2008 Active Directory 域服务新增功能

Windows Server 2008中Active Directory域的配置管理摘要：随着计算机技术的发展，利用域管理网内计算机的新技术得到广泛应用，本文图例介绍了windows平台的active directory 域及配置管理方法关键词：windows server active directory域配置管理中图分类号：tp316 文献标识码：a 文章编号：1007-9416(2012)02-0155-02活动目录（active directory）是windows server 2008操作系统提供的一种新的目录服务。

所谓目录服务其实就是提供了一种按层次结构组织的信息，然后按名称关联检索信息的服务方式。

这种服务提供了一个存储在目录中的各种资源的统一管理视图，从而减轻了企业的管理负担。

另外，它还为用户和应用程序提供了对其所包含信息的安全访问。

活动目录作为用户、计算机和网络服务相关信息的中心，支持现有的行业标准ldap（lightweight directory access protocal，轻量目录访问协议）第8版，使任何兼容ldap 的客户端都能与之相互协作，可访问存储在活动目录中的信息，如linux、novell系统等。

创建域之前需验证windows server 2008系统具备以下条件：(1)在安装windows server 2008的计算机上至少有一个ntfs分区，至少有250m的空间。

(2)计算机上必须配置好ip地址和dns服务器地址。

(3)具须具备管理员权限。

dns服务可以在安装活动目录前安装，也可以在活动目录集成安装，即在安装活动目录过程中安装。

1、安装active directory域一般情况下，在新安装系统时，系统会提示是否选择安装【活动目录】选项，通常不安装活动目录，以便用户有时间来规划与活动目录有关的协议和系统结构。

活动目录服务一般需要在安装windows server 2008后进行安装，可以使用“dcpromo”命令，“dcpromo”是一个图形化的向导程序，它将引导用户一步一步地建立域控制器。

实验5-2 Windows 2008中Active Directory备份和还原Windows Server 2008 为Active Directory 带来了许多新功能，其中对备份和恢复计划具有重大影响的两个功能是：新的Windows Server Backup 实用工具，以及获取和使用Active Directory 的“卷影复制服务”快照的能力。

在本文中，我将介绍这些增强功能所带来的变化，以及如何利用这些变化来简化Active Directory 备份活动。

NTBACKUP 与Windows Server Backup组策略设置Windows Server Backup 提供了若干组策略设置，使您可以在一定程度上控制备份在您服务器上的工作方式。

使用这些备份策略，人们通过未经授权的备份访问未授权数据的风险会降低。

选项包括：仅允许系统备份如果设置了此选项，则Windows Server Backup 只能备份关键的系统卷。

它无法执行卷备份。

不允许本地附加的存储作为备份目标如启用此设置，它不允许备份至本地附加的驱动器。

只能备份至网络共享。

不允许网络作为备份目标此设置不允许备份至任何网络共享。

不允许光学媒体作为备份目标如设置了此选项，Windows Server Backup 无法备份至任何光学媒体，例如可记录的DVD 驱动器。

不允许一次性运行备份此设置不允许Windows Server Backup 运行非计划的特定备份。

仅通过Windows Server Backup MMC 管理单元计划的备份可以运行。

您所了解和喜爱的NTBACKUP 自Windows NT? 3.5 之后已消失。

代替它的是Windows Server Backup。

这一新工具不是仅仅对NTBACKUP 的改进;它是一个全新的备份技术，使您必须重新思考备份系统的方法。

尽管Windows? Server 备份是Windows Server 2008 唯一的现成备份解决方案，但它并不是替换NTBACKUP 的另一种功能。

Server2008活动目录域服务实战前言Microsoft Windows Server 2008 Active Directory Domain Services (AD DS) 在不同的领域给用户带来了很多增强的特性。

我们将具体介绍Windows Server 2008 Directory Services，以及它是如何结合Windows Server 2008特有的在安全和管理性方面的大量原则。

