3.1.2 规划域和林功能
将域和林升级到 2008时，总会提升域和林的功能级别。 提升功能级别非常容易，但是不可能降低它们，除了卸载
重装。 要规划需要为域设置什么功能级别以及什么时候提升功能，
需要知道每个功能级别支持什么以及提升功能级别提供哪 些附加功能，还需要知道域和林功能级别之间的关系。 域功能级别考虑因素 林功能级别考虑因素
4
3.1.1介绍 2008 目录服务器角色
使用案例： 远程分公司的用户，一般通过广域网连接到总公司的
进行身份验证。缺点：延迟或不能登录。 怎么解决？可写的? 存放一个可写的和一个管理员，浪费太大。 存放一个可写的，让管理员远程管理，带宽低，费时
又棘手。 存放一个可写的不如安全。 解决方案： 提供了增强的安全性； 使登录更快速，并且允许更有效地访问本地资源； 管理可以委派给一个没有管理权限的用户或组。 5
和帐户锁定策略。 2008允许规定多元密码策略。可以规定多个密码策 略，并对单个域中的不同用户组应用不同的密码限 制和账户锁定策略。 密码设置容器（） 密码设置对象（） 通常，规划的策略可以包含至少3个但不能多于10个。 不能直接将应用于组织单元。而考虑为这些创建影子11 组（全局安全组），然后应用。
查找命令：该命令允许查找放置的站点。可以帮助 解决复制问题。
提供配置“密码复制策略”选项卡，用于配置的设 置。
单击“高级”按钮，可以查看哪些密码已被发送或 存储到中，也就知道谁在使用。
10
3.1.1介绍 2008 目录服务器角色
6．规划多元密码和帐户锁定策略 以前的 实现中，只能对域中的所有用户应用一个密码
较低， 知识贫乏的环境下，可以采用。 提供了只读 数据库、单向复制、凭证缓存、管理员
角色分离、只读（不支持客户更新）等功能。 6
3.1.1介绍 2008 目录服务器角色
2．规划实现 条件：远程启动 2008升级或有一个2008的 域，即
可计划实现。 安装的两个阶段： 第一阶段：为该域中的创建计算机账户时，可以为
能应用于计算机对象。 多元密码策略不能干预自定义的密码筛选器。 分配给一个全局组后，可以把一个特殊的直接应用于12
特定的用户。
3.1.1介绍 2008 目录服务器角色
7．规划数据挖掘工具的使用 目的：为了方便恢复被删除的 对象。 数据挖掘工具使被删除的数据能够以卷影复制服务备
份的 快照方式进行保留。可以利用轻型目录访问协 议工具，如查看这些快照中的只读数据。 规划被删除数据的还原策略： 决定如何最好地保留删除的数据，使它能够被还原， 从而在需要的时候还原该数据。 决定数据丢失后或者破坏时应还原哪个快照。 确定了需要恢复的对象或，可以在快照中标识并记录13 它们的属性和返回链接。
特定的规定密码复制策略。 在上安装实现一个辅助的服务器，可以复制该使用
的所有应用程序目录分区。客户更新数据，可以 请求单一更新。 第二阶段：安装
7
3.1.1介绍 2008 目录服务器角色
3．利用安装向导增强功能 2008增加了 安装向导，以简化 安装，并引入了安 装等新特征。
单击“添加角色” 输入命令 高级模式安装使你能够更好地控制安装过程。
8Leabharlann 3.1.1介绍 2008 目录服务器角色
4．委派安装 在总公司中，可以委派合适的权限给一个用户或组。 分支办公室的用户接受了委派权限后，就可以执行
的安装，并可以管理，但不需要域管理员权限。 过程： 首先创建账户； 安装过程中就可以关联/委派。
9
3.1.1介绍 2008 目录服务器角色
5．利用管理单元增强功能 2008增强了管理单元工具（如用户和计算机）的功 能。
15
3.1.3 规划林级信任
林信任（即林级信任）允许一个林中的每个域信任另一个 林中的每个域。
可以是单向传入信任、单向传出信任或双向信任。 应用： 伙伴公司或密切联系的组织之间可以使用林信任。 林信任可能构成并购或者接管战略的组成部分。 对隔离也可以使用林信任。
3.1.1介绍 2008 目录服务器角色
6．规划多元密码和帐户锁定策略 将应用于组而不是，可以不用修改层次结构，组为管
理各用户集提供了更好的灵活性。 使用多元密码，需要具有2008域功能级别。 只有域管理组的成员才可以创建，以及将一个应用于
某个组或用户。 多元密码策略只能应用于用户对象和全局安全组，不
目录服务器角色 引入的新功能： 只读域控制器 新的和增强的工具和向导： 安装向导 细化的安全策略：多元密码策略 可重启的 ：允许离线操作 数据挖掘工具：可查看快照数据
3
3.1.1介绍 2008 目录服务器角色
1．只读域控制器 是具有 文件库只读版本的域控制器，可部署于域
控制器安全性无法确保的环境中。包括域控制器 的物理安全性有疑虑的分支机构，或者具有额外 角色功能并需要其他用户登入与管理服务器的域 控制器。 可以把管理委派给一个域用户或安全组，从而在本 地管理员不是 组成员的地方使用。
3.1.1介绍 2008 目录服务器角色
8．规划 审核 在 2008中，全局审核策略“审核目录服务访问”默
认启动。该策略控制启用还是禁用目录服务事件的 审核。 审核：记录事件写入“安全性”事件日志以及如何响 应事件。 访问 改变 复制 审核复制被进一步细分，提供两个审核级别的选择：14 正常和详细。
第3章和组策略
规划基础结构服务服务器角色 本章课程设置：

规划和实现组策略方案

第1课2008 第2课2008组策略
1
第1课 2008
学习目标： 列举和描述 2008 域服务（ ）的新特征和功能 规划和配置域功能级别 规划林功能级别 规划林信任 使用目录服务器
2
3.1.1介绍 2008目录服务器角色
3.1.1介绍 2008 目录服务器角色
1．只读域控制器 如果分公司使用的（）业务应用程序只有安装到一
个域控制器上才能运行，也要选择部署。 从一个可写接收它的配置。 敏感的安全信息不被复制到。 用户在分公司第一次登录时通过进行身份确认，然
后可以把凭证缓存，以后就可以在本地验证。 因此，在用户相对较少，物理安全性差，网络带宽