Active Directory

Active Directory提供了一种方式，用于管理组成组织网络的标识和关系。Active Directory与Windows Server 2008 R2的集成，为我们带来了开箱即用的功能，通过这些功能我们可以集中配置和管理系统、用户和应用程序设置。Active Directory域服务（AD DS，Active Directory Domain Services）存储目录数据，管理用户和域之间的通信，包括用户登录过程、身份验证，以及目录搜索。此外还集成其它角色，为我们带来了标识和访问控制特性和技术，这些特性提供了一种集中管理身份信息的方式，以及只允许合法用户访问设备、程序和数据的技术。

在下面展开每一部分了解更多相关知识，或者查看Windows Server 2008 R2改进摘要，点击这里。

Active Directory域服务

AD DS是配置信息、身份验证请求和森林中所有对象信息的集中存储位置。利用Active Directory，我们可以在一个安全集中的位置中，高效地管理用户、计算机、组、打印机、应用程序以及其它支持目录的对象。

了解更多

审查。对Active Directory对象的修改可以记录下来，这样我们就可以知道这个对象做了哪些修改，以及被修改属性的历史值和当前值。
粒度更细的密码。密码策略可以针对域中单独的组进行配置。不需要每个帐户都使用域中相同的密码策略了。
只读的域控制器。当域控制器的安全无法得到保障时，我们可以部署一台只有只读版本Active Directory数据库的域控制器，例如在分支办公室，这种环境下域控制器的物理安全都是个问题，又如承载了其他角色的域控制器，其他用户也需要登录和管理这台服务器。只读域控制器（RODC，Read-Only Domain Controllers）的使用，可以防止在分支机构对它潜在的意外修改，然后通过复制导致AD森林数据的损坏。有了RODC，我们也不再需要在分支办公室的域控制器上使用中介站点（Staging Site），也不需要向分支机构寄送安装介质或指派域管理员。
可重启的Active Directory域服务。Active Directory域服务可以停止和维护。对于大多数维护任务，我们不再需要重启域控制器及以目录服务修复模式重启了。在目录服务离线时，域控制器上的其他服务还可以继续运作。Database Mounting工具。利用这个工具我们可以对Active Directory数据库进行快照。这样必要时域管理员就可以在快照中查看对象，然后再判断是否要恢复。
Database Mounting工具。利用这个工具我们可以对Active Directory数据库进行快照。这样必要时域管理员就可以在快照中查看对象，然后再判断是否要恢复。
恢复被删除对象。Active Directory中的域现在拥有一个回收站功能，这样就可以恢复被删除的对象。如果Active Directory对象被意外删除，我们可以在回收站中恢复它。这个功能要求升级Windows Server 2008 R2森林的功能级别。
加入域进程的改进。现在计算机可以在部署过程中加入域，而不需要连接到域，这一过程还被称为离线加入域。有了这一功能，我们在部署过程中就可以使加入域的过程完全自动化。域管理员可以创建一个XML文件，作为自动部署过程的一部分。这个文件包含了目标计算机加入域所需的所有信息。
作为服务标识的用户帐户的管理改进。那些用作服务标识的用户帐户，也被称为服务帐户，对它们密码的维护是一项非常耗时的管理任务。当服务帐户的密码被修改后，使用这个标识的服务也需要更新密码。为了解决这个问题，Windows Server 2008 R2引入了一个新特性，它被称为托管服务帐户。在Windows Server 2008 R2中，当服务帐户的密码被修改以后，托管服务帐户功能会自动更新所有使用了这个帐户的服务对应的密码。

