【IT168 技术】　　域是微软局域网解决方案的重要组成部分，几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升。作为微软最新版本的Windows Server 2008会带给我们什么样的域体验呢?下面笔者结合实例，和大家分享几个基于Windows Server 2008域的新应用，希望这些新特性会带给大家不同的域管理体验。

　　1、部署只读域控制器

　　域控制器(DC)的安全，特别是其物理安全让管理员颇为担心。在Windows Server 2008中新增了一种特殊的域控制器即只读域控制器(RODC)，借助RODC我们可以在无法保证物理安全性的网络节点中部署只读域控制器。这样不仅能够提升其安全性，而且可以实现更快的登录以及更加有效地访问网络资源。

　　在Windows Server 2008中要部署一台只读域控制器(RODC)是非常简单的。比如我们要将jp.com域中的一台Windows Server 2008主机部署成只读域控制器可以进行这样的操作：首先以管理员用户登录该主机，然后以Administrator身份允许命令提示符，接下来执行命令“dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!”即可。其中/replicadomaindnsname:Woodgrovebank.com”指定域名，“/safemodeadminpassword:ctocio!”设置域控制器管理员的密码为ctocio!。

　　需要说明的是，在安装获得目录(AD)的过程中还将同时安装并配置DNS，以及为活动目录的恢复模式设置管理员密码。另外，在安装过程中，一定要主要查看屏幕中木马复制策略的输出。除此之外，其它的设置我们可以保持默认。在活动目录安装完毕后，系统将会重新启动，系统重启后该主机就成为一台只读域控制器(RODC)。

　　2、管理角色的分离

　　管理角色分离是只读域控制器(RODC)的一个重大的特征，我们可以指定一个域用户到RODC上的角色，而而无需授予该用户对该域或其他域控制器的任何用户权限。其实，这些角色非常类似于本地组。通过这一功能，我们可以为分支机构的RODC指派管理员进行日常维护(如磁盘碎片的整理等)，而不需要给他域管理员用户名和密码。这么做的好处是非常明显的：首先，可以解放管理员，实现DC管理任务的分配;另外，会大大地提升域的安全性，因为授权用户只能执行指定的操作，而不会危害到域中其他部分的安全。同时，也避免了时刻使用管理员用户进行DC管理因误操作而造成破坏的风险。

　　我们在一台只读域控制器(RODC)上执行管理角色的分离操作：以管理员身份登录该主机，运行管理员身份的命令提示符，接下依次执行如下命令：

　　NTDSUTIL

　　Local Roles

　　Add Woodgrovebank.com\jp Administrators

　　Show Role Administrators

　　Quit

　　Quit

                                                             图2 NTDSUTIL

　　简单解释一下上面的命令，第一行是进入NTDSUTIL.exe命令行，第二行是进入本地角色设置状态，第三行是关键命令即添加用户jp到Woodgrovebank.com域的管理员(administrators)组，第四行命令是显示角色管理员组的成员，第五、第六行命令是退出NTDSUTIL工具。

　　3、用新账户执行管理操作

　　通过上面的操作我们赋予了jp用户对于Woodgrovebank.com域的操作权限，下面我们验证一下上述操作的有效性。以jp用户登录名为SFO-DC-01.Woodgrovebank.com的只读域控制器(RODC)。我们首先打开命令提示符工具，执行命令“whoami /user /groups | find "Administrators"”可以看到域用户jp已经成功扥两个到这台只读域控制器(RODC)，并且已经为其本地管理员。(图3)

　　图3 只读域控

　　下面我们执行一个系统管理操作，比如格式化该主机的F分区。在命令行下执行一个命令“Format F: /q”，可以看到对该只读域控制器(RODC)的F分区的快速格式化操作成功完成。这说明，我们在刚才在只读域控制器(RODC)执行的管理角色的分离操作是成功了。不过要说明的是，此用户在域中只是普通域用户只具有域策略赋予的一般权限。大家可以试试，创建这样的用户，然后登录域控制器，你会发现登录失败，因为一般域用户是无法登录域控制器的。

　　4、执行活动目录的脱机维护操作

　　我们知道，在以前Windows Server版本中，如果需要脱机维护活动目录，需要重新启动域控制器然后按住F8，进入活动目录还原模式才能够完成操作。但这样做将会影响运行在域控制器上的其它服务，例如文件服务，打印服务等等，是非常不方便的。但在Windows Server 2008中，我们不需要重新启动就可以停止活动目录域服务，然后执行需要需要活动目录脱机才能执行的操作，例如对活动目录数据库进行碎片整理，移动等等。下面笔者在测试环境中进行演示，大家可亲身体验一下Windows Server 2008中的这样新功能。

　　在命令提示符中，输入命令“net stop NTDS”，然后执行会提示“您想继续此操作吗?”，我们输入y，然后回车后即可停止获得目录服务。接下面我们这些如下的操作对活动目录进行脱机维护：

　　MD C:\compact

　　ntdsutil

　　Activate Instance NTDS

　　Files

　　Compact to C:\compact

　　quit

　　quit

　　Del C:\Windows\NTDS\*.log

　　Copy /y C:\compact\ntds.dit C:\Windows\NTDS\ntds.dit

　　ntdsutil

　　Activate Instance ntds

　　files

　　integrity

　　quit

　　semantic database analysis

　　go fixup

　　quit

　　quit

　　exit

　　(图4)

　　图4 域维护

　　通过上面的命令我们对活动目录进行的脱机操作主要是：在C分区创建一个名为compact的目录，然后利用ntdsutil工具创建活动目录快照，将把经过压缩处理的ntds.dit文件放置到这个文件夹中保存存到C:\compact。接下来清除了获得目录中的的log文件，并用刚才创建的ntds.dit代替原来的同名文件，并执行了获得目录数据库的同步。上面所有的针对活动目录的脱机维护我们都是在不重启DC的情况下完成的，并且并不影响DC中运行的其他服务。可见，Windows Server 2008的这样特性在实际生产中还是非常有用的。在完成活动目录的脱机维护后，我们在命令提示符下执行“net start NTDS”将重启活动目录服务，其他被停止的相关服务也将在后台被启动。至此，Windows Server 2008下活动目录的一次脱机维护快速完成，将维护成本降到最低。

　　总结：上面列举的几个实例，只是Windows Server 2008域管理新特性中很小的一部分。如果你们部署了基于Windows Server 2008的AD，挖掘和应用好这些新特性一定会极大地提升域管理的效率