Windows Server 2008活动目录新特性概览

摘 要 ：Window s Server 2008 较 以前的版本有 本 质上的改进 ， 尤 其 在 虚 拟 化 技 术 、Se rve r Core 、AD DS 以 及 管 理 性 和 安全 性等方面都有着技术 上 的突破和人性化的设计 。

对 Window s Se rve r 2008 的新特性和新功能 进 行了阐述 。

关 键 词 ：Window s Server 2008；虚 拟 化 ；RODC 中 图 分 类 号 ：TP316.7文 献 标 识 码 ：A文 章 编 号 ：1672-7800（2009）05－0047－02Stor age Management 、Window s BitLocker 驱 动 器 加 密 、SNMP 、 Single Instance Storage 以 及 Telnet 客 户 端 等 特 征 。

0 引言Win dow s Se rve r 2008 较 W in dow s Se rve r 2003 有 着 本 质 上的 改 进 。

技 术 上 的 突 破 、虚拟化的引用 以 及更为人 性 化 的 设计 都给用户带来 了全新的感受 和 真正的价值 。

笔 者 从 以 下 几 个 方 面 谈 谈 Window s Se rver 2008 的 新 特 性 。

只读域控制器3 如 果一个公司有 分 支机构 ，一 般 来 说 ，总 公 司 的 数 据 中 心通常是处于保 护 之下 ，但分支机构 的服务器却缺 乏 同样的安全措 施 来 加 以 保 护 。

这 就使它们成为 病 毒攻击的目标 继 而传染到总 公司的主服务器 ，只 读 域 控 制 器 （RODC ）可 以解决这一问题 。

RODC 是 Win dow s Se rve r 2008 操 作 系 统 中 提 供 的 一 种 新 类 型 的 域 控 制 器 ，主要用 于在分支机构中 进 行部署 。

通 过 RODC ，组织可以降低在无法保证物理安全的远程位置 （如 分 支机 构 ）中 部署域控制器的风险 。

Server2008活动目录域服务实战前言Microsoft Windows Server 2008 Active Directory Domain Services (AD DS) 在不同的领域给用户带来了很多增强的特性。

我们将具体介绍Windows Server 2008 Directory Services，以及它是如何结合Windows Server 2008特有的在安全和管理性方面的大量原则。

Read-Only Domain Controller (RODC) 是Windows Server 2008中最大的特性并有拥有最强的增强。

在Windows Server 2008过去的两年半时间内，大约有80%的开发资源是投入到RODC。

RODC的特性是非常丰富和令人兴奋的。

管理角色的分离允许管理员将管理权限指派给Read-Only DC级别的一些用户。

这极大地减轻了拥有许多域管理员的负担并提高了安全性。

Server Core和DC角色被显著地增强来大大地减少了服务器受攻击的层面。

组策略有许多新特性和新设置，使用起来更容易，扩展了它的范围，并变的更加稳定。

下面让我们浏览一下Windows Server 2008 Directory Services 的新特性和增强。

安全的增强Windows Server 2008中的活动目录域服务（AD DS）提供了安全领域的增强。

在安全领域，只读域控制器（RODC）扮演了一个重要的角色。

RODC为在那些地方部署域控制器提供了一个更安全的方法。

它们要求快速、可靠和坚固的认证服务，但也有安全限制，如禁止部署可写域控制器。

RODC主要设计用于部署在远程基础结构环境中。

在这样的环境中一般有相对比较少的用户，物理安全比较薄弱，到中心站点的网络带宽比较少，以及很少的本地IT经验。

域名称服务和域控制器，RODC，和完整DCs 支持活动目录Server Core角色。

除了账号密码，RODC持有所有可写域控制器持有的AD DS对象和属性，但是不能对存储在RODC上副本做修改。

在Windows Server 2008中，活动⽬录域服务（Active Directory Domain Services缩写AD DS）相⽐前⼀代操作系统⼜有了重⼤的提升和改进，本⽂简要介绍⼀下其新特性。

⼀、审核策略 在Windows Server 2008中，你现在能够通过使⽤新的审核策略的⼦类（⽬录服务更改）来建⽴AD DS审核策略。

当活动⽬录对象及它们的属性发⽣变化时，新的审核策略可以记录新旧属性值。

AD DS审核能⼲什么？ 我们定义本策略设置（通过修改默认域控制器策略），能够指定审核成功的事件，失败的事件，或者什么也不审核。

能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。

”审核⽬录服务访问“在应⽤上同审核对象访问⼀致。

但只适⽤与AD DS对象上⽽不是⽂件对象或注册表对象。

审核AD DS访问 在AD DS中新的审核策略⼦类（⽬录服务更改）增加了以下的功能： 当对对像的属性修改成功时，AD DS会纪录先前的属性值以及现在的属性值。

如果属性含有⼀个以上的值时，只有作为修改操作结果变化的值才会被记录。

如果新的对像被创建，属性被赋予的时间将会被记录，属性值也会被记录，在多数情景中，AD DS分配缺省属性给诸如sAMAccountName等系统属性，这些系统属性值将不被记录。

如果⼀个对像被移动到同⼀个域中，那么先前的以及新的位置（以distinguished name 形式）将被记录。

当对象被移动到不同域时，⼀个创建事件将会在⽬标域的域控制器上⽣成。

如果⼀个对象被反删除，那么这个对象被移动到的位置将会被记录。

另外如果在反删除操作中属性被增加，修改或者删除，那么这些属性的值也会被记录。

当"⽬录服务更改"审核⼦类别启⽤以后，AD DS会在安全⽇志中记录事件当对象属相的变化满⾜管理员指定的审核条件。

下⾯的这张表格描述了这些事件。

事件号事件类型事件描述 5136 修改这个事件产⽣于成功的修改⽬录对象属性。

Windows Server 2008 R2 操作系统中Active Directory 域服务中的新增功能：Windows Server 2008 R2 操作系统中的Active Directory(R) 域服务(AD DS) 包括许多新功能，可帮助改进Active Directory 可管理性、可支持性和性能。

