Windows Server 2008下高效域管理体验

域是微软局域网解决方案的重要组成部分，几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升。作为微软最新版本的Windows Server 2008会带给我们什么样的域体验呢?下面笔者结合实例，和大家分享几个基于Windows Server 2008域的新应用，希望这些新

域是微软局域网解决方案的重要组成部分，几乎每一个Windows Server版本的发布都会在域方面有非常大的改进和提升。作为微软最新版本的Windows Server 2008会带给我们什么样的域体验呢?下面笔者结合实例，和大家分享几个基于Windows Server 2008域的新应用，希望这些新特性会带给大家不同的域管理体验。

1、部署只读域控制器

域控制器(DC)的安全，特别是其物理安全让管理员颇为担心。在Windows Server 2008中新增了一种特殊的域控制器即只读域控制器(RODC)，借助RODC我们可以在无法保证物理安全性的网络节点中部署只读域控制器。这样不仅能够提升其安全性，而且可以实现更快的登录以及更加有效地访问网络资源。

在Windows Server 2008中要部署一台只读域控制器(RODC)是非常简单的。比如我们要将jp.com域中的一台Windows Server 2008主机部署成只读域控制器可以进行这样的操作：首先以管理员用户登录该主机，然后以Administrator身份允许命令提示符，接下来执行命令“dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!”即可。其中/replicadomaindnsname:Woodgrovebank.com”指定域名，“/safemodeadminpassword:ctocio!”设置域控制器管理员的密码为ctocio!。

需要说明的是，在安装获得目录(AD)的过程中还将同时安装并配置DNS，以及为活动目录的恢复模式设置管理员密码。另外，在安装过程中，一定要主要查看屏幕中木马复制策略的输出。除此之外，其它的设置我们可以保持默认。在活动目录安装完毕后，系统将会重新启动，系统重启后该主机就成为一台只读域控制器(RODC)。

2、管理角色的分离

管理角色分离是只读域控制器(RODC)的一个重大的特征，我们可以指定一个域用户到RODC上的角色，而而无需授予该用户对该域或其他域控制器的任何用户权限。其实，这些角色非常类似于本地组。通过这一功能，我们可以为分支机构的RODC指派管理员进行日常维护(如磁盘碎片的整理等)，而不需要给他域管理员用户名和密码。这么做的好处是非常明显的：首先，可以解放管理员，实现DC管理任务的分配;另外，会大大地提升域的安全性，因为授权用户只能执行指定的操作，而不会危害到域中其他部分的安全。同时，也避免了时刻使用管理员用户进行DC管理因误操作而造成破坏的风险。

我们在一台只读域控制器(RODC)上执行管理角色的分离操作：以管理员身份登录该主机，运行管理员身份的命令提示符，接下依次执行如下命令：

NTDSUTIL

Local Roles

Add Woodgrovebank.com\jp Administrators

Show Role Administrators

Quit

Quit

(图2)

图2 NTDSUTIL

简单解释一下上面的命令，第一行是进入NTDSUTIL.exe命令行，第二行是进入本地角色设置状态，第三行是关键命令即添加用户jp到Woodgrovebank.com域的管理员(administrators)组，第四行命令是显示角色管理员组的成员，第五、第六行命令是退出NTDSUTIL工具。