對于 Active Directory，我首先要討論的兩項改進并不是 Active Directory 域服務 (ADDS) 中的更改；而是 Windows 中的更改，它們會改變您管理 Active Directory 的方式。第一項是新的“服務器管理器”，它在您首次啟動 Windows Server ? 2008 服務器時就會出現。（第二項是 Active Directory 安裝，稍后我們將對其進行解說。）

安裝 Windows Server 2003 后，默認會隨后出現“配置服務器向導”，您可能從中對服務器管理器有一定的了解。但那個版本對于日常管理不是十分有用，我所認識的每個人都選擇了“登錄時不顯示此頁”復選框。

Windows Server 2008 中的服務器管理器則非常有用（請參閱 Byron Hynes 在本期《TechNet 雜志》撰寫的文章了解服務器管理器的概況）。首先，如 圖 2 中所示，服務器管理器現在屬于 Microsoft ? 管理控制臺 (MMC) 管理單元，而非 Microsoft HTML 應用程序 (HTA)。這意味著它具備了用戶所熟悉的界面，功能完備且易于自定義。您可隨時使用服務器管理器掌控服務器角色（DNS、ADDS 和 IIS 這類主要服務）和功能（Microsoft .NET Framework、BitLocker TM 驅動器加密和 Windows PowerShell TM 這類軟件組件）的安裝。除了添加和刪除軟件，服務器管理器還為運行診斷工具（如事件查看器和 PerfMon）及系統配置實用工具（如設備管理器和 Windows 防火墻管理單元）提供了單點聯絡。如果您能為 Active Directory 加入 MMC 管理單元，例如，用戶和計算機、域和信任關系、站點和服務，您將獲得一個極為出色的界面，用于執行 Windows Server 2008 域控制器 (DC) 的日常管理。

Windows Server Core 是一個新的 Windows 安裝選項，它提供一個精簡的 Windows，僅包含運行某些關鍵的服務器角色（包括 Active Directory 域服務）所必需的組件。（圖 3 中列出了 Server Core 支持的角色。）雖然 Server Core 安裝程序有圖形化 UI，但它并不運行 Windows 桌面外殼程序，并且幾乎略去了所有管理和配置 Windows 的圖形工具（請參閱 圖 4 ）。取而代之的是一個命令行窗口，讓您對接下來的操作甚感迷茫。如何更改計算機名稱？如何配置靜態 IP 地址？

在 Server Core 最初安裝的幾分鐘，可能會有些混亂。很快您就會重新熟悉 WMIC、NETSH 和 NETDOM，然后輕松完成所有常規設置和配置任務。并且，您仍可用注冊表編輯器和記事本滿足圖形工具的需求。

Server Core 的主要優點是移除了許多典型 Windows 安裝需要，而這些核心服務器角色不需要的代碼。這樣遭受惡意軟件攻擊的幾率降低了（是件好事），并且 DC 所需的補丁和重新啟動次數也大為減少（更好的事）。占用的磁盤空間少了許多，從而減小的硬盤要求，可能在一般條件下不算什么，但對于虛擬服務器環境的幫助卻很大。

缺少圖形化實用工具對 ADDS 的管理會造成困難嗎？完全不會。通過在工作站運行實用工具，然后連接網絡上的域控制器，您可遠程執行絕大部分管理任務。我期望 Server Core 安裝最終可以運行大部分 DC。

ADDS 本身最先引起您注意的更改是新的 DCPROMO。它的作用與 Windows Server 2003 中的 DCPROMO 一樣，但經過重新編寫后更容易使用了。例如，您不必輸入您的域管理員憑證，DCPROMO 可以將您的登錄憑證提供給服務器。您也不必通過鍵入 DCPROMO /ADV 來取得“高級模式 DCPROMO”選項，現在第一個 DCPROMO 對話框中提供了這些選項的復選框。高級模式還允許您選擇復制所需的現有域控制器。這樣，您就可以從生產 DC 中轉移 DCPROMO 的復制負荷。

將 DC 提升到新域或林中時，DCPROMO 會為您提供選項，供您設置林和域操作級別，而不是在提升后才準許您設置。您還可指定想要在提升期間放置 DC 的 Active Directory 站點，如果存在無人參與的 DCPROMO，這會非常有幫助。DCPROMO 甚至會根據 DC 的 IP 地址對最好的站點給出建議。

