成员关系），将应用该密码策略。

　　2.如果多个密码策略直接与用户链接，将应用优先权值最小（由 PSO 的 msDS-PasswordSettingsPrecendence 属性值确定）的策略。

　　3.如果多个 PSO 的优先权相同，将应用 objectGUID 值最小的那个 PSO。

　　4.如果没有 PSO 与用户直接链接，ADDS 将评估与用户组相链接的 PSO。如果有多个 PSO，将应用 msDS-PasswordSettingsPrecedence 属性中值最小的那个 PSO。

　　5.如果多个 PSO 的优先权值相同，将应用 objectGUID 值最小的那个 PSO。

　　6.如果没有 PSO 与用户相关联，将使用域密码策略。

　　特色6：可重启的 Active Directory 目录服务

　　每次关闭域控制器进行 DIT 维护时，都会在网络服务层造成一些中断。Windows Server 2008 DC 有一项新功能，可以让您不必完全关闭 DC 就行停止目录服务。

　　在 Windows Server 2008 DC 上使用 NET STOP NTDS 命令来中止 ADDS。执行此操作时，DC 上的本地安全机构 (LSASS) 继续运行，但它会卸载所有与 ADDS 相关的 DLL，因此无法再使用目录服务。LSASS 随后将域验证请求转发给 DC，其操作方式与成员服务器并无二致。由于卸载了处理 ADDS 的 DLL，可以应用与 ADDS 相关的补丁程序，或执行离线 DIT 碎片整理。ADDS 的启动与 NET START NTDS 一样简单。

　　特色7：备份和恢复

　　WBADMIN 命令行备份实用工具有一个系统状态备份选项。使用 WBADMIN START SYSTEMSTATEBACKUP 命令，您现在可以创建备份映像，其中包含在域控制器恢复 Active Directory 所需的全部重要系统文件。这样，备份集中最多可以有五个卷，但每个卷只包含恢复系统状态所需的文件。更有些恼人的是，从 Windows Server 2008 的 RC0 起，您无法对网络共享执行系统状态备份。您必须有可供系统状态备份映像使用的本地磁盘卷，且该卷不能是系统状态备份卷集的一部分。对于您要进行系统状态备份的每个域控制器，您可能必须向其新添加一个磁盘卷。

　　系统状态还原非常简单。只需将 DC 引导为目录服务还原模式，然后运行 WBADMIN START SYSTEMSTATERECOVERY 命令即可。这将产生非权威还原的 DIT，您可在其中使用 NTDSUTIL 对特定对象执行权威还原，就像在 Windows Server 2003 中一样。

　　使用 DFS-R 复制 SYSVOL

　　在 Windows Server 2008 域功能级运行时，Windows Server 2008 使用 DFS-R 复制 SYSVOL，提高 SYSVOL 复制的速度和强度。这就可以将大型文件放入 SYSVOL，供所有 DC 使用。要将 DFS-R 用于 SYSVOL，必须先使用 DFSRMIG 实用工具将旧 SYSVOL 数据迁移至 DFS-R。此过程包括四个步骤：

　　" 创建 DFS-R. 所需的 Active Directory 对象。

　　" 在每个域控制器上为 SYSVOL 新建文件结构。

　　" 转换所有域控制器以使用新的 SYSVOL。

　　" 删除旧的 SYSVOL。

　　特色8：审计改进

　　Windows Server 2008 中的目录服务审计系统解决了一些这样的问题。首先，目录服务审计新增了四个审计子类：DS 访问、DS 更改、DS 复制和详细的 DS 复制。如果您只想审计目录更改，不必费力查看所有读取和复制事件。但是，如果您想在审计日志中包含对象删除，您必须启用 DS 访问。这会生成所有 DS 对象访问的信息，本质上这还是生成了过多的信息并且仍是由您配置安全描述符来为您关心的对象生成所需的信息。

　　审计信息已得到了充分整理，所以它们既能读取，又包含您所需的数据。特别是，目录更改生成包含变化属性新旧值的审计日志条目。这是一个巨大的改进。唯一的不足是新旧值显示在不同的审计日志条目中，因此您必须将它们关联起来才能真正理解所做的更改。许多加载项审计日志收集产品（包括 Microsoft 审计收集服务）均支持这类关联。