Read-Only Domain Controller (RODC) 是Windows Server 2008中最大的特性并有拥有最强的增强。

在Windows Server 2008过去的两年半时间内，大约有80%的开发资源是投入到RODC。

RODC的特性是非常丰富和令人兴奋的。

管理角色的分离允许管理员将管理权限指派给Read-Only DC级别的一些用户。

这极大地减轻了拥有许多域管理员的负担并提高了安全性。

Server Core和DC角色被显著地增强来大大地减少了服务器受攻击的层面。

组策略有许多新特性和新设置，使用起来更容易，扩展了它的范围，并变的更加稳定。

下面让我们浏览一下Windows Server 2008 Directory Services 的新特性和增强。

安全的增强Windows Server 2008中的活动目录域服务（AD DS）提供了安全领域的增强。

在安全领域，只读域控制器（RODC）扮演了一个重要的角色。

RODC为在那些地方部署域控制器提供了一个更安全的方法。

它们要求快速、可靠和坚固的认证服务，但也有安全限制，如禁止部署可写域控制器。

RODC主要设计用于部署在远程基础结构环境中。

在这样的环境中一般有相对比较少的用户，物理安全比较薄弱，到中心站点的网络带宽比较少，以及很少的本地IT经验。

域名称服务和域控制器，RODC，和完整DCs 支持活动目录Server Core角色。

除了账号密码，RODC持有所有可写域控制器持有的AD DS对象和属性，但是不能对存储在RODC上副本做修改。

在Windows Server 2008中，活动⽬录域服务（Active Directory Domain Services缩写AD DS）相⽐前⼀代操作系统⼜有了重⼤的提升和改进，本⽂简要介绍⼀下其新特性。

⼀、审核策略 在Windows Server 2008中，你现在能够通过使⽤新的审核策略的⼦类（⽬录服务更改）来建⽴AD DS审核策略。

当活动⽬录对象及它们的属性发⽣变化时，新的审核策略可以记录新旧属性值。

AD DS审核能⼲什么？ 我们定义本策略设置（通过修改默认域控制器策略），能够指定审核成功的事件，失败的事件，或者什么也不审核。

能够在AD DS对象的属性对话框中的安全选项卡中设置系统访问控制列表。

”审核⽬录服务访问“在应⽤上同审核对象访问⼀致。

但只适⽤与AD DS对象上⽽不是⽂件对象或注册表对象。

审核AD DS访问 在AD DS中新的审核策略⼦类（⽬录服务更改）增加了以下的功能： 当对对像的属性修改成功时，AD DS会纪录先前的属性值以及现在的属性值。

如果属性含有⼀个以上的值时，只有作为修改操作结果变化的值才会被记录。

如果新的对像被创建，属性被赋予的时间将会被记录，属性值也会被记录，在多数情景中，AD DS分配缺省属性给诸如sAMAccountName等系统属性，这些系统属性值将不被记录。

如果⼀个对像被移动到同⼀个域中，那么先前的以及新的位置（以distinguished name 形式）将被记录。

当对象被移动到不同域时，⼀个创建事件将会在⽬标域的域控制器上⽣成。

如果⼀个对象被反删除，那么这个对象被移动到的位置将会被记录。

另外如果在反删除操作中属性被增加，修改或者删除，那么这些属性的值也会被记录。

当"⽬录服务更改"审核⼦类别启⽤以后，AD DS会在安全⽇志中记录事件当对象属相的变化满⾜管理员指定的审核条件。

下⾯的这张表格描述了这些事件。

事件号事件类型事件描述 5136 修改这个事件产⽣于成功的修改⽬录对象属性。

提升域功能级别和林功能级别提升域功能级别和林功能级别一、概念在Windows Server 2008 R2 AD DS域服务中的域和林功能，提供了一种可以在网络境中启用全域性功能或全林性功能的方法，不同的网络环境，则有不同的域功能和林功能级别。

如果域或林中的所有域控制器运行的都是Windows Server 2008 R2,并且域和林功能级别设置为Windows Server 2008 R2,则所有全域性功能和全林性功能都可用。

如果域或林中有Windows Server 2000、Windows Server 2003或Windows Server 2008域控制器，则AD功能将受到限制。

二、域功能域功能启用了可影响整个域以及仅影响该域的功能。

在Windows Server 2008 R2 AD DS中，有四个可用的域功能级别：Windows 2000纯模式、Windows Server 2003（默认值）、Windows Server 2008、Windows Server 2008 R2.下表列出了域功能级别及其相应支持的域控制器和该功能级别启用的功能。

三、林功能林功能启用了林中所有域上的功能。

在Windows Server 2008 R2操作系统中有四个可用的林功能级别：Windows 2000、Windows Server 2003（默认值）、Windows Server 2008和Windows Server 2008 R2。