新的 DCPROMO 還在一個頁面上匯集了所有配置選項，讓你在此選擇新 DC 是全局編錄、DNS 服務器還是只讀 DC。您不必轉到 Active Directory 站點和服務管理單元中的偏僻位置將 DC 標記為 GC。

新 DCPROMO 能恰好在提升開始前在一個響應文件中保存所有 DCPROMO 設置，這可能是它最出色的功能。比起手工整理響應文件，這要簡單得多，還不容易出錯。您隨后可使用響應文件在其他服務器上執行無人參與的 DCPROMO。為了滿足腳本癡迷者的愿望，所有 DCPROMO 選項現在均可通過命令行訪問。

在 Active Directory 的早期階段，企業常常在用戶可能登錄的每個站點均部署域控制器。例如，銀行通常在每個支行都安裝 DC。其中的邏輯是每個支行的用戶都能登錄并訪問本地網絡資源，即使 WAN 失效也能如此。

那時，實際的 DC 安全需求沒有被很好地理解。我看到過控制器堆放在桌子下面，路過的人可以輕易接觸到它們。直到幾年后，Active Directory 架構師才完全領會到不安全的 DC 所帶來的安全風險，IT 組織開始將 DC 重新放回到中央數據中心。這以使分支用戶必須經由 WAN 進行驗證，但由于提高了安全性，這也是值得的。

Windows Server 2008 中的 Active Directory 通過引進只讀域控制器或 RODC 改變了分支部署的規則。它們是 Windows Server 2008 域服務中最大的變化。

Active Directory 團隊在設計 RODC 時重點考慮了分支機構的需求，他們的目標是“在分支機構就地解決問題”。這其中的要點是如果您在實際條件不安全的分支部署了 DC，基本上您是無法防止 DC（和信任它的機器）受到攻擊的，但是您可防止攻擊向其他域擴散。

注意，即使這需要對 ADDS 基礎結構做很大的更改，但 RODC 的實現并不復雜。您的域必須處于 Windows Server 2003 的林功能級，并且域中必須至少有一個 Windows Server 2008 DC。除了是分支解決方案，在面對互聯網的環境中和 DC 處于網絡外圍的情況下，RODC 同樣發揮著重要的作用。

在分支機構中，需要考慮幾類威脅。第一類是“DC 失竊”，即有人帶著 DC 或 DC 的磁盤溜之大吉。這不但會使本地的服務崩潰，攻擊者最終還有可能得到域中所有的用戶名和密碼，并由得以訪問保密資源或造成拒絕服務。為防范這種威脅，默認情況下，RODC 不將密碼哈希存儲在其目錄信息樹 (DIT) 中。因此，用戶首次向特定的 RODC 進行身份驗證時，RODC 會將該請求發送給域中的完全域控制器 (FDC)。FDC 處理該請求，如果驗證成功，RODC 會簽發密碼哈希復制請求。

受到攻擊的 RODC 有可能請求敏感帳戶的密碼哈希。為防止這種情況發生，域管理員可為每個 RODC 配置密碼復制策略。該策略由 RODC 計算機對象的兩個屬性組成。msDS-RevealOnDemandGroup 屬性包含密碼緩存于 RODC 上的組、用戶或計算機帳戶的獨有名稱（它們通常是與 RODC 位于同一站點的用戶和計算機）。msDS-NeverRevealGroup 包含密碼未緩存于 RODC 上的組、用戶或計算機帳戶的獨有名稱（例如，域管理員帳戶絕不應將其密碼哈希緩存于 RODC 上）。如 RODC 請求特殊帳戶的密碼哈希，FDC 會根據密碼復制策略評估請求，以確定是否應將密碼哈希復制給 RODC。如 DC 失竊，則受攻擊的對象僅限于在從網絡轉移時在失竊 RODC 上緩存的密碼，重要的密碼不會受到攻擊。

RODC 計算機對象包含的其他兩個屬性可以幫您精準確定應緩存其密碼的帳戶。msDS-AuthenticatedAtDC 屬性列出 RODC 已驗證了密碼的帳戶，msDS-RevealedList 屬性命名其密碼當前由 RODC 存儲的帳戶。

