Windows 2000 安全性技術概述--2

2019-11-18 21:36:54

字體：大中小

來源：轉載

供稿：網友

域是網絡對象（包括組織單元、用戶帳戶、組和計算機，他們都共享與安全性有關的公用目錄數據庫）的集合。域形成 Active Diectory 內邏輯體系結構的核心單元，因此在安全性中扮演重要角色。如果將對象分組到一個或多個域中，您的網絡就可反映您公司的組織方式。

較大型的組織可以含有多個域，這種情況下的域層次結構就稱為域目錄樹。第一個創建的域是根域，它是在其下創建的域的父域，其下的域稱為子域。若要支持非常大型的組織，可將域目錄樹鏈接在一起，形成一種稱為目錄林的排列。（在使用多個域控制器的情況下，Active Directory 會按固定時間間隔復制到域中的每個域控制器上，以使數據庫永遠同
步。）

域可標識一個安全機構，并使用一致的內部策略及與其它域間的明確安全性關系形成一個安全邊界。特定域的管理員只在本域中有設置策略的權限。這對大型企業的幫助很大，因為不同的管理員可以創建并管理組織中不同的域。此管理含義在下面的“管理委派”部分有進一步的探討。

站點是在學習有關 Active Directory 的知識時會碰到的另一個術語。域通常會反映一個組織的商業結構，而站點則通常被用來定義與地理分布有關的 Active Directory 服務器組。這些計算機通常都以高速鏈接來連接，但它們彼此之間可以有也可以沒有邏輯關系。例如，若您有一個大型建筑物供一些相對無關的組織活動使用，如視頻產品設備、備辦食物、文件存儲等，則這棟建筑物中的 Active Directory 服務器可以被當作一個站點（即使在該服務器上所完成的處理是不相關
的）。

所謂組織單元(OU)，是指一個容器，可用它將對象組織成域中的邏輯管理組。OU 可包含對象，如：用戶帳戶、組、計算機、打印機、應用程序、文件共享和其他的 OU。

對象包含關于個別項目（如特定用戶、計算機或硬件）等的信息（稱為屬性）。例如，用戶對象的屬性可能包含姓和名、電話號碼和管理器名稱。計算機的對象可能包含計算機的位置及訪問控制列表 (ACL)，列表中會指定對該計算機擁有訪問
權限的組和個人。

通過將信息分組到域和 OU 中，可以管理對象集合（如用戶組和計算機組）的安全性，而不是逐個管理每個用戶和對象。此概念將在下面的“使用組策略來管理安全性”部分作進一步描述。首先，還有另一個對了解安全性如何使用 Active
Directory 極為重要的概念：信任。

域間的信任關系

為了讓用戶登錄網絡一次就可以使用網絡上所有資源（通常稱為單一登錄能力），Windows 2000 支持域間的信任關系。所謂信任關系，是指一種邏輯關系，這種邏輯關系在域之間建立，用來支持直接傳遞身份驗證，讓用戶和計算機可以在目錄林的任何域中接受身份驗證。這讓用戶或計算機僅需登錄網絡一次就可以對任何他們有適當權限的資源進行訪問。這種穿越許多域的能力說明了傳遞信任這個術語，它是指跨越一連串信任關系的身份驗證。

基于 Windows NT 的網絡使用單向、非傳遞的信任關系。相反，當基于 Windows 2000 的域被組織成目錄樹時（如上面的圖 1 所示），域間會創建隱含信任關系。這使在中型和大型組織中建立域間的信任關系更為容易。屬于域目錄樹的域定義與目錄樹中的父域的雙向信任關系，而所有域都隱含地信任目錄樹中的其他域。（如果有不應該有雙向信任的特定域，您應該定義明確的單向信任關系。）對于具有多個域的組織，使用 Windows 2000 比使用 Windows NT 4.0，明確的單向信任關系總數顯著減少，這種改變將大大簡化域的管理。傳遞信任在默認情況下建立于目錄樹中，這樣做之所以有意義是因為
通常是由單個管理員來管理一個目錄樹。但因為目錄林不太可能被單個管理員控制，因此目錄林的目錄樹間的傳遞信任關系必須特別創建。

有關信任關系工作方式的說明，請再次參考上面的圖 1。Windows 2000 自動于根域 (Microsoft.com) 及其兩個子域（FarEast.Microsoft.com 和 Europe.Microsoft.com）間建立雙向信任關系。此外，因為 Microsoft.com 信任這兩個子域，因此信任關系也在 FarEast 和 Europe 域間傳遞性地建立。這些關系在基于 Windows 2000 的域間自動建立。在有基于 Windows 2000 和基于 Windows NT 域的網絡中，管理員可以創建用在基于 Windows NT 的網絡中明確的單向信任關系。

上一篇：Windows 2000 安全性技術概述--3

下一篇：Windows 2000 安全性技術概述--1