Windows Server 2008 Active Directory 域服务新增功能

核心提示： DCPROMO 更改ADDS 本身最先引起您注意的更改是新的 DCPROMO，它的作用与 Windows Server 2003 中的 DCPROMO 一样，Windows Server 2008 Active Directory 域服务新增功能(4)，但经过重新编写后更容易使用了，例如，

DCPROMO 更改

ADDS 本身最先引起您注意的更改是新的 DCPROMO。它的作用与 Windows Server 2003 中的 DCPROMO 一样，但经过重新编写后更容易使用了。例如，您不必输入您的域管理员凭证，DCPROMO 可以将您的登录凭证提供给服务器。您也不必通过键入 DCPROMO /ADV 来取得“高级模式 DCPROMO”选项，现在第一个 DCPROMO 对话框中提供了这些选项的复选框。高级模式还允许您选择复制所需的现有域控制器。这样，您就可以从生产 DC 中转移 DCPROMO 的复制负荷。

将 DC 提升到新域或林中时，DCPROMO 会为您提供选项，供您设置林和域操作级别，而不是在提升后才准许您设置。您还可指定想要在提升期间放置 DC 的 Active Directory 站点，如果存在无人参与的 DCPROMO，这会非常有帮助。DCPROMO 甚至会根据 DC 的 IP 地址对最好的站点给出建议。

新的 DCPROMO 还在一个页面上汇集了所有配置选项，让你在此选择新 DC 是全局编录、DNS 服务器还是只读 DC。您不必转到 Active Directory 站点和服务管理单元中的偏僻位置将 DC 标记为 GC。

新 DCPROMO 能恰好在提升开始前在一个响应文件中保存所有 DCPROMO 设置，这可能是它最出色的功能。比起手工整理响应文件，这要简单得多，还不容易出错。您随后可使用响应文件在其他服务器上执行无人参与的 DCPROMO。为了满足脚本痴迷者的愿望，所有 DCPROMO 选项现在均可通过命令行访问。

只读域控制器

在 Active Directory 的早期阶段，企业常常在用户可能登录的每个站点均部署域控制器。例如，银行通常在每个支行都安装 DC。其中的逻辑是每个支行的用户都能登录并访问本地网络资源，即使 WAN 失效也能如此。

那时，实际的 DC 安全需求没有被很好地理解。我看到过控制器堆放在桌子下面，路过的人可以轻易接触到它们。直到几年后，Active Directory 架构师才完全领会到不安全的 DC 所带来的安全风险，IT 组织开始将 DC 重新放回到中央数据中心。这以使分支用户必须经由 WAN 进行验证，但由于提高了安全性，这也是值得的。