执行综述
      Windows Server 2008的只读域控制器（RODC）会为你基础设施的边缘服务器提供更高的安全性，同时将有可能造成的损失降到最低。单向复制、受限制的用户ID和密码缓存、以及管理员权限分离都是RODC值得关注的新特性。恶意用户、管理员以及入侵者会发现对远程服务器发起攻击不像以往那么简单了，而要想把攻击成功地扩展到整个域或森林则更是难上加难。

      微软宣称Windows Server 2008是有史以来安全性最高的一版Windows操作系统。而只读域控制器（RODC）正是它的最重要的安全新特性之一，这项涵盖了多种技术的新功能不仅提高了Active Directory（AD）数据的安全性，同时也有效限制了从远程域控制器（DC）发起的针对你的整个AD
的恶意以及未经授权的访问。

      RODC的单向复制是它阻挡恶意攻击的最有效的特性。此外，新组件还包括了密码缓存限制以及管理员角色分离。安装和配置RODC要求你具备足够的知识并且对新技术足够熟悉，这样才能充分挖掘它的潜力。

      核心价值
      AD工作在一个多主复制的模型下，这意味着每一台DC都持有AD数据库的一个可读写副本。如果你有权对AD进行写操作，那么你就可以从任意一台DC来更改AD，并且你所做的更改也会被自动地复制到域或森林中的其它AD实体上。

      AD数据的无处不在所带来的一个后果就是：有些不怀好意的管理员只要能够访问他身边的一台DC（例如：在分支办公室的DC就很容易被访问），他就可以发起针对AD数据库的密码破解攻击，从而获取该DC所在域的所有用户和管理员账号的密码。然后，他们就可以利用手中的密码来发起一些提升权限的攻击，最终对整个AD森林及其所依赖的服务造成灭顶之灾。

…
     上述内容选自《Windows IT Pro Magazine国际中文版》2008年第7期，更多精彩内容，敬请参阅这儿，订阅《Windows IT Pro Magazine国际中文版》，请点击这儿。

      关于作者

      Jan De Clercq，是HP 安全办公室成员之一，擅长身份管理和微软产品的安全。你可以通过jan.declercq@hp.com与他联系。

全文共1733字节