Windows Server 2008 R2 Active Directory新特性

作者：佚名 2010-06-03 15:40:00

時(shí)光飛逝，一轉(zhuǎn)眼十年過(guò)去了，在1999年4月9日，第一個(gè)Active Directory域控制器被部署在微軟的生產(chǎn)網(wǎng)絡(luò)中。時(shí)至今日，在Active Directory商用十年誕辰的基礎(chǔ)上，Windows Server 2008 R2已進(jìn)入我們的視野，進(jìn)入我們的生產(chǎn)環(huán)境。

這些年Active Directory前進(jìn)的方向伴隨著每一款Windows Server產(chǎn)品的發(fā)布與應(yīng)用：Windows 2000 Server立足于網(wǎng)絡(luò)資源的目錄管理，實(shí)現(xiàn)了基本的目錄功能結(jié)構(gòu)，如委派、搜索、站點(diǎn)拓?fù)洌籛indows Server 2003增加了活動(dòng)目錄的擴(kuò)展性和提升了目錄服務(wù)的性能；到Windows Server 2008為分支機(jī)構(gòu)目錄安全性、網(wǎng)絡(luò)負(fù)載提供了解決方案，在獨(dú)立目錄服務(wù)的基礎(chǔ)上讓管理人員更好的維護(hù)和管理Active Directory；那么Windows Server 2008 R2的Active Directory又帶來(lái)了哪些變革和超越呢？

降低操作成本

Active Directory回收站。對(duì)于 Active Directory 域服務(wù)和 Active Directory 輕型目錄服務(wù)的用戶而言，經(jīng)常會(huì)出現(xiàn)意外刪除 Active Directory 對(duì)象的情況。在 Windows Server 2008 Active Directory 域中，可以從 Windows Server Backup 生成的 AD DS 備份恢復(fù)意外刪除的對(duì)象。我們可以使用 ntdsutil authoritative restore 命令將對(duì)象標(biāo)記為權(quán)威，以確保在整個(gè)域中復(fù)制還原的數(shù)據(jù)。權(quán)威還原解決方案的缺點(diǎn)在于，它必須在目錄服務(wù)還原模式 (DSRM) 下執(zhí)行。在 DSRM 過(guò)程中，被還原的域控制器必須保持脫機(jī)。因此，它無(wú)法同時(shí)處理客戶端請(qǐng)求。

此外，在 Windows Server 2003 Active Directory 和 Windows Server 2008 AD DS 中，可以通過(guò)邏輯刪除恢復(fù)來(lái)恢復(fù)刪除的 Active Directory 對(duì)象。在 Windows Server 2003 和 Windows Server 2008 中，不會(huì)立即以物理方式刪除數(shù)據(jù)庫(kù)中已刪除的 Active Directory 對(duì)象。相反，對(duì)象的可分辨名稱（也稱為 DN）會(huì)損壞，大多數(shù)對(duì)象的未鏈接值屬性被清除，對(duì)象的所有鏈接值屬性被物理刪除，并且對(duì)象被移動(dòng)到對(duì)象的命名上下文中的特殊容器（稱為“已刪除對(duì)象”）中。

該對(duì)象現(xiàn)在稱為 Tombstone（邏輯刪除），對(duì)于一般目錄操作不可見(jiàn)。在邏輯刪除的生存期間內(nèi)可隨時(shí)恢復(fù)邏輯刪除，并使其再次成為活動(dòng) Active Directory 對(duì)象。在 Windows Server 2003 和 Windows Server 2008 中，默認(rèn)的邏輯刪除生存期為 180 天。可以使用邏輯刪除恢復(fù)來(lái)恢復(fù)已刪除對(duì)象，而不需要使您的域控制器或 AD LDS 實(shí)例脫機(jī)。但是，恢復(fù)項(xiàng)目的已物理刪除的鏈接值屬性（例如，用戶帳戶的組成員身份）和已清除的未鏈接值屬性不會(huì)被恢復(fù)。因此，管理員無(wú)法依靠邏輯刪除恢復(fù)作為意外刪除對(duì)象的最終解決方案。

Windows Server 2008 R2 中的 Active Directory 回收站構(gòu)建于現(xiàn)有的邏輯刪除恢復(fù)基礎(chǔ)結(jié)構(gòu)上，幫助我們?cè)鰪?qiáng)保存和恢復(fù)意外刪除的 Active Directory 對(duì)象的能力。Active Directory 回收站使目錄服務(wù)中斷時(shí)間降至最低。可以使用它來(lái)保存和還原意外刪除的整個(gè) Active Directory 對(duì)象，而不必從備份還原 Active Directory 數(shù)據(jù)、重新啟動(dòng) AD DS，或重新啟動(dòng)域控制器。