下表列出了Windows Server 2008 R2操作系统中可用的林功能级别及相应支持的域控制器和启用的功能。

四、提升域功能级别1、使用域管理员帐号登录到域PDC上；2、依次单击“开始”—“管理工具”—“Active Directory 域和信任关系”。

3、在控制台树中，右键单击要提升其功能级别的域，然后单击“提升域功能级别”。

4、在“选择一个可用的域功能级别”中，执行下列操作之一：∙若要将域功能级别提升到 Windows Server 2008，请单击“Windows Server 2008”，然后单击“提升”。

Windows Server 2008 R2 操作系统中Active Directory 域服务中的新增功能：Windows Server 2008 R2 操作系统中的Active Directory(R) 域服务(AD DS) 包括许多新功能，可帮助改进Active Directory 可管理性、可支持性和性能。

Windows Server 2008 R2 中提供以下更改：•Active Directory 回收站信息技术(IT) 专业人员可以使用Active Directory 回收站来撤消Active Directory 对象的意外删除。

意外对象删除会导致业务中断。

已删除用户无法登录或访问公司资源。

这是Active Directory 恢复方案的首要原因。

Active Directory 回收站适用于AD DS 和Active Directory 轻型目录服务(AD LDS) 对象。

此功能在处于Windows Server 2008 R2 林功能级别的AD DS 中启用。

对于AD LDS，所有副本必须在新的“应用程序模式”下运行。

•Windows PowerShell 的Active Directory 模块和Windows PowerShell(TM) cmdlet Windows PowerShell 的Active Directory 模块使用一致的词汇和语法为管理、配置和诊断任务提供命令行脚本。

它提供可预测的发现和灵活的输出格式。

可以轻松地对cmdlet执行管道操作以构建复杂操作。

Active Directory 模块可实现Exchange Server、组策略和其他服务的端到端可管理性。

有关详细信息，请参阅AD DS 的新增功能：Windows PowerShell 的Active Directory 模块。

•Active Directory 管理中心Active Directory 管理中心拥有面向任务的管理模式，包含对大型数据集的支持。

Windows Server 2008出来好一阵子了，自己也用了段时间，但一直没机会体验其AD功能的强大，下面简单的讲解下Windows Server 2008 Active Directory域服务的安装步骤：1.点击“开始”->“运行”，输入“dcpromo”并回车，弹出如下窗口：直接点击“下一步”，一般不需要“使用高级模式”，(除非你的添加第二个DC做他用或者对各种设定都非常熟悉)2.点击“下一步”；3.因为是新建DC，所以选择“在新林中新建域”；4.在目录林根级域FQDN(F)一栏中，输入想建立之网域名称，如确定无误后，按下“下一步”，稍后会进行检查同网段上是否有无网域名称重复；5. 在“设置林功能级别”页面，如林内网域控制站皆为Windows Server 2008担任，则可将林功能等级提升至Windows Server 2008，但有些应用程序需绑AD，则暂不建议将网域等级升至Windows Server 2008。

确定无误后，则按下“下一步”，则会开启“其它域控选项”页面6.DNS当然得选了，直接选择“下一步”；7. 对了，在进行DNS服务器角色安装之前，会先行检查该服务器是否已设定固定IP 地址。

同时，会出现该警示提示(下图)，是因为IPv6预设是为启动，而该Lab使用的是IPv4，故该警示可忽略，按下“是，该计算机将使用动态分配的IP地址(不建议)”---当然，首先固定IP是最好了8. 出现此警示讯息则说明如该网域如为子网域时，则必须先升级问为父系网域，然后设定DNS服务器委派的动作，因该Lab为的网域，故可忽略此警示讯息，按下“是”即可；9.这个…基本不用更改，前提是都是NTFS格式；10.设置还原密码，跟2003一样，够复杂能记住就行；11.到这里就可以检查一下前面的步骤有无错误，没有就可以直接“下一步”；12.正在配置各种设定和服务，大约5~6分钟；13.至此，AD域服务已经安装完毕！重启即可，记得下次登录需要选择Domain哦，否则会拒之门外的！以后会陆续讲解其他功能，如ADSI Edit、Hyper...。

Win2008系统活动目录权限管理服务熟悉Windows Server 2003的朋友，相信对RMS（权限管理服务）都不会陌生，它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。

在Windows Server 2008中，这一重要特性得以改进和提升，微软把它称之为AD RMS（Active Directory Rights Management Services），即活动目录权限管理服务。

相对于2003下的RMS有了较大的改进与提升，例如：不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。

AD RMS 系统包括基于Windows Server 2008 的服务器（运行用于处理证书和授权的Active Directory 权限管理服务（AD RMS）服务器角色）、数据库服务器以及AD RMS 客户端。

