域控制器上可以装还原软件吗？

我的域控制器，NTDS 和SYSVOL两个目录都放在D盘，为了避免病毒入侵（最近威金、熊猫太厉害了），想在域控制器上装还原软件，将C盘保护起来。不知道这样做可以不可以？会不会导致活动目录数据丢失？

答案或建议：

还是那个话，就是安全是一个整体性的架构，一是安装最新的补丁，二是安装合适的防病毒软件并更新最新的病毒库，三是严格定义管理员的操作。

安装最新的补丁还是需要提一下的，因为在我做方案的时候，遇到有些管理员认为某些重要补丁对于dc来说是不用安装的，安装了反而会带来漏洞，比如Internet Explorer service pack 1。但这么做恰恰是错误的，现在有相当多的服务器管理软件都会涉及到web service，如果不安装ie的补丁，一方面可能导致功能缺陷，另一方面就可能带来病毒或恶意软件的攻击。

安装合适的防病毒软件，针对不同的服务安装不同的防病毒软件，ad是基于文件服务的，所以所使用的软件，是要针对高频率文件操作而设计的。如果ad中的用户比较少，这个问题还不会有什么影响，如果比较多，比如上万的时候，并不是为高频率文件操作而设计的防病毒软件，就可能严重的影响ad的效能，设置导致死机。

最后一点是最关键的，很多的dc上出现病毒的问题，最常见的情况就是管理员将dc直接放置于internet，或者在dc上直接连接到internet，或者在dc上执行非授权的软件等等。这些都可能导致病毒的入侵，而dc作为ad架构的核心地带（在某些情况下就相当于fileserver），它一旦被攻击，就可能影响到所有的客户端，所以dc的安全是非常重要的。

关于您提到的“NTDS 和SYSVOL两个目录都放在D盘”，这样作其实并不能起到预防病毒的作用。微软曾经在如何调整dc性能的文章上，也提到这点。但这样做的目的是基于避免磁盘读写冲突的问题，也就是说，如果将ntds和sysvol放置在系统盘上，由于系统盘也需要较多的文件读写，这样就可能导致ad的运行效能。
但这样做，曾经在win2k and win2k3的ad上造成过兼容性的问题，当ntds 以及 sysvol位于非系统盘位置时，如果安装 service pack进行升级，ad服务及数据库可能会无法启动。
那么如果您需要将ntds转移到其他盘，那么最安全的做法就是，确保您将服务器提升为dc之前，已经安装了最新的service pack。

关于您提到的“在域控制器上装还原软件”，无论对于dc还是client都是不可取的。先不必说ad时刻都处于不断的变化过程中，dc之间需要不断同步，client与dc之间需要不断同步，一个硬件或者软件的强行还原，都有可能让被实施对象从ad中脱离，脱离后，可能需要的修复动作就是重新安装操作系统，这个结果对于client来说还不严重，但对于dc来说，就意味着，您需要手动清理ad中残留的dc数据，而这个过程是需要对ad的运作机制有一定了解的。

关于如何进行dc乃至整个ad架构的安全性防御的最佳实践，请参考
http://www.microsoft.com/china/TechNet/security/Safeguidebook/book01.asp
http://www.microsoft.com/downloads/thankyou.aspx?familyId=4e734065-3f18-488a-be1e-f03390ec5f91&displayLang=en

文章链接：http://www.baikewenda.com/tech/os/7/5/a152100307.htm