這些年Active Directory前進(jìn)的方向伴隨著每一款Windows Server產(chǎn)品的發(fā)布與應(yīng)用：Windows 2000 Server立足于網(wǎng)絡(luò)資源的目錄管理，實現(xiàn)了基本的目錄功能結(jié)構(gòu)，如委派、搜索、站點(diǎn)拓?fù)洌籛indows Server 2003增加了活動目錄的擴(kuò)展性和提升了目錄服務(wù)的性能；到Windows Server 2008為分支機(jī)構(gòu)目錄安全性、網(wǎng)絡(luò)負(fù)載提供了解決方案，在獨(dú)立目錄服務(wù)的基礎(chǔ)上讓管理人員更好的維護(hù)和管理Active Directory；那么Windows Server 2008 R2的Active Directory又帶來了哪些變革和超越呢？

降低操作成本

Active Directory回收站。對于 Active Directory 域服務(wù)和 Active Directory 輕型目錄服務(wù)的用戶而言，經(jīng)常會出現(xiàn)意外刪除 Active Directory 對象的情況。在 Windows Server 2008 Active Directory 域中，可以從 Windows Server Backup 生成的 AD DS 備份恢復(fù)意外刪除的對象。 我們可以使用 ntdsutil authoritative restore 命令將對象標(biāo)記為權(quán)威，以確保在整個域中復(fù)制還原的數(shù)據(jù)。 權(quán)威還原解決方案的缺點(diǎn)在于，它必須在目錄服務(wù)還原模式 (DSRM) 下執(zhí)行。 在 DSRM 過程中，被還原的域控制器必須保持脫機(jī)。 因此，它無法同時處理客戶端請求。

此外，在 Windows Server 2003 Active Directory 和 Windows Server 2008 AD DS 中，可以通過邏輯刪除恢復(fù)來恢復(fù)刪除的 Active Directory 對象。 在 Windows Server 2003 和 Windows Server 2008 中，不會立即以物理方式刪除數(shù)據(jù)庫中已刪除的 Active Directory 對象。 相反，對象的可分辨名稱（也稱為 DN）會損壞，大多數(shù)對象的未鏈接值屬性被清除，對象的所有鏈接值屬性被物理刪除，并且對象被移動到對象的命名上下文中的特殊容器（稱為“已刪除對象”）中。

該對象現(xiàn)在稱為 Tombstone（邏輯刪除），對于一般目錄操作不可見。 在邏輯刪除的生存期間內(nèi)可隨時恢復(fù)邏輯刪除，并使其再次成為活動 Active Directory 對象。 在 Windows Server 2003 和 Windows Server 2008 中，默認(rèn)的邏輯刪除生存期為 180 天。 可以使用邏輯刪除恢復(fù)來恢復(fù)已刪除對象，而不需要使您的域控制器或 AD LDS 實例脫機(jī)。 但是，恢復(fù)項目的已物理刪除的鏈接值屬性（例如，用戶帳戶的組成員身份）和已清除的未鏈接值屬性不會被恢復(fù)。 因此，管理員無法依靠邏輯刪除恢復(fù)作為意外刪除對象的最終解決方案。

Windows Server 2008 R2 中的 Active Directory 回收站構(gòu)建于現(xiàn)有的邏輯刪除恢復(fù)基礎(chǔ)結(jié)構(gòu)上，幫助我們增強(qiáng)保存和恢復(fù)意外刪除的 Active Directory 對象的能力。Active Directory 回收站使目錄服務(wù)中斷時間降至最低。 可以使用它來保存和還原意外刪除的整個 Active Directory 對象，而不必從備份還原 Active Directory 數(shù)據(jù)、重新啟動 AD DS，或重新啟動域控制器。

啟用 Active Directory 回收站后，會保留已刪除 Active Directory 對象的所有鏈接值屬性和未鏈接值屬性，并將整個對象還原到與被刪除前一致的邏輯狀態(tài)。 例如，還原的用戶帳戶會自動重新獲得被刪除時所具有的域中或跨域的所有組成員身份和相應(yīng)的訪問權(quán)限。 Active Directory 回收站可在 AD DS 和 AD LDS 環(huán)境中使用。