AD RMS 系统的部署为组织提供以下优势：- 保护敏感信息。

如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用AD RMS，从而帮助保护敏感信息。

用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。

组织可以创建子自定义的使用策略模板（如“机密- 只读”），这些模板可直接应用于上述信息。

- 永久性保护。

AD RMS 可以增强现有的基于外围的安全解决方案（如防火墙和访问控制列表（ACL）），通过在文档本身内部锁定使用权限、控制如何使用信息（即使在目标收件人打开信息后）来更好地保护信息。

- 灵活且可自定义的技术。

独立软件供应商（ISV）和开发人员可以使用启用了AD RMS 的任何应用程序或启用其他服务器（如在Windows 或其他操作系统上运行的内容管理系统或门户服务器），与AD RMS 结合使用来帮助保护敏感信息。

启用ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。

硬件和软件注意事项AD RMS 中的功能在Windows Server 2008中，通过使用服务器管理器，可以设置AD RMS 的以下组件：- Active Directory Rights Management Services。

2008 Active Directory 域服务新增功能Microsoft 通过 Windows 2000 向世人展示了 Active Directory。

接下来，在 Windows Server 2003 这一重要版本中，Active Directory 得到了极大的改进，但未做任何重大更改。

如今，Active Directory® 已成为功能强大且极其成熟的目录服务。

尽管如此，Active Directory 团队仍通过不懈的努力在最新版本中继续完善其功能，以提高这一核心网络服务的安全性和可管理性。

在世纪之交，Active Directory 主要是验证登录的用户、对用户和计算机应用组策略并协助其找到所需的打印机。

仅仅几年后，Microsoft 又发布了一个独立的改良版，称为 Active Directory 应用程序模式 (ADAM)。

到了 2006，一切都焕然一新。

Active Directory 不再是一种特定的技术。

现在，它已成为一种品牌名称，代表一系列Windows® 身份和访问控制服务。

图1为您展示了 Active Directory 品牌组成内容的纲要。

Figure 1 Active Directory 组件因此，要是为使用合适的术语，应该将这篇文章称为“域服务”介绍。

但为了不产生混淆，还是应该把它叫做自 2000 年以来深为您称道的 Active Directory。

Windows Server 2008 中的服务器管理器对于 Active Directory，我首先要讨论的两项改进并不是 Active Directory 域服务 (ADDS) 中的更改；而是 Windows 中的更改，它们会改变您管理 Active Directory 的方式。

第一项是新的“服务器管理器”，它在您首次启动 Windows Server® 2008 服务器时就会出现。

Windows Server2008R2 Active directory实操作参考第一章安装活动目录服务器简介：提升Windows Server 服务器为活动目录服务器，那么管理员需要将DNS服务器指向本机，并且使用dcpromo 向导完成提升操作1：添加AD域服务2、运行dcpromo3、以下的步骤就和Windows server 2003一样了4、安装完成后，重启计算机5、活动目录服务器安装完成第二章客户端加域简介：将客户端加入到域，需要将客户端的DNS 设置指向DC，同时，需要以本地管理员组的成员登录来完成操作第三章创建组织单位简介：组织单位(OU)能够有效的组织活动目录中的用户、计算机等对象，并且从Windows Server 2008开始，对于组织单位，可以启用防删除特性，防止组织单位被意外误删除。

如需删除启用防止容器被意外删除功能的容器，需进行以下操作取消该功能第四章创建用户简介：在活动目录当中，管理员可以使用Active Directory 用户和计算机这一个管理工具来创建用户对象，同时对于属性相同的用户，还可以使用复制的方式创建。

第五章委派控制简介：在活动目录当中，可以在组织单位之上启用委派，允许普通用户对于组织单位中的对象有相应的权限，同时，可以创建任务板视图为用户自定义管理工具。

第六章活动目录管理工具活动目录提供了各种类型的管理工具，管理员可以灵活的使用相应的管理工具来完成活动目录中的各项管理任务，同时管理员可以在Windows 7 中安装RSAT 的远程管理工具实现远程管理活动目录服务器。

