活動(dòng)目錄在Win2008改進(jìn)只讀域控制器

只讀域控制器(RODC)是在Windows Server 2008操作系統(tǒng)中一種新的域控制器。有了只讀域控制器，組織能夠容易地的物理安全得不到保證的地區(qū)部署域控制器。一臺(tái)RODC包含了活動(dòng)目錄數(shù)據(jù)庫(kù)的只讀部分。
    在Windows Server 2008發(fā)布以前，如果用戶不得不跨廣域網(wǎng)連接域控制器進(jìn)行身份驗(yàn)證的話，那也就沒(méi)有其它更好的選擇。在許多案例中，這不是有效的解決方法。分支機(jī)構(gòu)通常無(wú)法為一臺(tái)可寫的域控制器提供的足夠的物理安全。而且，當(dāng)分支機(jī)構(gòu)連接到樞紐站點(diǎn)時(shí)，它們的網(wǎng)絡(luò)帶寬通常比較差。這將導(dǎo)致登錄時(shí)間變長(zhǎng)。這也會(huì)阻礙網(wǎng)絡(luò)資源的訪問(wèn)。
    從Windows Server 2008開始，組織能夠部署RODC來(lái)處理這些問(wèn)題。作為部署的結(jié)果，用戶能夠獲得以下好處：
    ●改進(jìn)的安全性
    ●快速登錄
    ●更有效的訪問(wèn)網(wǎng)絡(luò)資源
    RODC可以做什么?
    在考慮部署RODC時(shí)，物理安全的不足是最為尋常的理由。RODC給那些需要快速可靠的身份驗(yàn)證，同時(shí)對(duì)可寫域控制器而言物理安全無(wú)法得到確保的地方部署域控制器提供了新的方法。
    然而你的組織也可以為了特殊的管理需要選擇部署RODC。比如，業(yè)務(wù)程序(line-of-business，LOB)只能被安裝到域控制器上并才能得以成功運(yùn)行?；蛘撸蚩刂破魇欠种C(jī)構(gòu)僅有的服務(wù)器，而不得不運(yùn)行服務(wù)器應(yīng)用。
    在這些例子中，業(yè)務(wù)程序所有者必須經(jīng)常交互式登錄到域控制器或者使用終端服務(wù)來(lái)配置和管理程序。這種環(huán)境引起了在可寫域控制器上不被接受的安全風(fēng)險(xiǎn)。
    RODC為在這些場(chǎng)景中部署域控制器提供了更安全的機(jī)械結(jié)構(gòu)。你能夠?qū)⒌卿浀絉ODC的權(quán)利轉(zhuǎn)讓給沒(méi)有管理權(quán)限的域用戶同時(shí)最小化給互動(dòng)目錄森林帶來(lái)的安全風(fēng)險(xiǎn)。
    你也可以在其它場(chǎng)景中部署RODC，比如在外延網(wǎng)(EXTRANETS)中本地儲(chǔ)存的所有域密碼被認(rèn)為是主要威脅。
    還有其它要特別考慮的嗎?
    為了部署RODC，域中必須至少有一臺(tái)運(yùn)行Windows Server 2008的可寫域控制器。此外，活動(dòng)目錄域和森林的功能級(jí)必須是Windows Server 2003或者更高。