|
||||
4、只读域控制器
只读域控制器RODC(Read-only domain controller)是Win2008活动目录中变化非常大的一点。在之前的微软服务器操作系统版本中,如Win2000/2003,森林中的所有域控制器均可以进行更新,管理员可以在任何一个域控制器上进行写操作,这些操作会同步到其他域控制器上。
这样就造成了安全隐患。比如某一台域控制器一旦被盗,或者有人为的恶意操作,将活动目录改写,这样错误的信息也会同步到其他的域控制器,这样一来只能通过活动目录恢复来恢复数据。
RODC就解决了这样的问题,RODC具有以下这几点特性:RODC上存有活动目录域服务中所有的对象和属性,但是RODC上的数据只可读、不可写,在分支机构如果有LDAP的应用程序需要访问活动目录并对活动目录对象作修改,则该LDAP应用程序可以重定向到中央站点的可读写DC上。同时,RODC是单向复制,包括AD数据库和SYSVOL,只可以从其他域控制器上同步信息,不可以向其他域控制器同步信息。DNS也是只读的,客户端找RODC进行DNS纪录更新时,RODC将返回一个指针。然后客户端计算机将联系指针所指向的DNS服务器更新DNS纪录。可以缓存用户密码,客户端到总公司DC进行验证之后,验证信息会缓存在RODC上。可以委派一个普通域用户作为RODC的本地管理员,可以执行服务器升级驱动等操作,但是没有域控制器或者域的管理权,不能登录到其他域控制器进行管理操作。
由于具有上述这些特性,RODC可以应用于物理安全上没有保障,或者IT管理水平不高的企业分支机构,将域和域控制器的安全级别提升了一个层次。
总结:Windows Server 2008是微软企业级平台中功能最强大的产品,其管理特性以及安装部署等方面也相对前几个平台进行了较大的改进。除了在核心服务活动目录上的多方面增强之外,Win2008在用户体验、服务器管理、虚拟化、安全性以及一些基本服务如多媒体服务、终端服务、信息服务等均有了较大程度的增强。这个新一代微软企业级平台已经正式发布3个月左右,ZOL企业中心也针对其新特性进行了一系列的体验与研究,我们之后会针对其特性及应用继续展开报道和探讨,将一些经验与读者分享。