Windows 2008活動目錄新特性

　　動目錄(Active Directory)這個名詞相比對Windows Server管理員們來說并不陌生。微軟從Win2000中引入了活動目錄的概念，活動目錄是一種集成管理技術，與現實生活中的各種管理模式一樣，它的出 現是為了更有效，更靈活的實現管理目的。活動目錄是一個層次的、樹狀的結構，通過活動目錄組織和存儲網絡上的對象信息，可以讓管理員非常方便的進行對象的查詢、組織和管理。活動目錄具有與DNS集成、便于查詢、可伸縮可擴展、可以進行基于策略的管理、安全高效等特點，通過組織活動目錄，可以實現提高用戶生產力、增強安全性、減少宕機時間、減輕IT管理的負擔與成本等優勢。

　　簡單回顧了一下活動目錄的概念和作用，下文我們將對微軟新一代企業級應用平臺Windows Server 2008中活動目錄的新功能進行簡單介紹。首先從活動目錄服務的名稱上看，在Win2000和Win2003系統中，活動目錄服務被命名為AD Directory Service，而在Win2008中，活動目錄服務有了一個新的名稱：Active Directory Domain Service(在下文中簡稱ADDS)。名稱的改變意味著微軟對Win2008的活動目錄進行了較大的調整，增加了功能強大的新特性并且對原有特性進行 了增強。

　　1、活動目錄審核新特性

　　活動目錄審核(Audit)并不是Win2008活動目錄中的一個新功能，在Win2000/Win2003的活動目錄中也可以指派審核策略。通過審核功能，系統可以將服務器的狀態、用戶登錄狀態以及活動目錄等狀態進行記錄，以日志的方式進行儲存，管理員可以通過管理工具中的“Event Viewer”來查看日志，查看日志是管理員了解系統狀態、排除錯誤的一個重要手段。

　　但是在Win2000/2003中的活動目錄審核功能具有一定的缺陷，當我們在活動目錄中的一個容器啟用Directory Service Access審核策略，來記錄這個容器下的對象的活動，以檢測活動目錄的變化的時候，與活動目錄相關的事件日志會快速爆滿，這樣一來管理員在事件查看器 (Event Viewer)中查找需要的日志的時候就會非常麻煩，而且日志比較簡單，不是很詳細。

　　事件查看器中充滿了日志，想找到自己所需的日志并不是一件容易的事情。這時候需要用到事件查看器中的篩選器(Filter)功能，可以按照時間、事件類型 或者事件ID來進行檢索。活動目錄中，每一類相同的事件比如活動目錄對象轉移、添加等都會有一個相同的事件ID，通過篩選相同的事件ID就可以找到同一類 事件。除了使用時間查看器中的篩選器篩選日志外，可以通過導出事件到Excel進行分類排序，也可以找到需要的日志。

　　這樣雖然能夠找到需要的日志，但是操作起來也非常繁瑣，影響效率。Win2008中的審計功能進行了較大的優化，更為細化、精確，可以在日 志中查看誰對活動目錄做出過修改，修改何時發生、修改了哪些對象與屬性以及修改的值等信息，這些細化的事件又分別對應著不同的事件ID，這樣就使日志的可 讀性以及易檢索性大大加強。

　　Win2008通過將全局的活動目錄審核策略Active Directory Service Access細化為4個子類別，并且增添了新的審核子類別“Directory Service Changes”來實現上述的功能。通過這個新的子類別，我們可以審核活動目錄中對象的創建，修改，移動及恢復的行為，這樣一來就使日志記錄得更加準確。

　　Active Directory Service Access細分為4個子類別

　　審核子類別“Directory Service Changes”可以審核活動目錄中對象的創建，修改，移動及恢復的行為。其事件ID分別依次為：5137、5136、5139、5138。在事件查看器中篩選這些ID就可以查到相關的日志。

　　最后需要注意一點，如果啟用全局的Directory Service Access審核策略，會自動啟用其下四個子類審核策略，這樣也會造成日志的爆滿。但是值得慶幸的是這四個子類審核策略可以在不啟用Directory Service Access審核策略的請款下單獨啟用，彼此相互獨立，這樣使日志更加精確，便于分類查找。

　　2、多元密碼策略新特性

　　目錄服務器DC的安全性至關重要，密碼的保護是安全性保護中重要的一環。為活動目錄制定密碼策略可以減少人為的和來自網絡入侵的安全威脅，保證活動目錄的安全。應用過Win2000/2003的用戶可能都記得，密碼策略需要指派到域上，不能單獨應用于活動目錄中的對象。換句話說，密碼策略在域級別起作用，一個域只能有一個密碼策略。

　　統一的密碼策略雖然大大提高了安全性，但是提高了域用戶使用的復雜度。舉個例子來說，企業管理員的帳戶安全性要求很高，需要超強策略，比如密碼需要一定長 度、需要每兩周更改管理員密碼而且不能使用上幾次的密碼;但是普通的域用戶并不需要如此高的密碼策略，也不希望經常更改密碼并使用很長的密碼，超強的密碼 策略并不適合他們。

　　為解決這個問題，在Win2008中引入了多元密碼策略(Fine-Grained Password Policy)的概念。多元密碼策略允許針對不同用戶或全局安全組應用不同的密碼策略，例如，可以為管理員組指派超強密碼策略，密碼16位以上、兩周過 期;為服務帳號指派中等密碼策略，密碼31天過期，不配置密碼鎖定策略;為普通域用戶指派密碼90天過期等。多元密碼策略適應了不同用戶對于安全性的不同 要求。

　　多元密碼策略部署要求有以下幾點：所有域控制器都是windows Server 2008,域功能級別為2008 Domain Functional Mode,使用ADSIEDIT或者LDIFDE工具進行管理，客戶端無需變更。

　　有一點需要注意，多元密碼策略只能應用于活動目錄中的用戶和全局安全組，而不能應用于活動目錄中的計算機對象、非域內用戶和組織單元OU。多元密碼策略雖 然滿足了不同級別用戶對于密碼安全性的要求，但是配置多個密碼策略為管理員增加了管理復雜度，管理起來也不是很方便，所謂魚和熊掌不可兼得。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]