|
||||
4、只讀域控制器
只讀域控制器RODC(Read-only domain controller)是Win2008活動目錄中變化非常大的一點。在之前的微軟服務器操作系統版本中,如Win2000/2003,森林中的所有域控制器均可以進行更新,管理員可以在任何一個域控制器上進行寫操作,這些操作會同步到其他域控制器上。
這樣就造成了安全隱患。比如某一臺域控制器一旦被盜,或者有人為的惡意操作,將活動目錄改寫,這樣錯誤的信息也會同步到其他的域控制器,這樣一來只能通過活動目錄恢復來恢復數據。
RODC就解決了這樣的問題,RODC具有以下這幾點特性:RODC上存有活動目錄域服務中所有的對象和屬性,但是RODC上的數據只可讀、不可寫,在分支機構如果有LDAP的應用程序需要訪問活動目錄並對活動目錄對象作修改,則該LDAP應用程序可以重定向到中央站點的可讀寫DC上。同時,RODC是單向復制,包括AD數據庫和SYSVOL,只可以從其他域控制器上同步信息,不可以向其他域控制器同步信息。DNS也是只讀的,客戶端找RODC進行DNS紀錄更新時,RODC將返回一個指針。然後客戶端計算機將聯系指針所指向的DNS服務器更新DNS紀錄。可以緩存用戶密碼,客戶端到總公司DC進行驗證之後,驗證信息會緩存在RODC上。可以委派一個普通域用戶作為RODC的本地管理員,可以執行服務器昇級驅動等操作,但是沒有域控制器或者域的管理權,不能登錄到其他域控制器進行管理操作。
由於具有上述這些特性,RODC可以應用於物理安全上沒有保障,或者IT管理水平不高的企業分支機構,將域和域控制器的安全級別提昇了一個層次。
總結:Windows Server 2008是微軟企業級平臺中功能最強大的產品,其管理特性以及安裝部署等方面也相對前幾個平臺進行了較大的改進。除了在核心服務活動目錄上的多方面增強之外,Win2008在用戶體驗、服務器管理、虛擬化、安全性以及一些基本服務如多媒體服務、終端服務、信息服務等均有了較大程度的增強。這個新一代微軟企業級平臺已經正式發布3個月左右,ZOL企業中心也針對其新特性進行了一系列的體驗與研究,我們之後會針對其特性及應用繼續展開報道和探討,將一些經驗與讀者分享。