在Windows Server 2008中，活動(dòng)目錄域服務(wù)（Active Directory Domain Services縮寫AD DS）相比前一代操作系統(tǒng)又有了重大的提升和改進(jìn)，本文簡要介紹一下其新特性。
    一、審核策略
    在Windows Server 2008中，你現(xiàn)在能夠通過使用新的審核策略的子類（目錄服務(wù)更改）來建立AD DS審核策略。當(dāng)活動(dòng)目錄對(duì)象及它們的屬性發(fā)生變化時(shí)，新的審核策略可以記錄新舊屬性值。
    AD DS審核能干什么？
    我們定義本策略設(shè)置（通過修改默認(rèn)域控制器策略），能夠指定審核成功的事件，失敗的事件，或者什么也不審核。能夠在AD DS對(duì)象的屬性對(duì)話框中的安全選項(xiàng)卡中設(shè)置系統(tǒng)訪問控制列表。”審核目錄服務(wù)訪問“在應(yīng)用上同審核對(duì)象訪問一致。但只適用與AD DS對(duì)象上而不是文件對(duì)象或注冊(cè)表對(duì)象。
    審核AD DS訪問
    在AD DS中新的審核策略子類（目錄服務(wù)更改）增加了以下的功能：
    當(dāng)對(duì)對(duì)像的屬性修改成功時(shí)，AD DS會(huì)紀(jì)錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個(gè)以上的值時(shí)，只有作為修改操作結(jié)果變化的值才會(huì)被記錄。
    如果新的對(duì)像被創(chuàng)建，屬性被賦予的時(shí)間將會(huì)被記錄，屬性值也會(huì)被記錄，在多數(shù)情景中，AD DS分配缺省屬性給諸如sAMAccountName等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。
    如果一個(gè)對(duì)像被移動(dòng)到同一個(gè)域中，那么先前的以及新的位置（以distinguished name 形式）將被記錄。當(dāng)對(duì)象被移動(dòng)到不同域時(shí)，一個(gè)創(chuàng)建事件將會(huì)在目標(biāo)域的域控制器上生成。
    如果一個(gè)對(duì)象被反刪除，那么這個(gè)對(duì)象被移動(dòng)到的位置將會(huì)被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會(huì)被記錄。
    當(dāng)"目錄服務(wù)更改"審核子類別啟用以后，AD DS會(huì)在安全日志中記錄事件當(dāng)對(duì)象屬相的變化滿足管理員指定的審核條件。下面的這張表格描述了這些事件。
    事件號(hào) 事件類型 事件描述
    5136 修改 這個(gè)事件產(chǎn)生于成功的修改目錄對(duì)象屬性。
    5137 創(chuàng)建 這個(gè)事件產(chǎn)生于新的目錄對(duì)象被創(chuàng)建。
    5138 反刪除 這個(gè)事件產(chǎn)生于目錄對(duì)象被反刪除時(shí)。
    5139 移動(dòng) 這個(gè)時(shí)間產(chǎn)生于對(duì)象在同一域內(nèi)移動(dòng)時(shí)。
    二、密碼策略
    Windows Server 2008 為組織提供了一種方法，使得組織能在某一域中針對(duì)不同的用戶集來定義不同的密碼和賬號(hào)鎖定策略。
    細(xì)致靈活的密碼策略能干什么？
    你能夠使用細(xì)致靈活的密碼策略在同一個(gè)域內(nèi)指定多樣化的密碼策略。同時(shí)你也你能夠使用細(xì)致靈活的密碼策略對(duì)同一域內(nèi)的不同用戶集應(yīng)用不同的密碼和賬號(hào)鎖定策略限制。
    這項(xiàng)特性提供了什么新功能？
    密碼設(shè)置容器默認(rèn)被創(chuàng)建在域的系統(tǒng)（System）容器下。你能夠通過使用活動(dòng)目錄用戶與計(jì)算機(jī)管理單元并啟用高級(jí)特性來查看。它為域儲(chǔ)存了密碼設(shè)置對(duì)象（Password Settings objects 一下簡稱PSOs）。
    你不能夠重命名，移動(dòng)，或者刪除這個(gè)容器。盡管你能夠創(chuàng)建額外的自定義的密碼設(shè)置容器，它們不被針對(duì)一個(gè)對(duì)象計(jì)算的組策略結(jié)果集計(jì)算在內(nèi)。因此創(chuàng)建額外的自定義的密碼設(shè)置容器不被推薦。
    密碼設(shè)置對(duì)像包含了能在默認(rèn)域策略中定義的所有屬性設(shè)置（除了Kerberos設(shè)置）。這些設(shè)置包含了以下密碼設(shè)置屬性：
    強(qiáng)制密碼歷史
    密碼最長使用期限
    密碼最短使用期限
    密碼長度最小值
    密碼必須符合復(fù)雜性要求
    用可還原的加密來儲(chǔ)存密碼
    這些設(shè)定也包含了以下的賬戶鎖定設(shè)置
    賬戶鎖定時(shí)間
    賬戶鎖定閾值
    復(fù)位賬戶鎖定計(jì)數(shù)器
    另外，PSO也包含了以下兩個(gè)新屬性：
    PSO鏈接（PSO Link）：這是鏈接到用戶或者組對(duì)象的多值屬性
    優(yōu)先（Precedence）：這是一個(gè)用來解決多個(gè)PSO被應(yīng)用到單個(gè)用戶或組對(duì)象產(chǎn)生沖突時(shí)的整數(shù)值
    這九個(gè)屬性值必須被定義，缺一不可。來自多個(gè)PSO的設(shè)置不能被合并。
    使用圖形界面（adsiedit.msc）建立PSO
    1. 單擊開始按鈕，單擊運(yùn)行，輸入 adsiedit.msc ，單擊確定。*如果你是在DC上第一次運(yùn)行adsiedit.msc，請(qǐng)繼續(xù)看第二步，不是的話跳到第四步。
    2. 在ADSI EDIT界面中，右擊ADSI Edit，再單擊連接到。
    3. 在Name屬性框中輸入你想要?jiǎng)?chuàng)建PSO的域的完全合格域名（FQDN），然后單擊確定。
    4. 雙擊域。
    5. 雙擊DC= <域名> 。
    6. 雙擊CN=System 。
    7. 右擊 CN=Password Settings Container，單擊新建，再單擊對(duì)象 。
    8. 在創(chuàng)建對(duì)象對(duì)話框中，選擇msDS-PasswordSettings，單擊下一步 。
    9. 輸入PSO的名稱，單擊下一步，根據(jù)向?qū)?，輸入必備屬性?BR>    10. 在向?qū)У淖詈笠豁摚瑔螕舾鄬傩浴?BR>    11. 在選擇查看何種屬性菜單中，單擊可選或者兩者 。
    12. 在選擇一種屬性進(jìn)行查看的下拉菜單中，選擇msDS-PSOAppliesTo。
    13. 在編輯屬性中，添加需要應(yīng)用PSO的用戶和全局安全組的相對(duì)可分辨名稱 。
    14. 重復(fù)第13步，如果你需要將PSO應(yīng)用到多個(gè)用戶和全局安全組。
    15. 單擊完成 。