在Windows Server 2008中，活動目錄域服務（Active Directory Domain Services縮寫AD DS）相比前一代操作系統(tǒng)又有了重大的提升和改進，本文簡要介紹一下其新特性。
    一、審核策略
    在Windows Server 2008中，你現(xiàn)在能夠通過使用新的審核策略的子類（目錄服務更改）來建立AD DS審核策略。當活動目錄對象及它們的屬性發(fā)生變化時，新的審核策略可以記錄新舊屬性值。
    AD DS審核能干什么？
    我們定義本策略設置（通過修改默認域控制器策略），能夠指定審核成功的事件，失敗的事件，或者什么也不審核。能夠在AD DS對象的屬性對話框中的安全選項卡中設置系統(tǒng)訪問控制列表。”審核目錄服務訪問“在應用上同審核對象訪問一致。但只適用與AD DS對象上而不是文件對象或注冊表對象。
    審核AD DS訪問
    在AD DS中新的審核策略子類（目錄服務更改）增加了以下的功能：
    當對對像的屬性修改成功時，AD DS會紀錄先前的屬性值以及現(xiàn)在的屬性值。如果屬性含有一個以上的值時，只有作為修改操作結(jié)果變化的值才會被記錄。
    如果新的對像被創(chuàng)建，屬性被賦予的時間將會被記錄，屬性值也會被記錄，在多數(shù)情景中，AD DS分配缺省屬性給諸如sAMAccountName等系統(tǒng)屬性，這些系統(tǒng)屬性值將不被記錄。
    如果一個對像被移動到同一個域中，那么先前的以及新的位置（以distinguished name 形式）將被記錄。當對象被移動到不同域時，一個創(chuàng)建事件將會在目標域的域控制器上生成。
    如果一個對象被反刪除，那么這個對象被移動到的位置將會被記錄。另外如果在反刪除操作中屬性被增加，修改或者刪除，那么這些屬性的值也會被記錄。
    當"目錄服務更改"審核子類別啟用以后，AD DS會在安全日志中記錄事件當對象屬相的變化滿足管理員指定的審核條件。下面的這張表格描述了這些事件。
    事件號 事件類型 事件描述
    5136 修改 這個事件產(chǎn)生于成功的修改目錄對象屬性。
    5137 創(chuàng)建 這個事件產(chǎn)生于新的目錄對象被創(chuàng)建。
    5138 反刪除 這個事件產(chǎn)生于目錄對象被反刪除時。
    5139 移動 這個時間產(chǎn)生于對象在同一域內(nèi)移動時。
    二、密碼策略
    Windows Server 2008 為組織提供了一種方法，使得組織能在某一域中針對不同的用戶集來定義不同的密碼和賬號鎖定策略。
    細致靈活的密碼策略能干什么？
    你能夠使用細致靈活的密碼策略在同一個域內(nèi)指定多樣化的密碼策略。同時你也你能夠使用細致靈活的密碼策略對同一域內(nèi)的不同用戶集應用不同的密碼和賬號鎖定策略限制。
    這項特性提供了什么新功能？
    密碼設置容器默認被創(chuàng)建在域的系統(tǒng)（System）容器下。你能夠通過使用活動目錄用戶與計算機管理單元并啟用高級特性來查看。它為域儲存了密碼設置對象（Password Settings objects 一下簡稱PSOs）。
    你不能夠重命名，移動，或者刪除這個容器。盡管你能夠創(chuàng)建額外的自定義的密碼設置容器，它們不被針對一個對象計算的組策略結(jié)果集計算在內(nèi)。因此創(chuàng)建額外的自定義的密碼設置容器不被推薦。
    密碼設置對像包含了能在默認域策略中定義的所有屬性設置（除了Kerberos設置）。這些設置包含了以下密碼設置屬性：
    強制密碼歷史
    密碼最長使用期限
    密碼最短使用期限
    密碼長度最小值
    密碼必須符合復雜性要求
    用可還原的加密來儲存密碼
    這些設定也包含了以下的賬戶鎖定設置
    賬戶鎖定時間
    賬戶鎖定閾值
    復位賬戶鎖定計數(shù)器
    另外，PSO也包含了以下兩個新屬性：
    PSO鏈接（PSO Link）：這是鏈接到用戶或者組對象的多值屬性
    優(yōu)先（Precedence）：這是一個用來解決多個PSO被應用到單個用戶或組對象產(chǎn)生沖突時的整數(shù)值
    這九個屬性值必須被定義，缺一不可。來自多個PSO的設置不能被合并。
    使用圖形界面（adsiedit.msc）建立PSO
    1. 單擊開始按鈕，單擊運行，輸入 adsiedit.msc ，單擊確定。*如果你是在DC上第一次運行adsiedit.msc，請繼續(xù)看第二步，不是的話跳到第四步。
    2. 在ADSI EDIT界面中，右擊ADSI Edit，再單擊連接到。
    3. 在Name屬性框中輸入你想要創(chuàng)建PSO的域的完全合格域名（FQDN），然后單擊確定。
    4. 雙擊域。
    5. 雙擊DC= <域名> 。
    6. 雙擊CN=System 。
    7. 右擊 CN=Password Settings Container，單擊新建，再單擊對象 。
    8. 在創(chuàng)建對象對話框中，選擇msDS-PasswordSettings，單擊下一步 。
    9. 輸入PSO的名稱，單擊下一步，根據(jù)向?qū)?，輸入必備屬性?BR>    10. 在向?qū)У淖詈笠豁?，單擊更多屬性?BR>    11. 在選擇查看何種屬性菜單中，單擊可選或者兩者 。
    12. 在選擇一種屬性進行查看的下拉菜單中，選擇msDS-PSOAppliesTo。
    13. 在編輯屬性中，添加需要應用PSO的用戶和全局安全組的相對可分辨名稱 。
    14. 重復第13步，如果你需要將PSO應用到多個用戶和全局安全組。
    15. 單擊完成 。