Windows Server 2008 R2 中提供以下更改：•Active Directory 回收站信息技术(IT) 专业人员可以使用Active Directory 回收站来撤消Active Directory 对象的意外删除。

意外对象删除会导致业务中断。

已删除用户无法登录或访问公司资源。

这是Active Directory 恢复方案的首要原因。

Active Directory 回收站适用于AD DS 和Active Directory 轻型目录服务(AD LDS) 对象。

此功能在处于Windows Server 2008 R2 林功能级别的AD DS 中启用。

对于AD LDS，所有副本必须在新的“应用程序模式”下运行。

•Windows PowerShell 的Active Directory 模块和Windows PowerShell(TM) cmdlet Windows PowerShell 的Active Directory 模块使用一致的词汇和语法为管理、配置和诊断任务提供命令行脚本。

它提供可预测的发现和灵活的输出格式。

可以轻松地对cmdlet执行管道操作以构建复杂操作。

Active Directory 模块可实现Exchange Server、组策略和其他服务的端到端可管理性。

有关详细信息，请参阅AD DS 的新增功能：Windows PowerShell 的Active Directory 模块。

•Active Directory 管理中心Active Directory 管理中心拥有面向任务的管理模式，包含对大型数据集的支持。

Windows Server 2008的变化既有细微的方面，也有根本性的。

服务器整合、硬件的高效管理、远程的硬件无图形界面操控，彻底改变的系统安全模式，这些都是WS2K8的大卖点。

在上周Los Angeles举行的WinHEC 2007上，通过微软软件工程师Mark Russinovich等的协助，我们拟定出了一份WS2K8中最具影响力上的新技术列表。

下面我们从第10条开始介绍：#10：具有自修复功能NTFS文件系统（The self-healing NTFS file system）在WS2K8中，将会有一个新增的系统服务来在后台检测文件系统的错误，以及在服务器运行状态下进行直接修复。

如果检测服务正在修复损坏的磁盘结构，对应用程序来讲，受到的影响只是存储在这些区域上的文件暂时无法访问，在修复结束后即可重新访问。

系统是永远不会关闭的，没有必要重启来做CHKDSK这样的操作。

#9：并行会话的创建（Parallel session creation）在Server 2008之前的操作系统中，会话的创建是串行的方式。

也就是说，当多个用户同时登录终端系统时会造成系统的瓶颈，造成用户排队等待会话的初始化。

在Vista及WS2K8中的新会话模块，至少可以同时初始化4个会话，如果有4块以上的处理器，还可以增加更多。

Vista下的Media Center就是一个很好的例子，如果你在多个不同的房间同时启动Media Center就会发现，速度要比XP下的Media Center更流畅。

#8：关机服务（Clean service shutdown）关机已经是Windows的“历史性问题”了。

在XP中，一旦关机开始后系统就会启动一个20秒的计数器，超时后会询问用户是否结束应用程序。

在服务器系统中，该计数器是应用程序的生命之钟。

而在WS2K8下，这20秒的倒计时被一个专门的服务所取代了，该服务会向需要关闭的程序不间断的送达关机信号，直至程序回应自己确实已退出。

活动⽬录结构的还原操作向来繁琐，耗时甚多，这主要是其内容具有分散性和动态性，结构上⼜具备双重性（由分层数据库和符合SYSVOL结构的⽂件系统构成），并且缺乏界⾯友好、操作简便的⼯具。

因此，当⼈们认为域还原才是复杂耗时的操作时，殊不知，即使是活动⽬录的还原操作也远⾮简易，当中也会遇到各种各样的困难。

有鉴于此，本⽂将对Windows Server 2008⽬录服务的⼀些新特性进⾏介绍，让读者了解新的功能是如何⽅便还原操作的。

⼀、还原的基本条件 通常⽽⾔，对象的还原主要是通过命令操作或是重标⽰已被删除的对象，⽽这些功能的实现⼜取决于是否有⼀个系统级的备份⽂件。

（想要了解更多此⽅⾯的消息，可参照微软知识库中编号为840001的⽂章，该⽂章详尽的信息会给你更多的帮助。

） 在还原过程中，即使有了详细的命令和操作步骤，我们仍需要注意⼀些问题。

⾸先，必须确定最适宜的备份点，这⽆疑增加了命令式还原的复杂性。

因为这需要⽤户能够在误操作发⽣前，判断出的备份点--也就是说，备份点中的⽬标数据信息都要求是正确⽆误的。

除⾮⽤户愿意投资更多的钱⽤于活动⽬录的监控和审计解决⽅案上，否则判断备份点相当困难，当然，这也需要长时间的尝试。

数据还原是项耗时耗⼒的⼯程，可以包括以下⼏个步骤：①在活动⽬录恢复模式下重启域控制器；②从可⽤的备份⽂件中选择⼀个恢复活动⽬录数据库；③运⾏ntdsutil命令⾏⼯具，从中提取正确的对象信息。

第⼆，⼀旦发⽣误删现象，由于命令⾏⼯具ntdsultil的局限性，所以需要提供想要恢复对象的标⽰名（Distinguished Name，DN) 。

另外，要完成还原⼯作还需要确认系统先前的状态。

第三个是关于对象还原的效率问题。

实际上，⼀个对象被删除后，除了名字的改变，还会被放置到⼀个特定的活动⽬录存放区中，⼤多数标准活动⽬录管理⼯具都设有这个隐藏存放区。

在存放过程中，对象的⼤部分属性都会被剥除，只剩下少数⼏个属性。