1、安装Windows 7 Service Pack 1 (SP1) 远程服务器管理工具2、在控制面中添加要管理的对象第七章命令行管理域7-1：dsadd 添加用户7-2：CSVDE 批量导入导出用户7-3：LDIFDE 批量导入导出用户7-4：批量修改用户属性7-5：命令行工具管理组7-6：导入导出组7-7：命令行加域第八章设置用户加域配额简介：默认情况下，普通域用户能够添加10台计算机到域中，作为安全设置，管理员可以将配额设置为0，不允许普通用户将计算机加入到域中打开ADSI编辑器：开始---管理工具---ADSI编辑器，然后如图操作第九章发布共享简介：管理员可以集中的在活动目录当中发布文件共享，打印机共享，统一管理，同时客户端也能够轻松地搜索到所需要的共享资源。

这里以两台server 2008以例，为了清楚两块以上网卡与一块网卡搭建域控的区别，将DC1一、根域的建立DC1配置以管理员登录系统查看网卡信息及主机名选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）单击下一步，进入一个对AD的简介界界单击下一步进入安装界面安装完成后会出现如下画面单击“关闭该向导并启动Active Directory域服务安装向导(dcpromo.exe)”，进入域服务安装向导勾选“使用高级模式安装”选择“在新林中新建域”输入域名（FQDN），此处以以例单击下一步时会自动检查输入的FQDN是否有重复或错误等默认即可选择林功能级别，此处模拟环境使用的系统全为Server 2008 R2单击下一步将检查DNS，此环境之前无安装，这里将会安装DNS此时是由于第二张网卡没有配置固定IP而弹出的提示，单击“是（Y），该计算机将使用DHCP 服务器自动分配的IP地址（不推荐）”此时单击按钮“是（Y）”默认即可设置“目录服务还原模式”的密码，必须输入密码，密码要求强密码显示摘要勾选“完成后重新启动”重启后即完成域控的安装二、额外域控制器建立（即辅域控）查看网卡信息及主机名（DNS需指向根域）与根域一样选择“开始”→“管理工具”→打开“服务器管理器”，单击“角色”→单击“添加角色”，在服务器角色中勾选“Active Directory域服务”，勾选时在弹出的对话框中单击“添加必需的功能”（注：DNS不可与AD一起勾选）添加“AD域服务”后，运行域服务安装向导此时选择“现有林(E)”下的“向现有域添加域控制器”由于是要向域（）中添加辅域，所以在此处输入域名：；单击设置，输入域中有权限的用户密码下一步单击按钮“是(Y)”默认即可输入“目录服务还原模式”密码重启后完成三、域的基本操作登录域控，单击“开始”→“管理工具”→打开“AD用户和计算机”1、建立OU右击域（）→“新建”→单击“组织单位”输入名称，勾选“防止容器意外删除”，此处以abc为例建立成功2、新建用户在刚新建的OU里新建用户test右击OU“abc”→“新建”→单击“用户”，注：此时右侧无任何用户按下图输入test用户信息输入密码完成建立成功3、。

部署AD DS服务器AD DS域服务(Active Directory Domain Services)是Windows Server 2008的核心服务，主要提供用户身份验证、检索、组织结构规划、部署企业策略等基础服务。

与Windows Server 2003中不同，Windows Server 2008中的AD DS域服务以服务的方式运行，可以在不停机的状态下停止AD DS域服务。

一、搭建AD DS 前期检查和准备1.配置网络配置固定IP、网关、DNS2.更改计算机名称设置更改计算机名称、描述(部署环境中没有DNS服务器)填写或更改主DNS后缀（部署环境中有DNS服务器）、填写网络适配器高级设置DNS后缀二、安装配置ADDS服务1.在服务器管理器(Server Manager)中添加ADDS服务添加ADDS角色，系统会自动提示安装需要的其他功能安装完成2.使用dcpromo命令打开AD域服务安装向导运行——输入dcpromo如果这是整个网络中的第一台活动目录服务器则选择在新林中新建域(整个域林中的第一个域树也就是这个域中的DC <Domain Controller域控制器>)如果网络中已经有活动目录,这台服务器是辅助域控制器则选择向现有域添加域控制器输入林根级域名(系统会自动检测是否域名已经被使用)设置林功能级别选择域功能级别安装其他域控制器选项弹出界面选择”是”继续安装设置数据库、日志文件和SYSVOL存放位置设置目录还原模式密码(2003server可以为空2008R2 必须输入)需要符合密码复杂性策略显示配置摘要或导出配置摘要(可以做成搭建ADDS的无人值守应答文件)注意事项1.Windows Server 2008 R2安装ADDS服务需要分成两步：1)在Server Manager中安装ADDS角色2)运行dcpromo 命令启动AD域服务安装向导2.目录还原模式administrator密码不能为空三、验证ADDS服务器是否搭建成功新增活动目录管理工具1.验证DNS正向查找区域中有主机(A)记录在以管理员身份运行的命令提示符中输入：dcdiag /test:dcpromo /dnsdomain:(根域名) /newforest此命令也可以测试ADDS在已有的非windows平台下的DNS是否能够正常工作2.Dcdiag 命令的相关资料/zh-cn/library/cc731968。