下圖顯示了在啟用 Active Directory 回收站功能的情況下，Windows Server 2008 R2 中的新 Active Directory 對象的生命周期。

在 Windows Server 2008 R2 中啟用 Active Directory 回收站之后，當(dāng)刪除某個 Active Directory 對象時，系統(tǒng)將保留該對象的所有鏈接值屬性和未鏈接值屬性，并且該對象進(jìn)入邏輯刪除狀態(tài)，該狀態(tài)是 Windows Server 2008 R2 引入的新狀態(tài)。 刪除的對象被移動到“已刪除對象”容器中，并且其可分辨名稱損壞。

在已刪除對象的整個生存期中，它以邏輯刪除狀態(tài)保留在“已刪除對象”容器中。在已刪除對象的生存期內(nèi)，已刪除對象可以恢復(fù)并再次成為活動 Active Directory 對象。 在已刪除對象的生存期過期后，邏輯刪除對象轉(zhuǎn)變?yōu)榛厥諏ο?，并且剝離該對象的大多數(shù)屬性。

托管服務(wù)帳戶。托管服務(wù)帳戶提供簡單的服務(wù)帳戶管理。 在 Windows Server 2008 R2 域功能級別，此功能為服務(wù)主體名稱 (SPN) 提供了更好的管理。 我們能夠使用托管服務(wù)帳戶通過減少服務(wù)中斷（針對手動密碼重設(shè)和相關(guān)問題）來幫助降低總擁有成本 (TCO)。 可以為服務(wù)器上運(yùn)行的每個服務(wù)運(yùn)行一個托管服務(wù)帳戶，而不需要人工干預(yù)密碼管理。

一體化的管理

Power Shell。Windows PowerShell(TM) 是命令行 shell 和腳本語言，可幫助信息技術(shù) (IT) 專業(yè)人員更輕松地控制系統(tǒng)管理并提高工作效率。Windows Server 2008 R2 中的 Active Directory 模塊 是合并了一組 cmdlet 的 Windows PowerShell 模塊（名為 ActiveDirectory）。 通過使用這些 cmdlet，可在單一的獨(dú)立程序包中管理您的 Active Directory 域、Active Directory 輕型目錄服務(wù) (AD LDS) 配置集和 Active Directory 數(shù)據(jù)庫裝載工具實例。

AD管理中心。在Windows Server 2008 R2面試之前，非面向任務(wù)的UI使得客戶很頭痛，在MMC中對大量數(shù)據(jù)集時不能擴(kuò)展，在同一時間內(nèi)只能管理一個域；在 Windows Server 2003 和 Windows Server 2008 操作系統(tǒng)中，管理員可以使用 Active Directory 用戶和計算機(jī) Microsoft 管理控制臺 (MMC) 管理單元在其 Active Directory 環(huán)境中管理和發(fā)布信息。

在 Windows Server 2008 R2 中，除 Active Directory 用戶和計算機(jī)管理單元外，管理員可以使用新 Active Directory 管理中心管理其目錄服務(wù)對象。Active Directory 管理中心構(gòu)建在 Windows PowerShell 技術(shù)之上，為網(wǎng)絡(luò)管理員提供增強(qiáng)的 Active Directory 數(shù)據(jù)管理體驗和豐富的圖形用戶界面 (GUI)。 管理員可以使用 Active Directory 管理中心并通過數(shù)據(jù)驅(qū)動導(dǎo)航和面向任務(wù)的導(dǎo)航執(zhí)行常見的 Active Directory 對象管理任務(wù)。

我們可以使用 Active Directory 管理中心執(zhí)行下列 Active Directory 管理任務(wù)：

新建用戶帳戶或管理現(xiàn)有用戶帳戶

新建組或管理現(xiàn)有組

新建計算機(jī)帳戶或管理現(xiàn)有計算機(jī)帳戶

新建組織單位 (OU) 和容器或管理現(xiàn)有 OU

連接到同一 Active Directory 管理中心實例中的一個或多個域或域控制器，并查看或管理這些域或域控制器的目錄信息。

使用查詢生成搜索篩選 Active Directory 數(shù)據(jù)

