Windows 2008活动目录新特性

　　动目录(Active Directory)这个名词相比对Windows Server管理员们来说并不陌生。微软从Win2000中引入了活动目录的概念，活动目录是一种集成管理技术，与现实生活中的各种管理模式一样，它的出 现是为了更有效，更灵活的实现管理目的。活动目录是一个层次的、树状的结构，通过活动目录组织和存储网络上的对象信息，可以让管理员非常方便的进行对象的查询、组织和管理。活动目录具有与DNS集成、便于查询、可伸缩可扩展、可以进行基于策略的管理、安全高效等特点，通过组织活动目录，可以实现提高用户生产力、增强安全性、减少宕机时间、减轻IT管理的负担与成本等优势。

　　简单回顾了一下活动目录的概念和作用，下文我们将对微软新一代企业级应用平台Windows Server 2008中活动目录的新功能进行简单介绍。首先从活动目录服务的名称上看，在Win2000和Win2003系统中，活动目录服务被命名为AD Directory Service，而在Win2008中，活动目录服务有了一个新的名称：Active Directory Domain Service(在下文中简称ADDS)。名称的改变意味着微软对Win2008的活动目录进行了较大的调整，增加了功能强大的新特性并且对原有特性进行 了增强。

　　1、活动目录审核新特性

　　活动目录审核(Audit)并不是Win2008活动目录中的一个新功能，在Win2000/Win2003的活动目录中也可以指派审核策略。通过审核功能，系统可以将服务器的状态、用户登录状态以及活动目录等状态进行记录，以日志的方式进行储存，管理员可以通过管理工具中的“Event Viewer”来查看日志，查看日志是管理员了解系统状态、排除错误的一个重要手段。

　　但是在Win2000/2003中的活动目录审核功能具有一定的缺陷，当我们在活动目录中的一个容器启用Directory Service Access审核策略，来记录这个容器下的对象的活动，以检测活动目录的变化的时候，与活动目录相关的事件日志会快速爆满，这样一来管理员在事件查看器 (Event Viewer)中查找需要的日志的时候就会非常麻烦，而且日志比较简单，不是很详细。

　　事件查看器中充满了日志，想找到自己所需的日志并不是一件容易的事情。这时候需要用到事件查看器中的筛选器(Filter)功能，可以按照时间、事件类型 或者事件ID来进行检索。活动目录中，每一类相同的事件比如活动目录对象转移、添加等都会有一个相同的事件ID，通过筛选相同的事件ID就可以找到同一类 事件。除了使用时间查看器中的筛选器筛选日志外，可以通过导出事件到Excel进行分类排序，也可以找到需要的日志。

　　这样虽然能够找到需要的日志，但是操作起来也非常繁琐，影响效率。Win2008中的审计功能进行了较大的优化，更为细化、精确，可以在日 志中查看谁对活动目录做出过修改，修改何时发生、修改了哪些对象与属性以及修改的值等信息，这些细化的事件又分别对应着不同的事件ID，这样就使日志的可 读性以及易检索性大大加强。

　　Win2008通过将全局的活动目录审核策略Active Directory Service Access细化为4个子类别，并且增添了新的审核子类别“Directory Service Changes”来实现上述的功能。通过这个新的子类别，我们可以审核活动目录中对象的创建，修改，移动及恢复的行为，这样一来就使日志记录得更加准确。

　　Active Directory Service Access细分为4个子类别

　　审核子类别“Directory Service Changes”可以审核活动目录中对象的创建，修改，移动及恢复的行为。其事件ID分别依次为：5137、5136、5139、5138。在事件查看器中筛选这些ID就可以查到相关的日志。

　　最后需要注意一点，如果启用全局的Directory Service Access审核策略，会自动启用其下四个子类审核策略，这样也会造成日志的爆满。但是值得庆幸的是这四个子类审核策略可以在不启用Directory Service Access审核策略的请款下单独启用，彼此相互独立，这样使日志更加精确，便于分类查找。

　　2、多元密码策略新特性

　　目录服务器DC的安全性至关重要，密码的保护是安全性保护中重要的一环。为活动目录制定密码策略可以减少人为的和来自网络入侵的安全威胁，保证活动目录的安全。应用过Win2000/2003的用户可能都记得，密码策略需要指派到域上，不能单独应用于活动目录中的对象。换句话说，密码策略在域级别起作用，一个域只能有一个密码策略。

　　统一的密码策略虽然大大提高了安全性，但是提高了域用户使用的复杂度。举个例子来说，企业管理员的帐户安全性要求很高，需要超强策略，比如密码需要一定长 度、需要每两周更改管理员密码而且不能使用上几次的密码;但是普通的域用户并不需要如此高的密码策略，也不希望经常更改密码并使用很长的密码，超强的密码 策略并不适合他们。

　　为解决这个问题，在Win2008中引入了多元密码策略(Fine-Grained Password Policy)的概念。多元密码策略允许针对不同用户或全局安全组应用不同的密码策略，例如，可以为管理员组指派超强密码策略，密码16位以上、两周过 期;为服务帐号指派中等密码策略，密码31天过期，不配置密码锁定策略;为普通域用户指派密码90天过期等。多元密码策略适应了不同用户对于安全性的不同 要求。

　　多元密码策略部署要求有以下几点：所有域控制器都是windows Server 2008,域功能级别为2008 Domain Functional Mode,使用ADSIEDIT或者LDIFDE工具进行管理，客户端无需变更。

　　有一点需要注意，多元密码策略只能应用于活动目录中的用户和全局安全组，而不能应用于活动目录中的计算机对象、非域内用户和组织单元OU。多元密码策略虽 然满足了不同级别用户对于密码安全性的要求，但是配置多个密码策略为管理员增加了管理复杂度，管理起来也不是很方便，所谓鱼和熊掌不可兼得。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]