Windows Server 2008 活动目录域服务安装及移除指南

•

通讯组及安全组的通用组作用域被启用

•

组嵌套

•

组类型转换启用，这使得在安全组及通讯组之间转换成为可能

•

SID历史

•

为了准备域控制器重命名的域管理工具netdom.exe有效

•

更新登录时间戳（logon time stamp）。lastLogonTimestamp 属性将会更新为用户或计算机的最后一次登录时间。本属性在域内进行复制。

•

在inetOrgPerson及user对象上，可以设置userPassword属性作为有效密码。

•

重定向用户及计算机容器的能力。默认情况下，两个已知容器被提供用来容纳计算机及用户/组账户；也就说，cn=Computers,<domain root> 及cn=Users,<domain root>。这项特性使得为账户定义新的已知容器成为可能。

•

使授权管理器在AD DS中储存授权策略成为可能。

•

包括强制授权，使得应用程序能够利用通过Kerberos验证协议获得用户的凭据安全授权。授权能被配置为仅允许指定目标的服务。

•

支持选择性验证，使得指定来自信任林的用户及组能被允许在信任林的资源服务器上进行验证成为可能。

•

SYSVOL支持分布式文件系统复制（Distributed File System Replication），这提供了更健全及详细的SYSVOL内容的复制。

•

Kerberos协议支持高级加密服务（AES 128 and 256）

•

最后一次交互登录信息，显示了用户最后一次成功交互登录的时间、来自于哪台工作站及从最后一次登录后尝试登录失败的次数

•

细致灵活的密码策略，使得在域中针对用户及全局安全组指定密码及账户锁定策略成为可能。

•

林信任

•

域重命名

•

链接值复制（Linked-value replication，LVR。针对单一个体成员组成员身份的更改储存及复制值，代替了作为单一单位复制整个成员身份。）这项更改使得网络带宽及处理器占用率在复制期间降低，同时除去了当不同成员在不同的域控制器上同时添加或删除时更新丢失的可能性。

•

部署运行Windows Server 2008只读域控制器的能力

•

改进的知识一致性检查器（KCC）算法及伸缩性。内部站点拓扑发生器（ISTG）使用改进的算法来支持比Windows 2000林功能级下所能支持的站点的更多的站点数量。改进的ISTG选举算法比Windows 2000林功能级下选择ISTG更少收到干扰。

•

改进的ISTG算法（更好的伸缩性算法，该算法是ISTG用来联系林中所有站点的。）

•

在域目录分区创建称为dynamicObject的动态辅助类实例的能力。

•

转换inetOrgPerson对象实例至User对象实例的能力，及反向转换的能力。

•

创建称为应用程序基本组及轻量目录访问协议查询组（application basic groups and Lightweight Directory Access Protocol (LDAP) query groups）的新的组类型实例的能力，来支持基于角色的授权。

•

在架构中去除激活状态及重定义属性及类别