域是微軟局域網解決方案的重要組成部分，幾乎每一個Windows Server版本的發布都會在域方面有非常大的改進和提升。作為微軟最新版本的Windows Server 2008會帶給我們什么樣的域體驗呢?下面筆者結合實例，和大家分享幾個基于Windows Server 2008域的新應用，希望這些新特性會帶給大家不同的域管理體驗。

　　1、部署只讀域控制器

　　域控制器(DC)的安全，特別是其物理安全讓管理員頗為擔心。在Windows Server 2008中新增了一種特殊的域控制器即只讀域控制器(RODC)，借助RODC我們可以在無法保證物理安全性的網絡節點中部署只讀域控制器。這樣不僅能夠提升其安全性，而且可以實現更快的登錄以及更加有效地訪問網絡資源。

　　在Windows Server 2008中要部署一臺只讀域控制器(RODC)是非常簡單的。比如我們要將abc.com域中的一臺Windows Server 2008主機部署成只讀域控制器可以進行這樣的操作：首先以管理員用戶登錄該主機，然后以Administrator身份允許命令提示符，接下來執行命令“dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:servers.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!”即可。其中/replicadomaindnsname:servers.com”指定域名，“/safemodeadminpassword:ctocio!”設置域控制器管理員的密碼為ctocio!。

　　需要說明的是，在安裝獲得目錄(AD)的過程中還將同時安裝并配置DNS，以及為活動目錄的恢復模式設置管理員密碼。另外，在安裝過程中，一定要主要查看屏幕中木馬復制策略的輸出。除此之外，其它的設置我們可以保持默認。在活動目錄安裝完畢后，系統將會重新啟動，系統重啟后該主機就成為一臺只讀域控制器(RODC)。

　　2、管理角色的分離

　　管理角色分離是只讀域控制器(RODC)的一個重大的特征，我們可以指定一個域用戶到RODC上的角色，而而無需授予該用戶對該域或其他域控制器的任何用戶權限。其實，這些角色非常類似于本地組。通過這一功能，我們可以為分支機構的RODC指派管理員進行日常維護(如磁盤碎片的整理等)，而不需要給他域管理員用戶名和密碼。這么做的好處是非常明顯的：首先，可以解放管理員，實現DC管理任務的分配;另外，會大大地提升域的安全性，因為授權用戶只能執行指定的操作，而不會危害到域中其他部分的安全。同時，也避免了時刻使用管理員用戶進行DC管理因誤操作而造成破壞的風險。

　　我們在一臺只讀域控制器(RODC)上執行管理角色的分離操作：以管理員身份登錄該主機，運行管理員身份的命令提示符，接下依次執行如下命令：

　　NTDSUTIL

　　Local Roles

　　Add servers.com\abc Administrators

　　Show Role Administrators

　　Quit

　　Quit

　　簡單解釋一下上面的命令，第一行是進入NTDSUTIL.exe命令行，第二行是進入本地角色設置狀態，第三行是關鍵命令即添加用戶abc到servers.com域的管理員(administrators)組，第四行命令是顯示角色管理員組的成員，第五、第六行命令是退出NTDSUTIL工具。

　　3、用新賬戶執行管理操作

　　通過上面的操作我們賦予了abc用戶對于servers.com域的操作權限，下面我們驗證一下上述操作的有效性。以abc用戶登錄名為SFO-DC-01.servers.com的只讀域控制器(RODC)。我們首先打開命令提示符工具，執行命令“whoami /user /groups | find "Administrators"”可以看到域用戶abc已經成功扥兩個到這臺只讀域控制器(RODC)，并且已經為其本地管理員。

　　下面我們執行一個系統管理操作，比如格式化該主機的F分區。在命令行下執行一個命令“Format F: /q”，可以看到對該只讀域控制器(RODC)的F分區的快速格式化操作成功完成。這說明，我們在剛才在只讀域控制器(RODC)執行的管理角色的分離操作是成功了。不過要說明的是，此用戶在域中只是普通域用戶只具有域策略賦予的一般權限。大家可以試試，創建這樣的用戶，然后登錄域控制器，你會發現登錄失敗，因為一般域用戶是無法登錄域控制器的。

　　4、執行活動目錄的脫機維護操作

　　我們知道，在以前Windows Server版本中，如果需要脫機維護活動目錄，需要重新啟動域控制器然后按住F8，進入活動目錄還原模式才能夠完成操作。但這樣做將會影響運行在域控制器上的其它服務，例如文件服務，打印服務等等，是非常不方便的。但在Windows Server 2008中，我們不需要重新啟動就可以停止活動目錄域服務，然后執行需要需要活動目錄脫機才能執行的操作，例如對活動目錄數據庫進行碎片整理，移動等等。下面筆者在測試環境中進行演示，大家可親身體驗一下Windows Server 2008中的這樣新功能。

　　在命令提示符中，輸入命令“net stop NTDS”，然后執行會提示“您想繼續此操作嗎?”，我們輸入y，然后回車后即可停止獲得目錄服務。接下面我們這些如下的操作對活動目錄進行脫機維護：

　　MD C:\compact

　　ntdsutil

　　Activate Instance NTDS

　　Files

　　Compact to C:\compact

　　quit

　　quit

　　Del C:\Windows\NTDS\*.log

　　Copy /y C:\compact\ntds.dit C:\Windows\NTDS\ntds.dit

　　ntdsutil

　　Activate Instance ntds

　　files

　　integrity

　　quit

　　semantic database analysis

　　go fixup

　　quit

　　quit

　　exit

　　通過上面的命令我們對活動目錄進行的脫機操作主要是：在C分區創建一個名為compact的目錄，然后利用ntdsutil工具創建活動目錄快照，將把經過壓縮處理的ntds.dit文件放置到這個文件夾中保存存到C:\compact。接下來清除了獲得目錄中的的log文件，并用剛才創建的ntds.dit代替原來的同名文件，并執行了獲得目錄數據庫的同步。上面所有的針對活動目錄的脫機維護我們都是在不重啟DC的情況下完成的，并且并不影響DC中運行的其他服務。可見，Windows Server 2008的這樣特性在實際生產中還是非常有用的。在完成活動目錄的脫機維護后，我們在命令提示符下執行“net start NTDS”將重啟活動目錄服務，其他被停止的相關服務也將在后臺被啟動。至此，Windows Server 2008下活動目錄的一次脫機維護快速完成，將維護成本降到最低。

　　總結：上面列舉的幾個實例，只是Windows Server 2008域管理新特性中很小的一部分。如果你們部署了基于Windows Server 2008的AD，挖掘和應用好這些新特性一定會極大地提升域管理的效率。

關鍵字：Server 2008、局域網、域控制器