域是微軟局域網(wǎng)解決方案的重要組成部分，幾乎每一個(gè)Windows Server版本的發(fā)布都會(huì)在域方面有非常大的改進(jìn)和提升。作為微軟最新版本的Windows Server 2008會(huì)帶給我們什么樣的域體驗(yàn)?zāi)?下面筆者結(jié)合實(shí)例，和大家分享幾個(gè)基于Windows Server 2008域的新應(yīng)用，希望這些新特性會(huì)帶給大家不同的域管理體驗(yàn)。

　　1、部署只讀域控制器

　　域控制器(DC)的安全，特別是其物理安全讓管理員頗為擔(dān)心。在Windows Server 2008中新增了一種特殊的域控制器即只讀域控制器(RODC)，借助RODC我們可以在無法保證物理安全性的網(wǎng)絡(luò)節(jié)點(diǎn)中部署只讀域控制器。這樣不僅能夠提升其安全性，而且可以實(shí)現(xiàn)更快的登錄以及更加有效地訪問網(wǎng)絡(luò)資源。

　　在Windows Server 2008中要部署一臺(tái)只讀域控制器(RODC)是非常簡(jiǎn)單的。比如我們要將jp.com域中的一臺(tái)Windows Server 2008主機(jī)部署成只讀域控制器可以進(jìn)行這樣的操作：首先以管理員用戶登錄該主機(jī)，然后以Administrator身份允許命令提示符，接下來執(zhí)行命令“dcpromo /replicaornewdomain:readonlyreplica /installdns:yes /replicadomaindnsname:Woodgrovebank.com /sitename=default-first-site-name /safemodeadminpassword:ctocio!”即可。其中/replicadomaindnsname:Woodgrovebank.com”指定域名，“/safemodeadminpassword:ctocio!”設(shè)置域控制器管理員的密碼為ctocio!。

　　需要說明的是，在安裝獲得目錄(AD)的過程中還將同時(shí)安裝并配置DNS，以及為活動(dòng)目錄的恢復(fù)模式設(shè)置管理員密碼。另外，在安裝過程中，一定要主要查看屏幕中木馬復(fù)制策略的輸出。除此之外，其它的設(shè)置我們可以保持默認(rèn)。在活動(dòng)目錄安裝完畢后，系統(tǒng)將會(huì)重新啟動(dòng)，系統(tǒng)重啟后該主機(jī)就成為一臺(tái)只讀域控制器(RODC)。

　　2、管理角色的分離

　　管理角色分離是只讀域控制器(RODC)的一個(gè)重大的特征，我們可以指定一個(gè)域用戶到RODC上的角色，而而無需授予該用戶對(duì)該域或其他域控制器的任何用戶權(quán)限。其實(shí)，這些角色非常類似于本地組。通過這一功能，我們可以為分支機(jī)構(gòu)的RODC指派管理員進(jìn)行日常維護(hù)(如磁盤碎片的整理等)，而不需要給他域管理員用戶名和密碼。這么做的好處是非常明顯的：首先，可以解放管理員，實(shí)現(xiàn)DC管理任務(wù)的分配;另外，會(huì)大大地提升域的安全性，因?yàn)槭跈?quán)用戶只能執(zhí)行指定的操作，而不會(huì)危害到域中其他部分的安全。同時(shí)，也避免了時(shí)刻使用管理員用戶進(jìn)行DC管理因誤操作而造成破壞的風(fēng)險(xiǎn)。

　　我們?cè)谝慌_(tái)只讀域控制器(RODC)上執(zhí)行管理角色的分離操作：以管理員身份登錄該主機(jī)，運(yùn)行管理員身份的命令提示符，接下依次執(zhí)行如下命令：

　　NTDSUTIL

　　Local Roles

　　Add Woodgrovebank.com\jp Administrators

　　Show Role Administrators

　　Quit

　　Quit

　　(圖2)

　　圖2 NTDSUTIL

　　簡(jiǎn)單解釋一下上面的命令，第一行是進(jìn)入NTDSUTIL.exe命令行，第二行是進(jìn)入本地角色設(shè)置狀態(tài)，第三行是關(guān)鍵命令即添加用戶jp到Woodgrovebank.com域的管理員(administrators)組，第四行命令是顯示角色管理員組的成員，第五、第六行命令是退出NTDSUTIL工具。