用戶和計算機密碼哈希并不是 DC 存儲的唯一秘密信息。KrbTGT 帳戶包含在每個域控制器上運行的 Kerberos 密鑰分發中心 (KDC) 服務的密鑰。在通常情況下，域中的每個 KDC 共享相同的 KrbTGT 帳戶，所以有可能攻擊者從竊得的 DC 上獲取這些密鑰，然后使用它們攻擊域的其余部分。但是，如果每個 RODC 均有其自己的 KrbTGT 帳戶和密鑰，就可防止這種攻擊。

應用程序還經常在 DIT 中存儲密碼或其他機密信息。如果攻擊者竊得了 DC，可能會得到這些應用程序密碼，進而用其訪問應用程序。為防范這類攻擊，Windows Server 2008 域服務允許管理員定義只讀過濾屬性集 (RO-FAS)。RO-FAS 中的屬性絕不會復制到 RODC，因此不能從失竊的 DC 中獲取這些屬性。通過設置構架中相應 attributeSchema 對象的 searchFlags 屬性的第 9 位 (0x0200)，您可以將屬性指定給 RO-FAS。

分支機構域控制器會面臨的另一類威脅是本地服務器管理員通過利用 DC 的權限提升自己的權限，進而訪問其他域資源或發起拒絕服務攻擊。同樣，如果本地管理員可以實際接觸到域控制器，就很難防范這類攻擊。但是，可以防止攻擊者通過使用分支機構的域控制器攻擊域中的其他 DC。

此域中的完全 DC 不會將 RODC 視為域控制器予以信任。從信任角度講，FDC 將 RODC 視為域中的成員服務器。RODC 不是企業域控制器或域控制器組的成員。RODC 更新目錄中任何內容的能力十分有限，因此即使攻擊者獲得了 RODC 帳戶，也不會得到很高的權限。

RODC 甚至可能不出現在 DS 復制拓撲中。由于 RODC 類似正常的成員服務器，而不象域控制器，知識一致性檢查器（KCC，該進程在每個 DC 上負責計算 DS 復制拓撲）不會從 RODC 構建連接對象。完全 DC 或 RODC 都不會試圖從 RODC 進行復制。另一方面，RODC 將創建一個代表源自完全 DC 入站復制協定的連接對象，但是此連接對象僅存在于 RODC 副本中，其他 DC 沒有該連接對象的副本。從復制的角度，RODC 像目錄對象的 Roach Motel。對象向內復制，但不向外復制。

由本地服務器管理員管理分支機構 DC 是很尋常的現象，這些管理員做每項工作，從在域控制器上運行備份，到整理鍵盤。但是，授予遠程站點管理員在域控制器進行常規維護所必需的權限會有安全風險，站點管理員有可能提升其在域中的權限。RODC 通過提供兩種管理角色分離來防止此種威脅。

第一種是域管理員可以使用 DCPROMO，以正常方式提升 RODC，或者使用兩個步驟的過程，實際的提升流程安全地委派給分支站點管理員，而不授予任何域管理權限。域管理員使用 Active Directory 用戶和計算機 MMC 管理單元預先在域中創建 RODC 計算機帳戶，如 圖 5 中所示。

選擇“預創建只讀域控制器帳戶”會運行精簡型 DCPROMO，它執行要求有域管理訪問權限的所有任務，包括創建計算機帳戶、向站點指派 RODC、指定 DC 的角色、指定密碼復制策略并定義需要權限來在 RODC 上完成 DCPROMO 操作的用戶或組。委派的管理員或組存儲在 RODC 計算機對象的 managedBy 屬性中。

委派的管理員隨后可在服務器上運行 DCPROMO。DCPROMO 將檢測預創建的帳戶并將服務器轉化為 RODC。以此方式運行 DCPROMO 不需要域管理員憑據。

RODC 提供管理角色分離的第二種方式是在 RODC 本身創建本地管理角色。這些角色看起來像機器本地組，它們存儲在 RODC 的注冊表中，并且只能在 RODC 上進行評估。但是，管理員是使用 NTDSUTIL 管理本地 RODC 角色，而不是使用計算機管理 MMC 管理單元。 圖 6 列出了 RODC 上的本地管理角色。這些角色與 Windows 中的內置組一一對應。

