旅行者〞克里的部落格

WS2008功能&名稱大變動

AD DS (Domain Server)網域服務

AD CS (Certificate Service)憑證服務

AD RMS (Rights Management Service)版權管理服務

AD LDS (Lightweight Directory Service)輕量型目錄服務

AD FS (Federation Service)同盟服務

--------------------------------------------------------------------------------------------------------------------------------------------------------------

唯獨網域控制站(RODCs-Read Only Domain Contorllers)

WS2008新功能

使用好處：可放置分公司，使用者登入網域時RODC會向HQ的DC索取使用者認證並記錄在RODC，減少使用者驗證時間，且當RODC與HQ的DC中斷WAN連線時，分公司的使用者仍可登入RODC所在之網域並讀取分公司資料，RODC內不應設定管理者認證以避免機器遭竊危害網域及樹系，因RODC內不含AD資料庫，不會被竊取機密

使用條件：

樹系及網域等級必須為WS2003以上

執行過WS2008光碟內架構更新程式ADprep /rodcprep

扮演PDC的DC且為WS2008

WS2008須設定密碼複寫原則

--------------------------------------------------------------------------------------------------------------------------------------------------------------

密碼原則：用來定義那些使用者、群組、和電腦可以將Pwd快取在RODC上或不快取

Allow 允許快取

Deny 不允許快取

重要：Account Opertora、Administrators、Backup Opertors、Server Opertors的最高權限群組設定為Deny可避免寫入RODC內

--------------------------------------------------------------------------------------------------------------------------------------------------------------

AD CS (Certificate Service)憑證服務

WS2008企業以及Datacenter有完整功能、Std版有限制

根憑證：命名空間最頂端的憑證伺服器，可發行次級憑證給次級CA，獨立和企業可以只有一個根CA或根CA以及次級CA

獨立憑證授權單位：獨立CA不需要AD服務，甚至不再網域內

企業憑證授權單位：必須建立在AD內，用來發行給企業或組織內部的實體

--------------------------------------------------------------------------------------------------------------------------------------------------------------

AD LDS (Lightweight Directory Service)輕量型目錄服務

用來儲存支援目錄的應用程式之特定資料，資料庫儲存的是輕量型目錄存取通訊協定(LDAP)，不儲存一般網域物件

--------------------------------------------------------------------------------------------------------------------------------------------------------------

AD RMS (Rights Management Service)版權管理服務

RMS允許文件擁有人定義其他人對於文件的權限以及可以使用的服務，如禁止某人對此文件列印，做到防止機密外洩

--------------------------------------------------------------------------------------------------------------------------------------------------------------

AD FS (Federation Service)同盟服務

FS可以允許特定的外部使用者存取公司資源，無須提供驗證

--------------------------------------------------------------------------------------------------------------------------------------------------------------

群組權限：

Enterprise admins：群組成員具有樹系內所有電腦的完整權限，而根網域的Administrator預設已經加入，此權限只有根網域才有這個群組

Schema asmins：群組成員具有修改樹系中的Schema(網域結構主機權限)

Domain admins：群組成員具有網域內所有電腦的完整權限，每個網域都有這個群組

Administrators(本機電腦)：此群組成員可以擁有管理本機電腦的完整權限個人電腦才有這個群組，預設Domain admins已經加入

AdministratorS(網域控制站)：此群組成員擁有管理網域控制站的權限，權限位於AD資料庫內User and Computer中

Server Opertors：授予某人管理DC而非整個網域，成員可以登入到DC，建立或刪除共用資料夾、開啟或關閉服務、關閉電腦、備份或還原資料

Account Opertors：成員可以建立、刪除、修改網域內大部分帳戶，包含Users、Computer、Group，但不能修改Administrators以及Domain admins群組

Backup Opertors：成員具有備份以及復原資料的權限，本機帳戶只能備份本機電腦，網域群組可備份所有網域內所有系統

Power Users：本機才有，成員的權限低於本機Administrator權限，已知無法變更網域或變更電腦名稱

Print Opertors：成員具有管理任何印表機或列印佇列的權限，網域才有這個群組

DHCP User：成員可以開啟以及檢視DHCP，但是不能修改

DHCP administrators：成員擁有DHC完整權限

DNS admins：成員擁有DNS完整權限

Performance Monitor Users：成員可以在本機以及遠端伺服器存取效能監視器資料，只能查看

Performance Monitor Users：成員可以建立效能件私器的工作排程以及追蹤

Romate Log Users：成員有遠端登入權限

Network Configuration Opertors：成員可以更改網路設定權限，包含網路卡

Allowed RODC Password Replication Group：成員可以登入RODC密碼會被RODC記憶

Denied RODC Password Replication Group：成員可以登入RODC但密碼不會被記憶

預設已加入：

Cert Publishers、Domain admin、Domain contorllers、Enterprise admin、Groip Policy Creator Owners、Read Only Domain contorllers、Schema admins

Allowed RODC Password Replication Group、Denied RODC Password Replication Group，為全域群組，代表適用全網域RODCs