啟用 Active Directory 回收站后，會(huì)保留已刪除 Active Directory 對(duì)象的所有鏈接值屬性和未鏈接值屬性，并將整個(gè)對(duì)象還原到與被刪除前一致的邏輯狀態(tài)。例如，還原的用戶帳戶會(huì)自動(dòng)重新獲得被刪除時(shí)所具有的域中或跨域的所有組成員身份和相應(yīng)的訪問(wèn)權(quán)限。 Active Directory 回收站可在 AD DS 和 AD LDS 環(huán)境中使用。

下圖顯示了在啟用 Active Directory 回收站功能的情況下，Windows Server 2008 R2 中的新 Active Directory 對(duì)象的生命周期。

在 Windows Server 2008 R2 中啟用 Active Directory 回收站之后，當(dāng)刪除某個(gè) Active Directory 對(duì)象時(shí)，系統(tǒng)將保留該對(duì)象的所有鏈接值屬性和未鏈接值屬性，并且該對(duì)象進(jìn)入邏輯刪除狀態(tài)，該狀態(tài)是 Windows Server 2008 R2 引入的新?tīng)顟B(tài)。刪除的對(duì)象被移動(dòng)到“已刪除對(duì)象”容器中，并且其可分辨名稱損壞。

在已刪除對(duì)象的整個(gè)生存期中，它以邏輯刪除狀態(tài)保留在“已刪除對(duì)象”容器中。在已刪除對(duì)象的生存期內(nèi)，已刪除對(duì)象可以恢復(fù)并再次成為活動(dòng) Active Directory 對(duì)象。在已刪除對(duì)象的生存期過(guò)期后，邏輯刪除對(duì)象轉(zhuǎn)變?yōu)榛厥諏?duì)象，并且剝離該對(duì)象的大多數(shù)屬性。

托管服務(wù)帳戶。托管服務(wù)帳戶提供簡(jiǎn)單的服務(wù)帳戶管理。在 Windows Server 2008 R2 域功能級(jí)別，此功能為服務(wù)主體名稱 (SPN) 提供了更好的管理。我們能夠使用托管服務(wù)帳戶通過(guò)減少服務(wù)中斷（針對(duì)手動(dòng)密碼重設(shè)和相關(guān)問(wèn)題）來(lái)幫助降低總擁有成本 (TCO)。可以為服務(wù)器上運(yùn)行的每個(gè)服務(wù)運(yùn)行一個(gè)托管服務(wù)帳戶，而不需要人工干預(yù)密碼管理。

一體化的管理

Power Shell。Windows PowerShell(TM) 是命令行 shell 和腳本語(yǔ)言，可幫助信息技術(shù) (IT) 專業(yè)人員更輕松地控制系統(tǒng)管理并提高工作效率。Windows Server 2008 R2 中的 Active Directory 模塊是合并了一組 cmdlet 的 Windows PowerShell 模塊（名為 ActiveDirectory）。通過(guò)使用這些 cmdlet，可在單一的獨(dú)立程序包中管理您的 Active Directory 域、Active Directory 輕型目錄服務(wù) (AD LDS) 配置集和 Active Directory 數(shù)據(jù)庫(kù)裝載工具實(shí)例。

AD管理中心。在Windows Server 2008 R2面試之前，非面向任務(wù)的UI使得客戶很頭痛，在MMC中對(duì)大量數(shù)據(jù)集時(shí)不能擴(kuò)展，在同一時(shí)間內(nèi)只能管理一個(gè)域；在 Windows Server 2003 和 Windows Server 2008 操作系統(tǒng)中，管理員可以使用 Active Directory 用戶和計(jì)算機(jī) Microsoft 管理控制臺(tái) (MMC) 管理單元在其 Active Directory 環(huán)境中管理和發(fā)布信息。

在 Windows Server 2008 R2 中，除 Active Directory 用戶和計(jì)算機(jī)管理單元外，管理員可以使用新 Active Directory 管理中心管理其目錄服務(wù)對(duì)象。Active Directory 管理中心構(gòu)建在 Windows PowerShell 技術(shù)之上，為網(wǎng)絡(luò)管理員提供增強(qiáng)的 Active Directory 數(shù)據(jù)管理體驗(yàn)和豐富的圖形用戶界面 (GUI)。管理員可以使用 Active Directory 管理中心并通過(guò)數(shù)據(jù)驅(qū)動(dòng)導(dǎo)航和面向任務(wù)的導(dǎo)航執(zhí)行常見(jiàn)的 Active Directory 對(duì)象管理任務(wù)。

我們可以使用 Active Directory 管理中心執(zhí)行下列 Active Directory 管理任務(wù)：

新建用戶帳戶或管理現(xiàn)有用戶帳戶

新建組或管理現(xiàn)有組

新建計(jì)算機(jī)帳戶或管理現(xiàn)有計(jì)算機(jī)帳戶

新建組織單位 (OU) 和容器或管理現(xiàn)有 OU

連接到同一 Active Directory 管理中心實(shí)例中的一個(gè)或多個(gè)域或域控制器，并查看或管理這些域或域控制器的目錄信息。

使用查詢生成搜索篩選 Active Directory 數(shù)據(jù)

