Windows Server 2008 Active Directory 域服务新增功能

核心提示： 委派的管理员随后可在服务器上运行 DCPROMO，DCPROMO 将检测预创建的帐户并将服务器转化为 RODC，Windows Server 2008 Active Directory 域服务新增功能(8)，以此方式运行 DCPROMO 不需要域管理员凭据，RODC 提供管理角色分离的第二

委派的管理员随后可在服务器上运行 DCPROMO。DCPROMO 将检测预创建的帐户并将服务器转化为 RODC。以此方式运行 DCPROMO 不需要域管理员凭据。

RODC 提供管理角色分离的第二种方式是在 RODC 本身创建本地管理角色。这些角色看起来像机器本地组，它们存储在 RODC 的注册表中，并且只能在 RODC 上进行评估。但是，管理员是使用 NTDSUTIL 管理本地 RODC 角色，而不是使用计算机管理 MMC 管理单元。图 6 列出了 RODC 上的本地管理角色。这些角色与 Windows 中的内置组一一对应。

Figure 6 本地 RODC 管理角色

RODC 特性

由于 RODC 是只读的，并且其他域控制器不从其进行复制，它们会出现一些异常的行为。例如，延迟对象（即，因为 DC 的复制时间不能长于林的生存周期，所以除了特殊的 DC，该类对象已从其他位置删除）通常由 DC 的出站复制伙伴检测。但是，由于 RODC 没有入站复制伙伴，因而它们不会检测延迟对象。

RODC 不会为 LDAP 更新（添加、修改、删除、重命名或移动）操作提供服务。而是返回错误，其中包含对能提供操作的可写 DC 的 LDAP 参照。如果发起 LDAP 更新的应用程序对参照操作处置不当，应用程序将无法使用。

最后，如果林中其他域的用户试图向 RODC 验证，RODC 必须能够访问其所在域的完全 DC 来获取信任密码，以便将验证请求正确传递给用户域中的 DC。如果在其域中 RODC 和完全 DC 之间的网络连接不可用，验证将失败。

精准密码策略

能在域中定义多个密码策略可能是 Windows Server 2008 ADDS 最受欢迎的功能。您可能知道，在 Windows 2000 和 Windows Server 2003 Active Directory 中，每个域仅支持一个应用于域中所有安全主体的密码策略。如果一组特定用户需要一个单独的密码策略，您必须创建一个单独的域。但现在 Windows Server 2008 ADDS 中新增了一项功能，称为精准密码策略，您可以用它在域中定义多个密码策略。