這些年Active Directory前進的方向伴隨著每一款Windows Server產品的發布與應用：Windows 2000 Server立足于網絡資源的目錄管理，實現了基本的目錄功能結構，如委派、搜索、站點拓撲；Windows Server 2003增加了活動目錄的擴展性和提升了目錄服務的性能；到Windows Server 2008為分支機構目錄安全性、網絡負載提供了解決方案，在獨立目錄服務的基礎上讓管理人員更好的維護和管理Active Directory；那么Windows Server 2008 R2的Active Directory又帶來了哪些變革和超越呢？

降低操作成本

Active Directory回收站。對于 Active Directory 域服務和 Active Directory 輕型目錄服務的用戶而言，經常會出現意外刪除 Active Directory 對象的情況。在 Windows Server 2008 Active Directory 域中，可以從 Windows Server Backup 生成的 AD DS 備份恢復意外刪除的對象。 我們可以使用 ntdsutil authoritative restore 命令將對象標記為權威，以確保在整個域中復制還原的數據。 權威還原解決方案的缺點在于，它必須在目錄服務還原模式 (DSRM) 下執行。 在 DSRM 過程中，被還原的域控制器必須保持脫機。 因此，它無法同時處理客戶端請求。

此外，在 Windows Server 2003 Active Directory 和 Windows Server 2008 AD DS 中，可以通過邏輯刪除恢復來恢復刪除的 Active Directory 對象。 在 Windows Server 2003 和 Windows Server 2008 中，不會立即以物理方式刪除數據庫中已刪除的 Active Directory 對象。 相反，對象的可分辨名稱（也稱為 DN）會損壞，大多數對象的未鏈接值屬性被清除，對象的所有鏈接值屬性被物理刪除，并且對象被移動到對象的命名上下文中的特殊容器（稱為“已刪除對象”）中。

該對象現在稱為 Tombstone（邏輯刪除），對于一般目錄操作不可見。 在邏輯刪除的生存期間內可隨時恢復邏輯刪除，并使其再次成為活動 Active Directory 對象。 在 Windows Server 2003 和 Windows Server 2008 中，默認的邏輯刪除生存期為 180 天。 可以使用邏輯刪除恢復來恢復已刪除對象，而不需要使您的域控制器或 AD LDS 實例脫機。 但是，恢復項目的已物理刪除的鏈接值屬性（例如，用戶帳戶的組成員身份）和已清除的未鏈接值屬性不會被恢復。 因此，管理員無法依靠邏輯刪除恢復作為意外刪除對象的最終解決方案。

Windows Server 2008 R2 中的 Active Directory 回收站構建于現有的邏輯刪除恢復基礎結構上，幫助我們增強保存和恢復意外刪除的 Active Directory 對象的能力。Active Directory 回收站使目錄服務中斷時間降至最低。 可以使用它來保存和還原意外刪除的整個 Active Directory 對象，而不必從備份還原 Active Directory 數據、重新啟動 AD DS，或重新啟動域控制器。

啟用 Active Directory 回收站后，會保留已刪除 Active Directory 對象的所有鏈接值屬性和未鏈接值屬性，并將整個對象還原到與被刪除前一致的邏輯狀態。 例如，還原的用戶帳戶會自動重新獲得被刪除時所具有的域中或跨域的所有組成員身份和相應的訪問權限。 Active Directory 回收站可在 AD DS 和 AD LDS 環境中使用。

下圖顯示了在啟用 Active Directory 回收站功能的情況下，Windows Server 2008 R2 中的新 Active Directory 對象的生命周期。

在 Windows Server 2008 R2 中啟用 Active Directory 回收站之后，當刪除某個 Active Directory 對象時，系統將保留該對象的所有鏈接值屬性和未鏈接值屬性，并且該對象進入邏輯刪除狀態，該狀態是 Windows Server 2008 R2 引入的新狀態。 刪除的對象被移動到“已刪除對象”容器中，并且其可分辨名稱損壞。

在已刪除對象的整個生存期中，它以邏輯刪除狀態保留在“已刪除對象”容器中。在已刪除對象的生存期內，已刪除對象可以恢復并再次成為活動 Active Directory 對象。 在已刪除對象的生存期過期后，邏輯刪除對象轉變為回收對象，并且剝離該對象的大多數屬性。

托管服務帳戶。托管服務帳戶提供簡單的服務帳戶管理。 在 Windows Server 2008 R2 域功能級別，此功能為服務主體名稱 (SPN) 提供了更好的管理。 我們能夠使用托管服務帳戶通過減少服務中斷（針對手動密碼重設和相關問題）來幫助降低總擁有成本 (TCO)。 可以為服務器上運行的每個服務運行一個托管服務帳戶，而不需要人工干預密碼管理。

一體化的管理

Power Shell。Windows PowerShell(TM) 是命令行 shell 和腳本語言，可幫助信息技術 (IT) 專業人員更輕松地控制系統管理并提高工作效率。Windows Server 2008 R2 中的 Active Directory 模塊 是合并了一組 cmdlet 的 Windows PowerShell 模塊（名為 ActiveDirectory）。 通過使用這些 cmdlet，可在單一的獨立程序包中管理您的 Active Directory 域、Active Directory 輕型目錄服務 (AD LDS) 配置集和 Active Directory 數據庫裝載工具實例。

