域是微軟局域網(wǎng)解決方案的重要組成部分，幾乎每一個Windows Server版本的發(fā)布都會在域方面有非常大的改進(jìn)和提升。作為微軟***版本的Windows Server 2008會帶給我們什么樣的域體驗?zāi)?下面筆者結(jié)合實(shí)例，和大家分享幾個基于Windows Server 2008域的新應(yīng)用，希望這些新特性會帶給大家不同的域管理體驗。

1、部署只讀域控制器

域控制器(DC)的安全，特別是其物理安全讓管理員頗為擔(dān)心。在Windows Server 2008中新增了一種特殊的域控制器即只讀域控制器(RODC)，借助RODC我們可以在無法保證物理安全性的網(wǎng)絡(luò)節(jié)點(diǎn)中部署只讀域控制器。這樣不僅能夠提升其安全性，而且可以實(shí)現(xiàn)更快的登錄以及更加有效地訪問網(wǎng)絡(luò)資源。

在Windows Server 2008中要部署一臺只讀域控制器(RODC)是非常簡單的。比如我們要將jp.com域中的一臺Windows Server 2008主機(jī)部署成只讀域控制器可以進(jìn)行這樣的操作：首先以管理員用戶登錄該主機(jī)，然后以Administrator身份允許命令提示符，接下來執(zhí)行命令：

dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!
 

即可。其中“/replicadomaindnsname:Woodgrovebank.com”指定域名，“/safemodeadminpassword:ctocio!”設(shè)置域控制器管理員的密碼為ctocio！

需要說明的是，在安裝獲得目錄(AD)的過程中還將同時安裝并配置DNS，以及為活動目錄的恢復(fù)模式設(shè)置管理員密碼。另外，在安裝過程中，一定要主要查看屏幕中木馬復(fù)制策略的輸出。除此之外，其它的設(shè)置我們可以保持默認(rèn)。在活動目錄安裝完畢后，系統(tǒng)將會重新啟動，系統(tǒng)重啟后該主機(jī)就成為一臺只讀域控制器(RODC)。

2、管理角色的分離

管理角色分離是只讀域控制器(RODC)的一個重大的特征，我們可以指定一個域用戶到RODC上的角色，而而無需授予該用戶對該域或其他域控制器的任何用戶權(quán)限。其實(shí)，這些角色非常類似于本地組。通過這一功能，我們可以為分支機(jī)構(gòu)的RODC指派管理員進(jìn)行日常維護(hù)(如磁盤碎片的整理等)，而不需要給他域管理員用戶名和密碼。這么做的好處是非常明顯的：首先，可以解放管理員，實(shí)現(xiàn)DC管理任務(wù)的分配;另外，會大大地提升域的安全性，因為授權(quán)用戶只能執(zhí)行指定的操作，而不會危害到域中其他部分的安全。同時，也避免了時刻使用管理員用戶進(jìn)行DC管理因誤操作而造成破壞的風(fēng)險。

我們在一臺只讀域控制器(RODC)上執(zhí)行管理角色的分離操作：以管理員身份登錄該主機(jī)，運(yùn)行管理員身份的命令提示符，接下依次執(zhí)行如下命令：

NTDSUTIL

Local Roles

Add Woodgrovebank.com\jp Administrators

Show Role Administrators

Quit

Quit

圖1 NTDSUTIL

簡單解釋一下上面的命令，***行是進(jìn)入NTDSUTIL.exe命令行，第二行是進(jìn)入本地角色設(shè)置狀態(tài)，第三行是關(guān)鍵命令即添加用戶jp到Woodgrovebank.com域的管理員(administrators)組，第四行命令是顯示角色管理員組的成員，第五、第六行命令是退出NTDSUTIL工具。

3、用新賬戶執(zhí)行管理操作

通過上面的操作我們賦予了jp用戶對于Woodgrovebank.com域的操作權(quán)限，下面我們驗證一下上述操作的有效性。以jp用戶登錄名為SFO-DC-01.Woodgrovebank.com的只讀域控制器(RODC)。我們首先打開命令提示符工具，執(zhí)行命令：

whoami /user /groups : find "Administrators”

