Windows Server 2008 Active Directory 域服务新增功能

Windows Server 2008 中的 Active Directory 通过引进只读域控制器或 RODC 改变了分支部署的规则。它们是 Windows Server 2008 域服务中最大的变化。

Active Directory 团队在设计 RODC 时重点考虑了分支机构的需求，他们的目标是“在分支机构就地解决问题”。这其中的要点是如果您在实际条件不安全的分支部署了 DC，基本上您是无法防止 DC（和信任它的机器）受到攻击的，但是您可防止攻击向其他域扩散。

注意，即使这需要对 ADDS 基础结构做很大的更改，但 RODC 的实现并不复杂。您的域必须处于 Windows Server 2003 的林功能级，并且域中必须至少有一个 Windows Server 2008 DC。除了是分支解决方案，在面对互联网的环境中和 DC 处于网络外围的情况下，RODC 同样发挥着重要的作用。

DC 离职

在分支机构中，需要考虑几类威胁。第一类是“DC 失窃”，即有人带着 DC 或 DC 的磁盘溜之大吉。这不但会使本地的服务崩溃，攻击者最终还有可能得到域中所有的用户名和密码，并由得以访问保密资源或造成拒绝服务。为防范这种威胁，默认情况下，RODC 不将密码哈希存储在其目录信息树 (DIT) 中。因此，用户首次向特定的 RODC 进行身份验证时，RODC 会将该请求发送给域中的完全域控制器 (FDC)。FDC 处理该请求，如果验证成功，RODC 会签发密码哈希复制请求。

受到攻击的 RODC 有可能请求敏感帐户的密码哈希。为防止这种情况发生，域管理员可为每个 RODC 配置密码复制策略。该策略由 RODC 计算机对象的两个属性组成。msDS-RevealOnDemandGroup 属性包含密码缓存于 RODC 上的组、用户或计算机帐户的独有名称（它们通常是与 RODC 位于同一站点的用户和计算机）。msDS-NeverRevealGroup 包含密码未缓存于 RODC 上的组、用户或计算机帐户的独有名称（例如，域管理员帐户绝不应将其密码哈希缓存于 RODC 上）。如 RODC 请求特殊帐户的密码哈希，FDC 会根据密码复制策略评估请求，以确定是否应将密码哈希复制给 RODC。如 DC 失窃，则受攻击的对象仅限于在从网络转移时在失窃 RODC 上缓存的密码，重要的密码不会受到攻击。