由于 RODC 是只讀的，并且其他域控制器不從其進行復制，它們會出現一些異常的行為。例如，延遲對象（即，因為 DC 的復制時間不能長于林的生存周期，所以除了特殊的 DC，該類對象已從其他位置刪除）通常由 DC 的出站復制伙伴檢測。但是，由于 RODC 沒有入站復制伙伴，因而它們不會檢測延遲對象。

RODC 不會為 LDAP 更新（添加、修改、刪除、重命名或移動）操作提供服務。而是返回錯誤，其中包含對能提供操作的可寫 DC 的 LDAP 參照。如果發起 LDAP 更新的應用程序對參照操作處置不當，應用程序將無法使用。

最后，如果林中其他域的用戶試圖向 RODC 驗證，RODC 必須能夠訪問其所在域的完全 DC 來獲取信任密碼，以便將驗證請求正確傳遞給用戶域中的 DC。如果在其域中 RODC 和完全 DC 之間的網絡連接不可用，驗證將失敗。

能在域中定義多個密碼策略可能是 Windows Server 2008 ADDS 最受歡迎的功能。您可能知道，在 Windows 2000 和 Windows Server 2003 Active Directory 中，每個域僅支持一個應用于域中所有安全主體的密碼策略。如果一組特定用戶需要一個單獨的密碼策略，您必須創建一個單獨的域。但現在 Windows Server 2008 ADDS 中新增了一項功能，稱為精準密碼策略，您可以用它在域中定義多個密碼策略。

新策略使用組將精準的密碼策略應用于用戶。您先在 CN=密碼設置容器、CN=系統、DC=<域> 容器中創建新 msDS-PasswordSettings 對象來定義精準密碼策略。msDS-PasswordSettings 對象（簡稱 PSO）包含與“組策略”中的密碼策略設置平行的屬性（請參見 圖 7 ）。

隨后，您可通過將用戶或組名稱添加到 PSO 的多值 mDS-PSOAppliesTo 屬性中為用戶或組指派密碼策略。一旦您接受不向 OU 應用密碼策略這一觀念，會非常易于實施。但在其他方面還有一些復雜。

用戶通常是許多組的成員。因此，如果由于這些組成員關系導致了用戶產生多項相互沖突的密碼策略，那又將如何呢？在這種情況下，ADDS 使用優先級評估來確定應用哪個密碼策略。其工作原理如下所示：

1. 如果密碼策略直接鏈接用戶對象（而不是通過組成員關系），將應用該密碼策略。
2. 如果多個密碼策略直接與用戶鏈接，將應用優先權值最小（由 PSO 的 msDS-PasswordSettingsPrecendence 屬性值確定）的策略。
3. 如果多個 PSO 的優先權相同，將應用 objectGUID 值最小的那個 PSO。
4. 如果沒有 PSO 與用戶直接鏈接，ADDS 將評估與用戶組相鏈接的 PSO。如果有多個 PSO，將應用 msDS-PasswordSettingsPrecedence 屬性中值最小的那個 PSO。
5. 如果多個 PSO 的優先權值相同，將應用 objectGUID 值最小的那個 PSO。
6. 如果沒有 PSO 與用戶相關聯，將使用域密碼策略。

用戶對象有一個名為 msDS-ResultantPSO 的新屬性，協助精確排序應用給用戶的 PSO。此屬性包含控制該用戶密碼的 PSO 的獨有名稱。

精準密碼策略賦予您更多的靈活性，但您必須仔細管理并簡化這些策略。要定義精準密碼策略，沒有現成的實用工具，您需要使用 ADSIEdit 或查找第三方實用工具。

每次關閉域控制器進行 DIT 維護時，都會在網絡服務層造成一些中斷。Windows Server 2008 DC 有一項新功能，可以讓您不必完全關閉 DC 就行停止目錄服務。