除用于這些任務(wù)之外，我們還可以使用高級 Active Directory 管理中心 GUI 自定義 Active Directory 管理中心，以符合您特定于目錄服務(wù)管理的要求。 在執(zhí)行常見 Active Directory 對象管理任務(wù)時，這可以幫助您提高生產(chǎn)率和工作效率。

最佳實踐分析器。最佳實踐分析程序 (BPA) 是 Windows Server 2008 R2 中提供的一款服務(wù)器管理工具，針對以下服務(wù)器角色：

Active Directory 域服務(wù) (AD DS)

Active Directory 證書服務(wù) (AD CS)

DNS 服務(wù)器

終端服務(wù)

AD DS最佳實踐分析器可幫助您以 Active Directory 環(huán)境的配置實施最佳實踐。 AD DS最佳實踐分析器安裝到 Windows Server 2008 R2 域控制器上時會掃描 AD DS 服務(wù)器角色，并報告最佳實踐沖突。 可以從 AD DS最佳實踐分析器報告中篩選或排除您不需要看到的結(jié)果。

也可以通過使用服務(wù)器管理器圖形用戶界面 (GUI) 或 Windows PowerShell 命令行接口中的 cmdlet 執(zhí)行 AD DS最佳實踐分析器任務(wù)。通過使用最佳實踐分析器可以幫助我們分析意料之外的AD設(shè)置；標(biāo)記出違反推薦最佳實踐的設(shè)置/配置；那么它只提供建議，而不會修改設(shè)置；用戶可以使用它來做初始掃描；但它并不是一個監(jiān)視解決方案。

脫機(jī)加入域。我們都知道要想加入域必須要有可靠的網(wǎng)絡(luò)連接，但這個前提，在今天這個時代改變了。脫機(jī)加入域是一個新進(jìn)程，該進(jìn)程將運(yùn)行 Windows® 7 或 Windows Server 2008 R2 的計算機(jī)加入 Active Directory 域服務(wù) (AD DS) 中的某個域，而不需要任何網(wǎng)絡(luò)連接?？梢允褂妹摍C(jī)加入域?qū)⒂嬎銠C(jī)加入某個域，而不需要通過網(wǎng)絡(luò)連接域控制器。 安裝操作系統(tǒng)之后，可以在計算機(jī)首次啟動時將其加入域。 不需要另外重新啟動，即可實現(xiàn)加入域。

在諸如數(shù)據(jù)中心之類的場所中完成大規(guī)模計算機(jī)部署時，此功能有助于節(jié)省所需的時間和精力。比如，某公司可能需要在數(shù)據(jù)中心部署大量虛擬機(jī)。 脫機(jī)加入域使虛擬機(jī)能夠在安裝操作系統(tǒng)之后的初始啟動過程中加入域。 不需要另外重新啟動，即可實現(xiàn)加入域。 這樣可以顯著減少大規(guī)模部署虛擬機(jī)所需的總時間。

加入域會在運(yùn)行 Windows 操作系統(tǒng)的計算機(jī)與 Active Directory 域之間建立信任關(guān)系。 此操作需要更改 AD DS 和加入域的計算機(jī)的狀態(tài)。 在過去，若要使用以前版本的 Windows 操作系統(tǒng)完成加入域，加入域的計算機(jī)必須正在運(yùn)行，并且擁有網(wǎng)絡(luò)連接以連接域控制器。 脫機(jī)加入域相對于以前的要求提供了以下優(yōu)勢：

計算機(jī)不需要進(jìn)行任何網(wǎng)絡(luò)通信，即可完成 Active Directory 狀態(tài)更改。

與域控制器之間不需要任何網(wǎng)絡(luò)通信，即可完成計算機(jī)狀態(tài)更改。

每個更改集可在不同的時間完成。

通過以上的了解，相信大家對Windows Server 2008 R2 Active Directory的新功能躍躍欲試，更多更好的設(shè)計為每個管理員帶來了全新的體驗，還等什么呢，去安裝Windows Server 2008 R2 Active Directory，進(jìn)行試用吧！

【編輯推薦】

1. IIS7在Windows Server 2008 R2中的技術(shù)革新
2. Windows Server 2008四方面增強(qiáng)全面評估
3. Windows Server 2008 R2安全性能體驗
4. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
5. Windows Server 2008 R2中如何托管服務(wù)賬號