Mit einer ganzen Reihe neuer Feautures wartet Windows Server 2008, welche die Sicherheit im Netzwerk erhöhen sollen. Die wohl interessanteste Neuerung beim Active Directory dürfte der Read Only Domain Controller (RODC) sein. Es handelt sich um einen neuen Typ Domänen-Controller (DC), der lediglich über eine unidirektionale Verbindung zu anderen Domänen-Controllern verfügt. Ein RODC führt eine Kopie der Verzeichnisdienst-Datenbank, kann aber keine Änderungen zu anderen DCs replizieren. Anwendungen, die schreibenden Zugriff auf das Active Directory benötigen, werden vom RODC an einen Domänen-Controller mit Schreibberechtigung verwiesen. Die meisten lesenden Zugriffe auf den Verzeichnisdienst kann der RODC selbständig bearbeiten.

RODCs sollten an Standorten eingesetzt werden, wo der physische Zugriff auf einen Server durch unautorisierte Personen nicht ohne weiteres verhindert werden kann. Solche Server sind besonders gefährdet, weil es ein Leichtes ist, die Sicherheitsmechanismen von Windows auszuhebeln, wenn man von einem externen Medium ein anderes Betriebssystem startet, um auf die Systempartition zuzugreifen. Sollte es einem Angreifer gelingen, die Verzeichnisdatenbank auf einen physisch kompromittierten Server zu manipulieren, ist beim Einsatz eines RODC ausgeschlossen, dass die Änderungen systemweit in das Verzeichnis übernommen werden.

Aber selbst wenn ein Angreifer nur lesenden Zugriff auf die Verzeichnisdatenbank erhält, stellt dies eine große Bedrohung für das Unternehmensnetz dar. Insbesondere die Passwörter der Anwender sind gefährdet, auch wenn diese verschlüsselt oder nur Hash-Werte abgelegt wurden. Deshalb kann man die Speicherung von Passwörtern auf RODCs grundsätzlich unterbinden. Der Nachteil dieses Verfahrens ist allerdings, dass die Anmeldung an einen RODC dann nur noch möglich ist, wenn zusätzlich ein vollwertiger Domänen-Controller für die Authentifizierung zur Verfügung steht.

Ein RODC verfügt noch über weitere Features, um die Sicherheit zu erhöhen. So ist es etwa möglich, ein Benutzerkonto in der Domäne einzurichten, die über Administrationsrechte auf dem RODC verfügt, jedoch keine Veränderungen in der Domäne vornehmen kann. Bei reinen Mitglied-Servern konnte ein Systemverwalter schon immer mit einer lokalen Administratorkennung arbeiten, die seine Rechte auf den jeweiligen Server beschränkte. Ein Systemverwalter, der einen Domänen-Controller betreuen soll, muss unter Windows Server 2003 in aller Regel aber Mitglied der Gruppe der Domänen-Administratoren sein. Unter Windows 2008 ist es jetzt möglich, einen Administrator an einem bestimmten Standort mit der Verwaltung eines RODC zu beauftragen, ohne diesem aber Rechte in der Domäne einräumen zu müssen.

Ein weiteres Sicherheitsrisiko unter Windows 2003 ist der DNS-Dienst, wenn er auf einem Domänen-Controller an einem unzureichend geschützten Standort installiert ist. Manipulationen am Domain Name Service können zu schwerwiegenden Funktionsstörungen im gesamten Netz führen. Aus diesem Grund unterstützt ein DNS-Server, der auf einem RODC läuft, keine dynamischen Updates. Das heißt, Windows-Clients, die sich selbständig am DNS registrieren wollen, müssen den Umweg über einen vollwertigen DNS-Server gehen. Der DNS-Dienst auf einem RODC sorgt dafür, dass die Clients an einen entsprechenden DNS-Server weitergeleitet werden.