在 Windows Server 2008 DC 上使用 NET STOP NTDS 命令來中止 ADDS。執行此操作時，DC 上的本地安全機構 (LSASS) 繼續運行，但它會卸載所有與 ADDS 相關的 DLL，因此無法再使用目錄服務。LSASS 隨后將域驗證請求轉發給 DC，其操作方式與成員服務器并無二致。由于卸載了處理 ADDS 的 DLL，您可以應用與 ADDS 相關的補丁程序，或執行離線 DIT 碎片整理。ADDS 的啟動與 NET START NTDS 一樣簡單。但是，從系統狀態備份恢復 DIT 仍需要您重新啟動，然后進入目錄服務修復模式。

您需要知曉目錄服務并不是真正的 Windows 服務。它仍是 LSASS 的一個構成組件，不關機，您無法停止 LSASS。但是在 Windows Server 2008 中啟動和停止目錄服務非常便利。

Windows Server 2008 中對整個備份和恢復機制進行了修改。這里我不想一一累述，但新的 Windows Server 備份有一些更改影響到了 ADDS。

Windows Server 備份是一個基于卷的備份解決方案，這意味著它一次備份整個磁盤卷。另外，它僅備份到磁盤（或類似磁盤）設備，不支持磁帶。

WBADMIN 命令行備份實用工具有一個系統狀態備份選項。使用 WBADMIN START SYSTEMSTATEBACKUP 命令，您現在可以創建備份映像，其中包含在域控制器恢復 Active Directory 所需的全部重要系統文件。這樣，備份集中最多可以有五個卷，但每個卷只包含恢復系統狀態所需的文件。更有些惱人的是，從 Windows Server 2008 的 RC0 起，您無法對網絡共享執行系統狀態備份。您必須有可供系統狀態備份映像使用的本地磁盤卷，且該卷不能是系統狀態備份卷集的一部分。對于您要進行系統狀態備份的每個域控制器，您可能必須向其新添加一個磁盤卷。

系統狀態還原非常簡單。只需將 DC 引導為目錄服務還原模式，然后運行 WBADMIN START SYSTEMSTATERECOVERY 命令即可。這將產生非權威還原的 DIT，您可在其中使用 NTDSUTIL 對特定對象執行權威還原，就像在 Windows Server 2003 中一樣。

Windows Server 備份中的一個方面需特別注意：它以虛擬硬盤 (VHD) 格式存儲備份映像。Microsoft Virtual Server 2005 也使用這種格式存儲其虛擬磁盤映像。這表示您可獲取用 Windows Server 備份創建的備份映像，在 Microsoft Virtual Server 下運行的虛擬機中將其安裝成一個磁盤。然后就像正常磁盤一樣瀏覽備份內容。

ADDS 備份的另一項更改是可以使用“卷影復制服務”創建 Active Directory 的時間點快照。使用 NTDSUTIL 創建快照時，“卷影復制服務”在每個磁盤塊被更新操作覆蓋前，保存其更新前的映像。通過將保存的更新前映像與 DIT 的當前版本組合在一起，“卷影復制服務”可用極小的開銷構建完整的 DIT 快照。無論 DIT 的大小如何，創建典型的快照只需幾秒。

就其本身而言，這是一項有趣的功能，但并非總是那樣有用。但是，在 Windows Server 2008 中，ADDS 納入了一個稱為 DSAMAIN 的命令行實用工具，它以只讀模式安裝快照映像。這樣就提供了一個獨立 LDAP 服務器，它很象在快照時包含目錄內容的 ADLDS 實例。您可使用 LDP 實用工具或其他 LDAP 工具瀏覽目錄，并從先前的時間點檢索目錄對象的版本。

Windows Server 2003 R2 帶有一個改良的分布式文件服務 (DFS)，其中引進了稱為 DFS-R 的全新文件復制機制。它使用的是遠程差分壓縮，這種方式通過確定需要復制哪些目標文件塊來與源文件同步，極大地減少了文件復制流量。但是，Windows Server 2003 R2 仍使用文件復制服務（而不是 DFS-R）在域控制器之間復制 SYSVOL。因此，SYSVOL 復制還是 Active Directory 管理員的問題之源。

在 Windows Server 2008 域功能級運行時，Windows Server 2008 使用 DFS-R 復制 SYSVOL，提高 SYSVOL 復制的速度和強度。這就可以將大型文件放入 SYSVOL，供所有 DC 使用。要將 DFS-R 用于 SYSVOL，必須先使用 DFSRMIG 實用工具將舊 SYSVOL 數據遷移至 DFS-R。此過程包括四個步驟：

