WindowsServer2008活动目录域服务实战（2）

探寻管理员角色的演示

WindowsServer2008活动目录域服务实战（1）

下面让我们看一下管理员角色分离的演示。

探寻管理员角色的演示

在许多分支机构，域控制器被指派了额外的服务器角色或任务要执行，例如充当一个文件或打印服务器。其他的情况，如出于需要业务应用程序安装在域控制器上。这带来一个问题：要管理这些应用程序和服务器，分支机构的雇员需要有管理凭据。任何能够管理一台Windows Server 2003 域控制器的人能够管理整个域。在Windows Server 2008中，一个管理员能够被指派权限只能管理某个特定的RODC，不需要让它们管理其他的域控制器，也不需要成为Domain Admins安全组的成员。

在Windows Server 2003中，Microsoft主要增加了命令行管理工具。ADAM Dsmgmt工具被用于在命令行中基本的ADAM管理功能。如图10所示。

通过使用Dsmgmt工具，我们能够添加一个本地管理员到我们的RODC。

本地角色选项允许我们在RODC上增加、列出或删除角色。如图11所示。

我们现在要将John Chen添加为一个本地RODC管理员。如图12所示。

要查看哪些用户拥有管理角色，在本地角色提示符中我们输入show role administrators。正如期望那样，JChen作为管理员被列出。如图13所示。

我们目前使用域管理员账号登录到该计算机。当我们注销后，John Chen将能够登录到该计算机执行任何需要的管理任务。如图14所示。

您能够将RODC的本地管理员角色委派给任何一个域用户不需要为该用户授予该域或其他域控制器的任何用户权限。这提供了让分支机构本地用户登录RODC在服务器上执行维护工具的能力。但是分支机构用户将不能登录到任何其他域控制器或在域中执行任何其他管理。这样，分支机构的用户能够被委派这种能力来有效地管理分支机构的RODC而不会影响域中剩余部分的安全。

接下来我们将介绍Server Core和域控制器角色。

Server Core和域控制器角色

随着Windows Server 2008的发布，Server Core和域控制器角色得到提高。

服务器可用性通过快速部署新的服务器来满足组织的需求开始，并持续保持这些服务器有效地运行。

Windows Server 2008帮助组织增加可用性为他们专用的文件和打印服务器，DHCP服务器，DNS服务器和使用新的Server Core部署选项的域控制器。

Server Core对Windows Server 2008来说是最小化服务器安装选项。Server Core为运行下面这些服务器角色提供了一个环境：DHCP服务器，DNS服务器，文件服务器和域控制器等其他。通过在服务器上选择使用Server Core安装选项，您能够减少您的管理努力并帮助降低安全风险。在Windows Server 2008中，一个最大的提高就是减少了服务器的攻击面以便只有二进制位需要来支持该角色和操作系统基础。一般您会运行更少的进程。

Server Core 是所有关于部署需要的最小数量的操作系统来支持您的角色。Server Core安装选项只安装可执行文件和支持的动态链接库（DLL）的一个子集。明确地说，只有被这四个服务器角色必须的特性才被安装。例如，Windows Explorer用户接口（或shell）不会作为Server Core的一部分被安装。实际上，当使用基于Server Core的服务器时，缺省的用户接口就是命令行。

Server Core设计用于有很多服务器，其中一些服务器只执行专用的任务的组织，或高度安全需求要求服务器上的攻击面最小化的环境。因为没有图形用户接口可用对许多Windows操作，使用Server Core安装选项，对服务器本地管理来说，要求您的管理员有使用命令行或脚本技术经验。