Windows Server 2008 Active Directory 域服务新增功能

核心提示： Windows Server 2008 中的 Active Directory 通过引进只读域控制器或 RODC 改变了分支部署的规则，它们是 Windows Server 2008 域服务中最大的变化，Windows Server 2008 Active Directory 域服务新增功

Windows Server 2008 中的 Active Directory 通过引进只读域控制器或 RODC 改变了分支部署的规则。它们是 Windows Server 2008 域服务中最大的变化。

Active Directory 团队在设计 RODC 时重点考虑了分支机构的需求，他们的目标是“在分支机构就地解决问题”。这其中的要点是如果您在实际条件不安全的分支部署了 DC，基本上您是无法防止 DC（和信任它的机器）受到攻击的，但是您可防止攻击向其他域扩散。

注意，即使这需要对 ADDS 基础结构做很大的更改，但 RODC 的实现并不复杂。您的域必须处于 Windows Server 2003 的林功能级，并且域中必须至少有一个 Windows Server 2008 DC。除了是分支解决方案，在面对互联网的环境中和 DC 处于网络外围的情况下，RODC 同样发挥着重要的作用。

DC 离职

在分支机构中，需要考虑几类威胁。第一类是“DC 失窃”，即有人带着 DC 或 DC 的磁盘溜之大吉。这不但会使本地的服务崩溃，攻击者最终还有可能得到域中所有的用户名和密码，并由得以访问保密资源或造成拒绝服务。为防范这种威胁，默认情况下，RODC 不将密码哈希存储在其目录信息树 (DIT) 中。因此，用户首次向特定的 RODC 进行身份验证时，RODC 会将该请求发送给域中的完全域控制器 (FDC)。FDC 处理该请求，如果验证成功，RODC 会签发密码哈希复制请求。

受到攻击的 RODC 有可能请求敏感帐户的密码哈希。为防止这种情况发生，域管理员可为每个 RODC 配置密码复制策略。该策略由 RODC 计算机对象的两个属性组成。msDS-RevealOnDemandGroup 属性包含密码缓存于 RODC 上的组、用户或计算机帐户的独有名称（它们通常是与 RODC 位于同一站点的用户和计算机）。msDS-NeverRevealGroup 包含密码未缓存于 RODC 上的组、用户或计算机帐户的独有名称（例如，域管理员帐户绝不应将其密码哈希缓存于 RODC 上）。如 RODC 请求特殊帐户的密码哈希，FDC 会根据密码复制策略评估请求，以确定是否应将密码哈希复制给 RODC。如 DC 失窃，则受攻击的对象仅限于在从网络转移时在失窃 RODC 上缓存的密码，重要的密码不会受到攻击。