• 創建 DFS-R. 所需的 Active Directory 對象。
• 在每個域控制器上為 SYSVOL 新建文件結構。
• 轉換所有域控制器以使用新的 SYSVOL。
• 刪除舊的 SYSVOL。

此過程可能花點兒時間，具體視 SYSVOL 的大小和域控制器的數量而定，但性能和可靠性的提高完全值得為此花費時間。

Windows Server 2003 中 Active Directory 的審計系統具有雙重效應。一方面，它為追蹤目錄中的更改提供了極其全面、靈活和安全的解決方案。但是也有事例反映遇到某些嚴重的使用性問題。

在 Windows Server 2003 域控制器上啟用目錄更改審計非常類似“全有”或“全無”，它或者啟用，或者禁用。繁忙企業 DC 上的審計流量可能使審計變得不實用。通過改變單個的安全描述符配置審計系統，使其生成您真正需要的信息既費力，又容易出錯。審計信息本身經常含義模糊，并且所含的信息常常是您不需要的，例如屬性變化前后的值。使用 Windows 自帶的工具從多個域控制器收集、關聯并存檔信息不太現實。

Windows Server 2008 中的目錄服務審計系統解決了一些這樣的問題。首先，目錄服務審計新增了四個審計子類：DS 訪問、DS 更改、DS 復制和詳細的 DS 復制。如果您只想審計目錄更改，不必費力查看所有讀取和復制事件。但是，如果您想在審計日志中包含對象刪除，您必須啟用 DS 訪問。這會生成所有 DS 對象訪問的信息，本質上這還是生成了過多的信息并且仍是由您配置安全描述符來為您關心的對象生成所需的信息。

審計信息已得到了充分整理，所以它們既能讀取，又包含您所需的數據。特別是，目錄更改生成包含變化屬性新舊值的審計日志條目。這是一個巨大的改進。唯一的不足是新舊值顯示在不同的審計日志條目中，因此您必須將它們關聯起來才能真正理解所做的更改。許多加載項審計日志收集產品（包括 Microsoft 審計收集服務）均支持這類關聯。

Active Directory 用戶和計算機、站點和服務，以及域和信任 MMC 管理單元對于管理 Active Directory 而言通常足夠了。在 Windows Server 2008 中，基本管理工具已得到整理，并引入了一組上乘的新功能。如果您啟用高級功能，每個對象的屬性對話框會額外顯示一個選項卡，名為“屬性編輯器”。ADSIEdit 也使用這個屬性編輯器選項卡，您可用它檢查并編輯對象的所有屬性。該選項卡本身現在可以對已編碼的屬性（例如 userAccountControl 屬性）進行效果更好地解碼。 圖 8 顯示了無縫集成屬性編輯器的方式。

除了我在本文中所討論的關鍵點，Windows Server 2008 中的 ADDS 還有許多其他改進。例如，如果域處于 Windows Server 2008 域的功能級，KDC 使用 256 位的高級加密標準 (AES-256)。通過選中任何 DS 對象的“對象”選項卡上合適的復選框，可以啟用對象的“意外刪除防護”。提供數據管理服務的“可擴展存儲引擎”已得到改進，可以使用單一位數的錯誤修正，在 DIT 出現故障時，減小了磁盤子系統產生硬件或軟件錯誤的可能性。DNS 服務在完全加載 DNS 數據庫前開始處理請求。DC Locator 模塊已經增強，因此，如果它未能在所需的站點找到 DC，將嘗試在最近的站點找到 DC，而不是僅使用可以在域中找到的任意 DC。NTDSUTIL 現在支持 RODC 和卷影復制服務快照。

毫無疑義，Windows Server 2008 對 Active Directory 域服務做出了相當多的改進。在它們的共同作用下，ADDS 的安全性和可管理性得到了極大的改善。最出色的是，將 Windows Server 2008 集成到您的 Active Directory 環境中不涉及巨大的遷移，整個過程屬于增量更改，非常簡單。

------------------------------------------------------------------------------------------------------------------------------------------------

原文轉載： http://technet.microsoft.com/zh-cn/magazine/cc194387.aspx