分析windows 2003与windows 2008区别之AD DS域服务

1.封装文件
windows server 2008 操作系统内置了sysprep，可以在c:\windows\system32\sysprep\下找到。其只有sysprep.exe一个文件操作系统下载，而windows server 2003中的sysprep是由3个文件构成：sysprep.exe setupmgr.exe和setupcl.exe，可以在windows server 安装光盘的support目录下找到等。
2.密码策略
windows 2000 2003 系统只建议使用强密码，并在非域环境中仍允许为用户账户设置简单密码不同，在windows server 2008系统中，必须设置强密码。
windows server 2000和2003只允许定义一条密码策略，windows server 2008引入了新的域密码策略，支持在域中定义多个密码策略，允许在单一的同一个组织单位中为不同的域账户或全局安全组定义不同的密码策略。例如，为了提高特权账户的安全性，管理员可将较严格的设置应用到特权账户，而将那些不太严格的设置应用到其他用户的账户，或者某些情况中需要为其密码应与其他数据源同步的账户应用特殊密码策略。
3.可重启服务
windows server 2008的AD DS域服务和windows 2000和2003的AD域控制器的不同之处是在项目列表信息中，Active Directory Domain Services是“自动”的服务启动类型，状态“已启动”。即windows 2000或2003的Active Directory的域控制器以应用程序的方式运行，管理员是不能单独停止Active Directory的运行的，而windows server 2008的Active Directory域控制器以“服务”方式运行，管理员可以单独停止Active Directory的运行。
windows server 2008中的AD DS域服务和windows server 2000/2003中的Active Directory有着本质的区别，以前版本的Active Directory以应用程序的方式体现，在域控制器正常运行时不能对Active Directory数据库进行维护。AD DS域服务是一种真正意义上的服务，域管理员可以使用microsoft管理控制单元或命令行，停止或启动windows server 2008中正在运行的AD DS域服务，以便执行某些任务，如脱机对活动目录数据库进行磁盘碎片整理，而无须重新启动域控制器
4.AD新特性加入
windows server 2008中的Active Directory域服务包含了早期windows版本中的活动目录所没有的新特性，如Active Directory RMS服务，Active Directory联合身份验证服务，Active Directory轻型目录服务器和Active Directory证书服务等实用功能组件。
5.AD LDS
windows server 2008 中集成了Active Directory轻型目录服务功能（AD LDS），该服务以前被称为Active Directory应用程序模式（Active Directory Application Mode，ADAM），需要从微软网站下载。AD LDS和AD DS域服务息息相关，该服务的功能是在不使用活动目录的情况下，使系统具备活动目录选项，即保证安全和身份验证。
6.只读域控制器RODC
windows server 2008出现了一种新型控制器叫只读域控制器（RODC），主要用来在分支机构中部署，只读域控制器服务与AD DS域服务相同，同样以服务的方式存在，但是Active Directory数据库只能读取不能写入，Active Directory数据库是AD DS域服务数据库的副本。RODC主要用来在分支机构部署，通常情况下，分支机构中的用户数量相对较少，物理安全较低，带宽较少，并且对IT知识了解甚少。物理安全不足是考虑配置RODC的主要原因。
7.新的备份还原管理模式
windows server 2003或XP中都有“备份和还原向导”，而在windows server 2008中取而代之的是“windows server backup”的备份工具，该工具在默认状态下没有安装，需要在“服务器管理器--功能--添加功能--windows server backup功能”中添加
8.组策略新功能
windows server 2008，组策略的管理方式有了很大改变，采用了“组策略管理”控制台（GPMC），域中所有的组织单位都可以利用该控制台进行管理，同时功能也得到了增强，除了可对组策略进行编辑以外，还可以对组策略的链接，强制和继承进行管理。
windows server 2008新加入了组策略首选项xp操作系统下载，组策略首选项是组策略应用的一种模式，和组策略不同的是，首选项部署的策略在客户端计算机生效后，客户端计算机登录用户可以根据需要调整首选项部署的策略，而组策略部署的域策略客户端计算机不能修改
9.终端服务改进
终端服务改进。windows server 2008中的终端服务，不仅继承了以前版本操作系统中的优点，同时，还新增加了虚拟化功能，有“桌面虚拟化”服务之称。因通常管理员只需将应用程序安装在终端服务器上，让用户在客户端计算机运行虚拟程序即可，不需要再次安装。通过终端服务管理服务器，管理员不但可以在局域网管理服务器，还可以从internet上管理局域网中的服务器。另外，终端服务器不但可以使用远程桌面(RDP)进行服务器管理，还可以通过在终端服务器上安装远程桌面WEB组件，通过IE浏览器管理服务器。
10.网络访问保护策略NAP
windows server 2008新加入了用户隔离，可以对所有连接到网络的计算机运行状态进行检查。当验证确定计算机状态为非安全时，将对该计算机的网络连接进行限制，确保感染恶意软件的计算机无法将恶意软件传播给网络中的其他计算机。用户隔离使任何客户端计算机必须通过系统健康检查，且符合安全条件后才允许接进网络。未通过系统健康检查的计算机会被隔离到一个受限制网络，在受限制访问网络中，在用户修复计算机的状态并达到网络健康标准后，才允许其接入网络。
11.目录审核
AD DS域服务提供目录审核。在以前版本的服务器操作系统中，只有一种审核策略（审核目录服务访问策略）。不支持对active directory中域对象细节监控。新策略类型能够审核任何安全主体对目录对象所做的修改，移动，删除与恢复删除，并在事件审核日志中记录下任何被改动的属性变化。在windows server 2008中提供以下active directory对象审核功能：最新xp操作系统下载
目录服务访问，目录服务更改，目录服务复制，详细目录服务复制。
附此部分出现的缩写单词中文翻译
KCC 一致性检查器
ISTG站点间拓扑生成器
DFS分布式文件系统
RODC只读域控制器
operations master(OM)操作主机角色
flexible single master operation(F***O)灵活单主机操作
schema master role架构主机角色
domain naming master域名主机角色
PDC emulator master PDC主机角色
RID master RID主机角色
infrastructure master 基础结构主机角色
GC 全局编录
domainlocal 本地域组
OU 组织单位
group policy object(GPO)组策略对象
group policy container(GPC)组策略容器组件
group policy template(GPT)组策略模板组件
group policy eidtor(GPE)组策略编辑器组件
GPMC组策略管理控制台
AGMP高级组策略
PSO密码设置对象
DUN拨号网络
windows terminal services(TS)windows终端服务
NAP网络访问保护
NPS网络策略和访问
MMC microsoft管理控制台
时间问题，暂时就只能写活动目录部分的差别，单词缩写翻译不太全，有问题请留言