AD管理中心。在Windows Server 2008 R2面試之前，非面向任務的UI使得客戶很頭痛，在MMC中對大量數據集時不能擴展，在同一時間內只能管理一個域；在 Windows Server 2003 和 Windows Server 2008 操作系統中，管理員可以使用 Active Directory 用戶和計算機 Microsoft 管理控制臺 (MMC) 管理單元在其 Active Directory 環境中管理和發布信息。

在 Windows Server 2008 R2 中，除 Active Directory 用戶和計算機管理單元外，管理員可以使用新 Active Directory 管理中心管理其目錄服務對象。Active Directory 管理中心構建在 Windows PowerShell 技術之上，為網絡管理員提供增強的 Active Directory 數據管理體驗和豐富的圖形用戶界面 (GUI)。 管理員可以使用 Active Directory 管理中心并通過數據驅動導航和面向任務的導航執行常見的 Active Directory 對象管理任務。

我們可以使用 Active Directory 管理中心執行下列 Active Directory 管理任務：

新建用戶帳戶或管理現有用戶帳戶

新建組或管理現有組

新建計算機帳戶或管理現有計算機帳戶

新建組織單位 (OU) 和容器或管理現有 OU

連接到同一 Active Directory 管理中心實例中的一個或多個域或域控制器，并查看或管理這些域或域控制器的目錄信息。

使用查詢生成搜索篩選 Active Directory 數據

除用于這些任務之外，我們還可以使用高級 Active Directory 管理中心 GUI 自定義 Active Directory 管理中心，以符合您特定于目錄服務管理的要求。 在執行常見 Active Directory 對象管理任務時，這可以幫助您提高生產率和工作效率。

最佳實踐分析器。最佳實踐分析程序 (BPA) 是 Windows Server 2008 R2 中提供的一款服務器管理工具，針對以下服務器角色：

Active Directory 域服務 (AD DS)

Active Directory 證書服務 (AD CS)

DNS 服務器

終端服務

AD DS最佳實踐分析器可幫助您以 Active Directory 環境的配置實施最佳實踐。 AD DS最佳實踐分析器安裝到 Windows Server 2008 R2 域控制器上時會掃描 AD DS 服務器角色，并報告最佳實踐沖突。 可以從 AD DS最佳實踐分析器報告中篩選或排除您不需要看到的結果。

也可以通過使用服務器管理器圖形用戶界面 (GUI) 或 Windows PowerShell 命令行接口中的 cmdlet 執行 AD DS最佳實踐分析器任務。通過使用最佳實踐分析器可以幫助我們分析意料之外的AD設置；標記出違反推薦最佳實踐的設置/配置；那么它只提供建議，而不會修改設置；用戶可以使用它來做初始掃描；但它并不是一個監視解決方案。

脫機加入域。我們都知道要想加入域必須要有可靠的網絡連接，但這個前提，在今天這個時代改變了。脫機加入域是一個新進程，該進程將運行 Windows® 7 或 Windows Server 2008 R2 的計算機加入 Active Directory 域服務 (AD DS) 中的某個域，而不需要任何網絡連接。可以使用脫機加入域將計算機加入某個域，而不需要通過網絡連接域控制器。 安裝操作系統之后，可以在計算機首次啟動時將其加入域。 不需要另外重新啟動，即可實現加入域。

在諸如數據中心之類的場所中完成大規模計算機部署時，此功能有助于節省所需的時間和精力。比如，某公司可能需要在數據中心部署大量虛擬機。 脫機加入域使虛擬機能夠在安裝操作系統之后的初始啟動過程中加入域。 不需要另外重新啟動，即可實現加入域。 這樣可以顯著減少大規模部署虛擬機所需的總時間。

加入域會在運行 Windows 操作系統的計算機與 Active Directory 域之間建立信任關系。 此操作需要更改 AD DS 和加入域的計算機的狀態。 在過去，若要使用以前版本的 Windows 操作系統完成加入域，加入域的計算機必須正在運行，并且擁有網絡連接以連接域控制器。 脫機加入域相對于以前的要求提供了以下優勢：

計算機不需要進行任何網絡通信，即可完成 Active Directory 狀態更改。

與域控制器之間不需要任何網絡通信，即可完成計算機狀態更改。

每個更改集可在不同的時間完成。

通過以上的了解，相信大家對Windows Server 2008 R2 Active Directory的新功能躍躍欲試，更多更好的設計為每個管理員帶來了全新的體驗，還等什么呢，去安裝Windows Server 2008 R2 Active Directory，進行試用吧！

【編輯推薦】

1. IIS7在Windows Server 2008 R2中的技術革新
2. Windows Server 2008四方面增強全面評估
3. Windows Server 2008 R2安全性能體驗
4. Windows server 2008 R2系統安全穩如磐石
5. Windows Server 2008 R2中如何托管服務賬號