Active Directory轻量级目录服务

Active Directory轻量级目录服务（AD LDS，Active Directory Lightweight Directory Service），它此前被称为Active Directory Application Mode，我们可以利用它来为支持目录的应用程序提供目录服务。对于支持目录的应用程序，它的数据不需要存储在组织的AD DS数据库中，而可以存在AD LDS中。AD LDS可以用来与AD DS协作，这样我们可以用一个集中的位置（AD DS）来管理安全帐户，而用另外一个位置（AD LDS）来支持应用程序配置和目录数据。通过AD LDS，我们可以降低Active Directory复制相关的成本，也不需要为了支持程序而去扩展Active Directory的架构，还可以规划目录架构的部署，只将AD LDS服务部署在那些必须的服务器上（即那些支持目录的应用程序所用到的服务器）。

了解更多

Active Directory证书服务

大多数组织都使用证书作为用户或计算机的身份标识，这样在不安全的网络连接上传输时可以加密数据。Active Directory 证书服务（AD CS ，Active Directory Certificate Services）改进了安全性，将用户、设备或服务的标识绑定到他们自己的私钥上。在Active Directory中存储证书和私钥，可以更为安全地保护这些标识，而且当应用程序发出请求时，Active Directory成为了获取对应信息的集中位置。

了解更多

Active Directory联盟服务

Active Directory联盟服务（AD FS，Active Directory Federation Services）是一个高安全性、高扩展性及可扩展到Internet的标识访问解决方案，组织利用它可以对合作伙伴的用户进行身份验证。使用Windows Server 2008 R2中的AD FS，我们可以非常方便且安全地给外部用户授权访问组织的域资源。AD FS还简化了未受信资源和组织中域资源之间的集成。

了解更多

Active Directory权限管理服务

组织的知识产权需要得到高度保护。Active Directory权限管理服务（AD RMS，Active DirectoryRights Management Services）是Windows Server 2008 R2的一个组件，它可以帮助我们确保必要的人员才有权限查看文件。AD RMS可以识别出用户对文件的权限，以此来保护文件。权限可以进行配置，包括允许用户打开、修改、打印、转发或执行权限管理信息中的其它操作。利用AD RMS，当数据被分发到组织网络之外时，我们还可以保护数据，防止被盗。

了解更多

Active Directory的其它改进

Active Directory安装向导与此前的版本相比，加入了一些改进。这些改进可以使管理员更容易地控制域控制器的安装过程。它们包括有：

新增的森林功能级别。Windows Server 2008 R2加入了一个新的Active Directory森林功能级别。Active Directory服务器角色中的许多新特性，都要求将Active Directory森林配置成这个新的功能级别。
改进的命令行和自动化管理。利用Windows PowerShell命令可以很好地管理Active Directory服务器角色。
改进的自动化监控和通知。System Center Manager 2007 Management的一个升级包，改进了对Active Directory服务器角色的监控和管理。
服务器管理器优化的管理。服务器管理器是Windows Server 2008 R2服务器中的管理工具，通过它管理员安装域控制器时效率更高。管理员在服务器管理器的控制台上添加一个域控制器角色时，目录服务安装过程中需要的文件会被复制到服务器上。这样当管理员启动安装向导dcpromo.exe时，需要的文件已经被缓存了，可以立即使用。
通过定制好的标准和最佳实践提高一致性。Windows Server 2008 R2在每个服务器角色中都加入了一个集成的最佳实践分析器。最佳实践分析器在服务器管理器中为对应的角色创建了一个检查点列表，我们可以用它来执行所有配置任务。
创建Answer File。如果几台域控制器在安装时使用相同的设置，在Summary页中我们就可以将当前安装的设置导出为一个Answer File。目录服务恢复模式的管理员帐户的密码不会导出到这个Answer File中，你可以指定安装域控制器的用户总是需要输入管理员密码。这样，查看Answer File的用户就无法获取密码。
只读域控制器安装。只读域控制器可以通过安装向导进行安装。在安装只读域控制器时，我们可以定义哪个用户能安装和管理域控制器。在安装的第一阶段中，域管理员可以定义哪个帐户可以安装只读域控制器。一旦定义之后，这个被关联到只读域控制器的用户就有权限安装目录服务。