可以看到域用戶jp已經(jīng)成功扥兩個到這臺只讀域控制器(RODC)，并且已經(jīng)為其本地管理員。

圖2 只讀域控制器

下面我們執(zhí)行一個系統(tǒng)管理操作，比如格式化該主機(jī)的F分區(qū)。在命令行下執(zhí)行一個命令“Format F: /q”，可以看到對該只讀域控制器(RODC)的F分區(qū)的快速格式化操作成功完成。這說明，我們在剛才在只讀域控制器(RODC)執(zhí)行的管理角色的分離操作是成功了。不過要說明的是，此用戶在域中只是普通域用戶只具有域策略賦予的一般權(quán)限。大家可以試試，創(chuàng)建這樣的用戶，然后登錄域控制器，你會發(fā)現(xiàn)登錄失敗，因為一般域用戶是無法登錄域控制器的。

#p#

4、執(zhí)行活動目錄的脫機(jī)維護(hù)操作

我們知道，在以前Windows Server版本中，如果需要脫機(jī)維護(hù)活動目錄，需要重新啟動域控制器然后按住F8，進(jìn)入活動目錄還原模式才能夠完成操作。但這樣做將會影響運(yùn)行在域控制器上的其它服務(wù)，例如文件服務(wù)，打印服務(wù)等等，是非常不方便的。但在Windows Server 2008中，我們不需要重新啟動就可以停止活動目錄域服務(wù)，然后執(zhí)行需要需要活動目錄脫機(jī)才能執(zhí)行的操作，例如對活動目錄數(shù)據(jù)庫進(jìn)行碎片整理，移動等等。下面筆者在測試環(huán)境中進(jìn)行演示，大家可親身體驗一下Windows Server 2008中的這樣新功能。

在命令提示符中，輸入命令“net stop NTDS”，然后執(zhí)行會提示“您想繼續(xù)此操作嗎?”，我們輸入y，然后回車后即可停止獲得目錄服務(wù)。接下面我們這些如下的操作對活動目錄進(jìn)行脫機(jī)維護(hù)：

MD C:\compact

ntdsutil

Activate Instance NTDS 

Files

Compact to C:\compact

quit

quit

Del C:\Windows\NTDS\*.log

Copy /y C:\compact\ntds.dit C:\Windows\NTDS\ntds.dit

ntdsutil

Activate Instance ntds

files

integrity

quit

semantic database analysis

go fixup

quit

quit

exit

圖3 域維護(hù)

通過上面的命令我們對活動目錄進(jìn)行的脫機(jī)操作主要是：在C分區(qū)創(chuàng)建一個名為compact的目錄，然后利用ntdsutil工具創(chuàng)建活動目錄快照，將把經(jīng)過壓縮處理的ntds.dit文件放置到這個文件夾中保存存到C:\compact。接下來清除了獲得目錄中的的log文件，并用剛才創(chuàng)建的ntds.dit代替原來的同名文件，并執(zhí)行了獲得目錄數(shù)據(jù)庫的同步。上面所有的針對活動目錄的脫機(jī)維護(hù)我們都是在不重啟DC的情況下完成的，并且并不影響DC中運(yùn)行的其他服務(wù)?？梢?，Windows Server 2008的這樣特性在實(shí)際生產(chǎn)中還是非常有用的。在完成活動目錄的脫機(jī)維護(hù)后，我們在命令提示符下執(zhí)行“net start NTDS”將重啟活動目錄服務(wù)，其他被停止的相關(guān)服務(wù)也將在后臺被啟動。至此，Windows Server 2008下活動目錄的一次脫機(jī)維護(hù)快速完成，將維護(hù)成本降到***。

總結(jié)：上面列舉的幾個實(shí)例，只是Windows Server 2008域管理新特性中很小的一部分。如果你們部署了基于Windows Server 2008的AD，挖掘和應(yīng)用好這些新特性一定會極大地提升域管理的效率。

【編輯推薦】

1. Windows Server 2008四項優(yōu)化技巧
2. 解答通過路由器在內(nèi)網(wǎng)上設(shè)置rootkit
3. Windows Server 2008巧妙配置DHCP服務(wù)器
4. Windows Server 2008 IIS 7.0下配置asp.net 1.1
5. Windows Server 2008與Window 7并存時的故障詳解