除用于這些任務(wù)之外，我們還可以使用高級(jí) Active Directory 管理中心 GUI 自定義 Active Directory 管理中心，以符合您特定于目錄服務(wù)管理的要求。在執(zhí)行常見(jiàn) Active Directory 對(duì)象管理任務(wù)時(shí)，這可以幫助您提高生產(chǎn)率和工作效率。

最佳實(shí)踐分析器。最佳實(shí)踐分析程序 (BPA) 是 Windows Server 2008 R2 中提供的一款服務(wù)器管理工具，針對(duì)以下服務(wù)器角色：

Active Directory 域服務(wù) (AD DS)

Active Directory 證書(shū)服務(wù) (AD CS)

DNS 服務(wù)器

終端服務(wù)

AD DS最佳實(shí)踐分析器可幫助您以 Active Directory 環(huán)境的配置實(shí)施最佳實(shí)踐。 AD DS最佳實(shí)踐分析器安裝到 Windows Server 2008 R2 域控制器上時(shí)會(huì)掃描 AD DS 服務(wù)器角色，并報(bào)告最佳實(shí)踐沖突。可以從 AD DS最佳實(shí)踐分析器報(bào)告中篩選或排除您不需要看到的結(jié)果。

也可以通過(guò)使用服務(wù)器管理器圖形用戶界面 (GUI) 或 Windows PowerShell 命令行接口中的 cmdlet 執(zhí)行 AD DS最佳實(shí)踐分析器任務(wù)。通過(guò)使用最佳實(shí)踐分析器可以幫助我們分析意料之外的AD設(shè)置；標(biāo)記出違反推薦最佳實(shí)踐的設(shè)置/配置；那么它只提供建議，而不會(huì)修改設(shè)置；用戶可以使用它來(lái)做初始掃描；但它并不是一個(gè)監(jiān)視解決方案。

脫機(jī)加入域。我們都知道要想加入域必須要有可靠的網(wǎng)絡(luò)連接，但這個(gè)前提，在今天這個(gè)時(shí)代改變了。脫機(jī)加入域是一個(gè)新進(jìn)程，該進(jìn)程將運(yùn)行 Windows® 7 或 Windows Server 2008 R2 的計(jì)算機(jī)加入 Active Directory 域服務(wù) (AD DS) 中的某個(gè)域，而不需要任何網(wǎng)絡(luò)連接。可以使用脫機(jī)加入域?qū)⒂?jì)算機(jī)加入某個(gè)域，而不需要通過(guò)網(wǎng)絡(luò)連接域控制器。安裝操作系統(tǒng)之后，可以在計(jì)算機(jī)首次啟動(dòng)時(shí)將其加入域。不需要另外重新啟動(dòng)，即可實(shí)現(xiàn)加入域。

在諸如數(shù)據(jù)中心之類的場(chǎng)所中完成大規(guī)模計(jì)算機(jī)部署時(shí)，此功能有助于節(jié)省所需的時(shí)間和精力。比如，某公司可能需要在數(shù)據(jù)中心部署大量虛擬機(jī)。脫機(jī)加入域使虛擬機(jī)能夠在安裝操作系統(tǒng)之后的初始啟動(dòng)過(guò)程中加入域。不需要另外重新啟動(dòng)，即可實(shí)現(xiàn)加入域。這樣可以顯著減少大規(guī)模部署虛擬機(jī)所需的總時(shí)間。

加入域會(huì)在運(yùn)行 Windows 操作系統(tǒng)的計(jì)算機(jī)與 Active Directory 域之間建立信任關(guān)系。此操作需要更改 AD DS 和加入域的計(jì)算機(jī)的狀態(tài)。在過(guò)去，若要使用以前版本的 Windows 操作系統(tǒng)完成加入域，加入域的計(jì)算機(jī)必須正在運(yùn)行，并且擁有網(wǎng)絡(luò)連接以連接域控制器。脫機(jī)加入域相對(duì)于以前的要求提供了以下優(yōu)勢(shì)：

計(jì)算機(jī)不需要進(jìn)行任何網(wǎng)絡(luò)通信，即可完成 Active Directory 狀態(tài)更改。

與域控制器之間不需要任何網(wǎng)絡(luò)通信，即可完成計(jì)算機(jī)狀態(tài)更改。

每個(gè)更改集可在不同的時(shí)間完成。

通過(guò)以上的了解，相信大家對(duì)Windows Server 2008 R2 Active Directory的新功能躍躍欲試，更多更好的設(shè)計(jì)為每個(gè)管理員帶來(lái)了全新的體驗(yàn)，還等什么呢，去安裝Windows Server 2008 R2 Active Directory，進(jìn)行試用吧！

【編輯推薦】