WindowsServer2008ActiveDirectory配置指南-l...一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.1-1 active directory domain services overviewdirectory :telephone directory;file directory如果这些directory内的数据能够系统的加以整理的话，用户就能够容易且迅速的查找到所需文件。

Active Directory的组成是directory，域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储地点称为目录数据库（directory database）。

Active Directory 域内负责提供目录服务的组件就是active directory域服务，active directory domain services它负责目录数据库的存储、添加、删除、修改与查询操作。

1-1-1 active directory domain service scopeactive directory domain service 可以用在一台计算机、LAN或者数个WAN的联合，它包含此范围所有的对象，例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。

1-1-2nameSpacebounded area ,一块界定好的区域，在此区域内，我们可以利用某个名称来找到与这个名称有关的信息。

active directory 域服务内，active directory就是一个名称空间，在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。

Windows 2008系统活动目录权限管理服务介绍熟悉Windows Server 2003的朋友，相信对RMS（权限管理服务）都不会陌生，它能够有效的保护我们的数字资产在相应授权范围之外不会泄露。

在Windows Server 2008中，这一重要特性得以改进和提升，微软把它称之为AD RMS （Active Directory Rights Management Services），即活动目录权限管理服务。

相对于2003下的RMS有了较大的改进与提升，例如：不需要单独下载即可安装、不再需要连接到Microsoft去进行登记等等。

AD RMS 系统包括基于 Windows Server 2008 的服务器（运行用于处理证书和授权的 Active Directory 权限管理服务（AD RMS）服务器角色）、数据库服务器以及 AD RMS 客户端。

AD RMS 系统的部署为组织提供以下优势：1.保护敏感信息。

如字处理器、电子邮件客户端和行业应用程序等应用程序可以启用 AD RMS，从而帮助保护敏感信息。

用户可以定义打开、修改、打印、转发该信息或对该信息执行其他操作的人员。

组织可以创建子自定义的使用策略模板（如“机密 - 只读”），这些模板可直接应用于上述信息。

2.永久性保护。

AD RMS 可以增强现有的基于外围的安全解决方案（如防火墙和访问控制列表（ACL）），通过在文档本身内部锁定使用权限、控制如何使用信息（即使在目标收件人打开信息后）来更好地保护信息。

3.灵活且可自定义的技术。

独立软件供应商（ISV）和开发人员可以使用启用了 AD RMS 的任何应用程序或启用其他服务器（如在 Windows 或其他操作系统上运行的内容管理系统或门户服务器），与 AD RMS 结合使用来帮助保护敏感信息。

启用 ISV 的目的是为了将信息保护集成到基于服务器的解决方案（如文档和记录管理、电子邮件网关和存档系统、自动工作流以及内容检查）中。

Windows Server2008批量添加Active Directory对象的
实现方法
邹少军
【期刊名称】《电子商务》
【年(卷),期】2012(000)010
【摘要】本文通过分析在Windows Server 2008域管理环境中,使用Active Directory命令行工具、VBScript和WindowsPowerShell等管理工具,实现批量添加Active Directory对象及属性的一些方法和技巧；从而减轻域管理员冗烦的
工作量,极大地提高管理效率.
【总页数】2页(P62-63)
【作者】邹少军
【作者单位】江门职业技术学院
【正文语种】中文
【相关文献】
1.Windows Server 2008中Active Directory域的配置管理 [J], 龚秀琴;张桂芬
2.Windows Server 2008中Active Directory域的配置管理 [J], 龚秀琴;张桂芬
3.组织你的Active Directory对象“监护人”概念有助于控制对象的生命周期 [J], Tony Murray; 老田（译）
4.使用Windows Server Backup实现Active Directory的备份和还原——快照
功能使灵活性进一步提高 [J], Guido Grillenmeier; 黄思维（译）
5.Active Directory，以成长满足需求——浅析Windows Server 2003 Active Directory的增强功能 [J], 魏强
因版权原因，仅展示原文概要，查看原文内容请购买。