玩转Windows Server 2008 R2之活动目录

    导语：活动目录是一种集成管理技术，与现实生活中的各种管理模式一样，它的出现是为了更有效，更灵活的实现管理目的。活动目录是一个层次的、树状的结构，通过活动目录组织和存储网络上的对象信息，可以让管理员非常方便的进行对象的查询、组织和管理。在Windows Server 2008中，活动目录有了不少新的改进，如增加审核新特性、可重启的活动目录域服务、多元密码策略、只读域控制器等。最新的Windows Server 2008 R2除具备这些特性外，增加了AD管理中心、活动目录回收站、离线加域等新功能。

    微软从Win2000中引入了活动目录的概念，它的出现是为了更有效，更灵活的实现管理目的。活动目录具有与DNS集成、便于查询、可伸缩可扩展、可以进行基于策略的管理、安全高效等特点，通过组织活动目录，可以实现提高用户生产力、增强安全性、减少宕机时间、减轻IT管理的负担与成本等优势。在Win2000和Win2003系统中，活动目录服务被命名为AD Directory Service，而在Win2008中，活动目录服务有了一个新的名称：Active Directory Domain Service（在下文中简称ADDS）。名称的改变意味着微软对Win2008的活动目录进行了较大的调整，增加了功能强大的新特性并且对原有特性进行了增强。

    Windows Server 2008中活动目录的改进：

    1、活动目录审核（Audit）新特性

    活动目录审核（Audit）并不是Win2008活动目录中的一个新功能，在Win2000/Win2003的活动目录中也可以指派审核策略。通过审核功能，系统可以将服务器的状态、用户登录状态以及活动目录等状态进行记录，以日志的方式进行储存，管理员可以通过管理工具中的“Event Viewer”来查看日志，查看日志是管理员了解系统状态、排除错误的一个重要手段。

    但是日志常常会迅速爆满，想找到自己所需的日志并不是一件容易的事情。这时候需要用到事件查看器中的筛选器（Filter）功能，但是操作起来也非常繁琐，影响效率。Win2008中将全局的活动目录审核策略Active Directory Service Access细化为4个子类别，并且增添了新的审核子类别“Directory Service Changes”，将审计功能进行了较大的优化，更为细化、精确，可以在日志中查看谁对活动目录做出过修改，修改何时发生、修改了哪些对象与属性以及修改的值等信息，这些细化的事件又分别对应着不同的事件ID，这样就使日志的可读性以及易检索性大大加强。

    2、多元密码策略新特性

    目录服务器DC的安全性至关重要，密码的保护是安全性保护中重要的一环。为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁，保证活动目录的安全。应用过Win2000/2003的用户可能都记得，密码策略需要指派到域上，不能单独应用于活动目录中的对象。换句话说，密码策略在域级别起作用，一个域只能有一个密码策略。

    统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。为解决这个问题，在Win2008中引入了多元密码策略（Fine-Grained Password Policy）的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如，可以为管理员组指派超强密码策略，密码16位以上、两周过期；为服务帐号指派中等密码策略，密码31天过期，不配置密码锁定策略；为普通域用户指派密码90天过期等。多元密码策略适应了不同用户对于安全性的不同要求。

    3、可重启的活动目录域服务

    在Win2000/2003中，如果要执行离线整理活动目录数据库或者进入目录服务还原模式进行活动目录的修复或者还原，需要重启服务器进行切换。这时候服务器上的所有服务都会一同停止，这样就影响了其他不依赖于目录服务的一些如DHCP、流媒体等服务的执行。

    在Win2008中支持可重启的活动目录域服务（Restartable Active Directory Domain Services）功能，这时候活动目录域服务（Active Directory Domain Services）是直接作为一个服务而存在，可以在系统服务控制台中停止或者启动，而不必像Win2000/2003中必须将服务器重启才能停止。可重启的活动目录域服务功能的加入使不依赖于目录服务的服务在目录服务停止后仍可以正常运行，减少了服务器重启的次数，减少了Win2008执行操作的时间。

    4、只读域控制器

    只读域控制器RODC（Read-only domain controller) 是Win2008活动目录中变化非常大的一点。在之前的微软服务器操作系统版本中，如Win2000/2003，森林中的所有域控制器均可以进行更新，管理员可以在任何一个域控制器上进行写操作，这些操作会同步到其他域控制器上。

    而Win2008的RODC具有以下这几点特性：RODC上存有活动目录域服务中所有的对象和属性，但是RODC上的数据只可读、不可写，RODC是单向复制，包括AD数据库和SYSVOL，只可以从其他域控制器上同步信息，不可以向其他域控制器同步信息。由于具有上述这些特性，RODC可以应用于物理安全上没有保障，或者IT管理水平不高的企业分支机构，将域和域控制器的安全级别提升了一个层次。